Log di flusso
Utilizza i log di flusso della VCN per acquisire informazioni sul traffico di rete a supporto delle esigenze di monitoraggio e sicurezza.
Evidenziazioni
- I log di flusso della VCN mostrano i dettagli sul traffico che passa attraverso una VCN.
- I log di flusso della VCN consentono di eseguire l'audit del traffico e di risolvere gli elenchi di sicurezza e i gruppi NSG.
- Abilitare e gestire i log di flusso da Network Command Center.
- Utilizzare i filtri di acquisizione per valutare e selezionare il traffico da includere nel log di flusso.
- I log di flusso utilizzano il servizio di log per inviare le informazioni di log a un gruppo di log specificato. Per ulteriori informazioni, vedere Panoramica del log.
- Abilita i log di flusso per tutte le VNIC in una VCN o subnet oppure istanze specifiche della destinazione, load balancer di rete o VNIC delle risorse come punti di abilitazione.
panoramica
Ogni risorsa in una VCN dispone di una o più schede di interfaccia di rete virtuali (VNIC). Il servizio di networking utilizza gli elenchi di sicurezza per decidere quale traffico è consentito tramite una determinata VNIC. La VNIC è soggetta a tutte le regole in tutte le liste di sicurezza associate alla subnet della VNIC e a qualsiasi gruppo NSG a cui appartiene.
Per facilitare la risoluzione degli elenchi di sicurezza e dei gruppi NSG o l'audit del traffico in entrata e in uscita dalle VNIC, è possibile impostare i log di flusso VCN. I log di flusso registrano i dettagli relativi al traffico che è stato accettato o rifiutato in base alla lista di sicurezza o alle regole NSG.
Modalità di abilitazione e consegna dei log di flusso
I log di flusso vengono abilitati nel Centro comandi di rete e utilizzano il servizio di log per memorizzare i log di flusso in un gruppo di log. I gruppi di log sono contenitori logici utilizzati per gestire e organizzare i log di flusso.
- Rete cloud virtuale (VCN): il traffico viene registrato per le VNIC esistenti e future in tutte le subnet della VCN.
- Subnet: il traffico viene registrato per le VNIC esistenti e future in tale subnet.
- VNIC: il traffico viene registrato per VNIC specifiche in una VCN.
- Risorse: il traffico viene registrato per un'istanza o un load balancer di rete di destinazione in una VCN.
I log di flusso utilizzano filtri di acquisizione per selezionare gli elementi inclusi nel traffico registrato. Utilizzando un filtro di acquisizione, è possibile specificare la percentuale di flussi di rete da acquisire (velocità di campionamento). È inoltre possibile creare regole per includere o escludere i pacchetti in base ai criteri specificati. Un filtro di acquisizione deve avere almeno una regola e può contenere fino a 10 regole. Le regole del filtro di acquisizione vengono esaminate nell'ordine di sequenza definito. Quando viene trovata una corrispondenza, viene applicata tale regola. Se non viene trovata alcuna corrispondenza in una determinata regola, la regola successiva della sequenza viene valutata ed eseguita se viene trovata una corrispondenza. Il riordinamento delle regole può modificare il funzionamento del filtro di acquisizione. Per ulteriori informazioni, vedere Acquisisci filtri.
Dopo aver abilitato i log di flusso, viene raccolto un batch di log di flusso per ogni VNIC alla frequenza di campionamento specificata nel filtro di acquisizione del log.
È possibile visualizzare i contenuti dei log di flusso e gestire i log di flusso e i gruppi di log dal Centro comandi di rete o dalla pagina Servizio di log. È possibile visualizzare e gestire i filtri di acquisizione dal Centro di comando di rete.
Contenuto log di flusso
Ogni record del log di flusso riflette il traffico registrato in una direzione di una connessione tra due endpoint. Ad esempio, per una connessione TCP singola, è possibile disporre di due record nella finestra di acquisizione: uno per il traffico in entrata e l'altro per il traffico in uscita.
Per ulteriori informazioni sul contenuto, gli esempi e le limitazioni del log di flusso e altre considerazioni, vedere Dettagli per i log di flusso VCN.