使用 VPC 流程日誌進行應用程式日誌記錄和監控 - AWS 規定指引
使用 VPC 流程日誌VPC 流程日誌的使用案例

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 VPC 流程日誌進行應用程式日誌記錄和監控

VPC 流程日誌是 Amazon Virtual Private Cloud (Amazon VPC) 的一項功能,可協助您擷取有關傳入及傳出您 VPC 中網路介面的 IP 流量的資訊。

使用 VPC 流程日誌

您可以為虛擬私有雲端 (VPC)、子網路或網路介面建立流量日誌。如果建立子網或 VPC 的流量日誌,則會監控該子網或 VPC 中的每個網路介面。如需詳細資訊,請參閱使用流程日誌 (Amazon VPC 文件)。

受監控網路介面的流程日誌資料記錄為流程日誌記錄。流程日誌記錄代表您 VPC 中的網路流程。依預設,每筆記錄都會擷取出現在彙總間隔內的網路 IP 流量。每筆記錄都是包含欄位的字串,其中欄位會由空格分隔。記錄包含 IP 流程不同元件的值,例如來源、目標和通訊協定。建立流量日誌時,您可以使用流量日誌記錄的預設格式,或指定自訂格式。如需詳細資訊,請參閱流程日誌記錄範例 (Amazon VPC 文件)。

流程日誌不會擷取下列資訊:

  • 由執行個體在與 Amazon 網域名稱系統 (DNS) 伺服器聯絡時產生的流量。若您使用您自己的 DNS 伺服器,則會記錄所有流向該 DNS 伺服器的流量。

  • 由 Windows 執行個體針對 Amazon Windows 授權啟用所產生的流量。

  • 針對執行個體中繼資料,流入及流出 254.169.254 的流量。

  • 針對 Amazon Time Sync Service,流入及流出 254.169.123 的流量。

  • 動態主機組態協定 (DHCP) 流量。

  • 流入預設 VPC 路由器預留 IP 地址的流量。

  • 端點網路介面和 Network Load Balancer 網路介面之間的流量。

流程日誌資料可以發佈至數個 AWS 服務,包括 Amazon CloudWatch Logs。建立流程日誌之後,您可以在您設定的日誌群組中擷取和檢視 CloudWatch Logs 中的流程日誌記錄。如需詳細資訊,請參閱將流程日誌發佈至 CloudWatch Logs (Amazon VPC 文件)。

流量日誌資料是在網路流量路徑之外收集,因此不會影響網路輸送量或延遲。您可以建立或刪除流量日誌,而不會影響網路效能。

VPC 流程日誌的使用案例

  • 診斷過於嚴苛的安全群組規則

  • 監控進入應用程式執行個體的流量

  • 確定流量的方向