Aktivitätsdetails für das gesamte VPC-Datendurchflussvolumen - Amazon Detective
Inhalt der AktivitätsdetailsSortierung der AktivitätsdetailsFilterung der AktivitätsdetailsAuswählen des Zeitbereichs für die AktivitätsdetailsAnzeige des Verkehrsaufkommens für ausgewählte ZeilenAnzeige des VPC-Datendurchflussverkehrs für EKS-ClusterAnzeige des VPC-Flow-Verkehrs für gemeinsam genutztes Amazon VPCs

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktivitätsdetails für das gesamte VPC-Datendurchflussvolumen

Für eine EC2 Instance zeigen die Aktivitätsdetails für das gesamte VPC-Flow-Volumen die Interaktionen zwischen der EC2 Instance und IP-Adressen während eines ausgewählten Zeitraums.

Für einen Kubernetes-Pod zeigt Gesamtes VPC-Datendurchflussvolumen das Gesamtvolumen der Bytes an, die in die zugewiesene IP-Adresse des Kubernetes-Pods für alle Ziel-IP-Adressen ein- und ausgehen. Die IP-Adresse des Kubernetes-Pods ist nicht eindeutig, wenn hostNetwork:true. In diesem Fall zeigt der Bereich den Datenverkehr zu anderen Pods mit derselben Konfiguration und dem Knoten, der sie hostet.

Bei einer IP-Adresse zeigen die Aktivitätsdetails für das gesamte VPC-Flussvolumen die Interaktionen zwischen der IP-Adresse und EC2 Instances während eines ausgewählten Zeitraums.

Um die Aktivitätsdetails für ein einzelnes Zeitintervall anzuzeigen, wählen Sie das Zeitintervall im Diagramm aus.

Um die Aktivitätsdetails für den aktuellen Zeitbereich anzuzeigen, wählen Sie Details für den Zeitbereich anzeigen aus.

Inhalt der Aktivitätsdetails

Der Inhalt spiegelt die Aktivität im ausgewählten Zeitraum wider.

Für eine EC2 Instance enthalten die Aktivitätsdetails einen Eintrag für jede eindeutige Kombination aus IP-Adresse, lokalem Port, Remote-Port, Protokoll und Richtung.

Bei einer IP-Adresse enthalten die Aktivitätsdetails einen Eintrag für jede eindeutige Kombination aus EC2 Instanz, lokalem Port, Remote-Port, Protokoll und Richtung.

Jeder Eintrag zeigt das Volumen des eingehenden Datenverkehrs, das Volumen des ausgehenden Datenverkehrs und ob die Zugriffsanfrage akzeptiert oder abgelehnt wurde. Bei der Suche nach Profilen gibt die Spalte Anmerkungen an, wann eine IP-Adresse mit der aktuellen Erkenntnis zusammenhängt.

Aktivitätsdetails für den Profilbereich Gesamtes VPC-Datendurchflussvolumen.

Sortierung der Aktivitätsdetails

Sie können die Aktivitätsdetails nach einer beliebigen Spalte in der Tabelle sortieren.

Standardmäßig werden die Aktivitätsdetails zuerst nach den Anmerkungen und dann nach dem eingehenden Verkehr sortiert.

Filterung der Aktivitätsdetails

Um sich auf eine bestimmte Aktivität zu konzentrieren, können Sie die Aktivitätsdetails nach den folgenden Werten filtern:

  • IP-Adresse oder EC2 Instanz

  • Lokaler oder Remote-Port

  • Richtung

  • Protokoll

  • Ob die Anfrage akzeptiert oder abgelehnt wurde

So fügen Sie Filter hinzu und entfernen sie

  1. Wählen Sie das Filterfeld.

  2. Wählen Sie unter Eigenschaften die Eigenschaft aus, die für die Filterung verwendet werden soll.

  3. Geben Sie den Wert an, der für die Filterung verwendet werden soll. Der Filter unterstützt Teilwerte.

    Um nach IP-Adresse zu filtern, können Sie entweder einen Wert angeben oder einen integrierten Filter auswählen.

