Limitazioni del log di flusso - Amazon Virtual Private Cloud

Limitazioni del log di flusso

Per utilizzare i log di flusso, occorre considerare le seguenti limitazioni:

  • Dopo aver creato un log di flusso, i dati del log di flusso non verranno visualizzati finché non vi sarà traffico attivo per l’interfaccia di rete, la sottorete o il VPC selezionato.

  • Non è possibile abilitare log di flusso per VPC che sono collegati in peering al VPC a meno che il VPC di peering non si trovi nel proprio account.

  • Dopo aver creato un log di flusso, non è possibile modificarne la configurazione o cambiarne il formato del record. Ad esempio, non è possibile associare un ruolo IAM diverso al log di flusso o aggiungere o rimuovere campi nel record del log di flusso. Invece, è possibile eliminare il log di flusso e crearne uno nuovo con la configurazione richiesta.

  • Se l’interfaccia di rete dispone di più indirizzi IPv4 e il traffico viene inviato a un indirizzo IPv4 privato secondario, il log di flusso visualizza l’indirizzo IPv4 privato principale nel campo dstaddr. Per acquisire l’indirizzo IP di destinazione originale, crea un log di flusso con il campo pkt-dstaddr.

  • Se il traffico viene inviato a un’interfaccia di rete e la destinazione non è uno degli indirizzi IP dell’interfaccia di rete, il log di flusso visualizza l’indirizzo IPv4 privato principale nel campo dstaddr. Per acquisire l’indirizzo IP di destinazione originale, crea un log di flusso con il campo pkt-dstaddr.

  • Se il traffico proviene da un’interfaccia di rete e l’origine non è uno degli indirizzi IP dell’interfaccia di rete, quando il record del log è per un flusso in uscita, il log di flusso visualizza l’indirizzo IPv4 privato principale nel campo srcaddr. Per acquisire l’indirizzo IP di origine originale, crea un log di flusso con il campo pkt-srcaddr. Se il record del log riguarda un flusso di ingresso nell’interfaccia di rete, l’IP privato primario dell’interfaccia di rete non verrà visualizzato nel campo srcaddr.

  • Quando l’interfaccia di rete viene collegata a un’istanza basata su Nitro, l’intervallo di aggregazione è sempre pari o inferiore a 1 minuto, a prescindere dall’intervallo di aggregazione massimo specificato.

  • Per i campi pkt-srcaddr e pkt-dstaddr, se la conservazione dell’indirizzo IP del client è abilitata per il livello intermedio, questo campo può mostrare l’IP del client conservato anziché l’indirizzo IP del livello intermedio.

  • Per il campo traffic-path, il valore è lo stesso di quello per i flussi che attraversano le risorse nello stesso VPC e i flussi che attraversano un gateway locale Outpost.

  • Alcuni record del log di flusso sono stati ignorati durante l’intervallo di aggregazione (consulta log-status in Campi disponibili). Ciò può essere causato da un vincolo di capacità AWS interna o da un errore interno. Se utilizzi AWS Cost Explorer per visualizzare i costi dei log di flusso VPC e alcuni log di flusso vengono ignorati durante l’intervallo di aggregazione dei log, il numero di log di flusso riportato in AWS Cost Explorer sarà superiore al numero di quelli pubblicati da Amazon VPC.

  • Se utilizzi Blocco dell’accesso pubblico (BPA) VPC:

    • I log di flusso per BPA VPC non includono i record ignorati.

    • I log di flusso per BPA VPC non includono bytes anche se includi il campo bytes nel log di flusso.

I log di flusso non acquisiscono tutto il traffico IP. I seguenti tipi di traffico non vengono registrati:

  • Traffico generato da istanze quando contattano il server Amazon DNS. Se si utilizza il proprio server DNS, tutto il traffico al server DNS viene registrato.

  • Traffico generato da un’istanza Windows per attivazione licenza Windows Amazon.

  • Traffico da e per 169.254.169.254 per metadati istanza.

  • Traffico da e per 169.254.169.123 per Amazon Time Sync Service.

  • Traffico DHCP.

  • Traffico di origine con mirroring. Verrà visualizzato solo il traffico di destinazione con mirroring.

  • Traffico all’indirizzo IP riservato per il router VPC predefinito.

  • Traffico tra un’interfaccia di rete endpoint e un’interfaccia di rete Network Load Balancer.

  • Traffico ARP (Address Resolution Protocol).

Limitazioni specifiche dei campi ECS disponibili nella versione 7:

  • I campi ECS non vengono calcolati se le attività ECS sottostanti non appartengono al proprietario dell’abbonamento al log di flusso. Ad esempio, se condividi una sottorete (SubnetA) con un altro account (AccountB) e poi crei un abbonamento al log di flusso per SubnetA, se AccountB avvia attività ECS nella sottorete condivisa, l’abbonamento riceverà i log del traffico dalle attività ECS avviate da AccountB, ma i campi ECS per questi log non verranno calcolati a causa di problemi di sicurezza.

  • Se crei abbonamenti ai log di flusso con campi ECS a livello di risorsa VPC/sottorete, tutto il traffico generato per le interfacce di rete non ECS verrà distribuito anche per i tuoi abbonamenti. I valori per i campi ECS saranno “-” per il traffico IP non ECS. Ad esempio, disponi di una sottorete (subnet-000000) e crei un abbonamento al log di flusso per questa sottorete con campi ECS (fl-00000000). In subnet-000000, avvii un’istanza EC2 (i-0000000) connessa a Internet e che genera attivamente traffico IP. Puoi anche avviare un’attività ECS (ECS-Task-1) in esecuzione nella stessa sottorete. Poiché sia i-0000000 che ECS-Task-1 generano traffico IP, l’abbonamento al log di flusso fl-00000000 fornirà i log di traffico per entrambe le entità. Tuttavia, solo ECS-Task-1 disporrà dei metadati ECS effettivi per i campi ECS che hai incluso in logFormat. Per il traffico correlato a i-0000000, questi campi avranno il valore di “-”.

  • ecs-container-id e ecs-second-container-id vengono ordinati quando il servizio Log di flusso VPC li riceve dal flusso di eventi ECS. Non è garantito che siano nello stesso ordine in cui vengono visualizzati sulla console ECS o nella chiamata all’API DescribeTask. Se un container entra nello stato STOPPED mentre l’attività è ancora in esecuzione, potrebbe continuare a essere visualizzato nel log.

  • I metadati ECS e i log del traffico IP provengono da due origini diverse. Iniziamo a calcolare il traffico ECS non appena otteniamo tutte le informazioni richieste dalle dipendenze upstream. Dopo aver avviato una nuova attività, iniziamo a calcolare i campi ECS 1) quando riceviamo il traffico IP per l’interfaccia di rete sottostante e 2) quando riceviamo l’evento ECS che contiene i metadati dell’attività ECS per indicare che l’attività è ora in esecuzione. Dopo aver interrotto un’attività, arrestiamo il calcolo dei campi ECS 1) quando non riceviamo più il traffico IP per l’interfaccia di rete sottostante o riceviamo il traffico IP con un ritardo di più di un giorno e 2) quando riceviamo l’evento ECS che contiene i metadati dell’attività ECS per indicare che l’attività non è più in esecuzione.

  • Sono supportate solo le attività ECS avviate in modalità di rete awsvpc.