Oracle Cloud Infrastructure-Dokumentation

Details zu VCN-Flowlogs

Loggingdetails für VCN-Flowlogs.

Ressourcen

  • Virtuelles Cloud-Netzwerk (VCN)

  • Subnetz

  • VNIC

Logkategorien

API-Wert (ID): Konsole (Anzeigename) Beschreibung
alle Flowlogs (alle Datensätze) Traffic wird für vorhandene und zukünftige VNICs im Subnetz protokolliert.
Vcn Ablauflogs - vcn-Datensätze Traffic wird für vorhandene und zukünftige VNICs in allen Subnetzen im VCN protokolliert.
Subnetz Flowlogs - Subnetzdatensätze Traffic wird für vorhandene und zukünftige VNICs im Subnetz protokolliert. Ähnelt der Kategorie all, die für vorhandene und zukünftige VNICs im Subnetz protokolliert wird.
VNICs Flowlogs - vnic-Datensätze Traffic wird für bestimmte VNICs in einem VCN protokolliert.

Verfügbarkeit

VCN-Flowlogs sind in allen Regionen der kommerziellen Realms verfügbar. Im Abschnitt Oracle Cloud Infrastructure Government Cloud finden Sie Informationen zur Verfügbarkeit in der Government Cloud-Realm.

Kommentare

Jede Instanz in einem VCN enthält mindestens eine virtuelle Netzwerkkarte (VNIC). Der Networking-Service bestimmt mithilfe von Sicherheitsregeln, welcher Traffic über eine bestimmte VNIC zulässig ist. Sicherheitsregeln können mit Sicherheitslisten oder Netzwerksicherheitsgruppen definiert werden.

Um Fehler beim Traffic in Ihre und aus Ihren VNICs zu beheben, können Sie VCN-Flowlogs einrichten. Flowlogs erfassen Details zu Traffic, der basierend auf den für Ihr VCN eingerichteten Sicherheitsregeln akzeptiert oder abgelehnt wurde.

Sie können Flowlogs für ein bestimmtes Subnetz aktivieren, d.h., dass Traffic für alle vorhandenen und zukünftigen VNICs in diesem Subnetz geloggt wird. Jedes Flowlog enthält Informationen zum Traffic für eine einzelne VNIC.

Hinweis

Bestimmter Traffic zu zentralen Oracle Infrastructure-Services, die auf linklokalen IP-Adressen (169.254.0.0/16) gehostet werden, wird in Flowlogs nicht angezeigt. Dazu gehören Elemente wie VCN-DNS, DHCP und Blockspeicher. Netzwerkmanagementtraffic wie ARP wird ebenfalls nicht angezeigt.

Weitere Informationen zur Verwendung von VCN-Flowlogs finden Sie unter VCN-Flowlogs.

Inhalt eines VCN-Flowlogs

Ein Flowlogdatensatz enthält die folgenden Felder:

Eigenschaft Beschreibung Beispielwert
data.action

Datensatztyp. Mögliche Werte:

  • ACCEPT: Der Traffic dieses Datensatzes wurde von den Sicherheitslisten akzeptiert.
  • REJECT: Der Traffic dieses Datensatzes wurde von den Sicherheitslisten abgelehnt.
 ACCEPT
data.bytesOut Anzahl der im Erfassungsfenster aufgezeichneten Byte. 17114
data.destinationAddress

IP-Adresse des Ziels, entweder in der IPv4-Punkt- oder in der IPv6-Doppelpunktnotation.

Hinweis: Wenn im virtuellen Cloud-Netzwerk eines Kunden IPv6-Traffic auftritt, wird dort, wo sonst die IPv4-Werte stehen, ein Flowlogeintrag mit IPv6-Adresswerten generiert. Die Quell- und Zieladressen können entweder IPv4 oder IPv6 sein, je nach Konfiguration und Traffic im VCN des Kunden. Diese Daten sind nur in Regionen verfügbar, in denen IPv6 unterstützt und vom Kunden konfiguriert wird.

10.0.99.4

8222:91f5:88bb:2bf0:94a:e71b:65d3:4bd7
data.destinationPort IANA-Portnummer des Ziels. 36266
data.endTime Endzeit des Erfassungsfensters in Sekunden seit der UNIX-Epoche. 1598917970
data.flowid Hashwert der Schlüsselfelder (Quell- und Zieladressen, Ports und Protokoll). a6a73770
data.packets Anzahl der im Erfassungsfenster aufgezeichneten Pakete. 250
data.protocol IANA-Protokollnummer. 6
data.protocolName IANA-Name für das Protokoll. TCP
data.sourceAddress

IP-Adresse der Quelle, entweder in der IPv4-Punkt- oder in der IPv6-Doppelpunktnotation.

Siehe Hinweis in der Beschreibung zu data.destinationAddress.

123.0.0.1

1fde:9f1c:2433:4038:68fc:e0b:73f3:3b3b
data.sourcePort IANA-Portnummer der Quelle. 443
data.startTime

Startzeit des Erfassungsfensters in Sekunden seit der Unix-Epoche.

Bei der UNIX-Zeit wird ein fester Punkt in der Vergangenheit verwendet, um die aktuelle Zeit zu referenzieren. Jede Sekunde der aktuellen Zeit kann als Zahl ausgedrückt werden, z. B. 1576090259 (Mittwoch, 11. Dezember 2019, 6:50:59 Uhr GMT).

