流量日誌記錄範例 - Amazon Virtual Private Cloud

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

流量日誌記錄範例

以下是擷取特定流量的流量日誌記錄範例。

如需流量日誌記錄格式的資訊,請參閱 流量日誌記錄。如需如何建立流程記錄的相關資訊,請參閱使用流量日誌工作

已接受和已拒絕的流量

以下是預設流量日誌記錄的範例。

在此範例中,允許從 IP 地址 172.31.16.139 到私有 IP 地址網路介面的 SSH 流量 (目的地連接埠 22、TCP 通訊協定) 為 172.31.16.21,且帳戶 123456789 中的 ID eni-1235b8ca123456789010 為允許。

2 123456789010 eni-1235b8ca123456789 172.31.16.139 172.31.16.21 20641 22 6 20 4249 1418530010 1418530070 ACCEPT OK

在此範例中,帳戶 中網路介面 eni-1235b8ca123456789 的 RDP 流量 (目的地連接埠 3389、TCP 通訊協定) 123456789010 已被拒絕。

2 123456789010 eni-1235b8ca123456789 172.31.9.69 172.31.9.12 49761 3389 6 20 4249 1418530010 1418530070 REJECT OK

無任何資料及略過的記錄

以下是預設流量日誌記錄的範例。

在此範例中,彙總時間間隔內沒有記錄任何資料。

2 123456789010 eni-1235b8ca123456789 - - - - - - - 1431280876 1431280934 - NODATA

在此範例中,彙總時間間隔內曾跳過記錄。當 VPC Flow Logs 因為超過內部容量而無法在彙總間隔擷取流程日誌資料時,會略過記錄。跳過的單個記錄可代表在彙總間隔期間內未對網路介面擷取的多個流程。

2 123456789010 eni-11111111aaaaaaaaa - - - - - - - 1431280876 1431280934 - SKIPDATA
注意

某些流程日誌記錄可能會在彙總間隔期間略過 (請參閱 中的日誌狀態可用的欄位)。這可能是由於內部 AWS 容量限制或內部錯誤所造成。如果您使用 AWS Cost Explorer 來檢視 VPC 流量日誌費用,且在流量日誌彙總間隔期間略過某些流量日誌,在 中報告的流量日誌數目 AWS Cost Explorer 將高於 Amazon VPC 發佈的流量日誌數目。

安全群組和網路 ACL 規則

如果您使用流程日誌來診斷過度限制或寬鬆的安全群組規則或網路 ACL 規則,請注意這些資源的狀態。安全群組具有狀態,這表示針對允許流量的回應也會獲得允許,即使您安全群組中的規則不允許。相反地,網路 ACLs 是無狀態的,因此對允許流量的回應受網路 ACL 規則約束。

例如,您從您的家用電腦(IP 地址為 203.0.113.12)對您的執行個體(網路介面的私有 IP 地址為 172.31.16.139)使用 ping 命令。安全群組的傳入規則允許 ICMP 流量,但傳出規則不允許 ICMP 流量。因為安全群組有狀態,所以允許來自您執行個體的回應 ping。您的網路 ACL 允許傳入 ICMP 流量,但不允許傳出 ICMP 流量。由於網路 ACLs 是無狀態的,因此回應 ping 會捨棄且不會到達您的家用電腦。在預設的流量日誌中,這會顯示為兩筆流量日誌記錄:

  • 同時 ACCEPT 網路 ACL 和安全群組允許的原始 ping 記錄,因此允許 到達您的執行個體。

  • A REJECT 網路 ACL 拒絕的回應 ping 記錄。

2 123456789010 eni-1235b8ca123456789 203.0.113.12 172.31.16.139 0 0 1 4 336 1432917027 1432917142 ACCEPT OK
2 123456789010 eni-1235b8ca123456789 172.31.16.139 203.0.113.12 0 0 1 4 336 1432917094 1432917142 REJECT OK

如果您的網路 ACL 允許傳出 ICMP 流量,流程日誌會顯示兩個 ACCEPT 記錄(一個用於原始 Ping,一個用於響應 Ping)。如果您的安全群組拒絕傳入 ICMP 流量,流程日誌會顯示單一 REJECT 記錄,因為流量不允許到達您的執行個體。

IPv6流量

以下是預設流量日誌記錄的範例。在此範例中,123456789010帳戶 中允許從 SSH 地址 2001:db8:1234:a100:8d6e:3477:df66:f105 到網路介面 eni-1235b8ca123456789 的 IPv6 流量 (連接埠 22)。

2 123456789010 eni-1235b8ca123456789 2001:db8:1234:a100:8d6e:3477:df66:f105 2001:db8:1234:a102:3304:8879:34cf:4071 34892 22 6 54 8855 1477913708 1477913820 ACCEPT OK

TCP旗標序列

本節所述的自訂流量日誌範例,可依以下順序擷取下列欄位。

version vpc-id subnet-id instance-id interface-id account-id type srcaddr dstaddr srcport dstport pkt-srcaddr pkt-dstaddr protocol bytes packets start end action tcp-flags log-status

