Catatan log alur - Amazon Virtual Private Cloud
Interval agregasiFormat defaultFormat kustomBidang yang tersedia

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Catatan log alur

Catatan log alur mewakili alur jaringan di AndaVPC. Secara default, setiap catatan menangkap aliran lalu lintas jaringan internet protocol (IP) (ditandai dengan 5-tuple per antarmuka jaringan) yang terjadi dalam interval agregasi, juga disebut sebagai window pengambilan.

Setiap catatan adalah string dengan bidang yang dipisahkan oleh spasi. Sebuah catatan termasuk nilai-nilai untuk komponen yang berbeda dari aliran IP, misalnya, sumber, tujuan, dan protokol.

Ketika Anda membuat log alur, Anda dapat menggunakan format default untuk catatan log alur, atau Anda dapat menentukan format kustom.

Interval agregasi

Interval agregasi adalah periode waktu di mana aliran tertentu ditangkap dan dikumpulkan ke dalam catatan log alur. Secara default, interval agregasi maksimum adalah 10 menit. Ketika Anda membuat log alur, Anda dapat menentukan interval agregasi maksimum 1 menit. Log alur dengan interval agregasi maksimum 1 menit menghasilkan volume catatan log alur yang lebih tinggi daripada log alur dengan interval agregasi maksimum 10 menit.

Ketika antarmuka jaringan terpasang ke instans berbasis Nitro, interval agregasi selalu 1 menit atau kurang, terlepas dari interval agregasi maksimum yang ditentukan.

Setelah data diambil dalam interval agregasi, dibutuhkan waktu tambahan untuk memproses dan menerbitkan data ke CloudWatch Logs atau Amazon S3. Layanan log alur biasanya mengirimkan CloudWatch log ke Log dalam waktu sekitar 5 menit dan ke Amazon S3 dalam waktu sekitar 10 menit. Namun, pengiriman log dilakukan berdasarkan upaya terbaik, dan log Anda mungkin tertunda di luar waktu pengiriman khas.

Format default

Dengan format default, catatan log alur termasuk bidang versi 2, dalam urutan yang ditunjukkan dalam tabel bidang yang tersedia. Anda tidak dapat menyesuaikan atau mengubah format default. Untuk menangkap bidang tambahan atau subset bidang yang berbeda, tentukan format kustom sebagai gantinya.

Format kustom

Dengan format kustom, Anda menentukan bidang yang disertakan dalam catatan log alur dan urutannya. Hal ini mengizinkan Anda untuk membuat log alur yang kustom untuk kebutuhan Anda dan untuk menghilangkan bidang yang tidak relevan. Menggunakan format kustom dapat mengurangi kebutuhan untuk proses terpisah untuk mengekstrak informasi spesifik dari log alur yang diterbitkan. Anda dapat menentukan berapa pun bidang log alur yang tersedia, tetapi Anda harus menentukan setidaknya satu bidang log alur.

Bidang yang tersedia

Tabel berikut menjelaskan semua bidang yang tersedia untuk catatan log alur. Kolom Versi menunjukkan versi Log VPC Alur di mana bidang diperkenalkan. Format default mencakup 2 bidang semua versi, dalam urutan yang sama sebagaimana yang tercantum di tabel.

Saat memublikasikan data log alur ke Amazon S3, tipe data untuk bidang-bidang tergantung pada format log alur. Jika formatnya adalah teks biasa, semua bidang bertipe STRING. Jika formatnya Parket, lihat tabel untuk tipe data bidang.

Jika suatu bidang tidak berlaku atau tidak dapat dihitung untuk catatan tertentu, catatan akan menampilkan simbol '-' untuk entri tersebut. Bidang metadata yang tidak datang langsung dari header paket merupakan perkiraan upaya terbaik, dan nilai-nilainya mungkin meleset atau tidak akurat.

Bidang Deskripsi Versi

version

Versi Log VPC Alur. Jika Anda menggunakan format default, versinya adalah 2. Jika Anda menggunakan format kustom, versinya adalah versi tertinggi di antara bidang yang ditentukan. Misalnya, jika Anda menentukan hanya bidang dari versi 2, maka versinya adalah 2. Jika Anda menentukan campuran bidang dari versi 2, 3, dan 4, maka versinya adalah 4.

Tipe data parket: _32 INT

 2

account-id

ID AWS akun pemilik antarmuka jaringan sumber yang lalu lintasnya dicatat. Jika antarmuka jaringan dibuat oleh AWS layanan, misalnya saat membuat VPC endpoint atau Penyeimbang Beban Jaringan, catatan dapat saja ditampilkan unknown Bidang ini.

Jenis data parket: STRING

 2

interface-id

ID antarmuka jaringan yang lalu lintasnya dicatat.

