Detalhes dos Logs de Fluxo da VCN

Registrando detalhes de logs de Fluxo da VCN.

Recursos

  • Rede Virtual na Nuvem (VCN)
  • Sub-rede

  • VNIC

Categoria de Log

Valor da API (ID): Console (Nome para Exibição) Descrição
all Logs de Fluxo (Todos os registros) O tráfego é registrado para VNICs existentes e futuras na sub-rede.
vcn Logs de Fluxo - registros vcn O tráfego é registrado para VNICs existentes e futuras em todas as sub-redes da VCN.
sub-rede Logs de Fluxo - registros de sub-rede O tráfego é registrado para VNICs existentes e futuras na sub-rede. Semelhante à categoria todos, que é registrada para VNICs existentes e futuras na sub-rede.
vnic Logs de Fluxo - registros vnic O tráfego é registrado para VNICs específicas em uma VCN.

Disponibilidade

Os Logs de Fluxo da VCN estão disponíveis em todas as regiões dos realms comerciais. Consulte a seção Oracle Cloud Infrastructure Government Cloud para obter informações sobre disponibilidade no realm da Nuvem do Governo.

Comentários

Cada instância em uma VCN tem uma ou mais placas de interface de rede virtual (VNICs). O serviço Networking usa regras de segurança para determinar qual tráfego é permitido por meio de uma determinada VNIC. É possível definir regras de segurança usando listas de Segurança ou grupos de segurança de Rede.

Para ajudar a resolver problemas de entrada e saída de tráfego das suas VNICs, você pode configurar logs de fluxo da VCN. Detalhes do registro de logs de fluxo sobre tráfego que foi aceito ou rejeitado com base nas regras de segurança configuradas para sua VCN.

Você pode ativar logs de fluxo para uma determinada sub-rede, o que significa que o tráfego é registrado para todas as VNICs futuras e existentes nessa sub-rede. Cada log de fluxo contém informações sobre o tráfego de uma única VNIC.

Observação

determinado tráfego para os principais serviços de infraestrutura Oracle hospedados em endereços IP link-local (169.254.0.0/16) não aparece nos logs de fluxo. Isso inclui itens como DNS da VCN, DHCP e armazenamento em blocos. Também excluído está o tráfego de gerenciamento de rede, como ARP.

Para obter mais informações sobre o uso de Logs de Fluxo da VCN, consulte Logs de Fluxo da VCN.

Conteúdo de um Log de Fluxo da VCN

Um registro de log de fluxo contém os seguintes campos:

Propriedade Descrição Valor de Amostra
data.action

Tipo de registro. Os valores possíveis são:

  • ACCEPT: O tráfego deste registro foi aceito pelas listas de segurança.
  • REJECT: O tráfego deste registro foi rejeitado pelas listas de segurança.
ACCEPT
data.bytesOut Número de bytes registrados na janela de captura. 17114
data.destinationAddress

Endereço IP do destino, seja em notação de ponto IPv4 ou notação de dois-pontos IPv6.

Observação: Quando o tráfego IPv6 é encontrado em uma rede virtual na nuvem do cliente, uma entrada de log de fluxo com valores de endereço IPV6 é gerada, no lugar da localização atual dos valores de IPV4. Os endereços de origem e destino podem ser IPv4 ou IPv6, com base na configuração e no tráfego presente na VCN do cliente. Esses dados só estão disponíveis em regiões em que o suporte ao IPv6 está disponível e configurado pelo cliente.

10.0.99.4

8222:91f5:88bb:2bf0:94a:e71b:65d3:4bd7

data.destinationPort Número da porta da AINA do destino. 36266
data.endTime Horário final da janela de captura, em segundos, da época UNIX. 1598917970
data.flowid Hash de campos-chave (endereços, de origem e destino, portas e protocolo). a6a73770
data.packets Número de pacotes registrados na janela de captura. 250
data.protocol Número do protocolo IANA. 6
data.protocolName Nome IANA do protocolo. TCP
data.sourceAddress

Endereço IP da origem, em notação de ponto IPv4 ou notação de dois-pontos IPv6.

Consulte a observação na descrição data.destinationAddress.

123.0.0.1

1fde:9f1c:2433:4038:68fc:e0b:73f3:3b3b

data.sourcePort Número da porta da AINA da origem. 443
data.startTime

Horário inicial da janela de captura em Segundos da época Unix.

O tempo de época UNIX usa um ponto fixo no passado para fazer referência ao horário atual. Cada segundo da hora atual pode ser expresso como um número, como 1576090259 (que é Quarta-feira, 11 de dezembro de 2019 6:50:59 PM GMT).