所以此 tcp-flags 本節範例中的欄位由流程日誌中的 second-to-last 值表示。TCP旗標可協助您識別流量的方向,例如,哪個伺服器啟動連線。

注意

如需 的詳細資訊 tcp-flags 選項和每個 TCP 旗標的說明,請參閱 可用的欄位

在下列記錄中 (下午 7:47:55 開始,下午 7:48:53 結束),用戶端向在連接埠 5001 執行的伺服器啟動了兩條連線。伺服器從用戶端收到兩個 SYN 旗標 (2),來自用戶端 (43416 和 43418) 上的不同來源連接埠。對於每個 SYN,SYN-ACK 從伺服器傳送到對應連接埠上的用戶端 (18)。

3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43416 5001 52.213.180.42 10.0.0.62 6 568 8 1566848875 1566848933 ACCEPT 2 OK 3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43416 10.0.0.62 52.213.180.42 6 376 7 1566848875 1566848933 ACCEPT 18 OK 3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43418 5001 52.213.180.42 10.0.0.62 6 100701 70 1566848875 1566848933 ACCEPT 2 OK 3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43418 10.0.0.62 52.213.180.42 6 632 12 1566848875 1566848933 ACCEPT 18 OK

在第二個彙總時間間隔內,上個流程期間建立的其中一條連線現已關閉。用戶端將 FIN 旗標 (1) 傳送到伺服器,以進行連接埠 43418 上的連線。伺服器將 FIN 傳送至連接埠 43418 上的用戶端。

3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43418 10.0.0.62 52.213.180.42 6 63388 1219 1566848933 1566849113 ACCEPT 1 OK 3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43418 5001 52.213.180.42 10.0.0.62 6 23294588 15774 1566848933 1566849113 ACCEPT 1 OK

針對在單一彙總時間間隔內開啟關閉的短暫連線 (例如數秒),標記可能設在同方向流量之流量日誌記錄的同一行中。在以下範例中,連線在同一彙總時間間隔內建立及結束。在第一行中,TCP 旗標值為 3,表示用戶端有 SYN 和 FIN 訊息傳送至伺服器。在第二行中,TCP 旗標值為 19,表示有 SYN-ACK 和 FIN 訊息從伺服器傳送至用戶端。

3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43638 5001 52.213.180.42 10.0.0.62 6 1260 17 1566933133 1566933193 ACCEPT 3 OK 3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43638 10.0.0.62 52.213.180.42 6 967 14 1566933133 1566933193 ACCEPT 19 OK

透過 NAT 閘道的流量

在此範例中,私有子網路中的執行個體會透過公有子網路中的 NAT 閘道存取網際網路。

透過 NAT 閘道存取網際網路

下列 NAT 閘道網路介面的自訂流程日誌會以下列順序擷取下列欄位。

instance-id interface-id srcaddr dstaddr pkt-srcaddr pkt-dstaddr

流程日誌顯示從執行個體 IP 地址 (10.0.1.5) 透過 NAT 閘道網路介面流向網際網路上主機的流量 (203.0.113.5)。NAT 閘道網路介面是請求者管理的網路介面,因此流程日誌記錄會顯示 的 '-' 符號 instance-id 欄位中傳回的子位置類型。以下幾行顯示從來源執行個體到 NAT 閘道網路介面的流量。 和 dstaddr 以及 pkt-dstaddr 欄位的值不同。所以此 dstaddr 欄位會顯示 NAT 閘道網路介面的私有 IP 地址,以及 pkt-dstaddr 欄位會顯示網際網路上主機的最終目的地 IP 地址。

- eni-1235b8ca123456789 10.0.1.5 10.0.0.220 10.0.1.5 203.0.113.5

下兩行顯示從 NAT 閘道網路介面到網際網路上目標主機的流量,以及從主機到 NAT 閘道網路介面的回應流量。

- eni-1235b8ca123456789 10.0.0.220 203.0.113.5 10.0.0.220 203.0.113.5 - eni-1235b8ca123456789 203.0.113.5 10.0.0.220 203.0.113.5 10.0.0.220

以下幾行顯示從 NAT 閘道網路介面到來源執行個體的回應流量。 和 srcaddr 以及 pkt-srcaddr 欄位的值不同。所以此 srcaddr 欄位會顯示 NAT 閘道網路介面的私有 IP 地址,以及 pkt-srcaddr 欄位會顯示網際網路上主機的 IP 地址。