Jenis data parket: STRING

 2

srcaddr

Alamat sumber untuk lalu lintas masuk, IPv4 atau IPv6 alamat antarmuka jaringan untuk lalu lintas keluar pada antarmuka jaringan. IPv4Alamat antarmuka jaringan selalu merupakan IPv4 alamat privatnya. Lihat juga pkt-srcaddr.

Jenis data parket: STRING

 2

dstaddr

Alamat tujuan untuk lalu lintas keluar, IPv4 atau IPv6 alamat antarmuka jaringan untuk lalu lintas masuk pada antarmuka jaringan. IPv4Alamat antarmuka jaringan selalu merupakan IPv4 alamat privatnya. Lihat juga pkt-dstaddr.

Jenis data parket: STRING

 2

srcport

Port sumber lalu lintas.

Tipe data parket: _32 INT

 2

dstport

Port tujuan lalu lintas.

Tipe data parket: _32 INT

 2

protocol

Nomor IANA protokol lalu lintas. Untuk informasi selengkapnya, lihat Nomor Protokol Internet yang Ditugaskan.

Tipe data parket: _32 INT

 2

packets

Jumlah paket yang ditransfer selama aliran.

Tipe data parket: _64 INT

 2

bytes

Jumlah byte yang ditransfer selama aliran.

Tipe data parket: _64 INT

 2

start

Waktu, dalam detik Unix, ketika paket pertama aliran diterima dalam interval agregasi. Ini mungkin sampai 60 detik setelah paket ditransmisikan atau diterima pada antarmuka jaringan.

Tipe data parket: _64 INT

 2

end

Waktu, dalam detik Unix, ketika paket terakhir dari aliran diterima dalam interval agregasi. Ini mungkin sampai 60 detik setelah paket ditransmisikan atau diterima pada antarmuka jaringan.

Tipe data parket: _64 INT

 2

action

Tindakan yang terkait dengan lalu lintas:

  • ACCEPT Lalu lintas diterima.

  • REJECT Lalu lintas ditolak. Misalnya, lalu lintas tidak diizinkan oleh kelompok keamanan atau jaringanACLs, atau paket tiba setelah koneksi ditutup.

Jenis data parket: STRING

 2

log-status

Status pencatatan log alur:

  • OK — Data log secara normal ke tujuan yang dipilih.

  • NODATA Tidak ada lalu lintas jaringan ke atau dari antarmuka jaringan selama interval agregasi.

  • SKIPDATA — Beberapa catatan log alur dilewati selama interval agregasi. Ini mungkin karena kendala kapasitas internal, atau kesalahan internal.

    Beberapa catatan log aliran dapat dilewati selama interval agregasi (lihat log-status di). Bidang yang tersedia Ini mungkin disebabkan oleh kendala AWS kapasitas internal atau kesalahan internal. Jika Anda menggunakan AWS Cost Explorer untuk melihat muatan log VPC aliran dan beberapa log aliran dilewati selama interval agregasi log aliran, jumlah log aliran yang dilaporkan AWS Cost Explorer akan lebih tinggi daripada jumlah log aliran yang diterbitkan oleh Amazon. VPC

Jenis data parket: STRING

 2

vpc-id

ID VPC yang berisi antarmuka jaringan yang lalu lintasnya dicatat.

Jenis data parket: STRING

 3

subnet-id

ID subnet yang berisi antarmuka jaringan yang lalu lintasnya dicatat.

Jenis data parket: STRING

 3

instance-id

ID instans yang terkait dengan antarmuka jaringan yang lalu lintasnya dicatat, jika instans dimiliki oleh Anda. Mengembalikan simbol '-' untuk antarmuka jaringan yang dikelola peminta; misalnya, antarmuka jaringan untuk gateway. NAT

Jenis data parket: STRING

 3

tcp-flags

Nilai bitmask untuk TCP bendera berikut ini:

  • FIN— 1

  • SYN— 2

  • RST— 4

  • SYN- ACK — 18

Jika tidak ada bendera yang didukung dicatat, nilai TCP bendera adalah 0. Misalnya, karena tcp-flags tidak mendukung logging ACK atau flag, catatan untuk lalu lintas dengan PSH flag yang tidak didukung ini akan menghasilkan nilai tcp-flags 0. Namun, jika bendera yang tidak didukung disertai dengan bendera yang didukung, kami akan melaporkan nilai bendera yang didukung. Misalnya, jika ACK merupakan bagian dari SYN -ACK, ia melaporkan 18. Dan jika ada catatan seperti SYN +ECE, karena SYN adalah bendera yang didukung dan ECE tidak, nilai TCP bendera adalah 2. Jika karena alasan tertentu kombinasi bendera tidak valid dan nilainya tidak dapat dihitung, nilainya adalah '-'. Jika tidak ada bendera yang dikirim, nilai TCP bendera adalah 0.

