流量日誌記錄範例

以下是擷取特定流量的流量日誌記錄範例。

如需流量日誌記錄格式的資訊，請參閱 流量日誌記錄。如需如何建立流程記錄的相關資訊，請參閱使用流量日誌工作。

已接受和已拒絕的流量

以下是預設流量日誌記錄的範例。

在此範例中，允許從 IP 地址 172.31.16.139 到私有 IP 地址網路介面的SSH流量 （目的地連接埠 22、TCP通訊協定） 為 172.31.16.21，而帳戶 123456789 中的 ID eni-1235b8ca123456789010 為允許。

2 123456789010 eni-1235b8ca123456789 172.31.16.139 172.31.16.21 20641 22 6 20 4249 1418530010 1418530070 ACCEPT OK

在此範例中，帳戶 中網路介面 eni-1235b8ca123456789 的RDP流量 （目的地連接埠 3389、TCP通訊協定） 123456789010 被拒絕。

2 123456789010 eni-1235b8ca123456789 172.31.9.69 172.31.9.12 49761 3389 6 20 4249 1418530010 1418530070 REJECT OK

無任何資料及略過的記錄

以下是預設流量日誌記錄的範例。

在此範例中，彙總時間間隔內沒有記錄任何資料。

2 123456789010 eni-1235b8ca123456789 - - - - - - - 1431280876 1431280934 - NODATA

在此範例中，彙總時間間隔內曾跳過記錄。VPC 當 Flow Logs 因為超過內部容量而無法在彙總間隔擷取流程日誌資料時，會略過記錄。跳過的單個記錄可代表在彙總間隔期間內未對網路介面擷取的多個流程。

2 123456789010 eni-11111111aaaaaaaaa - - - - - - - 1431280876 1431280934 - SKIPDATA

注意

在彙總間隔期間，可能會略過某些流程日誌記錄 （請參閱 中的日誌狀態可用的欄位）。這可能是由於內部 AWS 容量限制或內部錯誤所造成。如果您使用 AWS Cost Explorer 來檢視VPC流程日誌費用，且在流程日誌彙總間隔期間略過部分流程日誌，在 中報告的流程日誌數目 AWS Cost Explorer 會高於 Amazon 發佈的流程日誌數目VPC。

安全群組和網路ACL規則

如果您使用流程日誌來診斷過度限制或寬鬆的安全群組規則或網路ACL規則，請注意這些資源的狀態。安全群組具有狀態，這表示針對允許流量的回應也會獲得允許，即使您安全群組中的規則不允許。相反地，網路ACLs是無狀態的，因此對允許流量的回應受網路ACL規則約束。

例如，您從您的家用電腦（IP 地址為 203.0.113.12）對您的執行個體（網路介面的私有 IP 地址為 172.31.16.139）使用 ping 命令。安全群組的傳入規則允許ICMP流量，但傳出規則不允許ICMP流量。因為安全群組有狀態，所以允許來自您執行個體的回應 ping。您的網路ACL允許傳入ICMP流量，但不允許傳出ICMP流量。由於網路ACLs是無狀態的，因此回應 ping 會捨棄，並且不會到達您的家用電腦。在預設的流量日誌中，這會顯示為兩筆流量日誌記錄：

• 同時 ACCEPT 網路ACL和安全群組允許的原始 ping 記錄，因此允許 到達您的執行個體。

• A REJECT 網路ACL拒絕的回應 ping 記錄。

2 123456789010 eni-1235b8ca123456789 203.0.113.12 172.31.16.139 0 0 1 4 336 1432917027 1432917142 ACCEPT OK

2 123456789010 eni-1235b8ca123456789 172.31.16.139 203.0.113.12 0 0 1 4 336 1432917094 1432917142 REJECT OK

如果您的網路ACL允許傳出ICMP流量，流程日誌會顯示兩個 ACCEPT 記錄（一個用於原始 Ping，一個用於響應 Ping）。如果您的安全群組拒絕傳入ICMP流量，流程日誌會顯示單一 REJECT 記錄，因為流量不允許到達您的執行個體。

IPv6 流量

以下是預設流量日誌記錄的範例。在此範例中，帳戶 123456789010中允許從IPv6地址 2001：db8：1234：a100：8d6e：3477：df66：f105 到網路介面 eni-1235b8ca123456789 的SSH流量 （連接埠 22）。

2 123456789010 eni-1235b8ca123456789 2001:db8:1234:a100:8d6e:3477:df66:f105 2001:db8:1234:a102:3304:8879:34cf:4071 34892 22 6 54 8855 1477913708 1477913820 ACCEPT OK

TCP 旗標序列

本節所述的自訂流量日誌範例，可依以下順序擷取下列欄位。

version vpc-id subnet-id instance-id interface-id account-id type srcaddr dstaddr srcport dstport pkt-srcaddr pkt-dstaddr protocol bytes packets start end action tcp-flags log-status

