我的书签
添加书签
移除书签流日志记录
流日志记录代表您的流日志中的网络流。每个记录捕获特定捕获窗口中的特定 5 元组的网络流。5 元组是一组 5 个不同的值,指定 Internet 协议 (IP) 流的源、目标和协议。捕获窗口是一段持续时间,在这段时间内流日志服务会聚合数据,然后再发布流日志记录。捕获窗口大约为 10 分钟,但最长可以为 15 分钟。
流日志记录语法
流日志记录是以空格分隔的字符串,采用以下格式:
<version> <account-id> <interface-id> <srcaddr> <dstaddr> <srcport> <dstport> <protocol> <packets> <bytes> <start> <end> <action> <log-status>
下表描述了流日志记录的各个字段。
| 字段 | 描述 |
|---|---|
| version | VPC 流日志版本。 |
| account-id | 流日志的 AWS 账户 ID。 |
| interface-id | 为其记录流量的网络接口的 ID。 |
| srcaddr | 源 IPv4 或 IPv6 地址。网络接口的 IPv4 地址始终是其私有 IPv4 地址。 |
| dstaddr | 目标 IPv4 或 IPv6 地址。网络接口的 IPv4 地址始终是其私有 IPv4 地址。 |
| srcport | 流量的源端口。 |
| dstport | 流量的目标端口。 |
| protocol | 流量的 IANA 协议编号。有关更多信息,请参阅分配的 Internet 协议编号。 |
| packets | 捕获窗口中传输的数据包的数量。 |
| bytes | 捕获窗口中传输的字节数。 |
| start | 捕获窗口启动的时间,采用 Unix 秒的格式。 |
| end | 捕获窗口结束的时间,采用 Unix 秒的格式。 |
| action | 与流量关联的操作:ACCEPT:安全组或网络 ACL 允许记录的流量。REJECT:安全组或网络 ACL 未允许记录的流量。 |
| log-status | 流日志的日志记录状态:OK:数据正常记录到选定目标。NODATA:捕获窗口中没有传入或传出网络接口的网络流量。SKIPDATA:捕获窗口中跳过了一些流日志记录。这可能是由于内部容量限制或内部错误。 |
注意
如果某个字段不适用于特定记录,则记录为该条目显示一个“-”符号。