TCPbendera dapat OR-ed selama interval agregasi. Untuk koneksi pendek, bendera dapat diatur pada baris yang sama dalam catatan log alur, misalnya, 19 untuk SYN - ACK danFIN, dan 3 untuk SYN danFIN. Sebagai contoh, lihat TCPurutan bendera.

Untuk informasi umum tentang TCP bendera (seperti arti bendera sepertiFIN,, danACK)SYN, lihat struktur TCP segmen di Wikipedia.

Tipe data parket: _32 INT

 3

type

Jenis lalu lintas. Nilai yang mungkin adalah: IPv4 | IPv6 | EFA. Untuk informasi lebih lanjut, lihat Adaptor Elastic Fabric.

Jenis data parket: STRING

 3

pkt-srcaddr

Alamat IP sumber tingkat paket (asli) lalu lintas. Gunakan bidang ini dengan srcaddr bidang untuk membedakan antara alamat IP dari lapisan menengah yang dilalui arus lalu lintas, dan alamat IP sumber asal dari lalu lintas. Misalnya, saat lalu lintas mengalir melalui antarmuka jaringan untuk NAT gateway, atau di mana alamat IP dari pod di Amazon EKS berbeda dari alamat IP dari antarmuka jaringan dari simpul instans di mana pod berjalan (untuk komunikasi dalam aVPC).

Jenis data parket: STRING

 3

pkt-dstaddr

Alamat IP tujuan tingkat paket (asli) untuk lalu lintas. Gunakan bidang ini dengan dstaddr bidang untuk membedakan antara alamat IP dari lapisan menengah yang dilalui arus lalu lintas, dan alamat IP tujuan akhir dari lalu lintas. Misalnya, saat lalu lintas mengalir melalui antarmuka jaringan untuk NAT gateway, atau di mana alamat IP dari pod di Amazon EKS berbeda dari alamat IP dari antarmuka jaringan dari simpul instans di mana pod berjalan (untuk komunikasi dalam aVPC).

Jenis data parket: STRING

 3

region

Wilayah yang berisi antarmuka jaringan yang lalu lintasnya dicatat.

Jenis data parket: STRING

4

az-id

ID dari Availability Zone yang berisi antarmuka jaringan yang lalu lintasnya dicatat. Jika lalu lintas berasal dari sublokasi, catatan akan menampilkan simbol '-' untuk bidang ini.

Jenis data parket: STRING

4

sublocation-type

Jenis sublokasi yang dikembalikan dalam sublocation-id Bidang. Nilai yang mungkin adalah: wavelength | outpost | localzone. Jika lalu lintas bukan dari sublokasi, catatan menampilkan simbol '-' untuk bidang ini.

Jenis data parket: STRING

4

sublocation-id

ID sublokasi yang berisi antarmuka jaringan yang lalu lintasnya dicatat. Jika lalu lintas bukan dari sublokasi, catatan menampilkan simbol '-' untuk bidang ini.

Jenis data parket: STRING

4

pkt-src-aws-service

Nama subset dari rentang alamat IP untuk pkt-srcaddr field, jika alamat IP sumber adalah untuk suatu AWS layanan. Jika pkt-srcaddr milik rentang tumpang tindih, hanya pkt-src-aws-service akan menampilkan salah satu kode layanan. AWS Nilai yang mungkin adalah: AMAZON | AMAZON_APPFLOW | AMAZON_CONNECT | API_GATEWAY | CHIME_MEETINGS | CHIME_VOICECONNECTOR | CLOUD9 | CLOUDFRONT | CODEBUILD | DYNAMODB | EBS | EC2 | EC2_INSTANCE_CONNECT | GLOBALACCELERATOR | KINESIS_VIDEO_STREAMS | ROUTE53 | ROUTE53_HEALTHCHECKS | ROUTE53_HEALTHCHECKS_PUBLISHING | ROUTE53_RESOLVER | S3 | WORKSPACES_GATEWAYS.

Jenis data parket: STRING

5

pkt-dst-aws-service

Nama subset rentang alamat IP untuk pkt-dstaddr field, jika alamat IP tujuan adalah untuk suatu AWS layanan. Untuk daftar peluang nilai, lihat pkt-src-aws-service Bidang.

Jenis data parket: STRING

5

flow-direction

Arah aliran sehubungan dengan antarmuka di mana lalu lintas ditangkap. Nilai yang mungkin adalah: ingress | egress.

Jenis data parket: STRING

5

traffic-path

Jalan yang dilalui lalu lintas egress untuk ke tujuan. Untuk menentukan apakah lalu lintas merupakan lalu lintas keluar, periksa flow-direction Bidang. Kemungkinan nilainya adalah sebagai berikut. Jika tidak ada nilai yang berlaku, bidang diatur ke -.

