本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 流量日誌記錄範例 以下是擷取特定流量的流量日誌記錄範例。 如需流量日誌記錄格式的資訊,請參閱 [流量日誌記錄](flow-log-records.md)。如需如何建立流程記錄的相關資訊,請參閱[使用流量日誌工作](working-with-flow-logs.md)。 **Topics** + [已接受和已拒絕的流量](#flow-log-example-accepted-rejected) + [無任何資料及略過的記錄](#flow-log-example-no-data) + [安全群組及網路 ACL 規則](#flow-log-example-security-groups) + [IPv6 流量](#flow-log-example-ipv6) + [TCP 標記序列](#flow-log-example-tcp-flag) + [透過區域 NAT 閘道的流量](#flow-log-example-nat) + [透過區域 NAT 閘道的流量](#flow-log-example-regional-nat) + [通過傳輸閘道的流量](#flow-log-example-tgw) + [服務名稱、流量路徑和流向](#flow-log-example-traffic-path) ## 已接受和已拒絕的流量 以下是預設流量日誌記錄的範例。 在此範例中,允許從 IP 位址 172.31.16.139 到私有 IP 位址為 172.31.16.21,ID 為 eni-1235b8ca123456789 且屬於帳戶 123456789010 之網路介面的 SSH 流量 (目的地連接埠 22、TCP 通訊協定)。 ``` 2 123456789010 eni-1235b8ca123456789 172.31.16.139 172.31.16.21 20641 22 6 20 4249 1418530010 1418530070 ACCEPT OK ``` 在本範例中,拒絕帳戶 123456789010 中網路介面 eni-1235b8ca123456789 的 RDP 流量(目標連接埠 3389,TCP 通訊協定)。 ``` 2 123456789010 eni-1235b8ca123456789 172.31.9.69 172.31.9.12 49761 3389 6 20 4249 1418530010 1418530070 REJECT OK ``` ## 無任何資料及略過的記錄 以下是預設流量日誌記錄的範例。 在此範例中,彙總時間間隔內沒有記錄任何資料。 ``` 2 123456789010 eni-1235b8ca123456789 - - - - - - - 1431280876 1431280934 - NODATA ``` VPC Flow Logs 在無法在彙總間隔期間擷取流量日誌資料時,會跳過記錄,因為超過內部容量。跳過的單個記錄可代表在彙總間隔期間內未對網路介面擷取的多個流程。 ``` 2 123456789010 eni-11111111aaaaaaaaa - - - - - - - 1431280876 1431280934 - SKIPDATA ``` **注意** 在彙總時間間隔內可能跳過一部分流量日誌記錄 (請參閱[可用的欄位](flow-log-records.md#flow-logs-fields)中的 *log-status*)。這可能是由於內部 AWS 容量限制或內部錯誤所造成。如果您使用 AWS Cost Explorer 來檢視 VPC 流程日誌費用,且在流程日誌彙總間隔期間略過某些流程日誌,則 中報告的流程日誌數目 AWS Cost Explorer 會高於 Amazon VPC 發佈的流程日誌數目。 ## 安全群組及網路 ACL 規則 如使用流量日誌診斷過於嚴苛或寬鬆的安全群組規則或網路 ACL 規則,請注意這些資源的狀態性。安全群組具有狀態,這表示針對允許流量的回應也會獲得允許,即使您安全群組中的規則不允許。相反的,網路 ACL 無狀態,因此針對允許流量的回應仍會受制於網路 ACL 規則。 例如,您從您的家用電腦(IP 地址為 203.0.113.12)對您的執行個體(網路介面的私有 IP 地址為 172.31.16.139)使用 **ping** 命令。您的安全群組傳入規則允許 ICMP 流量,但傳出規則不允許 ICMP 流量。因為安全群組有狀態,所以允許來自您執行個體的回應 ping。您的網路 ACL 允許傳入 ICMP 流量,但不允許傳出 ICMP 流量。因為網路 ACL 無狀態,回應 ping 會遭到卸除,因而不會觸達您的家用電腦。在預設的流量日誌中,這會顯示為兩筆流量日誌記錄: + 同時獲得網路 ACL 及安全群組允許,因此可觸達您執行個體之原始 ping 的 ACCEPT 記錄。 + 網路 ACL 拒絕之回應 ping 的 REJECT 記錄。 ``` 2 123456789010 eni-1235b8ca123456789 203.0.113.12 172.31.16.139 0 0 1 4 336 1432917027 1432917142 ACCEPT OK ``` ``` 2 123456789010 eni-1235b8ca123456789 172.31.16.139 203.0.113.12 0 0 1 4 336 1432917094 1432917142 REJECT OK ``` 若您的網路 ACL 允許傳出 ICMP 流量,則流量日誌會顯示兩個 ACCEPT 記錄 (其中一個為原始 ping,另一個則為回應 ping)。若您的安全群組拒絕傳入 ICMP 流量,則流量日誌會顯示單一 REJECT 記錄,因為流量未獲准能觸達您的執行個體。 ## IPv6 流量 以下是預設流量日誌記錄的範例。在此範例中,允許使用帳戶 123456789010 內從 IPv6 地址 2001:db8:1234:a100:8d6e:3477:df66:f105 至網路介面 eni-1235b8ca123456789 的 SSH 流量(連接埠 22)。 ``` 2 123456789010 eni-1235b8ca123456789 2001:db8:1234:a100:8d6e:3477:df66:f105 2001:db8:1234:a102:3304:8879:34cf:4071 34892 22 6 54 8855 1477913708 1477913820 ACCEPT OK ``` ## TCP 標記序列 本節所述的自訂流量日誌範例,可依以下順序擷取下列欄位。 ``` version vpc-id subnet-id instance-id interface-id account-id type srcaddr dstaddr srcport dstport pkt-srcaddr pkt-dstaddr protocol bytes packets start end action tcp-flags log-status ``` 本節範例中的 tcp-flags 欄位以流量日誌中的倒數第二個值表示。TCP 標記可協助您識別流量方向,例如哪部伺服器啟動了連線。 **注意** 如需有關 tcp-flags 選項的詳細資訊和每個 TCP 標記的說明,請參閱 [可用的欄位](flow-log-records.md#flow-logs-fields)。 在下列記錄中 (下午 7:47:55 開始,下午 7:48:53 結束),用戶端向在連接埠 5001 執行的伺服器啟動了兩條連線。用戶端伺服器收到來自用戶端不同來源連接埠(43416 和 43418)的兩個 SYN 標記 (2)。對每個 SYN 而言,SYN-ACK 是從伺服器傳送至對應連接埠的用戶端 (18)。 ``` 3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43416 5001 52.213.180.42 10.0.0.62 6 568 8 1566848875 1566848933 ACCEPT 2 OK 3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43416 10.0.0.62 52.213.180.42 6 376 7 1566848875 1566848933 ACCEPT 18 OK 3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43418 5001 52.213.180.42 10.0.0.62 6 100701 70 1566848875 1566848933 ACCEPT 2 OK 3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43418 10.0.0.62 52.213.180.42 6 632 12 1566848875 1566848933 ACCEPT 18 OK ``` 在第二個彙總時間間隔內,上個流程期間建立的其中一條連線現已關閉。伺服器針對 43418 連接埠的連線,向用戶端傳送了 FIN 旗標 (1)。用戶端隨後經由 43418 連接埠向伺服器回應了 FIN。 ``` 3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43418 10.0.0.62 52.213.180.42 6 63388 1219 1566848933 1566849113 ACCEPT 1 OK 3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43418 5001 52.213.180.42 10.0.0.62 6 23294588 15774 1566848933 1566849113 ACCEPT 1 OK ``` 針對在單一彙總時間間隔內開啟關閉的短暫連線 (例如數秒),標記可能設在同方向流量之流量日誌記錄的同一行中。在以下範例中,連線在同一彙總時間間隔內建立及結束。在第一行中,TCP 標記值是 3,指出曾有 SYN 和 FIN 訊息自用戶端傳送至伺服器。在第二行中,TCP 標記值是 19,指出曾有 SYN-ACK 和 FIN 訊息自伺服器傳送至用戶端。 ``` 3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43638 5001 52.213.180.42 10.0.0.62 6 1260 17 1566933133 1566933193 ACCEPT 3 OK 3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43638 10.0.0.62 52.213.180.42 6 967 14 1566933133 1566933193 ACCEPT 19 OK ``` ## 透過區域 NAT 閘道的流量 在此範例中,私有子網路中的執行個體會透過公有子網路中的區域 NAT 閘道存取網際網路。 ![透過區域 NAT 閘道存取網際網路](http://docs.aws.amazon.com/zh_tw/vpc/latest/userguide/images/flow-log-nat-gateway.png) 下列區域 NAT 閘道網路介面的自訂流程日誌會依下列順序擷取下列欄位。 ``` instance-id interface-id srcaddr dstaddr pkt-srcaddr pkt-dstaddr ``` 流程日誌顯示流量從執行個體 IP 地址 (10.0.1.5) 透過區域 NAT 閘道網路界面流向網際網路上的主機 (203.0.113.5)。區域 NAT 閘道網路介面是申請者管理的網路介面,因此流程日誌記錄會顯示 instance-id 欄位的「-」符號。下行顯示從來源執行個體到區域 NAT 閘道網路介面的流量。dstaddr 和 pkt-dstaddr 欄位的值不一樣。dstaddr 欄位會顯示區域 NAT 閘道網路界面的私有 IP 地址,而 pkt-dstaddr 欄位會顯示網際網路上主機的最終目的地 IP 地址。 ``` - eni-1235b8ca123456789 10.0.1.5 10.0.0.220 10.0.1.5 203.0.113.5 ``` 下兩行顯示從區域 NAT 閘道網路介面到網際網路上目標主機的流量,以及從主機到 NAT 閘道網路介面的回應流量。 ``` - eni-1235b8ca123456789 10.0.0.220 203.0.113.5 10.0.0.220 203.0.113.5 - eni-1235b8ca123456789 203.0.113.5 10.0.0.220 203.0.113.5 10.0.0.220 ``` 下行顯示從區域 NAT 閘道網路界面到來源執行個體的回應流量。srcaddr 和 pkt-srcaddr 欄位的值不一樣。srcaddr 欄位會顯示區域 NAT 閘道網路界面的私有 IP 地址,而 pkt-srcaddr 欄位會顯示網際網路上主機的 IP 地址。 ``` - eni-1235b8ca123456789 10.0.0.220 10.0.1.5 203.0.113.5 10.0.1.5 ``` 您使用上文中的同一欄位集,建立另一個自訂流量日誌。您為私有子網中的執行個體建立網路介面的流量日誌。在本案例中,instance-id 欄位會傳回與網路介面相關聯的執行個體 ID,而 dstaddr 和 pkt-dstaddr 欄位以及 srcaddr 和 pkt-srcaddr 欄位之間沒有任何差異。與區域 NAT 閘道的網路界面不同,此網路界面不是流量的中繼網路界面。 ``` i-01234567890123456 eni-1111aaaa2222bbbb3 10.0.1.5 203.0.113.5 10.0.1.5 203.0.113.5 #Traffic from the source instance to host on the internet i-01234567890123456 eni-1111aaaa2222bbbb3 203.0.113.5 10.0.1.5 203.0.113.5 10.0.1.5 #Response traffic from host on the internet to the source instance ``` ## 透過區域 NAT 閘道的流量 區域 NAT 閘道可以連接到不同可用區域的多個子網路。在此範例中,來自兩個不同可用區域的兩個私有子網路執行個體會透過相同的區域 NAT 閘道存取網際網路。下列流程日誌顯示透過區域 NAT 閘道從其中一個執行個體到網際網路的流量。 ![透過區域 NAT 閘道存取網際網路](http://docs.aws.amazon.com/zh_tw/vpc/latest/userguide/images/flow-log-regional-nat-gateway.png) 下列區域 NAT 閘道的自訂流程日誌會依下列順序擷取下列欄位。 ``` resource-id instance-id interface-id subnet-id srcaddr dstaddr pkt-srcaddr pkt-dstaddr ``` 流程日誌顯示流量從執行個體 IP 地址 (10.0.1.5) 透過區域 NAT 閘道流向網際網路上的主機 (203.0.113.5)。interface-id、 instance-id和 subnet-id 不適用於區域 NAT 閘道。因此,流程日誌記錄會顯示這些欄位的「-」符號。反之, resource-id 欄位會顯示區域 NAT 閘道的 ID。dstaddr 和 pkt-dstaddr 欄位會顯示網際網路上主機的最終目的地 IP 地址。 ``` nat-1234567890abcdef - - - 10.0.1.5 203.0.113.5 10.0.1.5 203.0.113.5 ``` 下兩行顯示從區域 NAT 閘道 (公有 IP 地址 107.22.182.139) 到網際網路上目標主機的流量,以及從主機到區域 NAT 閘道的回應流量。 ``` nat-1234567890abcdef - - - 107.22.182.139 203.0.113.5 107.22.182.139 203.0.113.5 nat-1234567890abcdef - - - 203.0.113.5 107.22.182.139 203.0.113.5 107.22.182.139 ``` 下行顯示從區域 NAT 閘道到來源執行個體的回應流量。srcaddr 和 pkt-srcaddr 欄位會顯示網際網路上主機的 IP 地址。 ``` nat-1234567890abcdef - - - 203.0.113.5 10.0.1.5 203.0.113.5 10.0.1.5 ``` 您使用上文中的同一欄位集,建立另一個自訂流量日誌。您為私有子網中的執行個體建立網路介面的流量日誌。在此情況下, instance-id 欄位會傳回與網路界面相關聯的執行個體 ID,且 resource-id為 '-'。dstaddr 和 pkt-dstaddr 欄位與 srcaddr和 pkt-srcaddr 欄位之間沒有差異。 ``` - i-01234567890123456 eni-1111aaaa2222bbbb3 subnet-aaaaaaaa012345678 10.0.1.5 203.0.113.5 10.0.1.5 203.0.113.5 #Traffic from the source instance to host on the internet - i-01234567890123456 eni-1111aaaa2222bbbb3 subnet-aaaaaaaa012345678 203.0.113.5 10.0.1.5 203.0.113.5 10.0.1.5 #Response traffic from host on the internet to the source instance ``` ## 通過傳輸閘道的流量 在本範例中,VPC A 中的用戶端透過傳輸閘道連線至 VPC B 的 Web 伺服器。