本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用中转网关流日志记录网络流量
利用流日志功能,您可以获取传入和传出您的中转网关的 IP 流量信息。流日志数据可以发布到亚马逊 CloudWatch 日志、亚马逊 S3 或 Firehose。在创建流日志后,您可以在所选的目标中检索和查看其数据。流日志数据是在网络流量路径之外收集的,因此不会影响网络吞吐量或延迟。您可以创建或删除流日志,而不会对网络性能造成任何影响。Transit Gateway 流日志仅捕获与中转网关有关的信息,详见Transit Gateway 流日志记录中所述。要捕获有关在您的 VPC 中传入和传出网络接口的 IP 流量的信息,请使用 VPC 流日志。请参阅《Amazon VPC 用户指南》中的使用 VPC 流日志记录 IP 流量。
注意
要创建中转网关流日志,您必须是中转网关的所有者;如果您不是中转网关的所有者,则中转网关所有者必须您授予了权限。
中转网关的流日志数据保存为流日志记录,即日志事件,由多个描述流量信息的字段组成。有关更多信息,请参阅 Transit Gateway 流日志记录。
要创建流日志,请指定:
-
要为其创建流日志的资源
-
指定您要将流日志数据发布到的目标
创建流日志后,需要几分钟来开始收集数据并将数据发布到选定目标。流日志不会为您的中转网关获取实时日志流。有关更多信息,请参阅 创建流日志。
您可以将标签应用于流日志。每个标签都包含您定义的一个键和一个可选值。标签可以帮助您整理流日志,例如按目的或拥有者。
如果您不再需要某个流日志,可将其删除。删除流日志会禁用该资源的流日志服务,并且不会创建新的流日志记录或将其发布到 CloudWatch 日志或 Amazon S3。删除流日志不会删除传输网关的任何现有流日志记录或日志流(对于 CloudWatch 日志)或日志文件对象(对于 Amazon S3)。要删除现有的日志流,请使用 CloudWatch 日志控制台。要删除现有日志文件对象,请使用 Amazon S3 控制台。在删除流日志之后,可能需要数分钟时间来停止收集数据。有关更多信息,请参阅 删除流日志。
内容
Transit Gateway 流日志记录
流日志记录代表您的中转网关中的网络流。每条记录都是一个字符串,字段用空格分隔。记录包含网络流的不同的结构信息,包括源、目标和协议。
当您创建流日志时,您可以为流日志记录使用默认格式,也可以指定自定义格式。
默认格式
使用默认格式,流日志记录包括所有版本 2 到版本 6 字段,顺序如可用字段表中所示。您无法自定义或更改默认格式。要捕获其他字段或不同字段子集,请指定自定义格式。
自定义格式
使用自定义格式,您可以指定流日志记录中包含哪些字段以及采用哪种顺序。这使您可以根据具体需求创建流日志,并忽略无关的字段。使用自定义格式,还可减少从发布的流日志提取特定信息所需的单独流程。您可以指定任意数量的可用流日志字段,但必须至少指定一个。
可用字段
下表描述了中转网关流日志记录的所有可用字段。版本列表示在哪个版本中引入了该字段。
将流日志数据发布到 Amazon S3 时,字段的数据类型将取决于流日志格式。如果格式为纯文本,则所有字段的类型均为 STRING。如果格式为 Parquet,请参阅字段数据类型表。
如果某个字段不适用于或无法计算特定记录,则记录为该条目显示一个“-”符号。不直接来自数据包标头的元数据字段是最大努力的近似值,它们的值可能缺失或不准确。
| 字段 | 描述 | 版本 |
|---|---|---|
|
version |
表示在哪个版本中引入了该字段。默认格式包括所有版本 2 字段,与它们在表格中出现的顺序相同。 Parquet 数据类型:INT_32 |
2 |
| resource-type | 在其上创建订阅的资源的类型。可以是 TransitGateway 或 TransitGatewayAttachment。 Parquet 数据类型:STRING |
6 |
| account-id |
源传输网关所有者的 Amazon Web Services 账户 ID。 Parquet 数据类型:STRING |
2 |
|
tgw-id |
正在记录其流量的中转网关的 ID。 Parquet 数据类型:STRING |
6 |
|
tgw-attachment-id |
正在记录其流量的中转网关连接的 ID。 Parquet 数据类型:STRING |
6 |
|
tgw-src-vpc-account-id |
源 VPC 流量的 Amazon Web Services 账户 ID。 Parquet 数据类型:STRING |
6 |
|
tgw-dst-vpc-account-id |
目标 VPC 流量的 Amazon Web Services 账户 ID。 Parquet 数据类型:STRING |
6 |
|
tgw-src-vpc-id |
中转网关的源 VPC 的 ID。 Parquet 数据类型:STRING |
6 |
|
tgw-dst-vpc-id |
中转网关的目标 VPC 的 ID。 Parquet 数据类型:STRING |
6 |
|
tgw-src-subnet-id |
中转网关源流量的子网 ID。 Parquet 数据类型:STRING |
6 |
|
tgw-dst-subnet-id |
中转网关目标流量的子网 ID。 Parquet 数据类型:STRING |
6 |
| tgw-src-eni |
流的源中转网关连接 ENI 的 ID。 Parquet 数据类型:STRING |
