Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Batasan log alur

PDF
RSS
Mode fokus
Batasan log alur - Amazon Virtual Private Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Untuk menggunakan log alur , Anda perlu memahami batasan-batasan berikut:

  • Setelah Anda membuat log aliran, Anda tidak akan melihat data log aliran sampai ada lalu lintas aktif untuk antarmuka jaringan, subnet, atau VPC yang Anda pilih.

  • Anda tidak dapat mengaktifkan log alur untuk VPCs yang diintip dengan VPC Anda kecuali VPC rekan ada di akun Anda.

  • Setelah membuat log aliran, Anda tidak dapat mengubah konfigurasinya atau format catatan log aliran. Misalnya, Anda tidak dapat mengaitkan IAM role yang berbeda dengan log alur, atau menambahkan atau menghapus bidang dalam catatan log alur. Sebaliknya, Anda dapat menghapus log alur dan membuat yang baru dengan konfigurasi yang diperlukan.

  • Jika antarmuka jaringan Anda memiliki beberapa IPv4 alamat dan lalu lintas dikirim ke IPv4 alamat pribadi sekunder, log alur menampilkan IPv4 alamat pribadi utama di dstaddr bidang. Untuk menangkap alamat IP tujuan asal, buat log alur dengan bidang pkt-dstaddr.

  • Jika lalu lintas dikirim ke antarmuka jaringan dan tujuan bukan salah satu alamat IP antarmuka jaringan, log aliran menampilkan IPv4 alamat pribadi utama di dstaddr lapangan. Untuk menangkap alamat IP tujuan asal, buat log alur dengan bidang pkt-dstaddr.

  • Jika lalu lintas dikirim dari antarmuka jaringan dan sumbernya bukan salah satu alamat IP antarmuka jaringan, ketika catatan log adalah untuk aliran keluar, log aliran menampilkan IPv4 alamat pribadi utama di srcaddr lapangan. Untuk menangkap alamat IP sumber asal, buat log alur dengan bidang pkt-srcaddr. Jika catatan log adalah untuk aliran masuk ke antarmuka jaringan, IP pribadi utama dari antarmuka jaringan tidak akan ditampilkan di srcaddr lapangan.

  • Saat antarmuka jaringan Anda terpasang ke Instans berbasis Nitro, interval agregasi selalu 1 menit atau kurang, terlepas dari interval agregasi maksimum yang ditentukan.

  • Untuk pkt-srcaddr dan pkt-dstaddr bidang, jika lapisan perantara mengaktifkan Pelestarian alamat IP Klien, bidang ini dapat menampilkan IP Klien yang diawetkan, bukan alamat IP dari lapisan perantara.

  • Beberapa catatan log aliran dapat dilewati selama interval agregasi (lihat log-status di). Bidang yang tersedia Ini mungkin disebabkan oleh kendala AWS kapasitas internal atau kesalahan internal. Jika Anda menggunakan AWS Cost Explorer untuk melihat muatan log aliran VPC dan beberapa log aliran dilewati selama interval agregasi log aliran, jumlah log aliran yang dilaporkan AWS Cost Explorer akan lebih tinggi daripada jumlah log aliran yang diterbitkan oleh Amazon VPC.

  • Jika Anda menggunakan VPC Block Public Access (BPA):

Log alur tidak menangkap semua lalu lintas IP. Jenis lalu lintas berikut tidak dicatat:

  • Lalu lintas yang dihasilkan oleh instans ketika menghubungi server DNS Amazon. Jika Anda menggunakan server DNS Anda sendiri, maka semua lalu lintas ke server DNS tersebut dicatat.

  • Lalu lintas yang dihasilkan oleh instans Windows untuk aktivasi lisensi Amazon Windows.

  • Lalu lintas ke dan dari 169.254.169.254 untuk metadata instans.

  • Lalu lintas ke dan dari 169.254.169.123 untuk layanan Amazon Time Sync.

  • Lalu lintas DHCP.

  • Lalu lintas mencerminkan lalu lintas sumber. Anda akan melihat lalu lintas target cermin lalu lintas saja.

