Einschränkungen von Flow-Protokollen

Machen Sie sich bei der Verwendung von Flow-Protokollen folgende Beschränkungen bewusst:

Nachdem Sie ein Flow-Protokoll erstellt haben, werden die Flow-Protokolldaten erst dann angezeigt, wenn für die ausgewählte Netzwerkschnittstelle, das Subnetz oder die VPC aktiver Datenverkehr stattfindet.
Es ist nicht möglich, Flow-Protokolle für VPCs zu aktivieren, die per Peering mit Ihrer VPC verbunden sind, es sei denn, die Peer-VPC befindet sich in Ihrem Konto.
Nachdem Sie ein Flow-Protokoll erstellt haben, können Sie seine Konfiguration und das Format des Flow-Protokolldatensatzes nicht mehr ändern. Sie können beispielsweise keine andere IAM-Rolle mit dem Flow-Protokoll verknüpfen und keine Felder zum Flow-Protokolldatensatz hinzufügen oder daraus entfernen. Sie müssen in diesem Fall das Flow-Protokoll löschen und ein neues Protokoll mit der erforderlichen Konfiguration erstellen.
Falls Ihre Netzwerkschnittstelle über mehrere IPv4-Adressen verfügt und Datenverkehr an eine sekundäre private IPv4-Adresse gesendet wird, zeigt das Flow-Protokoll die primäre private IPv4-Adresse im Feld dstaddr an. Erstellen Sie ein Flow-Protokoll mit dem Feld pkt-dstaddr, um die ursprüngliche Ziel-IP-Adresse zu erfassen.
Falls der Datenverkehr an eine Netzwerkschnittstelle gesendet wird und es sich beim Ziel um keine IP-Adresse der Netzwerkschnittstelle handelt, wird im Flow-Protokoll die primäre private IPv4-Adresse im Feld dstaddr angezeigt. Erstellen Sie ein Flow-Protokoll mit dem Feld pkt-dstaddr, um die ursprüngliche Ziel-IP-Adresse zu erfassen.
Falls der Datenverkehr von einer Netzwerkschnittstelle gesendet wird und es sich bei der Quelle um keine IP-Adresse der Netzwerkschnittstelle handelt, wenn sich der Protokolleintrag auf einen ausgehenden Datenfluss bezieht, wird im Flow-Protokoll die primäre private IPv4-Adresse im Feld srcaddr angezeigt. Erstellen Sie ein Flow-Protokoll mit dem Feld pkt-srcaddr, um die ursprüngliche Quell-IP-Adresse zu erfassen. Wenn sich der Protokolleintrag auf einen eingehenden Datenfluss in die Netzwerkschnittstelle bezieht, wird die primäre private IP der Netzwerkschnittstelle nicht im Feld srcaddr angezeigt.
Wenn Ihre Netzwerkschnittstelle einer Nitro-basierten Instance zugewiesen ist, beträgt das Aggregationsintervall immer 1 Minute oder weniger, unabhängig vom angegebenen maximalen Aggregationsintervall.
Bei den Feldern pkt-srcaddr und pkt-dstaddr wird für dieses Feld möglicherweise die erhaltene Client-IP-Adresse anstelle der IP-Adresse der Zwischenebene angezeigt, wenn auf der Zwischenebene die Erhaltung der Client-IP-Adresse aktiviert ist.
Für das Feld traffic-path ist der Wert für Flows durch Ressourcen in derselben VPC und Flows, die über ein lokales Outpost-Gateway laufen, derselbe.
Während des Aggregationsintervalls werden einige Flow-Protokolldatensätze möglicherweise übersprungen (siehe log-status in Verfügbare Felder). Dies kann auf eine interne AWS-Kapazitätsbeschränkung oder einen internen Fehler zurückzuführen sein. Wenn Sie AWS Cost Explorer verwenden, um VPC-Flow-Protokollgebühren anzuzeigen, und einige Flow-Protokolle während des Flow-Protokoll-Aggregationsintervalls übersprungen werden, wird die Anzahl der in AWS Cost Explorer gemeldeten Flow-Protokolle höher sein als die Anzahl der von Amazon VPC veröffentlichten Flow-Protokolle.
Wenn Sie VPC Block Public Access (BPA) verwenden:
- Flow-Protokolle für VPC BPA enthalten keine übersprungenen Datensätze.
- bytes sind nicht in Flow-Protokollen für VPC BPA enthalten, auch wenn Sie das Feld bytes in Ihr Flow-Protokoll aufnehmen.