用戶端和伺服器位於不同的可用區域。流量使用一個彈性網路介面 ID (在此範例中,假設 ID 為 eni-11111111111111111) 到達 VPC B 中的伺服器,並使用另一個 (例如 eni-22222222222222222) 離開 VPC B。 ![通過傳輸閘道的流量](http://docs.aws.amazon.com/zh_tw/vpc/latest/userguide/images/flow-log-tgw.png) 您使用以下格式建立 VPC B 的自訂流量日誌。 ``` version interface-id account-id vpc-id subnet-id instance-id srcaddr dstaddr srcport dstport protocol tcp-flags type pkt-srcaddr pkt-dstaddr action log-status ``` 下列數行流量日誌記錄示範 Web 伺服器網路介面上的流量。第一行是來自用戶端的請求流量,而最後一行是來自 Web 伺服器的回應流量。 ``` 3 eni-33333333333333333 123456789010 vpc-abcdefab012345678 subnet-22222222bbbbbbbbb i-01234567890123456 10.20.33.164 10.40.2.236 39812 80 6 3 IPv4 10.20.33.164 10.40.2.236 ACCEPT OK ... 3 eni-33333333333333333 123456789010 vpc-abcdefab012345678 subnet-22222222bbbbbbbbb i-01234567890123456 10.40.2.236 10.20.33.164 80 39812 6 19 IPv4 10.40.2.236 10.20.33.164 ACCEPT OK ``` 下行是子網 subnet-11111111aaaaaaaaa 中,傳輸閘道申請者管理網路介面在 eni-11111111111111111 上的請求流量。因此,流量日誌記錄在 instance-id 欄位會顯示 '-' 符號。srcaddr 欄位顯示傳輸閘道網路介面的私有 IP 地址,而 pkt-srcaddr 欄位則顯示 VPC A 中用戶端的 IP 地址。 ``` 3 eni-11111111111111111 123456789010 vpc-abcdefab012345678 subnet-11111111aaaaaaaaa - 10.40.1.175 10.40.2.236 39812 80 6 3 IPv4 10.20.33.164 10.40.2.236 ACCEPT OK ``` 下行是子網 subnet-22222222bbbbbbbbb 中,傳輸閘道申請者管理網路介面在 eni-22222222222222222 上的回應流量。dstaddr 欄位顯示傳輸閘道網路介面的私有 IP 地址,而 pkt-dstaddr 欄位則顯示 VPC A 中用戶端的 IP 地址。 ``` 3 eni-22222222222222222 123456789010 vpc-abcdefab012345678 subnet-22222222bbbbbbbbb - 10.40.2.236 10.40.2.31 80 39812 6 19 IPv4 10.40.2.236 10.20.33.164 ACCEPT OK ``` ## 服務名稱、流量路徑和流向 以下是自訂流量日誌記錄的欄位範例。 ``` version srcaddr dstaddr srcport dstport protocol start end type packets bytes account-id vpc-id subnet-id instance-id interface-id region az-id sublocation-type sublocation-id action tcp-flags pkt-srcaddr pkt-dstaddr pkt-src-aws-service pkt-dst-aws-service traffic-path flow-direction log-status ``` 在下列範例中,版本為 5,因為記錄包含版本 5 欄位。一個 EC2 執行個體呼叫 Amazon S3 服務。會在執行個體的網路介面上擷取流量日誌。第一筆記錄的流動方向為 ingress,第二個記錄的流動方向為 egress。對於 egress 記錄,traffic-path 為 8,表示流量通過網際網路閘道。此 traffic-path 欄位不支援 ingress 流量。當 pkt-srcaddr 或 pkt-dstaddr 是公用 IP 地址時,會顯示服務名稱。 ``` 5 52.95.128.179 10.0.0.71 80 34210 6 1616729292 1616729349 IPv4 14 15044 123456789012 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-0c50d5961bcb2d47b eni-1235b8ca123456789 ap-southeast-2 apse2-az3 - - ACCEPT 19 52.95.128.179 10.0.0.71 S3 - - ingress OK 5 10.0.0.71 52.95.128.179 34210 80 6 1616729292 1616729349 IPv4 7 471 123456789012 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-0c50d5961bcb2d47b eni-1235b8ca123456789 ap-southeast-2 apse2-az3 - - ACCEPT 3 10.0.0.71 52.95.128.179 - S3 8 egress OK ```