Documentación de Oracle Cloud Infrastructure

Detalles de los logs de flujo de VCN

Detalles de registro para logs de flujo de VCN.

Recursos

  • subnet

Categorías de log

Valor de API (ID): Consola (nombre mostrado) Descripción
all Logs de flujo (todos los registros) Incluye tanto registros de aceptación como de rechazo en logs de flujo de VCN.

Disponibilidad

Los logs de flujo de VCN están disponibles en todas las regiones de los dominios comerciales. Consulte la sección Oracle Cloud Infrastructure Government Cloud para obtener información sobre la disponibilidad en el dominio de Government Cloud.

Comentarios

Cada instancia de una VCN tiene una o más tarjetas de interfaz de red virtual (VNIC). El servicio Networking utiliza reglas de seguridad para determinar qué tráfico se permite a través de una VNIC determinada. Las reglas de seguridad se pueden definir mediante listas de seguridad o grupos de seguridad de red.

Para ayudar a solucionar problemas de tráfico de entrada y salida de las VNIC, puede configurar logs de flujo de VCN. Los logs de flujo registran detalles sobre el tráfico que se ha aceptado o rechazado en función de las reglas de seguridad definidas para la VCN.

Puede activar los logs de flujo de una subred determinada, lo que significa que el tráfico se registra para todas las VNIC existentes y futuras de esa subred. Cada log de flujo contiene información sobre el tráfico de una única VNIC.

Nota

El tráfico a los servicios principales de Oracle Infrastructure alojados en direcciones IP locales de enlace (169.254.0.0/16) no aparece en los logs de flujo. Esto incluye elementos como el DNS de VCN, el DHCP y el almacenamiento de bloques. También se excluye el tráfico de gestión de red, como ARP.

Para obtener más información sobre el uso de logs de flujo de VCN, consulte Logs de flujo de VCN.

Contenido de un log de flujo de VCN

Un registro de log de flujo contiene los siguientes campos:

Propiedad Descripción Valor de ejemplo
data.action

Tipo de registro. Posibles valores:

  • ACCEPT: las listas de seguridad han aceptado el tráfico de este registro.
  • REJECT: las listas de seguridad han rechazado el tráfico de este registro.
 ACCEPT
data.bytesOut Número de bytes registrados en la ventana de captura. 17114
data.destinationAddress

Dirección IP del destino, ya sea en notación de puntos IPv4 o de dos puntos IPv6.

Nota: Cuando se encuentra tráfico IPv6 en la red virtual en la nube de un cliente, se genera una entrada de log de flujo con valores de dirección IPV6, en lugar de la ubicación actual de los valores IPV4. Las direcciones de origen y destino pueden ser IPv4 o IPv6, en función de la configuración y el tráfico presentes en la VCN del cliente. Estos datos solo están disponibles en regiones en las que la compatibilidad con IPv6 está disponible y configurada por el cliente.

10.0.99.4

8222:91f5:88bb:2bf0:94a:e71b:65d3:4bd7
data.destinationPort Número de puerto IANA del destino. 36266
data.endTime Hora de finalización de la ventana de captura en segundos epoch de UNIX. 1598917970
data.flowid Hash de campos clave (direcciones de origen y destino, puertos y protocolo). a6a73770
data.packets Número de paquetes registrados en la ventana de captura. 250
data.protocol Número de protocolo IANA. 6
data.protocolName Nombre IANA para el protocolo. TCP
data.sourceAddress

Dirección IP del origen, ya sea en notación de puntos IPv4 o de dos puntos IPv6.

Consulte la nota en la descripción de data.destinationAddress.

123.0.0.1

1fde:9f1c:2433:4038:68fc:e0b:73f3:3b3b
data.sourcePort Número de puerto IANA del origen. 443
data.startTime

Hora de inicio de la ventana de captura en segundos epoch de Unix.

El tiempo epoch de UNIX utiliza un punto fijo en el pasado para hacer referencia a la hora actual. Esto significa que cada segundo de la hora actual puede expresarse como un número, como 1576090259 (que es el miércoles, 11 de diciembre de 2019 6:50:59 PM GMT).

Cada registro de log de flujo registra un intervalo de un minuto (de 0 a 59 segundos) del flujo de datos, utilizando las horas de inicio y finalización epoch para indicar el tiempo que los datos aparecen durante el intervalo de 60 segundos para ese registro. Consideremos las entradas de tiempo epoch que aparecerían para el flujo de datos durante un intervalo fijo de 140 segundos. A los cinco segundos de un minuto determinado, abre una conexión con el host y empieza a enviar datos continuamente a través de esa conexión durante los siguientes 140 segundos (< tres minutos, tres registros).