所以此 tcp-flags 本節範例中的欄位由流程日誌中的值表示 second-to-last。TCP 旗標可協助您識別流量的方向，例如，哪些伺服器啟動連線。

注意

如需 的詳細資訊 tcp-flags 選項和每個TCP旗標的說明，請參閱 可用的欄位。

在下列記錄中 (下午 7:47:55 開始，下午 7:48:53 結束)，用戶端向在連接埠 5001 執行的伺服器啟動了兩條連線。伺服器從用戶端上的不同來源連接埠 （43416 和 43418） 收到兩個SYN旗標 （2）。對於每個 SYN， SYN-ACK 從伺服器傳送至對應連接埠上的用戶端 （18）。

3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43416 5001 52.213.180.42 10.0.0.62 6 568 8 1566848875 1566848933 ACCEPT 2 OK
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43416 10.0.0.62 52.213.180.42 6 376 7 1566848875 1566848933 ACCEPT 18 OK
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43418 5001 52.213.180.42 10.0.0.62 6 100701 70 1566848875 1566848933 ACCEPT 2 OK
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43418 10.0.0.62 52.213.180.42 6 632 12 1566848875 1566848933 ACCEPT 18 OK

在第二個彙總時間間隔內，上個流程期間建立的其中一條連線現已關閉。用戶端傳送FIN旗標 （1） 至伺服器，以進行連接埠 43418 上的連線。伺服器已將 FIN傳送至連接埠 43418 上的用戶端。

3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43418 10.0.0.62 52.213.180.42 6 63388 1219 1566848933 1566849113 ACCEPT 1 OK
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43418 5001 52.213.180.42 10.0.0.62 6 23294588 15774 1566848933 1566849113 ACCEPT 1 OK

針對在單一彙總時間間隔內開啟關閉的短暫連線 (例如數秒)，標記可能設在同方向流量之流量日誌記錄的同一行中。在以下範例中，連線在同一彙總時間間隔內建立及結束。在第一行中，TCP旗標值為 3，表示用戶端有 SYN和FIN訊息從伺服器傳送至伺服器。在第二行中，TCP旗標值為 19，表示 SYN-ACK 和FIN訊息從伺服器傳送至用戶端。

3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43638 5001 52.213.180.42 10.0.0.62 6 1260 17 1566933133 1566933193 ACCEPT 3 OK
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43638  10.0.0.62 52.213.180.42 6 967 14 1566933133 1566933193 ACCEPT 19 OK

透過NAT閘道的流量

在此範例中，私有子網路中的執行個體會透過公有子網路中的NAT閘道存取網際網路。

下列NAT閘道網路介面的自訂流程日誌會依下列順序擷取下列欄位。

instance-id interface-id srcaddr dstaddr pkt-srcaddr pkt-dstaddr

流量日誌顯示從執行個體 IP 地址 （10.0.1.5） 透過NAT閘道網路介面流向網際網路上主機的流量 （203.0.113.5）。NAT 閘道網路介面是請求者管理的網路介面，因此流程日誌記錄會顯示 的 '-' 符號 instance-id 欄位中傳回的子位置類型。以下行顯示從來源執行個體到NAT閘道網路介面的流量。 和 dstaddr 以及 pkt-dstaddr 欄位的值不同。所以此 dstaddr 欄位會顯示NAT閘道網路介面的私有 IP 地址，以及 pkt-dstaddr 欄位會顯示網際網路上主機的最終目的地 IP 地址。

- eni-1235b8ca123456789 10.0.1.5 10.0.0.220 10.0.1.5 203.0.113.5

下兩行顯示從NAT閘道網路介面到網際網路上目標主機的流量，以及從主機到NAT閘道網路介面的回應流量。

- eni-1235b8ca123456789 10.0.0.220 203.0.113.5 10.0.0.220 203.0.113.5
- eni-1235b8ca123456789 203.0.113.5 10.0.0.220 203.0.113.5 10.0.0.220

以下幾行顯示從NAT閘道網路介面到來源執行個體的回應流量。 和 srcaddr 以及 pkt-srcaddr 欄位的值不同。所以此 srcaddr 欄位會顯示NAT閘道網路介面的私有 IP 地址，以及 pkt-srcaddr 欄位會顯示網際網路上主機的 IP 地址。

