Documentazione di Oracle Cloud Infrastructure

Dettagli per i log di flusso VCN

Dettagli di log per i log di flusso VCN.

Risorse

  • Rete cloud virtuale (VCN)

  • subnet

  • VNIC

Categorie di log

Valore API (ID): Console (nome visualizzato) descrizione;
tutte Log di flusso (tutti i record) Il traffico viene registrato per le VNIC esistenti e future nella subnet.
vcn Log di flusso - record vcn Il traffico viene registrato per le VNIC esistenti e future in tutte le subnet nella VCN.
subnet Log di flusso - record di subnet Il traffico viene registrato per le VNIC esistenti e future nella subnet. Simile alla categoria all, che viene registrata per le VNIC esistenti e future nella subnet.
vnic Log di flusso - record vnic Il traffico viene registrato per VNIC specifiche in una VCN.

Disponibilità

I log di flusso della VCN sono disponibili in tutte le aree dei regimi commerciali. Per informazioni sulla disponibilità nel realm Government Cloud, consulta la sezione Oracle Cloud Infrastructure Government Cloud.

commenti

Ogni istanza di una VCN dispone di una o più schede VNIC (Virtual Network Interface Card). Il servizio di networking utilizza le regole di sicurezza per determinare il traffico consentito tramite una determinata VNIC. Le regole di sicurezza possono essere definite utilizzando liste di sicurezza o gruppi di sicurezza di rete.

Per facilitare la risoluzione dei problemi relativi al traffico in entrata e in uscita dalle VNIC, è possibile impostare i log di flusso VCN. I log di flusso registrano i dettagli relativi al traffico che è stato accettato o rifiutato in base alle regole di sicurezza impostate per la VCN.

Puoi abilitare i log di flusso per una determinata subnet, il che significa che il traffico viene registrato per tutte le VNIC esistenti e future in tale subnet. Ogni log di flusso contiene informazioni sul traffico per una singola VNIC.

Nota

Un certo traffico verso i servizi dell'infrastruttura Oracle di base ospitati su indirizzi IP locali (169.254.0.0/16) non viene visualizzato nei log di flusso. Include elementi quali DNS della VCN, DHCP e storage a blocchi. È inoltre escluso il traffico di gestione della rete, ad esempio ARP.

Per ulteriori informazioni sull'uso dei log di flusso VCN, vedere Log di flusso VCN.

Contenuto di un log di flusso VCN

Un record di log di flusso contiene i campi riportati di seguito.

Proprietà descrizione; Valore di esempio
data.action

Tipo di record. Valori possibili:

  • ACCETTO: Il traffico di questo record è stato accettato dalle liste di sicurezza.
  • Il traffico di questo record è stato rifiutato dalle liste di sicurezza.
 ACCETTO
data.bytesOut Numero di byte registrati nella finestra di acquisizione. 17114
data.destinationAddress

Indirizzo IP della destinazione, in punto IPv4 o notazione dei due punti IPv6.

Nota: quando viene rilevato il traffico IPv6 nella rete cloud virtuale di un cliente, viene generata una voce del log di flusso con i valori di indirizzo IPV6, anziché la posizione corrente dei valori IPV4. Gli indirizzi di origine e destinazione possono essere IPv4 o IPv6, in base alla configurazione e al traffico presenti nella VCN del cliente. Questi dati sono disponibili solo nelle aree in cui è disponibile e configurato il supporto IPv6 da parte del cliente.

10.0.99.4

8222:91f5:88bb:2bf0:94a:e71b:65d3:4bd7
data.destinationPort Numero di porta IANA della destinazione. 36266
data.endTime Ora di fine della finestra di acquisizione in secondi di epoca UNIX. 1598917970
data.flowid Hash di campi chiave (indirizzi di origine e destinazione, porte e protocollo). a6a73770
data.packets Numero di pacchetti registrati nella finestra di acquisizione. 250
data.protocol Numero protocollo IANA. 6
data.protocolName Nome IANA per il protocollo. TCP
data.sourceAddress

Indirizzo IP dell'origine, in punto IPv4 o notazione dei due punti IPv6.

Vedere la nota nella descrizione data.destinationAddress.

123.0.0.1

1fde:9f1c:2433:4038:68fc:e0b:73f3:3b3b
data.sourcePort Numero porta IANA dell'origine. 443
data.startTime

Ora di inizio della finestra di acquisizione in secondi di epoca Unix.

Il tempo dell'epoca UNIX utilizza un punto fisso nel passato per fare riferimento all'ora corrente. Ogni secondo dell'ora corrente può essere espresso come un numero, ad esempio 1576090259 (che è mercoledì 11 dicembre 2019 6:50:59 PM GMT).

