Record di log di flusso - Amazon Virtual Private Cloud
Intervallo di aggregazioneFormato predefinitoFormato personalizzatoCampi disponibili

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Record di log di flusso

Un record di log di flusso rappresenta un flusso di rete nel VPC. Per impostazione predefinita, ogni record acquisisce un flusso di traffico IP (Network Internet Protocol) (caratterizzato da 5 tuple in base all'interfaccia di rete) che si verifica all'interno di un intervallo di aggregazione, denominato anche finestra di acquisizione.

Ogni record è una stringa con campi separati da spazi. Un record include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.

Quando crei un log di flusso, puoi utilizzare il formato predefinito oppure specificare un formato personalizzato.

Intervallo di aggregazione

L'intervallo di aggregazione è il periodo di tempo durante il quale un particolare flusso viene acquisito e aggregato in un record di log di flusso. Per impostazione predefinita, l'intervallo di aggregazione massimo è di 10 minuti. Quando crei un log di flusso, puoi specificare facoltativamente un intervallo di aggregazione massimo di 1 minuto. I log di flusso con un intervallo di aggregazione massimo di 1 minuto producono un volume maggiore di record del log di flusso rispetto ai log di flusso con un intervallo di aggregazione massimo di 10 minuti.

Quando un'interfaccia di rete viene collegata a un'istanza basata su Nitro, l'intervallo di aggregazione è sempre pari o inferiore a 1 minuto, a prescindere dall'intervallo di aggregazione massimo specificato.

Dopo che i dati sono stati acquisiti entro un intervallo di aggregazione, è necessario più tempo per elaborare e pubblicare i dati su CloudWatch Logs o Amazon S3. Il servizio di log di flusso in genere consegna i CloudWatch log a Logs in circa 5 minuti e ad Amazon S3 in circa 10 minuti. Tuttavia, la consegna dei log avviene nel miglior modo possibile e i registri potrebbero essere ritardati oltre i tempi di consegna tipici.

Formato predefinito

Con il formato predefinito, i record del log di flusso includono i campi versione 2, nell'ordine mostrato nella tabella campi disponibili . Non è possibile personalizzare o modificare il formato predefinito. Per acquisire i campi aggiuntivi o un diverso sottoinsieme di campi, specifica un formato personalizzato.

Formato personalizzato

Con un formato personalizzato, è possibile specificare quali campi sono inclusi nei record del log di flusso e il relativo ordine. In questo modo è possibile creare log di flusso specifici per le proprie esigenze e omettere i campi non pertinenti. L'uso di un formato personalizzato può anche ridurre la necessità di processi separati per estrarre informazioni specifiche dai log di flusso pubblicati. Puoi specificare un numero qualsiasi di campi del log di flusso disponibili, ma devi specificarne almeno uno.

Campi disponibili

Nella tabella seguente sono descritti tutti i campi disponibili per un record di log di flusso. La colonna Versione indica la versione dei log di flusso VPC in cui è stato introdotto il campo. Il formato predefinito include tutti i campi della versione 2 nello stesso ordine in cui sono riportati nella tabella.

Quando si pubblicano i dati del flusso di log su Amazon S3, il tipo di dati per i campi dipende dal formato del flusso di log. Se il formato è testo semplice, tutti i campi sono di tipo STRING. Se il formato è Parquet, consulta la tabella per i tipi di dati dei campi.

Se un campo non è applicabile o non può essere calcolato per un record specifico, il record visualizza un simbolo "-" per tale voce. I campi dei metadati che non provengono direttamente dall'intestazione del pacchetto sono approssimazioni ottimali e i loro valori potrebbero essere mancanti o imprecisi.

Campo Descrizione Version

version

La versione dei log di flusso del VPC. Se usi il formato predefinito, la versione è 2. Se usi un formato personalizzato, la versione è quella più alta tra i campi specificati. Ad esempio, se specifichi solo i campi della versione 2, la versione sarà 2. Se specifichi una combinazione di campi dalle versioni 2, 3 e 4, la versione sarà 4.

Tipo di dati parquet: INT_32

 2

account-id

L'ID dell' AWS account del proprietario dell'interfaccia di rete di origine per la quale viene registrato il traffico. Se l'interfaccia di rete viene creata da un AWS servizio, ad esempio quando si crea un endpoint VPC o un Network Load Balancer, il record potrebbe essere visualizzato unknown per questo campo.

Tipo di dati Parquet: STRING

 2

interface-id

L'ID dell'interfaccia di rete per la quale il traffico viene registrato.