Jeder Flowlogdatensatz zeichnet ein Ein-Minuten-Intervall (0 bis 59 Sekunden) des Datenflusses auf. Dabei werden die Start- und Endzeiten der Epoche verwendet, um die Zeit anzugeben, zu der die Daten während des 60-Sekunden-Intervalls für diesen Datensatz angezeigt werden. Betrachten wir die Epochenzeiteinträge, die während eines festen Intervalls von 140 Sekunden für den Datenfluss angezeigt würden. Fünf Sekunden nach einer bestimmten Minute öffnen Sie eine Verbindung zum Host und beginnen, für die nächsten 140 Sekunden kontinuierlich Daten über diese Verbindung zu senden (< drei Minuten, drei Datensätze).

Die Start- und Endzeiten der Epoche würden im Log wie folgt angezeigt:

  • Der erste Datensatz würde eine Epochenstartzeit in Sekunde fünf nach der Minutenmarke und eine Epochenendzeit am Ende dieser Minute (54 Sekunden später) anzeigen.
  • Der nächste Datensatz würde eine Epochenstartzeit bei der Null-Sekunden-Marke und eine Epochenendzeit am Ende dieser Minute (59 Sekunden später) anzeigen. Dabei wird davon ausgegangen, dass Sie die Daten kontinuierlich gesendet haben. Wäre die Übertragung intermittierend gewesen, würden die Epochenzeiten den ersten und letzten zweiten Datenfluss reflektieren, der während dieses 60-Sekunden-Intervalls (die absolute Zeit) stattfand.
  • Der endgültige Datensatz würde eine Epochenstartzeit bei der Null-Sekunden-Marke und eine Epochenendzeit 20 Sekunden später anzeigen (da die gesamte Flusslebensdauer nur 140 Sekunden betrug, oder 20 Sekunden im dritten einminütigen Loggingintervall, das von jedem Datensatz aufgezeichnet wurde).
 1598917969
data.status

Status des Datenerfassungsfensters. Mögliche Werte:

  • OK: Normales Paketlog.
  • NODATA: Im Erfassungsfenster wurde kein Traffic erfasst. In diesem Fall werden nur die folgenden Datenfelder festgelegt: endTime, startTime, status und version. Die übrigen Datenfelder werden auf Null gesetzt: action, bytesOut, destinationAddress, destinationPort, flowid, packets, protocol, protocolName, sourceAddress und sourcePort.
  • SKIPDATA: Ein Teil des Traffics wurde aufgrund von Systemfehlern oder Kapazitätsproblemen im Erfassungsfenster nicht geloggt. In diesem Fall werden nur die Datenfelder endTime, startTime, status und version festgelegt. Die übrigen Datenfelder werden auf Null gesetzt. Das Flowlog kann weitere Datensätze für akzeptierten oder abgelehnten Traffic im Erfassungsfenster enthalten.
 OK
data.version Version des Flowlog-Datensatzschemas. 2
datetime Zeitstempel in Millisekunden. Entspricht dem Feld "oracle.ingestedtime", jedoch in Millisekunden. 1598917955000
id Zufällige UUID, die für jeden Logeintrag eindeutig ist. abcdabcd-abcd-abcd-abcd-abcdabcdabcd
oracle.compartmentid OCID des Compartments, in dem sich die Loggruppe befindet. ocid1.compartment.oc1.<region-id>.<unique-id>
oracle.ingestedtime Zeit, zu der das Log von OCI Logging aufgenommen wurde. 2020-08-31T23:53:54Z
oracle.loggroupid OCID der Loggruppe. ocid1.loggroup.oc1.<region-id>.<unique-id>
oracle.logid OCID des Logs. ocid1.log.oc1.<region-id>.<unique-id>
oracle.tenantid OCID des Mandanten. ocid1.tenancy.oc1..<region-id>.<unique-id>
oracle.vniccompartmentocid OCID des Compartments, zu dem die VNIC gehört. ocid1.compartment.oc1..<region-id>.<unique-id>
oracle.vnicocid OCID der VNIC. ocid1.vnic.oc1.<region-id>.<unique-id>
oracle.vnicsubnetocid OCID des Subnetzes, zu dem die VNIC gehört. ocid1.subnet.oc1.<region-id>.<unique-id>
specversion Version des OCI Logging-Schemas. 1.0
time Entspricht: startTime. 2020-08-31T23:52:35Z
type Logkategorie: DataEvent, QualityEvent.NoData oder QualityEvent.SkipData. com.oraclecloud.vcn.flowlogs.DataEvent

Einschränkungen und Überlegungen

  • Aufgrund von Kapazitätsproblemen oder Systemfehlern kann es vorkommen, dass ein Teil des Traffics während eines Erfassungsfensters nicht geloggt wird. In solchen Fällen wird der NODATA- oder SKIPDATA-Logstatus aufgezeichnet.
  • Einige Services verwalten VNICs. Beispiel: Der Load Balancing-Service verwaltet an Load Balancer angehängte VNICs. Flowlogs für verwaltete VNICs werden erfasst und anhand der VNIC-ID identifiziert. Flowlogs enthalten jedoch kein Feld, um anzugeben, zu welchem Service solche VNICs gehören.
  • Bei Datenverkehr über die öffentliche IP einer Compute-Instanz zeichnet Flowlogs die entsprechende private IP auf.
  • Flowlogs können in der Subnetzressource mit der Kategorie alle oder einem Subnetz aktiviert werden. In den unter diesen Kategorien erfassten Abläufen sind keine Unterschiede vorhanden.

Über die CLI

Beispielbefehle finden Sie unter Beispiel für VCN-Flowlogs.