本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
流量日誌記錄代表您 VPC 中的網路流。根據預設,每筆記錄會擷取發生在彙總時間間隔 (也稱為擷取時段) 內的網際網路通訊協定 (IP) 流量 (特徵為每個網路介面一個 5 元組)。
每筆記錄都是包含欄位的字串,其中欄位會由空格分隔。記錄包含 IP 流程不同元件的值,例如來源、目標和通訊協定。
建立流量日誌時,您可以使用流量日誌記錄的預設格式,或指定自訂格式。
彙總時間間隔
彙總時間間隔是指擷取特定流程並彙總至流量日誌記錄的一段期間。根據預設,最大彙總時間間隔為 10 分鐘。建立流量日誌時,您可以選擇指定最大彙總時間間隔為 1 分鐘。最大彙總時間間隔 1 分鐘的流量日誌所產生的流量日誌記錄量會高於最大彙總時間間隔 10 分鐘的流量日誌。
當網路介面連線至 Nitro 型執行個體時,無論指定的最大彙總時間間隔為何,彙總時間間隔一律為 1 分鐘或更短。
在彙總時間間隔內擷取資料之後,需要額外的時間來處理和發佈資料至 CloudWatch Logs 或 Amazon S3。流量日誌服務通常會在大約 5 分鐘內將日誌傳遞給 CloudWatch Logs,並在大約 10 分鐘內將日誌傳遞給 Amazon S3。不過,日誌傳遞是最大努力的基礎,而您的日誌可能會延遲超過一般傳遞時間。
預設格式
使用預設格式時,流量日誌記錄會依照可用欄位表格中顯示的順序,包括版本 2 欄位。您無法自訂或變更預設格式。若要擷取其他欄位或不同的欄位子集,請改為指定自訂格式。
自訂格式
使用自訂格式時,您可以指定流量日誌記錄中包含哪些欄位以及順序。這樣可讓您建立專門針對需求的流量日誌,省略不相關的欄位。使用自訂格式可以減少個別處理程序從已發佈的流量日誌擷取特定資訊的需求。您可指定任何數量的可用流量日誌欄位,但至少必須指定一個。
可用的欄位
下表描述流量日誌記錄的所有可用欄位。版本欄表示導入此欄位的 VPC 流量日誌版本。預設格式包括所有版本 2 欄位,其顯示順序與表格中的順序相同。
將流量日誌資料發佈到 Amazon S3 時,欄位的資料類型取決於流量日誌格式。如果格式為純文字,則所有欄位均為 STRING 類型。如果格式為 Parquet,請參閱欄位資料類型的資料表。
如果欄位不適用或無法計算特定記錄,則記錄會針對該項目顯示一個 '-' 符號。非直接來自封包標頭的中繼資料欄位是最佳近似值,而且它們的值可能會遺失或不正確。
| 欄位 | 描述 | 版本 |
|---|---|---|
|
version |
VPC 流量日誌版本。如果您使用預設格式,則版本為 2。如果您使用自訂格式,則版本為指定欄位中的最高版本。例如,如果您只指定版本 2 中的欄位,則版本為 2。如果您指定的欄位混合了版本 2、3 和 4 的欄位,則版本為 4。 Parquet 資料類型:INT_32 |
2 |
|
account-id |
記錄流量之來源網路介面擁有者 AWS 的帳戶 ID。如果網路介面是由 AWS 服務建立,例如在建立 VPC 端點或 Network Load Balancer 時,可能會unknown顯示此欄位的記錄。 Parquet 資料類型:STRING |
2 |
|
interface-id |
要記錄流量的網路介面 ID。 Parquet 資料類型:STRING |
2 |
|
srcaddr |
對於傳入流量,這是流量來源的 IP 地址。對於傳出流量,這是傳送流量之網路介面的私有 IPv4 地址或 IPv6 地址。另請參閱pkt-srcaddr。 Parquet 資料類型:STRING |
2 |
|
dstaddr |
網路介面上傳出流量的目標地址,或傳入流量網路介面的 IPv4 或 IPv6 地址。網路介面的 IPv4 地址永遠都是其私有 IPv4 地址。另請參閱 pkt-dstaddr。 Parquet 資料類型:STRING |
2 |
|
srcport |
流量的來源連接埠。 Parquet 資料類型:INT_32 |
2 |
|
dstport |
流量的目標連接埠。 Parquet 資料類型:INT_32 |
2 |
|
protocol |
流量的 IANA 通訊協定號碼。如需詳細資訊,請參閱指派的網際網路通訊協定號碼 Parquet 資料類型:INT_32 |
2 |
|
packets |
在流量期間傳輸的封包數。 Parquet 資料類型:INT_64 |
2 |
|
bytes |
在流量期間傳輸的位元組數。 Parquet 資料類型:INT_64 |
2 |
|
start |
彙總時間間隔內接收到第一個流量封包的時間 (以 Unix 秒為單位)。這個時間最長可能是在網路介面上傳送或接收封包之後 60 秒。 Parquet 資料類型:INT_64 |
2 |
|