Tipo di dati parquet: STRING

 2

srcaddr

Per il traffico in entrata, questo è l'indirizzo IP della fonte di traffico. Per il traffico in uscita, questo è l' IPv4 indirizzo privato o l' IPv6 indirizzo dell'interfaccia di rete che invia il traffico. Consulta anche pkt-srcaddr.

Tipo di dati Parquet: STRING

 2

dstaddr

L'indirizzo di destinazione per il traffico in uscita o l' IPv6 indirizzo IPv4 o dell'interfaccia di rete per il traffico in entrata sull'interfaccia di rete. L' IPv4 indirizzo dell'interfaccia di rete è sempre il suo indirizzo privato IPv4 . Consulta anche pkt-dstaddr.

Tipo di dati Parquet: STRING

 2

srcport

La porta di origine del traffico.

Tipo di dati parquet: INT_32

 2

dstport

La porta di destinazione del traffico.

Tipo di dati Parquet: INT_32

 2

protocol

Il numero di protocollo IANA del traffico. Per ulteriori informazioni, consulta la sezione relativa ai numeri di protocollo Internet assegnati.

Tipo di dati parquet: INT_32

 2

packets

Il numero di pacchetti trasferiti durante il flusso.

Tipo di dati parquet: INT_64

 2

bytes

Il numero di byte trasferiti durante il flusso.

Tipo di dati Parquet: INT_64

 2

start

L'ora, in secondi Unix, di ricezione del primo pacchetto del flusso all'interno dell'intervallo di aggregazione. Potrebbe essere fino a 60 secondi dopo che il pacchetto è stato trasmesso o ricevuto sull'interfaccia di rete.

Tipo di dati parquet: INT_64

 2

end

L'ora, in secondi Unix, in cui l'ultimo pacchetto del flusso è stato ricevuto entro l'intervallo di aggregazione. Potrebbe essere fino a 60 secondi dopo che il pacchetto è stato trasmesso o ricevuto sull'interfaccia di rete.

Tipo di dati parquet: INT_64

 2

action

L'operazione associata al traffico:

  • ACCEPT — Il traffico è stato accettato.

  • REJECT — Il traffico è stato respinto. Ad esempio, il traffico non era consentito dai gruppi di sicurezza o dalla rete oppure ACLs i pacchetti sono arrivati dopo la chiusura della connessione.

Tipo di dati Parquet: STRING

 2

log-status

Lo stato di registrazione del log di flusso:

  • OK : i dati vengono registrati normalmente nelle destinazioni scelte.

  • NODATA : non vi è alcun traffico di rete da o per l'interfaccia di rete durante l'intervallo di aggregazione.

  • SKIPDATA : alcuni record del log di flusso sono stati ignorati durante l'intervallo di aggregazione. Ciò può essere causato da un vincolo di capacità interna o da un errore interno.

    Alcuni record del log di flusso sono stati ignorati durante l'intervallo di aggregazione (consulta log-status in Campi disponibili). Ciò può essere causato da un vincolo di AWS capacità interno o da un errore interno. Se utilizzi AWS Cost Explorer per visualizzare i costi dei log di flusso VPC e alcuni log di flusso vengono ignorati durante l'intervallo di aggregazione dei log di flusso, il numero di log di flusso riportato AWS Cost Explorer sarà superiore al numero di log di flusso pubblicati da Amazon VPC.

Tipo di dati Parquet: STRING

 2

vpc-id

L'ID del VPC che contiene l'interfaccia di rete per cui viene registrato il traffico.

Tipo di dati parquet: STRING

 3

subnet-id

L'ID della subnet che contiene l'interfaccia di rete per cui viene registrato il traffico.

Tipo di dati parquet: STRING

 3

instance-id

L'ID dell'istanza associata all'interfaccia di rete per cui viene registrato il traffico, se l'istanza appartiene a te. Restituisce un simbolo '-' per un'interfaccia di rete gestita dal richiedente, ad esempio l'interfaccia di rete per un gateway NAT.

Tipo di dati parquet: STRING

 3

tcp-flags

Il valore bitmask per i seguenti flag TCP:

  • FIN - 1

  • SYN - 2

  • RST - 4

  • SYN-ACK - 18

Se non viene registrato alcun flag supportato, il valore del flag TCP è 0. Ad esempio, siccome tcp-flags non supporta la registrazione di log dei flag ACK o PSH, i record per il traffico con questi flag non supportati restituiranno un valore tcp-flags 0. Tuttavia, se un flag non supportato è accompagnato da un flag supportato, riporteremo il valore del flag supportato. Ad esempio, se ACK fa parte di SYN-ACK, riporta 18. Inoltre, se esiste un record come SYN+ECE, siccome SYN è un flag supportato ed ECE no, il valore del flag TCP è 2. Se per un motivo qualunque la combinazione di flag non è valida e il valore non può essere calcolato, il valore è “-”. Se non viene inviato alcun flag, il valore del flag TCP è 0.

