VCNフロー・ログの詳細

このトピックでは、VCNフロー・ログの詳細を説明します。

リソース

  • サブネット

ログ・カテゴリ

API値(ID): コンソール(表示名) 説明
すべて フロー・ログ(すべてのレコード) VCNフロー・ログに受入れレコードと拒否レコードの両方を含めます。

可用性

VCNフロー・ログは、商用レルムのすべてのリージョンで使用できます。

コメント

VCN内の各インスタンスには1つ以上の仮想ネットワーク・インタフェース・カード(VNIC)があります。ネットワーキング・サービスは、セキュリティ・ルールを使用して、特定のVNICを介して許可されるトラフィックを決定します。セキュリティ・ルールは、セキュリティ・リストまたはネットワーク・セキュリティ・グループを使用して定義できます。

VNICとの間のトラフィックのトラブルシューティングに役立てるために、VCNフロー・ログを設定できます。フロー・ログには、VCNに設定されているセキュリティ・ルールに基づいて、承認または拒否されたトラフィックに関する詳細が記録されます。

特定のサブネットのフローログを有効にできます。つまり、そのサブネット内の既存および将来のすべてのVNICのトラフィックがログに記録されます。各フローログには、単一VNICのトラフィックに関する情報が含まれています。

注意:リンク・ローカル(169.254.0.0/16) IPアドレスでホストされているコアOracleインフラストラクチャ・サービスへの特定のトラフィックは、フロー・ログに表示されません。

これにはVCN DNS、DHCP、ブロック・ストレージなどの項目が含まれます。ARPなどのネットワーク管理トラフィックも除外されます。

VCNフロー・ログの内容

フロー・ログ・レコードには、次のフィールドが含まれます。

Property 説明 サンプル値
data.action

レコードのタイプ。指定可能な値は次のとおりです。

  • ACCEPT:このレコードのトラフィックはセキュリティ・リストによって受け入れられました。
  • REJECT:このレコードのトラフィックはセキュリティ・リストによって拒否されました。
ACCEPT
data.bytesOut 取得ウィンドウに記録されるバイト数。 17114
data.destinationAddress
宛先のIPアドレス(IPv4ドットまたはIPv6コロン表記)。
注意顧客の仮想クラウド・ネットワークでIPv6トラフィック

が検出されると、IPV4値の現在の場所のかわりに、IPV6アドレス値を含むフロー・ログ・エントリが生成されます。ソース・アドレスと宛先アドレスは、顧客のVCNに存在する構成およびトラフィックに基づいて、IPv4またはIPv6のいずれかになります。このデータは、IPv6サポートが一般的に顧客によって使用および構成されるリージョンでのみ使用できます。

10.0.99.4

8222:91f5:88bb:2bf0:94a:e71b:65d3:4bd7

data.destinationPort 宛先のIANAポート番号 36266
data.endTime Unix epoch秒単位の取得ウィンドウの終了時間。 1598917970
data.flowid キー・フィールドのハッシュ(ソース・アドレスと宛先アドレス、ポートおよびプロトコル)。 a6a73770
data.packets 取得ウィンドウに記録されているパケット数。 250
data.protocol IANAプロトコル番号。 6
data.protocolName プロトコルのIANA名。 TCP
data.sourceAddress

ソースのIPアドレス(IPv4ドットまたはIPv6コロン表記)。

Data.destinationAddressの説明の注意を参照してください。

123.0.0.1

1fde:9f1c:2433:4038:68fc:e0b:73f3:3b3b

data.sourcePort 発信元のIANAポート番号 443
data.startTime

UNIX epoch秒単位の取得ウィンドウの開始時間。

Unixエポック時間では、過去の固定ポイントを使用して現在の時間を参照します。つまり、現在の時間の毎秒を1576090259 (2019年12月11日6:50:59 PM GMT)などの数値で表すことができます。

各フロー・ログ・レコードは、データ・フローの1分間隔(0から59秒)を記録し、エポックの開始時間と終了時間を使用して、そのレコードの60秒間隔でデータが表示される時間を示します。140秒の固定間隔でデータ・フローに表示されるエポック時間入力について考えてみましょう。特定の1分後の5秒後に、ホストへの接続を開き、次の140秒間(3分未満、3レコード)その接続を介してデータの送信を開始します。