6 |
| tgw-dst-eni | 流的目标中转网关连接 ENI 的 ID。 Parquet 数据类型:STRING |
6 |
|
tgw-src-az-id |
包含记录其流量的源中转网关的可用区的 ID。如果流量来自子位置,则记录会对此字段显示“-”符号。 Parquet 数据类型:STRING |
6 |
|
tgw-dst-az-id |
包含记录其流量的目标中转网关的可用区的 ID。 Parquet 数据类型:STRING |
6 |
| tgw-pair-attachment-id |
根据流向的不同,这要么是流量的出口连接 ID,要么是入口连接 ID。 Parquet 数据类型:STRING |
6 |
|
srcaddr |
传入流量的源地址。 Parquet 数据类型:STRING |
2 |
|
dstaddr |
传出流量的目标地址。 Parquet 数据类型:STRING |
2 |
|
srcport |
流量的源端口。 Parquet 数据类型:INT_32 |
2 |
|
dstport |
流量的目标端口。 Parquet 数据类型:INT_32 |
2 |
|
protocol |
流量的 IANA 协议编号。有关更多信息,请参阅分配的 Internet 协议编号 Parquet 数据类型:INT_64 |
2 |
|
packets |
在流中传输的数据包的数量。 Parquet 数据类型:INT_64 |
2 |
|
bytes |
在流中传输的字节数。 Parquet 数据类型:INT_64 |
2 |
|
start |
在聚合时间间隔内,接收流的第一个数据包的时间(以 Unix 秒为单位)。在中转网关传输或收到数据包之后,最多 60 秒。 Parquet 数据类型:INT_64 |
2 |
|
end |
在聚合时间间隔内,接收流的最后一个数据包的时间(以 Unix 秒为单位)。在中转网关传输或收到数据包之后,最多 60 秒。 Parquet 数据类型:INT_64 |
2 |
| log-status |
流日志的状态:
Parquet 数据类型:STRING |
2 |
| type |
流量的类型。可能的值包括 IPv4、IPv6 和 EFA 有关更多信息,请参阅《适用于 Linux 实例的 Amazon EC2 用户指南》中的 Elastic Fabric Adapter。 Parquet 数据类型:STRING |
3 |
|
packets-lost-no-route |
由于未指定路由而丢失的数据包。 Parquet 数据类型:INT_64 |
6 |
|
packets-lost-blackhole |
数据包由于黑洞而丢失。 Parquet 数据类型:INT_64 |
6 |
|
packets-lost-mtu-exceeded |
由于大小超过 MTU 而丢失的数据包。 Parquet 数据类型:INT_64 |
6 |
|
packets-lost-ttl-expired |
由于的过期,数据包丢失 time-to-live。 Parquet 数据类型:INT_64 |
6 |
|
tcp-flags |
以下 TCP 标志的位掩码值:
重要当流日志条目仅包含 ACK 数据包时,标记值为 0,而不是 16。 有关 TCP 标志的一般信息(例如 FIN、SYN 和 ACK 等标志的含义),请参阅 Wikipedia 上的 TCP 分段结构 在聚合时间间隔内,TCP 标志可以是 OR-ed。对于短连接,标志必须在与流日志记录相同的行上设置,例如,对于 SYN-ACK 和 FIN 的 19,以及对于 SYN 和 FIN 的 3。 Parquet 数据类型:INT_32 |
3 |
|
region |
包含记录其流量的中转网关的区域。 Parquet 数据类型:STRING |
4 |
|
flow-direction |
相对于捕获流量的接口而言流的方向。可能的值包括:ingress | egress。 Parquet 数据类型:STRING |
5 |
|
pkt-src-aws-service |
srcaddr如果源 IP 地址用于 Amazon 服务,则为 IP 地址范围子集的名称。可能的值包括:AMAZON | AMAZON_APPFLOW | AMAZON_CONNECT | API_GATEWAY | CHIME_MEETINGS | CHIME_VOICECONNECTOR | CLOUD9 | CLOUDFRONT | CODEBUILD | DYNAMODB | EBS | EC2 | EC2_INSTANCE_CONNECT | GLOBALACCELERATOR | KINESIS_VIDEO_STREAMS | ROUTE53 | ROUTE53_HEALTHCHECKS | ROUTE53_HEALTHCHECKS_PUBLISHING | ROUTE53_RESOLVER | S3 | WORKSPACES_GATEWAYS。 Parquet 数据类型:STRING |
5 |
| pkt-dst-aws-service | 如果目标 IP 地址用于 Amazon 服务,则为该dstaddr字段的 IP 地址范围子集的名称。有关可能的值的列表,请参阅 pkt-src-aws-service 字段。 Parquet 数据类型:STRING |
5 |
中转网关流日志定价
发布中转网关流日志时,将收取已出售日志的数据摄取和存储费用。有关发布销售日志时定价的更多信息,请打开 Amazon P CloudWatch