  • Lalu lintas ke alamat IP yang dipesan untuk router VPC default.

  • Lalu lintas antara antarmuka jaringan titik akhir dan antarmuka jaringan Penyeimbang Beban Jaringan.

  • Lalu lintas Address Resolution Protocol (ARP).

Batasan khusus untuk bidang ECS yang tersedia di versi 7:

  • Untuk membuat langganan log alur dengan bidang ECS, akun Anda harus berisi setidaknya satu cluster ECS.

  • Bidang ECS tidak dihitung jika tugas ECS yang mendasarinya tidak dimiliki oleh pemilik langganan log aliran. Misalnya, jika Anda berbagi subnet (SubnetA) dengan akun lain (AccountB), dan kemudian Anda membuat langganan log aliran untukSubnetA, jika AccountB meluncurkan tugas ECS di subnet bersama, langganan Anda akan menerima log lalu lintas dari tugas ECS yang diluncurkan oleh AccountB tetapi bidang ECS untuk log ini tidak akan dihitung karena masalah keamanan.

  • Jika Anda membuat langganan log alur dengan bidang ECS di tingkat sumber daya VPC/SubNet, lalu lintas apa pun yang dihasilkan untuk antarmuka jaringan non-ECS juga akan dikirimkan untuk langganan Anda. Nilai untuk bidang ECS adalah '-' untuk lalu lintas IP non-ECS. Misalnya, Anda memiliki subnet (subnet-000000) dan Anda membuat langganan log aliran untuk subnet ini dengan bidang ECS (). fl-00000000 Disubnet-000000, Anda meluncurkan EC2 instance (i-0000000) yang terhubung ke internet dan secara aktif menghasilkan lalu lintas IP. Anda juga meluncurkan tugas ECS (ECS-Task-1) yang sedang berjalan di subnet yang sama. Karena ECS-Task-1 keduanya i-0000000 dan menghasilkan lalu lintas IP, langganan log aliran Anda fl-00000000 akan mengirimkan log lalu lintas untuk kedua entitas. Namun, hanya ECS-Task-1 akan memiliki metadata ECS aktual untuk bidang ECS yang Anda sertakan dalam LogFormat Anda. Untuk lalu lintas i-0000000 terkait, bidang ini akan memiliki nilai '-'.

  • ecs-container-iddan ecs-second-container-id dipesan saat layanan VPC Flow Logs menerimanya dari aliran peristiwa ECS. Mereka tidak dijamin berada dalam urutan yang sama seperti yang Anda lihat di konsol ECS atau dalam panggilan DescribeTask API. Jika kontainer memasuki status STOPTED saat tugas masih berjalan, kontainer dapat terus muncul di log Anda.

  • Metadata ECS dan log lalu lintas IP berasal dari dua sumber yang berbeda. Kami mulai menghitung lalu lintas ECS Anda segera setelah kami memperoleh semua informasi yang diperlukan dari dependensi hulu. Setelah Anda memulai tugas baru, kami mulai menghitung bidang ECS Anda 1) ketika kami menerima lalu lintas IP untuk antarmuka jaringan yang mendasarinya dan 2) ketika kami menerima peristiwa ECS yang berisi metadata untuk tugas ECS Anda untuk menunjukkan tugas sedang berjalan. Setelah Anda menghentikan tugas, kami berhenti menghitung bidang ECS Anda 1) ketika kami tidak lagi menerima lalu lintas IP untuk antarmuka jaringan yang mendasarinya atau kami menerima lalu lintas IP yang tertunda selama lebih dari satu hari dan 2) ketika kami menerima acara ECS yang berisi metadata untuk tugas ECS Anda untuk menunjukkan tugas Anda tidak lagi berjalan.

  • Hanya tugas ECS yang diluncurkan dalam mode awsvpc jaringan yang didukung.

Related resources

Panduan Peering VPC
Gateway Transit Amazon VPC
Panduan EC2 Pengembang Amazon

Related resources

Panduan Peering VPC
Gateway Transit Amazon VPC
Panduan EC2 Pengembang Amazon
PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.