Détails relatifs aux journaux de flux de réseau cloud virtuel

Détails de journalisation pour les journaux de flux VCN.

Ressources

Réseau cloud virtuel
Sous-réseau
VNIC

Catégories de journal


Valeur d'API (ID) :	Console (nom d'affichage)	Description
all	Journaux de flux (tous les enregistrements)	Le trafic est consigné pour les cartes d'interface réseau virtuelles existantes et futures dans le sous-réseau.
réseau cloud virtuel	Journaux de flux - enregistrements vcn	Le trafic est consigné pour les cartes d'interface réseau virtuelles existantes et futures dans tous les sous-réseaux du VCN.
subnet	Journaux de flux - enregistrements de sous-réseau	Le trafic est consigné pour les cartes d'interface réseau virtuelles existantes et futures dans le sous-réseau. Similaire à la catégorie all, qui est journalisée pour les cartes d'interface réseau virtuelles existantes et futures dans le sous-réseau.
VNIC	Journaux de flux - enregistrements vnic	Le trafic est consigné pour des cartes VNIC spécifiques dans un VCN.

Disponibilité

Les journaux de flux VCN sont disponibles dans toutes les régions des domaines commerciaux. Reportez-vous à la section Oracle Cloud Infrastructure Government Cloud pour plus d'informations sur la disponibilité dans le domaine Government Cloud.

Commentaires

Chaque instance d'un réseau cloud virtuel possède des cartes d'interface réseau virtuelles. Le service Networking utilise des règles de sécurité pour déterminer le trafic autorisé via une carte d'interface réseau virtuelle donnée. Les règles de sécurité peuvent être définies à l'aide de listes de sécurité ou de groupes de sécurité réseau.

Pour faciliter le dépannage du trafic entrant et sortant de vos cartes d'interface réseau virtuelles, vous pouvez configurer des journaux de flux de réseau cloud virtuel. Les journaux de flux enregistrent les détails du trafic accepté ou rejeté en fonction des règles de sécurité configurées pour votre réseau cloud virtuel.

Vous pouvez activer les journaux de flux pour un sous-réseau donné, ce qui signifie que le trafic de toutes les cartes d'interface réseau virtuelles existantes et futures de ce sous-réseau est consigné. Chaque journal de flux contient des informations sur le trafic d'une carte d'interface réseau virtuelle unique.

Remarque

Le trafic vers les principaux services Oracle Infrastructure hébergés sur les adresses IP lien-local (169.254.0.0/16) n'apparaît pas dans les journaux de flux. Cela inclut des éléments tels que le DNS du réseau cloud virtuel, le DHCP et le stockage de blocs. Le trafic de gestion du réseau, tel que l'ARP, est également exclu.

Pour plus d'informations sur l'utilisation des journaux de flux VCN, reportez-vous à Journaux de flux VCN.

Contenu d'un journal de flux de réseau cloud virtuel

Un enregistrement de journal de flux contient les champs suivants :


