Documentation sur Oracle Cloud Infrastructure

Informations détaillées sur les journaux des flux dans le réseau en nuage virtuel

Détails de journalisation pour les journaux de flux VCN.

Ressources

  • Réseau en nuage virtuel (VCN)

  • Sous-réseau

  • VNIC

Catégories de journaux

Valeur d'API (ID) : Console (Nom d'affichage) Description
all Flow Logs (All records) Le trafic est journalisé pour les cartes vNIC existantes et futures dans le sous-réseau.
réseau virtuel Journaux de flux - Enregistrements de réseau en nuage virtuel Le trafic est journalisé pour les cartes vNIC existantes et futures dans tous les sous-réseaux du VCN.
sous-réseau Journaux de flux - enregistrements de sous-réseau Le trafic est journalisé pour les cartes vNIC existantes et futures dans le sous-réseau. Semblable à la catégorie toutes, qui est enregistrée pour les cartes vNIC existantes et futures dans le sous-réseau.
vnic Journaux de flux - enregistrements vnic Le trafic est journalisé pour des cartes vNIC spécifiques dans un réseau VCN.

Disponibilité

Les journaux de flux de VCN sont disponibles dans toutes les régions des domaines commerciaux. Pour plus d'informations sur la disponibilité dans le domaine du nuage gouvernemental, voir la section Oracle Cloud Infrastructure Government Cloud.

Commentaires

Chaque instance d'un réseau en nuage virtuel est dotée d'une ou de plusieurs cartes d'interface réseau virtuelles (cartes vNIC). Le service de réseau utilise des règles de sécurité pour déterminer le trafic autorisé à travers une carte vNIC particulière. Les règles de sécurité peuvent être définies à l'aide de listes de sécurité ou de groupes de sécurité de réseau.

Pour vous aider à dépanner le trafic entrant et sortant de vos cartes vNIC, vous pouvez configurer les journaux des flux dans le réseau en nuage virtuel. Les journaux des flux enregistrent les détails sur le trafic qui a été accepté ou rejeté en fonction des règles de sécurité configurées pour votre réseau en nuage virtuel.

Vous pouvez activer les journaux des flux pour un sous-réseau particulier. Le trafic est alors enregistré pour toutes les cartes vNIC existantes et futures de ce sous-réseau. Chaque journal de flux contient des informations sur le trafic d'une seule carte vNIC.

Note

Certain trafic vers les services d'infrastructure Oracle de base hébergés sur des adresses IP locales de lien (169.254.0.0/16) n'apparaît pas dans les journaux des flux. Cela inclut des éléments tels que le DNS du réseau en nuage virtuel, les options DHCP et le stockage par blocs. Est également exclu le trafic de gestion de réseau, comme le protocole de résolution d'adresse (ARP).

Pour plus d'informations sur l'utilisation des journaux de flux VCN, voir Journaux de flux VCN.

Contenu d'un journal des flux dans le réseau en nuage virtuel

Un enregistrement de journal de flux contient les champs suivants :

Propriété Description Exemple de valeur
data.action

Type d'enregistrement. Valeurs possibles :

  • ACCEPT : Le trafic de cet enregistrement a été accepté par les listes de sécurité.
  • REJECT : Le trafic de cet enregistrement a été rejeté par les listes de sécurité.
 ACCEPT
data.bytesOut Nombre d'octets enregistrés dans la fenêtre de saisie. 17114
data.destinationAddress

Adresse IP de la destination : IPv4 au format décimal séparé par des points ou IPv6 au format hexadécimal séparé par deux-points.

Note : Lorsque le trafic IPv6 est détecté dans le réseau en nuage virtuel d'un client, une entrée de journal de flux avec les valeurs d'adresse IPV6 est générée, au lieu de l'emplacement courant des valeurs IPV4. Les adresses source et de destination peuvent être IPv4 ou IPv6, en fonction de la configuration et du trafic présent dans le réseau en nuage virtuel du client. Ces données ne sont disponibles que dans les régions où la prise en charge IPv6 est disponible et configuré par le client.

10.0.99.4

8222:91f5:88bb:2bf0:94a:e71b:65d3:4bd7
data.destinationPort Numéro de port IANA de la destination. 36266
data.endTime Heure de fin de la fenêtre de saisie au format UNIX en secondes UNIX. 1598917970
data.flowid Hachage des champs clés (adresses source et de destination, ports et protocole). a6a73770
data.packets Nombre de paquets enregistrés dans la fenêtre de saisie. 250
data.protocol Numéro de protocole IANA. 6
data.protocolName Nom IANA du protocole. TCP
data.sourceAddress

Adresse IP de la source : IPv4 au format décimal séparé par des points ou IPv6 au format hexadécimal séparé par deux-points.

Voir la note dans la description data.destinationAddress.

123.0.0.1

1fde:9f1c:2433:4038:68fc:e0b:73f3:3b3b
data.sourcePort Numéro de port IANA de la source. 443
data.startTime

Heure de début de la fenêtre de saisie au format UNIX en secondes Unix.

L'heure UNIX utilise un point fixe comme référence pour l'heure courante. Chaque seconde de l'heure courante peut être exprimée sous la forme d'un nombre, par exemple 1576090259 (c'est-à-dire mercredi 11 décembre 2019 6:50:59 PM GMT).

