選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

偏好設定
聯絡我們
意見回饋
AWS Documentation
建立 AWS 帳戶

流量日誌限制

PDF
RSS
焦點模式
流量日誌限制 - Amazon Virtual Private Cloud

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

若要使用流量日誌,您必須注意下列限制:

  • 建立流量日誌之後,除非您選擇的網路介面、子網路或 VPC 有作用中流量,否則您不會看到流量日誌資料。

  • 您無法為已和您 VPC 互連之 VPC 啟用流量日誌,除非對等 VPC 位於您的帳戶中。

  • 建立流量日誌之後,您即無法變更其組態或流量日誌記錄格式。例如,您無法建立不同 IAM 角色與流量日誌的關聯,或新增或移除流量日誌記錄的欄位。但是您可以刪除流量日誌,並使用需要的組態建立新的流量日誌。

  • 您的網路介面如有多個 IPv4 地址,且流量會傳送到輔助私有 IPv4 地址,則流量日誌會在 dstaddr 欄位中顯示主要私有 IPv4 地址。若要擷取原始目標 IP 地址,請建立具有 pkt-dstaddr 欄位的流量日誌。

  • 如果流量要傳送到網路介面,但目標不是任一網路介面的 IP 地址,則流量日誌會在 dstaddr 欄位中顯示主要私有 IPv4 地址。若要擷取原始目標 IP 地址,請建立具有 pkt-dstaddr 欄位的流量日誌。

  • 如果流量是從網路介面傳送,且來源不是網路介面的任何 IP 地址,則當日誌記錄用於輸出流程時,流程日誌會在 srcaddr 欄位中顯示主要私有 IPv4 地址。若要擷取原始來源 IP 地址,請建立具有 pkt-srcaddr 欄位的流量日誌。如果日誌記錄用於傳入網路介面的流程,則網路介面的主要私有 IP 不會顯示在 srcaddr 欄位中。

  • 當您的網路介面連線至 Nitro 型執行個體時,無論指定的最大彙總時間間隔為何,彙總時間間隔一律為 1 分鐘或更短。

  • 對於 pkt-srcaddrpkt-dstaddr 欄位,如果中繼層啟用了用戶端 IP 位址保留,則此欄位可能會顯示保留的用戶端 IP,而不是中繼層的 IP 位址。

  • 在彙總時間間隔內可能跳過一部分流量日誌記錄 (請參閱可用的欄位中的 log-status)。這可能是由於內部 AWS 容量限制或內部錯誤所造成。如果您使用 AWS Cost Explorer 來檢視 VPC 流程日誌費用,且在流程日誌彙總間隔期間略過一些流程日誌,則 中報告的流程日誌數目 AWS Cost Explorer 會高於 Amazon VPC 發佈的流程日誌數目。

  • 如果您使用 VPC 封鎖公開存取 (BPA)

    • VPC BPA 的流量日誌不包含跳過的記錄

    • 即使您在流量日誌中包含 bytes 欄位,VPC BPA 的流量日誌也不會包含 bytes

流量日誌不會擷取所有 IP 流量。以下流量類型的日誌不會記錄:

  • 由執行個體在與 Amazon DNS 伺服器聯絡時產生的流量。若您使用您自己的 DNS 伺服器,則會記錄所有流向該 DNS 伺服器的流量。

  • 由 Windows 執行個體針對 Amazon Windows 授權啟用所產生的流量。

  • 針對執行個體中繼資料,流入及流出 169.254.169.254 的流量。

  • 針對 Amazon Time Sync Service,流入及流出 169.254.169.123 的流量。

  • DHCP 流量。

  • 鏡映流量的來源流量。您只會看到鏡映流量的目標流量。

  • 流入預設 VPC 路由器預留 IP 地址的流量。

  • 端點網路介面和 Network Load Balancer 網路介面之間的流量。

  • 位址解析通訊協定 (ARP) 流量。

特定於第 7 版中可用 ECS 欄位的限制:

  • 若要建立包含 ECS 欄位的流量日誌訂閱,您的帳戶必須至少包含一個 ECS 叢集。

  • 如果流量日誌訂閱的擁有者未擁有基礎 ECS 任務,則不會計算 ECS 欄位。例如,若您與其他帳戶 (AccountB) 共用子網路 (SubnetA),然後為 SubnetA 建立流量日誌訂閱;或者,若 AccountB 在共用子網路中啟動 ECS 任務,則您的訂閱將會收到由 AccountB 啟動的 ECS 任務的流量日誌,但由於安全疑慮,將不會計算這些日誌的 ECS 欄位。

  • 如果您在 VPC/子網路資源層級建立包含 ECS 欄位的流量日誌訂閱,則系統會為訂閱傳送針對非 ECS 網路介面所產生的任何流量。非 ECS IP 流量的 ECS 欄位值將為 '-'。例如,您擁有子網路 (subnet-000000),且為此子網路建立了包含 ECS 欄位 (fl-00000000) 的流量日誌訂閱。在 subnet-000000 中,您啟動了連線至網際網路且主動產生 IP 流量的 EC2 執行個體 (i-0000000)。您還在同一個子網路中啟動了正在執行的 ECS 任務 (ECS-Task-1)。由於 i-0000000ECS-Task-1 都產生 IP 流量,您的流量日誌訂閱 fl-00000000 將傳送這兩個實體的流量日誌。不過,只有 ECS-Task-1 才會擁有您在 logFormat 中所包含的 ECS 欄位的實際 ECS 中繼資料。對於 i-0000000 相關的流量,這些欄位的值為 '-'。

  • 根據 VPC 流量日誌服務從 ECS 事件串流中接收到的順序對 ecs-container-idecs-second-container-id 進行排列。不保證它們與您在 ECS 主控台或 DescribeTask API 呼叫中看到的順序相同。如果容器在任務仍在執行時進入「已停止」狀態,它可能會繼續出現在您的日誌中。

  • ECS 中繼資料和 IP 流量日誌來自兩個不同的來源。我們從上游相依項取得所有必要資訊後,即會開始計算您的 ECS 流量。在您啟動新任務後,我們會在 1) 收到基礎網路介面的 IP 流量,以及 2) 收到包含 ECS 任務中繼資料的 ECS 事件 (表示任務現在正在執行) 時開始計算您的 ECS 欄位。當您停止任務後,我們會在 1) 不再接收基礎網路介面的 IP 流量,或收到延遲超過一天的 IP 流量,以及 2) 收到包含 ECS 任務中繼資料的 ECS 事件 (表示任務不再執行) 時停止計算您的 ECS 欄位。

  • 僅支援以 awsvpc 網路模式啟動的 ECS 任務。

Related resources

VPC 對等指南
Amazon VPC 傳輸閘道
Amazon EC2 開發人員指南

Related resources

VPC 對等指南
Amazon VPC 傳輸閘道
Amazon EC2 開發人員指南
隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。