    Für CIDR-Muster können Sie wählen, ob Sie nur öffentliche IP-Adressen, private IP-Adressen oder IP-Adressen einbeziehen möchten, die einem bestimmten CIDR-Muster entsprechen.

  4. Wenn Sie mehrere Filter haben, wählen Sie eine boolesche Option, um festzulegen, wie diese Filter miteinander verbunden sind.

    Liste der verfügbaren Konnektoren zwischen einzelnen Filtern für den Filter mit den Aktivitätsdetails.

  5. Um einen Filter zu entfernen, wählen Sie das Symbol x in der rechten oberen Ecke.

  6. Um alle Filter zu löschen, wählen Sie Filter löschen aus.

Auswählen des Zeitbereichs für die Aktivitätsdetails

Wenn Sie die Aktivitätsdetails zum ersten Mal anzeigen, entspricht der Zeitraum entweder dem Zeitbereich oder einem ausgewählten Zeitintervall. Sie können den Zeitraum für die Aktivitätsdetails ändern.

So ändern Sie einen Zeitraum für die Aktivitätsdetails

  1. Wählen Sie Bearbeiten aus.

  2. Wählen Sie unter Zeitfenster bearbeiten die zu verwendende Start- und Endzeit aus.

    Um das Zeitfenster auf die standardmäßige Gültigkeitsdauer für das Profil festzulegen, wählen Sie Auf Standardzeit für den Geltungsbereich festlegen.

  3. Wählen Sie Zeitfenster aktualisieren.

Der Zeitraum für die Aktivitätsdetails ist in den Diagrammen des Profilbereichs hervorgehoben.

Hervorgehobenes Zeitfenster für die Aktivitätsdetails im Profilbereich Gesamtes VPC-Datendurchflussvolumen.

Anzeige des Verkehrsaufkommens für ausgewählte Zeilen

Wenn Sie Zeilen identifizieren, die für Sie von Interesse sind, können Sie in den Hauptdiagrammen das Verkehrsaufkommen für diese Zeilen im Zeitverlauf anzeigen.

Aktivieren Sie für jede Zeile, die zu den Diagrammen hinzugefügt werden soll, das Kontrollkästchen. Für jede ausgewählte Zeile wird das Volumen in den Charts für eingehende oder ausgehende Sendungen als Linie angezeigt.

Traffic für ausgewählte Aktivitätsdetailzeilen, die in den Hauptdiagrammen für den Profilbereich Gesamtes VPC-Datendurchflussvolumen angezeigt werden.

Um sich auf das Verkehrsvolumen für die ausgewählten Einträge zu konzentrieren, können Sie das Gesamtvolumen ausblenden. Um das Gesamtverkehrsvolumen ein- oder auszublenden, aktivieren Sie die Option Gesamtverkehr.

Traffic für ausgewählte Aktivitätsdetailzeilen, die in den Hauptdiagrammen im Profilbereich „Gesamtes VPC-Datendurchflussvolumen“ angezeigt werden. Der gesamte Verkehr ist ausgeblendet.

Anzeige des VPC-Datendurchflussverkehrs für EKS-Cluster

Detective hat Einblick in Ihre Amazon Virtual Private Cloud (Amazon VPC)-Datendurchflussprotokolle, die den Datenverkehr darstellen, der Ihre Amazon Elastic Kubernetes Service (Amazon EKS)-Cluster durchquert. Bei Kubernetes-Ressourcen hängt der Inhalt der VPC-Datendurchflussprotokolle vom Container Network Interface (CNI) ab, das im EKS-Cluster bereitgestellt wird.