- eni-1235b8ca123456789 10.0.0.220 10.0.1.5 203.0.113.5 10.0.1.5

您使用上文中的同一欄位集,建立另一個自訂流量日誌。您為私有子網中的執行個體建立網路介面的流量日誌。在本案例中,instance-id 欄位會傳回與網路界面相關聯的執行個體 ID,而 dstaddr 和 pkt-dstaddr 欄位 srcaddr 和 pkt-srcaddr 和 欄位之間沒有任何差異。與 NAT 閘道的網路介面不同,此網路介面不是流量的中繼網路介面。

i-01234567890123456 eni-1111aaaa2222bbbb3 10.0.1.5 203.0.113.5 10.0.1.5 203.0.113.5 #Traffic from the source instance to host on the internet i-01234567890123456 eni-1111aaaa2222bbbb3 203.0.113.5 10.0.1.5 203.0.113.5 10.0.1.5 #Response traffic from host on the internet to the source instance

通過傳輸閘道的流量

在此範例中,VPC A 中的用戶端會透過傳輸閘道連線至 VPC B 中的 Web 伺服器。用戶端和伺服器位於不同的可用區域。流量會使用一個彈性網路介面 ID (在此範例中,假設 ID 為 eni-11111111111111111) 到達 VPC B 中的伺服器,並使用另一個 ID 離開 VPC B (例如 eni-22222222222222222)。

通過傳輸閘道的流量

您可以使用下列格式為 VPC B 建立自訂流程日誌。

version interface-id account-id vpc-id subnet-id instance-id srcaddr dstaddr srcport dstport protocol tcp-flags type pkt-srcaddr pkt-dstaddr action log-status

下列數行流量日誌記錄示範 Web 伺服器網路介面上的流量。第一行是來自用戶端的請求流量,而最後一行是來自 Web 伺服器的回應流量。

3 eni-33333333333333333 123456789010 vpc-abcdefab012345678 subnet-22222222bbbbbbbbb i-01234567890123456 10.20.33.164 10.40.2.236 39812 80 6 3 IPv4 10.20.33.164 10.40.2.236 ACCEPT OK ... 3 eni-33333333333333333 123456789010 vpc-abcdefab012345678 subnet-22222222bbbbbbbbb i-01234567890123456 10.40.2.236 10.20.33.164 80 39812 6 19 IPv4 10.40.2.236 10.20.33.164 ACCEPT OK

下行是子網 subnet-11111111aaaaaaaaa 中,傳輸閘道申請者管理網路介面在 eni-11111111111111111 上的請求流量。因此,流程日誌紀錄會顯示 instance-id 欄位中傳回的子位置類型。所以此 srcaddr 欄位會顯示傳輸閘道網路界面的私有 IP 地址,而 pkt-srcaddr 欄位會在 VPC A 中顯示用戶端的來源 IP 地址。

3 eni-11111111111111111 123456789010 vpc-abcdefab012345678 subnet-11111111aaaaaaaaa - 10.40.1.175 10.40.2.236 39812 80 6 3 IPv4 10.20.33.164 10.40.2.236 ACCEPT OK

下行是子網 subnet-22222222bbbbbbbbb 中,傳輸閘道申請者管理網路介面在 eni-22222222222222222 上的回應流量。所以此 dstaddr 欄位會顯示傳輸閘道網路界面的私有 IP 地址,而 pkt-dstaddr 欄位會在 VPC A 中顯示用戶端的 IP 地址。

3 eni-22222222222222222 123456789010 vpc-abcdefab012345678 subnet-22222222bbbbbbbbb - 10.40.2.236 10.40.2.31 80 39812 6 19 IPv4 10.40.2.236 10.20.33.164 ACCEPT OK

服務名稱、流量路徑和流向

以下是自訂流量日誌記錄的欄位範例。

version srcaddr dstaddr srcport dstport protocol start end type packets bytes account-id vpc-id subnet-id instance-id interface-id region az-id sublocation-type sublocation-id action tcp-flags pkt-srcaddr pkt-dstaddr pkt-src-aws-service pkt-dst-aws-service traffic-path flow-direction log-status

在下列範例中,版本為 5,因為記錄包含版本 5 欄位。EC2 執行個體會呼叫 Amazon S3 服務。會在執行個體的網路介面上擷取流量日誌。第一個紀錄的流動方向為 ingress 而且第二個紀錄的流動方向為 egress。 對於 egress 紀錄 traffic-path 為 8,表示流量通過網際網路閘道。所以此 traffic-path 欄位不支援 ingress 流量 當 pkt-srcaddr 或 pkt-dstaddr 是公用 IP 地址時,會顯示服務名稱。

5 52.95.128.179 10.0.0.71 80 34210 6 1616729292 1616729349 IPv4 14 15044 123456789012 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-0c50d5961bcb2d47b eni-1235b8ca123456789 ap-southeast-2 apse2-az3 - - ACCEPT 19 52.95.128.179 10.0.0.71 S3 - - ingress OK 5 10.0.0.71 52.95.128.179 34210 80 6 1616729292 1616729349 IPv4 7 471 123456789012 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-0c50d5961bcb2d47b eni-1235b8ca123456789 ap-southeast-2 apse2-az3 - - ACCEPT 3 10.0.0.71 52.95.128.179 - S3 8 egress OK