I flag TCP sono introdotti da un operatore OR durante l'intervallo di aggregazione. Per le connessioni brevi, i flag possono essere impostati sulla stessa riga nel record del log di flusso, ad esempio 19 per SYN-ACK e FIN e 3 per SYN e FIN. Per un esempio, consulta Sequenza di flag TCP.

Per informazioni generali sui flag TCP (come il significato di flag come FIN, SYN e ACK), consulta Struttura del segmento TCP su Wikipedia.

Tipo di dati parquet: INT_32

 3

type

Il tipo di traffico. I valori possibili sono: IPv4 | IPv6 | EFA. Per ulteriori informazioni, consulta Elastic Fabric Adapter.

Tipo di dati parquet: STRING

 3

pkt-srcaddr

L'indirizzo IP di origine a livello di pacchetto (originale) del traffico. Utilizzare questo campo con il campo srcaddr per distinguere l'indirizzo IP di un livello intermedio su cui fluisce il traffico e l'indirizzo IP di origine originale del traffico. Ad esempio, quando il traffico passa attraverso un'interfaccia di rete per un gateway NAT o quando l'indirizzo IP di un pod in Amazon EKS è diverso dall'indirizzo IP dell'interfaccia di rete del nodo dell'istanza in cui il pod è in esecuzione (per la comunicazione all'interno di un VPC).

Tipo di dati parquet: STRING

 3

pkt-dstaddr

L'indirizzo IP di destinazione a livello di pacchetto (originale) per il traffico. Utilizzare questo campo con il campo dstaddr per distinguere l'indirizzo IP di un livello intermedio su cui fluisce il traffico e l'indirizzo IP di destinazione finale del traffico. Ad esempio, quando il traffico passa attraverso un'interfaccia di rete per un gateway NAT o quando l'indirizzo IP di un pod in Amazon EKS è diverso dall'indirizzo IP dell'interfaccia di rete del nodo dell'istanza in cui il pod è in esecuzione (per la comunicazione all'interno di un VPC).

Tipo di dati parquet: STRING

 3

region

Regione che contiene l'interfaccia di rete per la quale viene registrato il traffico.

Tipo di dati parquet: STRING

4

az-id

ID della zona di disponibilità che contiene l'interfaccia di rete per la quale viene registrato il traffico. Se il traffico proviene da una posizione secondaria, il record visualizza un simbolo '-' per questo campo.

Tipo di dati parquet: STRING

4

sublocation-type

Il tipo di posizione secondaria restituito nel campo sublocation-id . I valori possibili sono: wavelength | outpost | localzone. Se il traffico non proviene da una posizione secondaria, il record visualizza un simbolo '-' per questo campo.

Tipo di dati parquet: STRING

4

sublocation-id

L'ID della sottorete che contiene l'interfaccia di rete per cui viene registrato il traffico. Se il traffico non proviene da una posizione secondaria, il record visualizza un simbolo '-' per questo campo.

Tipo di dati parquet: STRING

4

pkt-src-aws-service

Il nome del sottoinsieme di intervalli di indirizzi IP per il campo pkt-srcaddr campo, se l'indirizzo IP di origine è per un AWS servizio. Se pkt-srcaddr appartiene a un intervallo sovrapposto, pkt-src-aws-service mostrerà solo uno dei codici di servizio. AWS I valori possibili sono: AMAZON | AMAZON_APPFLOW | AMAZON_CONNECT | API_GATEWAY | CHIME_MEETINGS | CHIME_VOICECONNECTOR | CLOUD9 | CLOUDFRONT | CODEBUILD | DYNAMODB | EBS | EC2 | EC2_INSTANCE_CONNECT | GLOBALACCELERATOR | KINESIS_VIDEO_STREAMS | ROUTE53 | ROUTE53_HEALTHCHECKS | ROUTE53_HEALTHCHECKS_PUBLISHING | ROUTE53_RESOLVER | S3 | WORKSPACES_GATEWAYS.

Tipo di dati parquet: STRING

5

pkt-dst-aws-service

Il nome del sottoinsieme di intervalli di indirizzi IP per il campo pkt-dstaddr campo, se l'indirizzo IP di destinazione è per un servizio. AWS Per un elenco di possibili valori, consulta il campo pkt-src-aws-service .

Tipo di dati parquet: STRING

5

flow-direction

La direzione del flusso rispetto all'interfaccia in cui viene catturato il traffico. I valori possibili sono: ingress | egress.

