Detalles de los logs de flujo de VCN
Detalles de registro para logs de flujo de VCN.
Recursos
-
subnet
Categorías de log
Valor de API (ID): | Consola (nombre mostrado) | Descripción |
---|---|---|
all | Logs de flujo (todos los registros) | Incluye tanto registros de aceptación como de rechazo en logs de flujo de VCN. |
Disponibilidad
Los logs de flujo de VCN están disponibles en todas las regiones de los dominios comerciales. Consulte la sección Oracle Cloud Infrastructure Government Cloud para obtener información sobre la disponibilidad en el dominio de Government Cloud.
Comentarios
Cada instancia de una VCN tiene una o más tarjetas de interfaz de red virtual (VNIC). El servicio Networking utiliza reglas de seguridad para determinar qué tráfico se permite a través de una VNIC determinada. Las reglas de seguridad se pueden definir mediante listas de seguridad o grupos de seguridad de red.
Para ayudar a solucionar problemas de tráfico de entrada y salida de las VNIC, puede configurar logs de flujo de VCN. Los logs de flujo registran detalles sobre el tráfico que se ha aceptado o rechazado en función de las reglas de seguridad definidas para la VCN.
Puede activar los logs de flujo de una subred determinada, lo que significa que el tráfico se registra para todas las VNIC existentes y futuras de esa subred. Cada log de flujo contiene información sobre el tráfico de una única VNIC.
El tráfico a los servicios principales de Oracle Infrastructure alojados en direcciones IP locales de enlace (169.254.0.0/16) no aparece en los logs de flujo. Esto incluye elementos como el DNS de VCN, el DHCP y el almacenamiento de bloques. También se excluye el tráfico de gestión de red, como ARP.
Para obtener más información sobre el uso de logs de flujo de VCN, consulte Logs de flujo de VCN.
Contenido de un log de flujo de VCN
Un registro de log de flujo contiene los siguientes campos:
Propiedad | Descripción | Valor de ejemplo |
---|---|---|
data.action |
Tipo de registro. Posibles valores:
|
ACCEPT |
data.bytesOut | Número de bytes registrados en la ventana de captura. | 17114 |
data.destinationAddress |
Dirección IP del destino, ya sea en notación de puntos IPv4 o de dos puntos IPv6. Nota: Cuando se encuentra tráfico IPv6 en la red virtual en la nube de un cliente, se genera una entrada de log de flujo con valores de dirección IPV6, en lugar de la ubicación actual de los valores IPV4. Las direcciones de origen y destino pueden ser IPv4 o IPv6, en función de la configuración y el tráfico presentes en la VCN del cliente. Estos datos solo están disponibles en regiones en las que la compatibilidad con IPv6 está disponible y configurada por el cliente. |
10.0.99.4 8222:91f5:88bb:2bf0:94a:e71b:65d3:4bd7 |
data.destinationPort | Número de puerto IANA del destino. | 36266 |
data.endTime | Hora de finalización de la ventana de captura en segundos epoch de UNIX. | 1598917970 |
data.flowid | Hash de campos clave (direcciones de origen y destino, puertos y protocolo). | a6a73770 |
data.packets | Número de paquetes registrados en la ventana de captura. | 250 |
data.protocol | Número de protocolo IANA. | 6 |
data.protocolName | Nombre IANA para el protocolo. | TCP |
data.sourceAddress |
Dirección IP del origen, ya sea en notación de puntos IPv4 o de dos puntos IPv6. Consulte la nota en la descripción de data.destinationAddress. |
123.0.0.1 1fde:9f1c:2433:4038:68fc:e0b:73f3:3b3b |
data.sourcePort | Número de puerto IANA del origen. | 443 |
data.startTime |
Hora de inicio de la ventana de captura en segundos epoch de Unix. El tiempo epoch de UNIX utiliza un punto fijo en el pasado para hacer referencia a la hora actual. Esto significa que cada segundo de la hora actual puede expresarse como un número, como 1576090259 (que es el miércoles, 11 de diciembre de 2019 6:50:59 PM GMT). Cada registro de log de flujo registra un intervalo de un minuto (de 0 a 59 segundos) del flujo de datos, utilizando las horas de inicio y finalización epoch para indicar el tiempo que los datos aparecen durante el intervalo de 60 segundos para ese registro. Consideremos las entradas de tiempo epoch que aparecerían para el flujo de datos durante un intervalo fijo de 140 segundos. A los cinco segundos de un minuto determinado, abre una conexión con el host y empieza a enviar datos continuamente a través de esa conexión durante los siguientes 140 segundos (< tres minutos, tres registros). Las horas de inicio y finalización epoch aparecen en el log de acuerdo con lo siguiente:
|
1598917969 |
data.status |
Estado de la ventana de captura de datos. Posibles valores:
|
OK |
data.version | Versión del esquema de registro de log de flujo. | 2 |
datetime | Registro de hora en milisegundos. Igual que el campo oracle.ingestedtime, pero en milisegundos. | 1598917955000 |
id | UUID aleatorio, único para cada entrada de log. | abcdabcd-abcd-abcd-abcd-abcdabcdabcd |
oracle.compartmentid | OCID del compartimento en el que está el grupo de logs. | ocid1.compartment.oc1.<region-id>.<unique-id> |
oracle.ingestedtime | Hora a la que se ingirió el log mediante el registro de OCI. | 2020-08-31T23:53:54Z |
oracle.loggroupid | OCID del grupo de logs. | ocid1.loggroup.oc1.<region-id>.<unique-id> |
oracle.logid | OCID del log. | ocid1.log.oc1.<region-id>.<unique-id> |
oracle.tenantid | OCID del arrendatario. | ocid1.tenancy.oc1..<region-id>.<unique-id> |
oracle.vniccompartmentocid | OCID del compartimento al que pertenece la VNIC. | ocid1.compartment.oc1..<region-id>.<unique-id> |
oracle.vnicocid | OCID de la VNIC. | ocid1.vnic.oc1.<region-id>.<unique-id> |
oracle.vnicsubnetocid | OCID de la subred a la que pertenece la VNIC. | ocid1.subnet.oc1.<region-id>.<unique-id> |
specversion | Versión de esquema del registro de OCI. | 1.0 |
time | Igual que startTime. | 2020-08-31T23:52:35Z |
type | Categoría de log: DataEvent, QualityEvent.NoData o QualityEvent.SkipData. | com.oraclecloud.vcn.flowlogs.DataEvent |
Limitaciones y consideraciones
- Es posible que no se registre algún tráfico durante una ventana de captura debido a incidencias de capacidad o errores del sistema. En estos casos, se registra el estado de log NODATA o SKIPDATA.
- Algunos servicios gestionan las VNIC. Por ejemplo, el servicio de equilibrio de carga gestiona las VNIC asociadas a los equilibradores de carga. Se capturan los logs de flujo de las VNIC gestionadas y se identifican mediante el identificador de VNIC. Sin embargo, los logs de flujo no incluyen un campo para indicar a qué servicio pertenecen esas VNIC.
- Para el tráfico a través de la IP pública de una instancia informática, los logs de flujo registran la IP privada correspondiente.
Uso de CLI
Consulte Ejemplo de logs de flujos de VCN para ver comandos de ejemplo.