Ogni record di log di flusso registra un intervallo di un minuto (da 0 a 59 secondi) del flusso di dati, utilizzando le ore di inizio e di fine dell'epoca per indicare l'ora in cui i dati vengono visualizzati durante l'intervallo di 60 secondi per tale record. Consideriamo gli inserimenti ore dell'epoca che verranno visualizzati per il flusso di dati durante un intervallo fisso di 140 secondi. Nei cinque secondi trascorsi un minuto specifico, si apre una connessione all'host e si inizia a inviare continuamente dati tramite tale connessione per i successivi 140 secondi (< tre minuti, tre record).

Le ore di inizio e di fine dell'epoch verranno visualizzate nel log in base a quanto riportato di seguito.

  • Il primo record mostrava un'ora di inizio dell'epoca ai cinque secondi dopo il segno dei minuti e un'ora di fine dell'epoca alla fine di quel minuto (54 secondi dopo).
  • Il record successivo mostra un'ora di inizio dell'epoca con il segno zero secondi e l'ora di fine dell'epoca alla fine di quel minuto (59 secondi dopo). Si presuppone che i dati siano stati inviati in sequenza. Se la trasmissione fosse stata intermittente, i tempi dell'epoca rifletteranno il flusso di dati del primo e dell'ultimo secondo che si è verificato durante quell'intervallo di 60 secondi (il tempo assoluto).
  • Il record finale mostra un'ora di inizio dell'epoca al punto zero secondi e un'ora di fine dell'epoca per 20 secondi dopo (dato che la durata totale del flusso era di soli 140 secondi o 20 secondi nel terzo intervallo di registrazione di un minuto registrato da ciascun record).
 1598917969
data.status

Stato della finestra di acquisizione dati. Valori possibili:

  • OK: log pacchetti normale.
  • NODATA: durante la finestra di acquisizione non è stato registrato alcun traffico, nel qual caso vengono impostati solo i seguenti campi dati: endTime, startTime, stato e versione. Gli altri campi dati sono impostati su null: action, bytesOut, destinationAddress, destinationPort, flowid, packets, protocol, protocolName, sourceAddress, an sourcePort.
  • SKIPDATA: durante la finestra di acquisizione il traffico non è stato registrato a causa di errori di sistema o problemi di capacità. In questo caso, vengono impostati solo i campi dati endTime, startTime, lo stato e la versione e i campi dati rimanenti sono impostati su null. Il log di flusso può contenere altri record per il traffico accettato o rifiutato nella finestra di acquisizione.
 OK
data.version Versione dello schema del record di log di flusso. 2
datetime Indicatore orario in millisecondi. Uguale al campo oracle.ingestedtime ma in millisecondi. 1598917955000
id UUID casuale, univoco per ogni voce del log. abcdabcd-abcd-abcd-abcd-abcdabcdabcd
oracle.compartmentid OCID del compartimento in cui si trova il gruppo di log. ocid1.compartment.oc1.<region-id>.<unique-id>
oracle.ingestedtime Ora in cui il log è stato incluso da OCI Logging. 2020-08-31T23: 53: 54Z
oracle.loggroupid OCID del gruppo di log. ocid1.loggroup.oc1.<region-id>.<unique-id>
oracle.logid OCID del log. ocid1.log.oc1.<region-id>.<unique-id>
oracle.tenantid OCID del tenant. ocid1.tenancy.oc1..<region-id>.<unique-id>
oracle.vniccompartmentocid OCID del compartimento a cui appartiene la VNIC. ocid1.compartment.oc1..<region-id>.<unique-id>
oracle.vnicocid OCID della VNIC. ocid1.vnic.oc1.<region-id>.<unique-id>
oracle.vnicsubnetocid OCID della subnet a cui appartiene la VNIC. ocid1.subnet.oc1.<region-id>.<unique-id>
specversione Versione dello schema di log OCI. 1.0
tempo Sinonimo di startTime. 2020-08-31T23:52:35Z
Tipo Categoria del log: DataEvent, QualityEvent.NoData o QualityEvent.SkipData. com.oraclecloud.vcn.flowlogs.DataEvent

Limitazioni e considerazioni

  • È possibile che il traffico non venga registrato durante una finestra di acquisizione a causa di problemi di capacità o errori di sistema. In questi casi, viene registrato lo stato di log NODATA o SKIPDATA.
  • Alcuni servizi gestiscono le VNIC. Ad esempio, il servizio di bilanciamento del carico gestisce le VNIC collegate ai load balancer. I log di flusso per le VNIC gestite vengono acquisiti e identificati dall'ID VNIC. I log di flusso, tuttavia, non includono un campo per indicare a quale servizio appartengono tali VNIC.
  • Per il traffico sull'IP pubblico di un'istanza di computazione, i log di flusso registrano l'IP privato corrispondente.
  • I log di flusso possono essere abilitati nella risorsa della subnet, con la categoria all o una subnet. Non esistono differenze nei flussi acquisiti in queste categorie.

Uso dell'interfaccia CLI

Vedere Esempio di log di flusso VCN, ad esempio comandi.