流日志记录

流日志记录代表您的流日志中的网络流。每个记录捕获特定捕获窗口中的特定 5 元组的网络流。5 元组是一组 5 个不同的值,指定 Internet 协议 (IP) 流的源、目标和协议。捕获窗口是一段持续时间,在这段时间内流日志服务会聚合数据,然后再发布流日志记录。捕获窗口大约为 10 分钟,但最长可以为 15 分钟。

流日志记录语法

流日志记录是以空格分隔的字符串,采用以下格式:

<version> <account-id> <interface-id> <srcaddr> <dstaddr> <srcport> <dstport> <protocol> <packets> <bytes> <start> <end> <action> <log-status>

下表描述了流日志记录的各个字段。

字段 描述
version VPC 流日志版本。
account-id 流日志的 AWS 账户 ID。
interface-id 为其记录流量的网络接口的 ID。
srcaddr 源 IPv4 或 IPv6 地址。网络接口的 IPv4 地址始终是其私有 IPv4 地址。
dstaddr 目标 IPv4 或 IPv6 地址。网络接口的 IPv4 地址始终是其私有 IPv4 地址。
srcport 流量的源端口。
dstport 流量的目标端口。
protocol 流量的 IANA 协议编号。有关更多信息,请参阅分配的 Internet 协议编号
packets 捕获窗口中传输的数据包的数量。
bytes 捕获窗口中传输的字节数。
start 捕获窗口启动的时间,采用 Unix 秒的格式。
end 捕获窗口结束的时间,采用 Unix 秒的格式。
action 与流量关联的操作:ACCEPT:安全组或网络 ACL 允许记录的流量。REJECT:安全组或网络 ACL 未允许记录的流量。
log-status 流日志的日志记录状态:OK:数据正常记录到选定目标。NODATA:捕获窗口中没有传入或传出网络接口的网络流量。SKIPDATA:捕获窗口中跳过了一些流日志记录。这可能是由于内部容量限制或内部错误。

注意

如果某个字段不适用于特定记录,则记录为该条目显示一个“-”符号。

results matching ""

    No results matching ""

    results matching ""

      No results matching ""