end |
彙總時間間隔內接收到最後一個流量封包的時間 (以 Unix 秒為單位)。這個時間最長可能是在網路介面上傳送或接收封包之後 60 秒。 Parquet 資料類型:INT_64 |
2 |
|
action |
與流量相關聯的動作:
Parquet 資料類型:STRING |
2 |
|
log-status |
流量日誌的記錄狀態:
Parquet 資料類型:STRING |
2 |
|
vpc-id |
包含要記錄流量之網路介面的 VPC ID。 Parquet 資料類型:STRING |
3 |
|
subnet-id |
包含要記錄流量之網路介面的子網 ID。 Parquet 資料類型:STRING |
3 |
|
instance-id |
如果您擁有執行個體,則為與要記錄流量之網路介面相關聯的執行個體 ID。傳回請求者管理網路介面的 '-' 符號,例如 NAT 閘道的網路介面。 Parquet 資料類型:STRING |
3 |
|
tcp-flags |
下列 TCP 標記的位元遮罩值:
彙總時間間隔內的 TCP 標記可用 OR 運算彙總。針對短暫連線,標記可能和流量日誌記錄設在同一行,例如,SYN-ACK 和 FIN 為 19,而 SYN 和 FIN 為 3。如需範例,請參閱TCP 標記序列。 如需有關 TCP 標記的一般資訊 (如 FIN、SYN 和 ACK 等標記的含義),請參閱 Wikipedia 上的 TCP segment structure Parquet 資料類型:INT_32 |
3 |
|
type |
流量類型。可能的值為:IPv4 | IPv6 | EFA。如需詳細資訊,請參閱 Elastic Fabric Adapter。 Parquet 資料類型:STRING |
3 |
|
pkt-srcaddr |
流量的封包層級 (原始) 來源 IP 地址。使用此欄位搭配 srcaddr 欄位來分辨流量流經之中繼 layer 的 IP 地址,以及流量的原始來源 IP 地址。例如,當流量流經 NAT 閘道的網路介面時,或 Amazon EKS 的 Pod IP 地址和 Pod 執行 (用於 VPC 內部通訊) 所在執行個體節點的網路介面 IP 地址不同時。 Parquet 資料類型:STRING |
3 |
|
pkt-dstaddr |
流量的封包層級 (原始) 目標 IP 地址。使用此欄位搭配 dstaddr 欄位來分辨流量流經之中繼 layer 的 IP 地址,以及流量的最終目標 IP 地址。例如,當流量流經 NAT 閘道的網路介面時,或 Amazon EKS 的 Pod IP 地址和 Pod 執行 (用於 VPC 內部通訊) 所在執行個體節點的網路介面 IP 地址不同時。 Parquet 資料類型:STRING |
3 |
|
region |
包含記錄流量之網路介面的區域。 Parquet 資料類型:STRING |
4 |
|
az-id |
可用區域的 ID,其中包含記錄流量的網路介面。如果流量來自子位置,記錄會顯示此欄位的 '-' 符號。 Parquet 資料類型:STRING |
4 |
|
sublocation-type |
在 sublocation-id 欄位中傳回的子位置類型。可能的值為:波長 Parquet 資料類型:STRING |
4 |
|
sublocation-id |
包含要記錄流量之網路介面的子位置 ID。如果流量不是來自子位置,則記錄會在此欄位顯示 '-' 符號。 Parquet 資料類型:STRING |
4 |
|
pkt-src-aws-service |
如果來源 IP 地址是 服務,則欄位的 IP 地址範圍子集名稱。 pkt-srcaddr AWS 如果 pkt-srcaddr 屬於重疊範圍,pkt-src-aws-service 只會顯示其中一個 AWS 服務代碼。可能的值為:AMAZON | AMAZON_APPFLOW | AMAZON_CONNECT | API_GATEWAY | CHIME_MEETINGS | CHIME_VOICECONNECTOR | CLOUD9 | CLOUDFRONT | CODEBUILD | DYNAMODB | EBS | EC2 | EC2_INSTANCE_CONNECT | GLOBALACCELERATOR | KINESIS_VIDEO_STREAMS | ROUTE53 | ROUTE53_HEALTHCHECKS | ROUTE53_HEALTHCHECKS_PUBLISHING | ROUTE53_RESOLVER | S3 | WORKSPACES_GATEWAYS。 Parquet 資料類型:STRING |
5 |
|
pkt-dst-aws-service |
