Batasan log alur - Amazon Virtual Private Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Batasan log alur

Untuk menggunakan log alur , Anda perlu memahami batasan-batasan berikut:

  • Setelah Anda membuat log aliran, Anda tidak akan melihat data log aliran sampai ada lalu lintas aktif untuk antarmuka jaringan, subnet, atau VPC yang Anda pilih.

  • Anda tidak dapat mengaktifkan log alur untuk VPCs yang di-peering-kan dengan akun Anda VPC kecuali peer VPC ada di akun Anda.

  • Setelah Anda membuat log alur, Anda tidak dapat mengubah konfigurasi atau format catatan log alur. Misalnya, Anda tidak dapat mengaitkan IAM peran yang berbeda dengan log alur, atau menambahkan atau menghapus bidang dalam catatan log alur. Sebaliknya, Anda dapat menghapus log alur dan membuat yang baru dengan konfigurasi yang diperlukan.

  • Jika antarmuka jaringan Anda memiliki beberapa IPv4 alamat dan lalu lintas dikirim ke IPv4 alamat privat sekunder, log alur menampilkan IPv4 alamat privat utama di dstaddr bidang. Untuk menangkap alamat IP tujuan asal, buat log alur dengan bidang pkt-dstaddr.

  • Jika lalu lintas dikirim ke antarmuka jaringan dan tujuan bukan salah satu alamat IP antarmuka jaringan, log alur menampilkan IPv4 alamat privat utama di dstaddr bidang. Untuk menangkap alamat IP tujuan asal, buat log alur dengan bidang pkt-dstaddr.

  • Jika lalu lintas dikirim dari antarmuka jaringan dan sumber bukan salah satu alamat IP antarmuka jaringan, log alur menampilkan IPv4 alamat privat utama di srcaddr bidang. Untuk menangkap alamat IP sumber asal, buat log alur dengan bidang pkt-srcaddr.

  • Jika lalu lintas dikirim ke atau dikirim dari antarmuka jaringan, dstaddr bidang srcaddr dan di log alur selalu menampilkan IPv4 alamat privat utama, terlepas dari sumber paket atau tujuan. Untuk menangkap sumber paket atau tujuan, buat log alur dengan bidang pkt-srcaddr dan pkt-dstaddr.

  • Saat antarmuka jaringan Anda terpasang ke Instans berbasis Nitro, interval agregasi selalu 1 menit atau kurang, terlepas dari interval agregasi maksimum yang ditentukan.

  • Untuk pkt-srcaddr dan pkt-dstaddr bidang, jika lapisan perantara mengaktifkan Pelestarian alamat IP Klien, bidang ini dapat menampilkan IP Klien yang diawetkan, bukan alamat IP dari lapisan perantara.

  • Beberapa catatan log aliran dapat dilewati selama interval agregasi (lihat log-status di). Bidang yang tersedia Ini mungkin disebabkan oleh kendala AWS kapasitas internal atau kesalahan internal. Jika Anda menggunakan AWS Cost Explorer untuk melihat muatan log VPC aliran dan beberapa log aliran dilewati selama interval agregasi log aliran, jumlah log aliran yang dilaporkan AWS Cost Explorer akan lebih tinggi daripada jumlah log aliran yang diterbitkan oleh Amazon. VPC

  • Jika Anda menggunakan VPCBlokir Akses Publik (BPA):

    • Log aliran untuk VPC BPA tidak menyertakan catatan yang dilewati.

    • Log aliran untuk VPC BPA tidak termasuk bytesbahkan jika Anda menyertakan bytes bidang dalam log aliran Anda.

Log alur tidak menangkap semua lalu lintas IP. Jenis lalu lintas berikut tidak dicatat:

  • Lalu lintas yang dihasilkan oleh instans ketika menghubungi DNS server Amazon. Jika Anda menggunakan DNS server Anda sendiri, maka semua lalu lintas ke DNS server tersebut dicatat.

  • Lalu lintas yang dihasilkan oleh instans Windows untuk aktivasi lisensi Amazon Windows.

  • Lalu lintas ke dan dari 169.254.169.254 untuk metadata instans.

