Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Limitazioni del log di flusso
Per utilizzare i log di flusso, occorre considerare le seguenti limitazioni:
-
Dopo aver creato un log di flusso, i dati del log di flusso non verranno visualizzati finché non vi sarà traffico attivo per l'interfaccia di rete, la sottorete o il VPC selezionato.
-
Non puoi abilitare i log di flusso per quelli VPCs che vengono peerizzati con il tuo VPC a meno che il VPC peer non sia nel tuo account.
-
Dopo aver creato un log di flusso, non è possibile modificarne la configurazione o cambiarne il formato del record. Ad esempio, non è possibile associare un ruolo IAM diverso al log di flusso o aggiungere o rimuovere campi nel record del log di flusso. Invece, è possibile eliminare il log di flusso e crearne uno nuovo con la configurazione richiesta.
-
Se l'interfaccia di rete ha più IPv4 indirizzi e il traffico viene inviato a un IPv4 indirizzo privato secondario, il log di flusso visualizza l'indirizzo privato IPv4 principale nel campo.
dstaddr
Per acquisire l'indirizzo IP di destinazione originale, crea un log di flusso con il campopkt-dstaddr
. -
Se il traffico viene inviato a un'interfaccia di rete e la destinazione non è uno degli indirizzi IP dell'interfaccia di rete, il log di flusso visualizza l' IPv4 indirizzo privato principale nel
dstaddr
campo. Per acquisire l'indirizzo IP di destinazione originale, crea un log di flusso con il campopkt-dstaddr
. -
Se il traffico viene inviato da un'interfaccia di rete e l'origine non è uno degli indirizzi IP dell'interfaccia di rete, quando il record di registro riguarda un flusso in uscita, il log di flusso visualizza l' IPv4 indirizzo privato principale nel
srcaddr
campo. Per acquisire l'indirizzo IP di origine originale, crea un log di flusso con il campopkt-srcaddr
. Se il record di registro riguarda un flusso di ingresso nell'interfaccia di rete, l'IP privato principale dell'interfaccia di rete non verrà visualizzato nelsrcaddr
campo. -
Quando l'interfaccia di rete viene collegata a un'istanza basata su Nitro, l'intervallo di aggregazione è sempre pari o inferiore a 1 minuto, a prescindere dall'intervallo di aggregazione massimo specificato.
-
Per i campi
pkt-srcaddr
epkt-dstaddr
, se la conservazione dell'indirizzo IP del client è abilitata per il livello intermedio, questo campo può mostrare l'IP del client conservato anziché l'indirizzo IP del livello intermedio. Alcuni record del log di flusso sono stati ignorati durante l'intervallo di aggregazione (consulta log-status in Campi disponibili). Ciò può essere causato da un limite di AWS capacità interno o da un errore interno. Se utilizzi AWS Cost Explorer per visualizzare i costi dei log di flusso VPC e alcuni log di flusso vengono ignorati durante l'intervallo di aggregazione dei log di flusso, il numero di log di flusso riportato AWS Cost Explorer sarà superiore al numero di log di flusso pubblicati da Amazon VPC.
-
Se utilizzi Blocco dell'accesso pubblico (BPA) VPC:
-
I log di flusso per BPA VPC non includono i record ignorati.
-
I log di flusso per BPA VPC non includono bytes anche se includi il campo
bytes
nel log di flusso.
-
I log di flusso non acquisiscono tutto il traffico IP. I seguenti tipi di traffico non vengono registrati:
-
Traffico generato da istanze quando contattano il server Amazon DNS. Se si utilizza il proprio server DNS, tutto il traffico al server DNS viene registrato.
-
Traffico generato da un'istanza Windows per attivazione licenza Windows Amazon.
-
Traffico da e per
169.254.169.254
per metadati istanza. -
Traffico da e per
169.254.169.123
per Amazon Time Sync Service. -
Traffico DHCP.
-
Traffico di origine con mirroring. Verrà visualizzato solo il traffico di destinazione con mirroring.
-
Traffico all'indirizzo IP riservato per il router VPC predefinito.
-
Traffico tra un'interfaccia di rete endpoint e un'interfaccia di rete Network Load Balancer.
-
Traffico ARP (Address Resolution Protocol).
Limitazioni specifiche dei campi ECS disponibili nella versione 7:
Per creare abbonamenti ai log di flusso con campi ECS, l'account deve contenere almeno un cluster ECS.
I campi ECS non vengono calcolati se le attività ECS sottostanti non appartengono al proprietario dell'abbonamento al log di flusso. Ad esempio, se condividi una sottorete (
SubnetA
) con un altro account (AccountB
) e poi crei un abbonamento al log di flusso perSubnetA
, seAccountB
avvia attività ECS nella sottorete condivisa, l'abbonamento riceverà i log del traffico dalle attività ECS avviate daAccountB
, ma i campi ECS per questi log non verranno calcolati a causa di problemi di sicurezza.Se crei abbonamenti ai log di flusso con campi ECS a livello di risorsa VPC/sottorete, tutto il traffico generato per le interfacce di rete non ECS verrà distribuito anche per i tuoi abbonamenti. I valori per i campi ECS saranno “-” per il traffico IP non ECS. Ad esempio, disponi di una sottorete (
subnet-000000
) e crei un abbonamento al log di flusso per questa sottorete con campi ECS (fl-00000000
). Insubnet-000000
, avvii un' EC2istanza (i-0000000
) connessa a Internet e che genera attivamente traffico IP. Puoi anche avviare un'attività ECS (ECS-Task-1
) in esecuzione nella stessa sottorete. Poiché siai-0000000
cheECS-Task-1
generano traffico IP, l'abbonamento al log di flussofl-00000000
fornirà i log di traffico per entrambe le entità. Tuttavia, soloECS-Task-1
disporrà dei metadati ECS effettivi per i campi ECS che hai incluso in logFormat. Per il traffico correlato ai-0000000
, questi campi avranno il valore di “-”.ecs-container-id
eecs-second-container-id
vengono ordinati quando il servizio Log di flusso VPC li riceve dal flusso di eventi ECS. Non è garantito che siano nello stesso ordine in cui vengono visualizzati sulla console ECS o nella chiamata DescribeTask API. Se un container entra nello stato STOPPED mentre l'attività è ancora in esecuzione, potrebbe continuare a essere visualizzato nel log.I metadati ECS e i log del traffico IP provengono da due origini diverse. Iniziamo a calcolare il traffico ECS non appena otteniamo tutte le informazioni richieste dalle dipendenze upstream. Dopo aver avviato una nuova attività, iniziamo a calcolare i campi ECS 1) quando riceviamo il traffico IP per l'interfaccia di rete sottostante e 2) quando riceviamo l'evento ECS che contiene i metadati dell'attività ECS per indicare che l'attività è ora in esecuzione. Dopo aver interrotto un'attività, arrestiamo il calcolo dei campi ECS 1) quando non riceviamo più il traffico IP per l'interfaccia di rete sottostante o riceviamo il traffico IP con un ritardo di più di un giorno e 2) quando riceviamo l'evento ECS che contiene i metadati dell'attività ECS per indicare che l'attività non è più in esecuzione.
Sono supportate solo le attività ECS avviate in modalità di rete
awsvpc
.