如果目的地 IP 地址是 AWS 服務,則pkt-dstaddr欄位的 IP 地址範圍子集名稱。如需可能值的清單,請參閱 pkt-src-aws-service 欄位。 Parquet 資料類型:STRING |
5 |
|
flow-direction |
關於擷取流量的介面的流程方向。可能的值為:ingress | egress。 Parquet 資料類型:STRING |
5 |
|
traffic-path |
出口流量前往目的地的路徑。若要判斷流量是否為出口流量,請查看 flow-direction 欄位。可能的值如下。如果沒有任何值套用,則欄位會設定為 -。
Parquet 資料類型:INT_32 |
5 |
|
ecs-cluster-arn |
AWS 如果流量來自執行中的 ECS 任務,ECS 叢集的資源名稱 (ARN)。若要在訂閱中包含此欄位,您需要呼叫 ecs:ListClusters 的許可。 Parquet 資料類型:STRING |
7 |
|
ecs-cluster-name |
如果流量來自正在執行的 ECS 任務,則此欄位表示 ECS 叢集的名稱。若要在訂閱中包含此欄位,您需要呼叫 ecs:ListClusters 的許可。 Parquet 資料類型:STRING |
7 |
|
ecs-container-instance-arn |
如果流量來自 EC2 執行個體上正在執行的 ECS 任務,則此欄位表示 ECS 容器執行個體的 ARN。如果容量提供者為 AWS Fargate,則此欄位將為 '-'。若要在訂閱中包含此欄位,您需要呼叫 ecs:ListClusters 和 ecs:ListContainerInstances 的許可。 Parquet 資料類型:STRING |
7 |
|
ecs-container-instance-id |
如果流量來自 EC2 執行個體上正在執行的 ECS 任務,則此欄位表示 ECS 容器執行個體的 ID。如果容量提供者為 AWS Fargate,則此欄位將為 '-'。若要在訂閱中包含此欄位,您需要呼叫 ecs:ListClusters 和 ecs:ListContainerInstances 的許可。 Parquet 資料類型:STRING |
7 |
|
ecs-container-id |
如果流量來自正在執行的 ECS 任務,則此欄位表示容器的 Docker 執行時期 ID。如果 ECS 任務中有一個或多個容器,則此欄位將顯示第一個容器的 Docker 執行時期 ID。若要在訂閱中包含此欄位,您需要呼叫 ecs:ListClusters 的許可。 Parquet 資料類型:STRING |
7 |
|
ecs-second-container-id |
如果流量來自正在執行的 ECS 任務,則此欄位表示容器的 Docker 執行時期 ID。如果 ECS 任務中有多個容器,則此欄位將顯示第二個容器的 Docker 執行時期 ID。若要在訂閱中包含此欄位,您需要呼叫 ecs:ListClusters 的許可。 Parquet 資料類型:STRING |
7 |
|
ecs-service-name |
如果流量來自正在執行的 ECS 任務,且 ECS 任務由 ECS 服務啟動,則此欄位表示 ECS 服務的名稱。如果 ECS 服務未啟動 ECS 任務,此欄位將為 '-'。若要在訂閱中包含此欄位,您需要呼叫 ecs:ListClusters 和 ecs:ListServices 的許可。 Parquet 資料類型:STRING |
7 |
|
ecs-task-definition-arn |
如果流量來自正在執行的 ECS 任務,則此欄位表示 ECS 任務定義的 ARN。若要在訂閱中包含此欄位,您需要呼叫 ecs:ListClusters 和 ecs:ListTaskDefinitions 的許可。 Parquet 資料類型:STRING |
7 |
|
ecs-task-arn |
如果流量來自正在執行的 ECS 任務,則此欄位表示 ECS 任務的 ARN。若要在訂閱中包含此欄位,您需要擁有呼叫 ecs:ListClusters 和 ecs:ListTasks 的許可。 Parquet 資料類型:STRING |
7 |
|
ecs-task-id |
如果流量來自正在執行的 ECS 任務,則此欄位表示 ECS 任務的 ID。若要在訂閱中包含此欄位,您需要呼叫 ecs:ListClusters 和 ecs:ListTasks 的許可。 Parquet 資料類型:STRING |
7 |
|
reject-reason |
流量遭拒的原因。可能值為:BPA。對於其他任何拒絕原因,傳回 '-'。有關與 VPC 阻止公開存取 (BPA) 相關的詳細資訊,請參閱封鎖對 VPC 和子網路的公開存取。 Parquet 資料類型:STRING |
8 |