Propriété	Description	Exemple de valeur
data.action	Type d'enregistrement. Valeurs possibles : ACCEPT : le trafic de cet enregistrement a été accepté par les listes de sécurité. REJECT : le trafic de cet enregistrement a été rejeté par les listes de sécurité.	ACCEPT
data.bytesOut	Nombre d'octets enregistrés dans la fenêtre de capture.	17114
data.destinationAddress	Adresse IP de la destination, soit en notation par points IPv4, soit en notation à deux-points IPv6. Remarque: Lorsque le trafic IPv6 est détecté dans le réseau cloud virtuel d'un client, une entrée de journal de flux avec les valeurs d'adresse IPv6 est générée, à la place des valeurs IPv4. Les adresses source et de destination peuvent être IPv4 ou IPv6, en fonction de la configuration et du trafic présents dans le réseau cloud virtuel du client. Ces données ne sont disponibles que dans les régions dans lesquelles la prise en charge de IPv6 est disponible et configurée par le client.	10.0.99.4 8222:91f5:88bb:2bf0:94a:e71b:65d3:4bd7
data.destinationPort	Numéro de port IANA de la destination.	36266
data.endTime	Heure de fin de la fenêtre de capture en secondes au format Epoch UNIX.	1598917970
data.flowid	Hachage de champs de clé (adresses source et de destination, ports et protocole).	a6a73770
data.packets	Nombre de paquets enregistrés dans la fenêtre de capture.	250
data.protocol	Numéro de protocole IANA.	6
data.protocolName	Nom IANA pour le protocole.	TCP
data.sourceAddress	Adresse IP de la source, soit en notation par points IPv4, soit en notation à deux-points IPv6. Reportez-vous à la remarque dans la description data.destinationAddress.	123.0.0.1 1fde:9f1c:2433:4038:68fc:e0b:73f3:3b3b
data.sourcePort	Numéro de port IANA de la source.	443
data.startTime	Heure de début de la fenêtre de capture en secondes au format Epoch Unix. La période UNIX au format Epoch utilise un moment précis dans le passé pour référencer l'heure actuelle. Chaque seconde de l'heure actuelle peut être exprimée sous la forme d'un nombre, tel que 1576090259 (qui est le mercredi 11 décembre 2019 6:50:59 PM GMT). Chaque enregistrement de journal de flux enregistre un intervalle d'une minute (0 à 59 secondes) du flux de données, en utilisant les heures de début et de fin d'une période au format Epoch pour indiquer l'heure à laquelle les données apparaissent au cours de l'intervalle de 60 secondes pour cet enregistrement. Prenons en compte les heures saisies au format Epoch qui apparaîtraient pour le flux de données pendant un intervalle fixe de 140 secondes. Au bout de cinq secondes, vous ouvrez une connexion à l'hôte et commencez à envoyer en continu des données sur cette connexion pendant les 140 secondes suivantes (< trois minutes, trois enregistrements). Les heures de début et de fin au format Epoch apparaissent dans le journal selon les critères suivants : Le premier enregistrement affiche une heure de début au format Epoch cinq secondes après un changement de minute et une heure de fin au format Epoch une fois cette minute écoulée (54 secondes plus tard). L'enregistrement suivant affiche une heure de début au format Epoch à zéro seconde et une heure de fin au format Epoch à la fin de cette minute (59 secondes plus tard), en partant du principe que vous avez envoyé les données en continu. Si la transmission avait été intermittente, les heures au format Epoch refléteraient les flux de données de la première et de la dernière seconde survenus au cours de cet intervalle de 60 secondes (heure absolue). L'enregistrement final affiche une heure de début au format Epoch à zéro seconde et une heure de fin au format Epoch 20 secondes plus tard (puisque la durée de vie totale du flux n'était que de 140 secondes ou de 20 secondes dans le troisième intervalle de journalisation d'une minute enregistré par chaque enregistrement).	1598917969
data.status	Statut de la fenêtre de capture de données. Valeurs possibles : OK : journal de paquets normal. NODATA : aucun trafic n'a été enregistré au cours de la fenêtre de capture. Dans ce cas, seuls les champs de données suivants sont définis : endTime, startTime, status et version. Les champs de données restants sont définis sur NULL : action, bytesOut, destinationAddress, destinationPort, flowid, packets, protocol, protocolName, sourceAddress et sourcePort. SKIPDATA : le trafic n'a pas été consigné au cours de la fenêtre de capture en raison d'erreurs système ou de problèmes de capacité. Dans ce cas, seuls les champs de données endTime, startTime, status et version sont définis, et les champs de données restants sont définis sur NULL. Le journal de flux peut contenir d'autres enregistrements pour le trafic accepté ou rejeté dans la fenêtre de capture.	OK
data.version	Version du schéma d'enregistrement du journal de flux.	2
datetime	Horodatage en millisecondes. Identique au champ oracle.ingestedtime mais en millisecondes.	1598917955000
id	UUID aléatoire, propre à chaque entrée de journal.	abcdabcd-abcd-abcd-abcd-abcdabcdabcd
oracle.compartmentid	OCID du compartiment dans lequel se trouve le groupe de journaux.	ocid1.compartment.oc1.`<region-id>`.`<unique-id>`
oracle.ingestedtime	Heure à laquelle le journal a été inclus par OCI Logging.	2020-08-31T23:53:54Z
oracle.loggroupid	OCID du groupe de journaux.	ocid1.loggroup.oc1.`<region-id>`.`<unique-id>`
oracle.logid	OCID du journal.	ocid1.log.oc1.`<region-id>`.`<unique-id>`
oracle.tenantid	OCID du locataire.	ocid1.tenancy.oc1..`<region-id>`.`<unique-id>`
oracle.vniccompartmentocid	OCID du compartiment auquel appartient la carte d'interface réseau virtuelle.	ocid1.compartment.oc1..`<region-id>`.`<unique-id>`
oracle.vnicocid	OCID de la carte d'interface réseau virtuelle.	ocid1.vnic.oc1.`<region-id>`.`<unique-id>`
oracle.vnicsubnetocid	OCID du sous-réseau auquel appartient la carte d'interface réseau virtuelle.	ocid1.subnet.oc1.`<region-id>`.`<unique-id>`
specversion	Version du schéma de journalisation OCI.	1.0
time	Identique à startTime.	2020-08-31T23:52:35Z
type	Catégorie de journal : DataEvent, QualityEvent.NoData ou QualityEvent.SkipData.	com.oraclecloud.vcn.flowlogs.DataEvent

Limites et remarques

Certains trafics risquent de ne pas être consignés dans une fenêtre de capture en raison de problèmes de capacité ou d'erreurs système. Dans ce cas, le statut du journal NODATA ou SKIPDATA est enregistré.
Certains services gèrent les cartes d'interface réseau virtuelles. Par exemple, le service Load Balancing gère les cartes d'interface réseau virtuelles attachées aux équilibreurs de charge. Les journaux de flux des cartes d'interface réseau virtuelles gérées sont capturés et identifiés par l'ID de carte d'interface réseau virtuelle. Toutefois, les journaux de flux n'incluent aucun champ pour indiquer à quel service appartiennent ces VNIC.
Pour le trafic sur l'adresse IP publique d'une instance de calcul, les journaux de flux enregistrent l'adresse IP privée correspondante.
Les journaux de flux peuvent être activés sur la ressource de sous-réseau, soit avec la catégorie all, soit avec un sous-réseau. Il n'existe aucune différence dans les flux capturés sous ces catégories.

Utilisation de l'interface de ligne de commande

Reportez-vous à Exemple de journaux de flux de réseau cloud virtuel pour obtenir des exemples de commandes.

Documentation Oracle Cloud Infrastructure