Chaque enregistrement de journal de flux enregistre un intervalle d'une minute (0 à 59 secondes) de flux de données, en utilisant des heures de début et de fin au format UNIX pour indiquer l'heure à laquelle les données apparaissent au cours de l'intervalle de 60 secondes pour cet enregistrement. Considérons les entrées d'heure au format UNIX qui apparaissent pour le flux de données pendant un intervalle fixe de 140 secondes. Cinq secondes après une minute particulière, vous ouvrez une connexion vers l'hôte et commencez à envoyer en continu des données sur cette connexion pendant les 140 prochaines secondes (< trois minutes, trois enregistrements).

Les heures de début et de fin au format UNIX apparaissent dans le journal selon les critères suivants :

  • Le premier enregistrement indique une heure de début au format UNIX cinq secondes après le repère de la minute et une heure de fin au format UNIX à la fin de cette minute (54 secondes plus tard).
  • L'enregistrement suivant indique une heure de début au format UNIX au repère de zéro seconde et une heure de fin au format UNIX à la fin de cette minute (59 secondes plus tard). Cela suppose que vous ayez envoyé les données continuellement. Si la transmission a été intermittente, les heures au format UNIX reflètent le premier et le dernier flux de données survenu pendant cet intervalle de 60 secondes (temps absolu).
  • L'enregistrement final affiche une heure de début au format UNIX au repère de zéro seconde et une heure de fin au format UNIX 20 secondes plus tard (puisque la durée de vie totale du flux était de seulement 140 secondes, soit 20 secondes dans le troisième intervalle de journalisation d'une minute enregistré par chaque enregistrement).
 1598917969
data.status

Statut de la fenêtre de saisie de données. Valeurs possibles :

  • OK : Journal de paquet normal.
  • NODATA : Aucun trafic n'a été enregistré pendant la fenêtre de saisie, auquel cas seuls les champs de données suivants sont définis : endTime, startTime, status et version. Les champs de données restants sont réglés à Null : action, bytesOut, destinationAddress, destinationPort, flowid, packets, protocol, protocolName, sourceAddress et sourcePort.
  • SKIPDATA : Certain trafic n'a pas été enregistré pendant la fenêtre de saisie en raison d'erreurs de système ou de problèmes de capacité. Dans ce cas, seuls les champs de données endTime, startTime, status et version sont définis, et les autres champs de données sont réglés à NULL. Le journal des flux peut contenir d'autres enregistrements pour le trafic accepté ou rejeté dans la fenêtre de saisie.
 OK
data.version Version du schéma d'enregistrement du journal de flux. 2
datetime Horodatage en millisecondes. Identique au champ oracle.ingestedtime, mais en millisecondes. 1598917955000
id UUID aléatoire, unique pour chaque entrée de journal. abcdabcd-abcd-abcd-abcd-abcdabcdabcd
oracle.compartmentid OCID du compartiment dans lequel se trouve le groupe de journaux. ocid1.compartment.oc1.<region-id>.<unique-id>
oracle.ingestedtime Heure à laquelle le journal a été ingéré par le service de journalisation pour OCI. 2020-08-31T23:53:54Z
oracle.loggroupid OCID du groupe de journaux. ocid1.loggroup.oc1.<region-id>.<unique-id>
oracle.logid OCID du journal. ocid1.log.oc1.<region-id>.<unique-id>
oracle.tenantid OCID du locataire. ocid1.tenancy.oc1..<region-id>.<unique-id>
oracle.vniccompartmentocid OCID du compartiment auquel appartient la carte vNIC. ocid1.compartment.oc1..<region-id>.<unique-id>
oracle.vnicocid OCID de la carte vNIC. ocid1.vnic.oc1.<region-id>.<unique-id>
oracle.vnicsubnetocid OCID du sous-réseau auquel appartient la carte vNIC. ocid1.subnet.oc1.<region-id>.<unique-id>
specversion Version du schéma du service de journalisation pour OCI. 1.0
time Identique à startTime. 2020-08-31T23:52:35Z
type Catégorie de journal : DataEvent, QualityEvent.NoData ou QualityEvent.SkipData. com.oraclecloud.vcn.flowlogs.DataEvent

Limites et points à considérer

  • Certain trafic peut ne pas être enregistré pendant une fenêtre de saisie en raison de problèmes de capacité ou d'erreurs de système. Dans ce cas, le statut de journal NODATA ou SKIPDATA est enregistré.
  • Certains services gèrent les cartes vNIC. Par exemple, le service d'équilibrage de charge gère les cartes vNIC attachées aux équilibreurs de charge. Les journaux de flux pour les cartes vNIC gérées sont saisis et identifiés par l'ID carte vNIC. Toutefois, les journaux de flux n'incluent pas de champ pour indiquer à quel service ces cartes vNIC appartiennent.
  • Pour le trafic sur l'adresse IP publique d'une instance de calcul, les journaux de flux enregistrent l'adresse IP privée correspondante.
  • Les journaux de flux peuvent être activés sur la ressource de sous-réseau, avec la catégorie tous ou un sous-réseau. Il n'existe aucune différence dans les flux saisis sous ces catégories.

Utilisation de l'interface de ligne de commande

Voir Exemple de journaux des flux dans le réseau en nuage virtuel pour des exemples de commandes.