  • Lalu lintas ke dan dari 169.254.169.123 untuk layanan Amazon Time Sync.

  • DHCPlalu lintas.

  • Lalu lintas mencerminkan lalu lintas sumber. Anda akan melihat lalu lintas target cermin lalu lintas saja.

  • Lalu lintas ke alamat IP yang dipesan untuk VPC router default.

  • Lalu lintas antara antarmuka jaringan titik akhir dan antarmuka jaringan Penyeimbang Beban Jaringan.

  • Protokol Resolusi Alamat (ARP) lalu lintas.

Batasan khusus untuk ECS bidang yang tersedia di versi 7:

  • Untuk membuat langganan log alur dengan ECS bidang, akun Anda harus berisi setidaknya satu ECS klaster.

  • ECSbidang tidak dihitung jika ECS tugas yang mendasarinya tidak dimiliki oleh pemilik langganan log aliran. Misalnya, jika Anda berbagi subnet (SubnetA) dengan akun lain (AccountB), dan kemudian Anda membuat langganan log aliran untukSubnetA, jika AccountB meluncurkan ECS tugas di subnet bersama, langganan Anda akan menerima log lalu lintas dari ECS tugas yang diluncurkan oleh AccountB tetapi ECS bidang untuk log ini tidak akan dihitung karena masalah keamanan.

  • Jika Anda membuat langganan log alur dengan ECS bidang di tingkat sumber daya VPC /Subnet, lalu lintas apa pun yang dihasilkan untuk antarmuka ECS non-jaringan juga akan dikirimkan untuk langganan Anda. Nilai untuk ECS bidang akan menjadi '-' untuk lalu lintas ECS non-IP. Misalnya, Anda memiliki subnet (subnet-000000) dan Anda membuat langganan log aliran untuk subnet ini dengan ECS bidang ()fl-00000000. Disubnet-000000, Anda meluncurkan EC2 instance (i-0000000) yang terhubung ke internet dan secara aktif menghasilkan lalu lintas IP. Anda juga meluncurkan ECS tugas (ECS-Task-1) yang sedang berjalan di subnet yang sama. Karena ECS-Task-1 keduanya i-0000000 dan menghasilkan lalu lintas IP, langganan log aliran Anda fl-00000000 akan mengirimkan log lalu lintas untuk kedua entitas. Namun, hanya ECS-Task-1 akan memiliki ECS metadata aktual untuk bidang yang Anda sertakan dalam ECS bidang Anda. logFormat Untuk lalu lintas i-0000000 terkait, bidang ini akan memiliki nilai '-'.

  • ecs-container-iddan ecs-second-container-id dipesan saat layanan VPC Flow Logs menerimanya dari aliran ECS peristiwa. Mereka tidak dijamin berada dalam urutan yang sama seperti yang Anda lihat di ECS konsol atau dalam DescribeTask API panggilan. Jika kontainer memasukkan STOPPED status saat tugas masih berjalan, kontainer dapat terus muncul di log Anda.

  • ECSMetadata dan log lalu lintas IP berasal dari dua sumber yang berbeda. Kami mulai menghitung ECS lalu lintas Anda segera setelah kami memperoleh semua informasi yang diperlukan dari dependensi hulu. Setelah Anda memulai tugas baru, kami mulai menghitung ECS bidang Anda 1) ketika kami menerima lalu lintas IP untuk antarmuka jaringan yang mendasarinya dan 2) ketika kami menerima ECS acara yang berisi metadata untuk ECS tugas Anda untuk menunjukkan tugas sedang berjalan. Setelah Anda menghentikan tugas, kami berhenti menghitung ECS bidang Anda 1) ketika kami tidak lagi menerima lalu lintas IP untuk antarmuka jaringan yang mendasarinya atau kami menerima lalu lintas IP yang tertunda selama lebih dari satu hari dan 2) ketika kami menerima ECS acara yang berisi metadata untuk ECS tugas Anda untuk menunjukkan tugas Anda tidak lagi berjalan.

  • Hanya ECS tugas yang diluncurkan dalam mode awsvpc jaringan yang didukung.