Flow-Protokolle erfassen nicht alle Arten von IP-Datenverkehr. Für folgende Arten von Datenverkehr werden keine Daten erfasst:

Datenverkehr von Instances, die den Amazon-DNS-Server kontaktieren. Wenn Sie einen eigenen DNS-Server verwenden, wird sämtlicher Datenverkehr zu diesem DNS-Server erfasst.
Datenverkehr von Windows-Instances zur Lizenzaktivierung von Amazon Windows
Datenverkehr zu und von 169.254.169.254 für Instance-Metadaten
Datenverkehr zu und von 169.254.169.123 für den Amazon Time Sync Service.
DHCP-Datenverkehr
Der Datenverkehr spiegelte den Quellverkehr wider. Sie sehen nur den gespiegelten Zieldatenverkehr.
Datenverkehr zur reservierten IP-Adresse des Standard-VPC-Routers.
Datenverkehr zwischen einer Endpunkt-Netzwerkschnittstelle und einer Network Load Balancer-Netzwerkschnittstelle.
ARP-Datenverkehr (Address Resolution Protocol).

Spezifische Einschränkungen für ECS-Felder, die in Version 7 verfügbar sind:

ECS-Felder werden nicht berechnet, wenn die zugrunde liegenden ECS-Aufgaben nicht dem Eigentümer des Flow-Protokollabonnements gehören. Wenn Sie beispielsweise ein Subnetz (SubnetA) für ein anderes Konto (AccountB) freigeben und dann ein Flow-Protokollabonnement für SubnetA erstellen, wenn AccountB im freigegebenen Subnetz ECS-Aufgaben startet, erhält Ihr Abonnement Datenverkehrsprotokolle von ECS-Aufgaben, die von AccountB gestartet wurden. Die ECS-Felder für diese Protokolle werden aus Sicherheitsgründen jedoch nicht berechnet.
Wenn Sie Flow-Protokollabonnements mit ECS-Feldern auf der VPC-/Subnetz-Ressourcenebene erstellen, wird jeglicher Datenverkehr, der für Nicht-ECS-Netzwerkschnittstellen generiert wird, auch für Ihre Abonnements bereitgestellt. Die Werte für ECS-Felder sind „-“ für Nicht-ECS-IP-Datenverkehr. Sie haben beispielsweise ein Subnetz (subnet-000000) und erstellen für dieses Subnetz ein Flow-Protokollabonnement mit ECS-Feldern (fl-00000000). In subnet-000000 starten Sie eine EC2-Instance (i-0000000), die mit dem Internet verbunden ist und aktiv IP-Datenverkehr generiert. Sie starten auch eine ausgeführte ECS-Aufgabe (ECS-Task-1) im selben Subnetz. Da sowohl i-0000000 als auch ECS-Task-1 IP-Datenverkehr generieren, liefert Ihr Flow-Protokollabonnement fl-00000000 Datenverkehrsprotokolle für beide Entitäten. Allerdings enthält nur ECS-Task-1 die tatsächlichen ECS-Metadaten für die ECS-Felder, die Sie in Ihr logFormat aufgenommen haben. Für Datenverkehr in Bezug auf i-0000000 haben diese Felder den Wert „-“.
ecs-container-id und ecs-second-container-id sind in der Reihenfolge angeordnet, in der der VPC-Flow-Protokollservice sie aus dem ECS-Ereignis-Stream empfängt. Es kann nicht garantiert werden, dass sie sich in derselben Reihenfolge befinden, wie sie in der ECS-Konsole oder im DescribeTask-API-Aufruf angezeigt werden. Wenn ein Container in den Status ANGEHALTEN übergeht, während die Aufgabe noch ausgeführt wird, wird er möglicherweise weiterhin in Ihrem Protokoll angezeigt.
Die ECS-Metadaten und IP-Verkehrsprotokolle stammen aus zwei verschiedenen Quellen. Wir beginnen mit der Berechnung Ihres ECS-Datenverkehrs, sobald wir alle erforderlichen Informationen von den Upstream-Abhängigkeiten erhalten haben. Nachdem Sie eine neue Aufgabe gestartet haben, beginnen wir mit der Berechnung Ihrer ECS-Felder, 1) wenn wir den IP-Datenverkehr für die zugrunde liegende Netzwerkschnittstelle erhalten und 2) wenn wir das ECS-Ereignis erhalten, das die Metadaten für Ihre ECS-Aufgabe enthält, um anzuzeigen, dass die Aufgabe jetzt ausgeführt wird. Nachdem Sie eine Aufgabe beendet haben, beenden wir die Berechnung Ihrer ECS-Felder, 1) wenn wir keinen IP-Datenverkehr mehr für die zugrunde liegende Netzwerkschnittstelle oder IP-Datenverkehr mit einer Verzögerung von mehr als einem Tag erhalten und 2) wenn wir das ECS-Ereignis erhalten, das die Metadaten für Ihre ECS-Aufgabe enthält, um anzuzeigen, dass Ihre Aufgabe nicht mehr ausgeführt wird.
Es werden nur ECS-Aufgaben unterstützt, die im Netzwerkmodus awsvpc gestartet wurden.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Beispiele für Flow-Protokolldatensätze

Arbeiten mit Flow-Protokollen