Ein EKS-Cluster mit einer Standardkonfiguration verwendet das Amazon-VPC-CNI-Plugin Weitere Informationen finden Sie unter Verwalten der VPC CNI im Amazon-EKS-Benutzerhandbuch. Das Amazon-VPC- CNI-Plugin sendet internen Datenverkehr mit der IP-Adresse des Pods und übersetzt die Quell-IP-Adresse in die IP-Adresse des Knotens für die externe Kommunikation. Detective kann internen Datenverkehr erfassen und mit dem richtigen Pod korrelieren, dies gilt aber nicht für externen Verkehr.

Wenn Sie möchten, dass Detective Einblick in den externen Datenverkehr Ihrer Pods hat, aktivieren Sie External Source Network Address Translation (SNAT). Die Aktivierung von SNAT ist mit Einschränkungen und Nachteilen verbunden. Weitere Informationen finden Sie unter SNAT für Pods im Amazon-EKS-Benutzerhandbuch.

Wenn Sie ein anderes CNI-Plugin verwenden, ist Detective nur eingeschränkt auf Pods mit hostNetwork:true sichtbar. Für diese Pods zeigt das VPC-Datendurchfluss-Bedienfeld den gesamten Datenverkehr zur IP-Adresse des Pods an. Dies beinhaltet den Datenverkehr zum Hostknoten und zu allen Pods auf dem Knoten mit der Konfiguration hostNetwork:true.

Detective zeigt den Verkehr im VPC-Datendurchfluss-Bereich eines EKS-Pods für die folgenden EKS-Cluster-Konfigurationen an:

  • In einem Cluster mit dem Amazon-VPC-CNI-Plugin sendet jeder Pod mit der Konfiguration hostNetwork:false-Datenverkehr innerhalb des Cluster-VPCs.

  • In einem Cluster mit dem Amazon VPC CNI-Plugin und der Konfiguration AWS_VPC_K8S_CNI_EXTERNALSNAT=true jeder Pod, der Datenverkehr außerhalb der VPC des Clusters hostNetwork:false sendet.

  • Jeder Pod mit der Konfiguration hostNetwork:true. Der Datenverkehr vom Knoten wird mit dem Verkehr von anderen Pods gemischt mit der Konfiguration hostNetwork:true vermischt.

Detective zeigt keinen Verkehr im VPC-Datendurchfluss-Bereich an für:

  • In einem Cluster mit dem Amazon VPC CNI-Plugin und der Konfiguration AWS_VPC_K8S_CNI_EXTERNALSNAT=false sendet jeder Pod mit der Konfiguration hostNetwork:false, der Datenverkehr außerhalb des Cluster-VPC sendet.

  • In einem Cluster ohne Amazon-VPC-CNI-Plugin für Kubernetes jeder Pod mit der Konfiguration hostNetwork:false.

  • Jeder Pod, der Traffic an einen anderen Pod sendet, der auf demselben Knoten gehostet wird.

Anzeige des VPC-Flow-Verkehrs für gemeinsam genutztes Amazon VPCs

Detective hat Einblick in Ihre Amazon Virtual Private Cloud (Amazon VPC) Flow-Logs für geteilte VPCs:

  • Wenn ein Detective-Mitgliedskonto über eine gemeinsam genutzte Amazon VPC verfügt und es andere Nicht-Detective-Konten gibt, die die gemeinsam genutzte VPC verwenden, überwacht Detective den gesamten Datenverkehr von dieser VPC und bietet einen Überblick über den gesamten Datenverkehr in der VPC.

  • Wenn Sie eine EC2 Amazon-Instance in einer gemeinsam genutzten Amazon-VPC haben und der Besitzer der gemeinsam genutzten VPC kein Detective-Mitglied ist, überwacht Detective keinen Datenverkehr von der VPC. Wenn Sie den Datenverkehr innerhalb der VPC anzeigen möchten, müssen Sie den Eigentümer der Amazon VPC als Mitglied Ihres Detective-Diagramms hinzufügen.