Tipo di dati parquet: STRING

5

traffic-path

Il percorso che porta il traffico in uscita verso la destinazione. Per determinare se il traffico è in uscita, controlla il campo flow-direction . I valori possibili sono quelli riportati di seguito. Se nessuno dei valori viene applicato, il campo è impostato su -.

  • 1 - Tramite un'altra risorsa nello stesso VPC, comprese le risorse che creano un'interfaccia di rete nel VPC

  • 2 - Tramite un gateway Internet o un endpoint VPC gateway

  • 3 - Tramite un gateway privato virtuale

  • 4 - Tramite una connessione di peering VPC all'interno della regione

  • 5 - Tramite una connessione di peering VPC tra regioni

  • 6 - Tramite un gateway locale

  • 7 — Tramite un endpoint VPC del gateway (solo istanze basate su Nitro)

  • 8 — Tramite un gateway Internet (solo istanze basate su Nitro)

Tipo di dati parquet: INT_32

5

ecs-cluster-arn

AWS Nome risorsa (ARN) del cluster ECS se il traffico proviene da un'attività ECS in esecuzione. Per includere questo campo nel tuo abbonamento, devi essere autorizzato a chiamare ecs:. ListClusters

Tipo di dati Parquet: STRING

7

ecs-cluster-name

Nome del cluster ECS se il traffico proviene da un'attività ECS in esecuzione. Per includere questo campo nel tuo abbonamento, hai bisogno del permesso di chiamare ecs:. ListClusters

Tipo di dati Parquet: STRING

7

ecs-container-instance-arn

ARN dell'istanza del contenitore ECS se il traffico proviene da un'attività ECS in esecuzione su un'istanza. EC2 Se il fornitore di capacità è AWS Fargate, questo campo sarà “-”. Per includere questo campo nel tuo abbonamento, devi essere autorizzato a chiamare ecs: ed ecs:ListClusters . ListContainerInstances

Tipo di dati Parquet: STRING

7

ecs-container-instance-id

ID dell'istanza del contenitore ECS se il traffico proviene da un'attività ECS in esecuzione su un'istanza. EC2 Se il fornitore di capacità è AWS Fargate, questo campo sarà “-”. Per includere questo campo nel tuo abbonamento, devi essere autorizzato a chiamare ecs: ListClusters ed ecs:. ListContainerInstances

Tipo di dati Parquet: STRING

7

ecs-container-id

ID di runtime Docker del container se il traffico proviene da un'attività ECS in esecuzione. Se nell'attività ECS sono presenti uno o più container, questo sarà l'ID di runtime Docker del primo container. Per includere questo campo nel tuo abbonamento, hai bisogno del permesso di chiamare ecs:. ListClusters

Tipo di dati Parquet: STRING

7

ecs-second-container-id

ID di runtime Docker del container se il traffico proviene da un'attività ECS in esecuzione. Se nell'attività ECS sono presenti più container, questo sarà l'ID di runtime Docker del secondo container. Per includere questo campo nel tuo abbonamento, hai bisogno del permesso di chiamare ecs:. ListClusters

Tipo di dati Parquet: STRING

7

ecs-service-name

Nome del servizio ECS se il traffico proviene da un'attività ECS in esecuzione e quest'ultima viene avviata da un servizio ECS. Se l'attività ECS non viene avviata da un servizio ECS, questo campo sarà “-”. Per includere questo campo nel tuo abbonamento, hai bisogno del permesso di chiamare ecs: ListClusters ed ecs:. ListServices

Tipo di dati Parquet: STRING

7

ecs-task-definition-arn

ARN della definizione dell'attività ECS se il traffico proviene da un'attività ECS in esecuzione. Per includere questo campo nel tuo abbonamento, hai bisogno del permesso di chiamare ecs: ed ecs: ListClusters ListTaskDefinitions

Tipo di dati Parquet: STRING

7

ecs-task-arn

ARN dell'attività ECS se il traffico proviene da un'attività ECS in esecuzione. Per includere questo campo nel tuo abbonamento, hai bisogno del permesso di chiamare ecs: ListClusters ed ecs:. ListTasks

Tipo di dati Parquet: STRING

7

ecs-task-id

ID dell'attività ECS se il traffico proviene da un'attività ECS in esecuzione. Per includere questo campo nel tuo abbonamento, hai bisogno del permesso di chiamare ecs: ListClusters ed ecs:. ListTasks

Tipo di dati Parquet: STRING

7

reject-reason

Motivo per cui il traffico è stato respinto. Valori possibili: BPA. Restituisce un “-” per qualsiasi altro motivo di rifiuto. Per ulteriori informazioni su Blocco dell'accesso pubblico (BPA) VPC, consulta Blocca l'accesso pubblico alle sottoreti VPCs e alle sottoreti.

Tipo di dati Parquet: STRING

8