Cada registro de log de fluxo registra um intervalo de um minuto (0 a 59 segundos) de fluxo de dados, usando horário inicial e final da época para indicar o tempo em que os dados aparecem durante o intervalo de 60 segundos desse registro. Vamos considerar as entradas de tempo de época que seriam exibidas para o fluxo de dados durante um intervalo fixo de 140 segundos. A cada cinco segundos após um minuto específico, você abre uma conexão com o host e começa a enviar dados continuamente sobre essa conexão pelos próximos 140 segundos (< três minutos, três registros).

Os horários inicial e final da época apareceriam no log de acordo com o seguinte:

  • O primeiro registro mostraria um horário inicial da época cinco segundos após a marca de minuto e um horário final da época no final desse minuto (54 segundos depois).
  • O próximo registro mostraria um horário inicial da época na marca de zero segundos e o horário final da época no final desse minuto (59 segundos depois). Isso supõe que você enviou os dados continuamente. Se a transmissão tiver sido intermitente, os tempos de época refletirão o primeiro e o último segundo do fluxo de dados que ocorreu durante esse intervalo de 60 segundos (o tempo absoluto).
  • O registro final mostraria um horário inicial da época na marca de zero segundos e um horário final da época para 20 segundos depois (uma vez que o ciclo de vida total do fluxo foi de apenas 140 segundos ou 20 segundos no terceiro intervalo de registro em log de um minuto registrado por cada registro).
1598917969
data.status

Status da janela de captura de dados. Os valores possíveis são:

  • OK: Log de pacote normal.
  • NODATA: Nenhum tráfego foi registrado durante a janela de captura, nesse caso, somente os seguintes campos de dados são definidos: endTime, startTime, status e version. Os campos de dados restantes são definidos como nulos: action, bytesOut, destinationAddress, destinationPort, flowid, packets, protocol, protocolName, sourceAddress e sourcePort.
  • SKIPDATA: Algum tráfego não foi registrado durante a janela de captura por causa de erros do sistema ou problemas de capacidade; nesse caso, somente os campos de dados endTime, startTime, status e version são definidos, e os campos de dados restantes são definidos como nulos. O log de fluxo pode conter outros registros para tráfego aceito ou rejeitado na janela de captura.
OK
data.version Versão do esquema de registro do log de fluxo. 2
datetime Timestamp em milissegundos. Igual ao campo oracle.ingestedtime, mas em milissegundos. 1598917955000
id UUID Aleatório, exclusivo de cada entrada de log. abcdabcd-abcd-abcd-abcd-abcdabcdabcd
oracle.compartmentid OCID do compartimento no qual o grupo de logs está. ocid1.compartment.oc1.<region-id>.<unique-id>
oracle.ingestedtime A hora em que o log foi ingerido pelo OCI Logging. 2020-08-31T23:53:54Z
oracle.loggroupid OCID do grupo de logs. ocid1.loggroup.oc1.<region-id>.<unique-id>
oracle.logid OCID do log. ocid1.log.oc1.<region-id>.<unique-id>
oracle.tenantid OCID do tenant. ocid1.tenancy.oc1..<region-id>.<unique-id>
oracle.vniccompartmentocid OCID do compartimento ao qual a VNIC pertence. ocid1.compartment.oc1..<region-id>.<unique-id>
oracle.vnicocid OCID da VNIC. ocid1.vnic.oc1.<region-id>.<unique-id>
oracle.vnicsubnetocid OCID da sub-rede à qual a VNIC pertence. ocid1.subnet.oc1.<region-id>.<unique-id>
specversion Versão do esquema de registro em log do OCI. 1.0
time O mesmo que startTime. 2020-08-31T23:52:35Z
type Categoria de log: DataEvent, QualityEvent.NoData ou QualityEvent.SkipData. com.oraclecloud.vcn.flowlogs.DataEvent

Limitações e Considerações

  • Talvez algum tráfego não seja registrado durante uma janela de captura em decorrência de problemas de capacidade ou erros do sistema. NODATA ou status de log de SKIPDATA são registrados nesses casos.
  • Alguns serviços gerenciam VNICs. Por exemplo, o serviço Load Balancing gerencia VNICs anexadas a balanceadores de carga. Os logs de fluxo para VNICs gerenciadas são capturados e identificados pelo ID da VNIC. No entanto, os logs de fluxo não incluem um campo para indicar a qual serviço essas VNICs pertencem.
  • Para tráfego pelo IP público de uma instância de computação, o fluxo registra o IP privado correspondente.
  • Os logs de fluxo podem ser ativados no recurso de sub-rede, com a categoria todos ou uma sub-rede. Não existem diferenças nos fluxos capturados nessas categorias.

Usando a CLI

Consulte Exemplo de Logs de Fluxo da VCN para obter exemplos de comandos.