エポックの開始時間と終了時間がログに表示される方法は次のとおりです。

  • 最初のレコードには、分マークの5秒後のエポック開始時間と、その分の終了時のエポック終了時間(54秒後)が表示されます。
  • 次のレコードでは、エポックの開始時間がゼロ秒マークで、エポックの終了時間がその分の終了(59秒後)で表示されます。これは、データを継続的に送信したことを前提としています。送信が断続的に行われた場合、エポック時間には60秒間隔(絶対時間)で発生した最初と最後の秒のデータ・フローが反映されます。
  • 最終レコードには、ゼロ秒マークのエポック開始時間と20秒後のエポック終了時間が表示されます(合計フロー寿命は140秒のみであるか、各レコードによって記録された3分間のロギング間隔で20秒であるため)。
1598917969
data.status

データ・キャプチャ・ウィンドウのステータス。指定可能な値は次のとおりです。

  • OK:通常のパケット・ログ。
  • NODATA:取得ウィンドウ中にトラフィックが記録されませんでした。この場合、endTime、startTime、ステータスおよびバージョンのデータ・フィールドのみが設定されます。残りのデータ・フィールドはnull (action、bytesOut、destinationAddress、destinationPort、flowid、packets、protocol、protocolName、sourceAddress、sourcePort)に設定されます。
  • SKIPDATA:システム・エラーまたは容量の問題のため、取得ウィンドウ中に一部のトラフィックがログに記録されませんでした。この場合、endTime、startTime、ステータスおよびバージョンのデータ・フィールドのみが設定され、残りのデータ・フィールドはNULLに設定されます。フロー・ログには、受信または拒否されたトラフィックの他のレコードを取得ウィンドウに含めることができます。
OK
data.version フロー・ログ・レコード・スキーマのバージョン。 2
datetime タイムスタンプ(ミリ秒)。Oracle.ingestedtimeフィールドと同じですが、ミリ秒単位です。 1598917955000
id 各ログ・エントリに固有のランダムUUID。 abcdabcd - bcd - abcd - abcd - abcdabcdabcd
oracle.compartmentid ログ・グループが存在するコンパートメントのOCID。 ocid1.compartment.oc1 .< region - id >.< uniqueid >
oracle.ingestedtime ログがOCIロギングによって収集された時間。 2020 -08-31T23: 53: 54 Z
oracle.loggroupid ログ・グループのOCID。 ocid1.loggroup.oc1 .< region - id >.< unique - id >
oracle.logid ログのOCID。 ocid1.log.oc1 .< region - id >.< uniqueid >
oracle.tenantid テナントのOCID。 ocid1.tenancy.oc1.. < region - id >.< unique - id >
oracle.vniccompartmentocid VNICが属するコンパートメントのOCID。 ocid1.compartment.oc1.. < region - id >.< uniqueid >
oracle.vnicocid VNICのOCID。 ocid1.vnic.oc1 .< region - id >.< uniqueid >
oracle.vnicsubnetocid VNICが属するサブネットのOCID。 ocid1.subnet.oc1 .< region - id >.< unique-id >
specversion OCIロギング・スキーマ・バージョン。 1.0
時間 startTimeと同じです。 2020 -08-31T23: 52: 35 Z
type ログのカテゴリ: DataEvent、QualityEvent.NoDataまたはQualityEvent.SkipData。 com.oraclecloud.vcn.flowlogs.DataEvent

制限および考慮事項

  • 容量の問題またはシステム・エラーのため、取得ウィンドウ中に一部のトラフィックがログに記録されない場合があります。このような場合、NODATAまたはSKIPDATAログステータスが記録されます。
  • VNICを管理するサービスもあります。たとえば、Load Balancingサービスは、ロード・バランサにアタッチされたVNICを管理します。管理対象VNICのフローログが取得され、VNIC IDによって識別されます。ただし、フローログには現在、このようなVNICが属するサービスを示すフィールドは含まれていません。
  • コンピュート・インスタンスのパブリックIP経由のトラフィックの場合、フロー・ログには対応するプライベートIPが記録されます。

コマンドライン・インタフェース(CLI)の使用方法

コマンドの例は、VCNフロー・ログの例を参照してください。