- eni-1235b8ca123456789 10.0.0.220 10.0.1.5 203.0.113.5 10.0.1.5

您使用上文中的同一欄位集，建立另一個自訂流量日誌。您為私有子網中的執行個體建立網路介面的流量日誌。在本案例中，instance-id 欄位會傳回與網路界面相關聯的執行個體 ID，而 dstaddr 和 pkt-dstaddr 欄位 srcaddr 和 pkt-srcaddr 和 欄位之間沒有任何差異。與NAT閘道的網路介面不同，此網路介面不是流量的中繼網路介面。

i-01234567890123456 eni-1111aaaa2222bbbb3 10.0.1.5 203.0.113.5 10.0.1.5 203.0.113.5 #Traffic from the source instance to host on the internet
i-01234567890123456 eni-1111aaaa2222bbbb3 203.0.113.5 10.0.1.5 203.0.113.5 10.0.1.5 #Response traffic from host on the internet to the source instance

通過傳輸閘道的流量

在此範例中，VPCA 中的用戶端會透過傳輸閘道連線至 VPC B 中的 Web 伺服器。用戶端和伺服器位於不同的可用區域。流量會使用一個彈性網路介面 ID （在此範例中，假設 ID 為 eni-11111111111111111） 到達 VPC B 中的伺服器，並使用另一個 （例如 eni-22222222222222222） 離開 VPC B。

您可以使用下列格式建立 VPC B 的自訂流程日誌。

version interface-id account-id vpc-id subnet-id instance-id srcaddr dstaddr srcport dstport protocol tcp-flags type pkt-srcaddr pkt-dstaddr action log-status

下列數行流量日誌記錄示範 Web 伺服器網路介面上的流量。第一行是來自用戶端的請求流量，而最後一行是來自 Web 伺服器的回應流量。

3 eni-33333333333333333 123456789010 vpc-abcdefab012345678 subnet-22222222bbbbbbbbb i-01234567890123456 10.20.33.164 10.40.2.236 39812 80 6 3 IPv4 10.20.33.164 10.40.2.236 ACCEPT OK
...
3 eni-33333333333333333 123456789010 vpc-abcdefab012345678 subnet-22222222bbbbbbbbb i-01234567890123456 10.40.2.236 10.20.33.164 80 39812 6 19 IPv4 10.40.2.236 10.20.33.164 ACCEPT OK

下行是子網 subnet-11111111aaaaaaaaa 中，傳輸閘道申請者管理網路介面在 eni-11111111111111111 上的請求流量。因此，流程日誌紀錄會顯示 instance-id 欄位中傳回的子位置類型。所以此 srcaddr 欄位會顯示傳輸閘道網路界面的私有 IP 地址，而 pkt-srcaddr 欄位會顯示 VPC A 中用戶端的來源 IP 地址。

3 eni-11111111111111111 123456789010 vpc-abcdefab012345678 subnet-11111111aaaaaaaaa - 10.40.1.175 10.40.2.236 39812 80 6 3 IPv4 10.20.33.164 10.40.2.236 ACCEPT OK

下行是子網 subnet-22222222bbbbbbbbb 中，傳輸閘道申請者管理網路介面在 eni-22222222222222222 上的回應流量。所以此 dstaddr 欄位會顯示傳輸閘道網路界面的私有 IP 地址，而 pkt-dstaddr 欄位會在 VPC A 中顯示用戶端的 IP 地址。

3 eni-22222222222222222 123456789010 vpc-abcdefab012345678 subnet-22222222bbbbbbbbb - 10.40.2.236 10.40.2.31 80 39812 6 19 IPv4 10.40.2.236 10.20.33.164 ACCEPT OK

服務名稱、流量路徑和流向

以下是自訂流量日誌記錄的欄位範例。

version srcaddr dstaddr srcport dstport protocol start end type packets bytes account-id vpc-id subnet-id instance-id interface-id region az-id sublocation-type sublocation-id action tcp-flags pkt-srcaddr pkt-dstaddr pkt-src-aws-service pkt-dst-aws-service traffic-path flow-direction log-status

在下列範例中，版本為 5，因為記錄包含版本 5 欄位。EC2 執行個體會呼叫 Amazon S3 服務。會在執行個體的網路介面上擷取流量日誌。第一個紀錄的流動方向為 ingress 而且第二個紀錄的流動方向為 egress。 對於 egress 紀錄 traffic-path 為 8，表示流量通過網際網路閘道。所以此 traffic-path 欄位不支援 ingress 流量 當 pkt-srcaddr 或 pkt-dstaddr 是公用 IP 地址時，會顯示服務名稱。

5 52.95.128.179 10.0.0.71 80 34210 6 1616729292 1616729349 IPv4 14 15044 123456789012 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-0c50d5961bcb2d47b eni-1235b8ca123456789 ap-southeast-2 apse2-az3 - - ACCEPT 19 52.95.128.179 10.0.0.71 S3 - - ingress OK
5 10.0.0.71 52.95.128.179 34210 80 6 1616729292 1616729349 IPv4 7 471 123456789012 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-0c50d5961bcb2d47b eni-1235b8ca123456789 ap-southeast-2 apse2-az3 - - ACCEPT 3 10.0.0.71 52.95.128.179 - S3 8 egress OK