  • 1 — Melalui sumber daya lain yang samaVPC, termasuk sumber daya yang membuat antarmuka jaringan di VPC

  • 2 — Melalui gateway internet atau gateway VPC endpoint

  • 3 — Melalui virtual private gateway

  • 4 — Melalui koneksi peering dalam wilayah VPC

  • 5 — Melalui koneksi peering antar wilayah VPC

  • 6 — Melalui gateway lokal

  • 7 — Melalui gateway VPC endpoint (instans berbasis Nitro saja)

  • 8 — Melalui gateway internet (instans berbasis Nitro saja)

Tipe data parket: _32 INT

5

ecs-cluster-arn

AWS Resource Name (ARN) dari ECS cluster jika lalu lintas berasal dari ECS tugas yang sedang berjalan. Untuk menyertakan bidang ini di langganan Anda, Anda perlu izin untuk menghubungi ecs:ListClusters.

Jenis data parket: STRING

7

ecs-cluster-name

Nama ECS cluster jika lalu lintas berasal dari ECS tugas yang sedang berjalan. Untuk menyertakan bidang ini di langganan Anda, Anda perlu izin untuk menghubungi ecs:ListClusters.

Jenis data parket: STRING

7

ecs-container-instance-arn

ARNdari instance ECS container jika lalu lintas berasal dari ECS tugas yang sedang berjalan pada sebuah EC2 instance. Jika penyedia kapasitas adalah AWS Fargate, bidang ini akan menjadi '-'. Untuk menyertakan bidang ini dalam langganan Anda, Anda memerlukan izin untuk menelepon ecs: ListClusters dan ecs:. ListContainerInstances

Jenis data parket: STRING

7

ecs-container-instance-id

ID instance ECS kontainer jika lalu lintas berasal dari ECS tugas yang sedang berjalan pada sebuah EC2 instance. Jika penyedia kapasitas adalah AWS Fargate, bidang ini akan menjadi '-'. Untuk menyertakan bidang ini dalam langganan Anda, Anda memerlukan izin untuk menelepon ecs: ListClusters dan ecs:. ListContainerInstances

Jenis data parket: STRING

7

ecs-container-id

ID runtime Docker dari kontainer jika lalu lintas berasal dari tugas yang sedang berjalanECS. Jika ada satu atau lebih kontainer dalam ECS tugas, ini akan menjadi ID runtime docker dari kontainer pertama. Untuk menyertakan bidang ini di langganan Anda, Anda perlu izin untuk menghubungi ecs:ListClusters.

Jenis data parket: STRING

7

ecs-second-container-id

ID runtime Docker dari kontainer jika lalu lintas berasal dari tugas yang sedang berjalanECS. Jika ada lebih dari satu kontainer dalam ECS tugas, ini akan menjadi ID runtime Docker dari kontainer kedua. Untuk menyertakan bidang ini di langganan Anda, Anda perlu izin untuk menghubungi ecs:ListClusters.

Jenis data parket: STRING

7

ecs-service-name

Nama ECS layanan jika lalu lintas berasal dari ECS tugas yang sedang berjalan dan ECS tugas dimulai oleh ECS layanan. Jika ECS tugas tidak dimulai oleh ECS layanan, bidang ini akan menjadi '-'. Untuk menyertakan bidang ini dalam langganan Anda, Anda memerlukan izin untuk menelepon ecs: ListClusters dan ecs:. ListServices

Jenis data parket: STRING

7

ecs-task-definition-arn

ARNdefinisi ECS tugas jika lalu lintas berasal dari ECS tugas yang sedang berjalan. Untuk menyertakan bidang ini dalam langganan Anda, Anda memerlukan izin untuk memanggil ecs: ListClusters dan ecs: ListTaskDefinitions

Jenis data parket: STRING

7

ecs-task-arn

ARNECStugas jika lalu lintas berasal dari ECS tugas yang sedang berjalan. Untuk menyertakan bidang ini dalam langganan Anda, Anda memerlukan izin untuk menelepon ecs: ListClusters dan ecs:. ListTasks

Jenis data parket: STRING

7

ecs-task-id

ID ECS tugas jika lalu lintas berasal dari ECS tugas yang sedang berjalan. Untuk menyertakan bidang ini dalam langganan Anda, Anda memerlukan izin untuk menelepon ecs: ListClusters dan ecs:. ListTasks

Jenis data parket: STRING

7

alasan tolak

Alasan Mengapa Lalu Lintas Ditolak Kemungkinan nilai:BPA. Mengembalikan '-' untuk alasan penolakan lainnya. Untuk informasi selengkapnya tentang VPC Blokir Akses Publik (BPA), lihatBlokir akses publik ke VPCs dan subnet.

Jenis data parket: STRING

8