Las horas de inicio y finalización epoch aparecen en el log de acuerdo con lo siguiente:

  • El primer registro mostraría una hora de inicio epoch a los cinco segundos de la marca de minuto y una hora de finalización epoch al final de ese minuto (54 segundos más tarde).
  • El siguiente registro mostraría una hora de inicio epoch en la marca de cero segundos y una hora de finalización epoch al final de ese minuto (59 segundos más tarde). Asume que ha enviado los datos de forma continua. Si la transmisión hubiera sido intermitente, las horas epoch reflejarían el primer y el último segundo flujo de datos que se produjo durante ese intervalo de 60 segundos (el tiempo absoluto).
  • El registro final mostraría una hora de inicio epoch en la marca cero segundos y una hora de finalización epoch durante 20 segundos más tarde (ya que la vida total del flujo era solo de 140 segundos o de 20 segundos en el tercer intervalo de registro de un minuto registrado por cada registro).
 1598917969
data.status

Estado de la ventana de captura de datos. Posibles valores:

  • OK: log de paquetes normal.
  • NODATA: no se ha registrado ningún tráfico durante la ventana de captura, en cuyo caso, solo se definen los siguientes campos de datos: endTime, startTime, status y version. Los campos de datos restantes se definen como nulos: action, bytesOut, destinationAddress, destinationPort, flowid, packets, protocol, protocolName, sourceAddress y sourcePort.
  • SKIPDATA: no se ha registrado tráfico durante la ventana de captura debido a errores del sistema o incidencias de capacidad, en cuyo caso, solo se definen los campos de datos endTime, startTime, status y version, y los campos de datos restantes se definen como nulos. El log de flujo puede contener otros registros para el tráfico aceptado o rechazado en la ventana de captura.
 OK
data.version Versión del esquema de registro de log de flujo. 2
datetime Registro de hora en milisegundos. Igual que el campo oracle.ingestedtime, pero en milisegundos. 1598917955000
id UUID aleatorio, único para cada entrada de log. abcdabcd-abcd-abcd-abcd-abcdabcdabcd
oracle.compartmentid OCID del compartimento en el que está el grupo de logs. ocid1.compartment.oc1.<region-id>.<unique-id>
oracle.ingestedtime Hora a la que se ingirió el log mediante el registro de OCI. 2020-08-31T23:53:54Z
oracle.loggroupid OCID del grupo de logs. ocid1.loggroup.oc1.<region-id>.<unique-id>
oracle.logid OCID del log. ocid1.log.oc1.<region-id>.<unique-id>
oracle.tenantid OCID del arrendatario. ocid1.tenancy.oc1..<region-id>.<unique-id>
oracle.vniccompartmentocid OCID del compartimento al que pertenece la VNIC. ocid1.compartment.oc1..<region-id>.<unique-id>
oracle.vnicocid OCID de la VNIC. ocid1.vnic.oc1.<region-id>.<unique-id>
oracle.vnicsubnetocid OCID de la subred a la que pertenece la VNIC. ocid1.subnet.oc1.<region-id>.<unique-id>
specversion Versión de esquema del registro de OCI. 1.0
time Igual que startTime. 2020-08-31T23:52:35Z
type Categoría de log: DataEvent, QualityEvent.NoData o QualityEvent.SkipData. com.oraclecloud.vcn.flowlogs.DataEvent

Limitaciones y consideraciones

  • Es posible que no se registre algún tráfico durante una ventana de captura debido a incidencias de capacidad o errores del sistema. En estos casos, se registra el estado de log NODATA o SKIPDATA.
  • Algunos servicios gestionan las VNIC. Por ejemplo, el servicio de equilibrio de carga gestiona las VNIC asociadas a los equilibradores de carga. Se capturan los logs de flujo de las VNIC gestionadas y se identifican mediante el identificador de VNIC. Sin embargo, los logs de flujo no incluyen un campo para indicar a qué servicio pertenecen esas VNIC.
  • Para el tráfico a través de la IP pública de una instancia informática, los logs de flujo registran la IP privada correspondiente.

Uso de CLI

Consulte Ejemplo de logs de flujos de VCN para ver comandos de ejemplo.