Oracle Cloud Infrastructureドキュメント

VCNフロー・ログの詳細

VCNフロー・ログのロギング詳細。

リソース

  • 仮想クラウド・ネットワーク(VCN)

  • サブネット

  • VNIC

ログ・カテゴリ

API値(ID): コンソール(表示名) 説明
all フロー・ログ(すべてのレコード) サブネット内の既存および将来のVNICについてトラフィックが記録されます。
vcn フロー・ログ- vcnレコード トラフィックは、VCN内のすべてのサブネットの既存および将来のVNICについて記録されます。
サブネット フロー・ログ- サブネット・レコード サブネット内の既存および将来のVNICについてトラフィックが記録されます。サブネット内の既存および将来のVNICについて記録される allカテゴリと同様です。
vnic フロー・ログ- vnicレコード VCN内の特定のVNICのトラフィックが記録されます。

可用性

VCNフロー・ログは、商用レルムのすべてのリージョンで使用できます。Government Cloudレルムの可用性の詳細は、Oracle Cloud Infrastructure Government Cloudの項を参照してください。

コメント

VCN内の各インスタンスには、1つ以上の仮想ネットワーク・インタフェース・カード(VNIC)があります。ネットワーキング・サービスは、セキュリティ・ルールを使用して、特定のVNICを介して許可されるトラフィックを決定します。セキュリティ・ルールは、セキュリティ・リストまたはネットワーク・セキュリティ・グループを使用して定義できます。

VNIC内外に向かうトラフィックのトラブルシューティングに役立てるために、VCNフロー・ログを設定できます。フロー・ログには、VCNに設定されたセキュリティ・ルールに基づいて受け入れられたトラフィックまたは拒否されたトラフィックに関する詳細が記録されます。

フロー・ログは、特定のサブネットに対して有効にできます。つまり、そのサブネット内の既存および将来のすべてのVNICに対するトラフィックがログに記録されます。各フロー・ログには、単一のVNICのトラフィックに関する情報が含まれます。

ノート

リンクローカル(169.254.0.0/16) IPアドレスでホストされているコアOracleインフラストラクチャ・サービスに対する特定のトラフィックは、フロー・ログに表示されません。これには、VCN DNS、DHCP、ブロック・ストレージなどのアイテムが含まれます。また、ARPなどのネットワーク管理トラフィックも除外されます。

VCNフロー・ログの使用方法の詳細は、VCNフロー・ログを参照してください。

VCNフロー・ログの内容

フロー・ログ・レコードには、次のフィールドが含まれます:

プロパティ 説明 サンプル値
data.action

レコードのタイプ。使用可能な値:

  • ACCEPT: このレコードのトラフィックは、セキュリティ・リストによって受け入れられました。
  • REJECT: このレコードのトラフィックは、セキュリティ・リストによって拒否されました。
 ACCEPT
data.bytesOut 取得ウィンドウで記録されたバイト数。 17114
data.destinationAddress

宛先のIPアドレス(IPv4ドット表記またはIPv6コロン表記)。

ノート: 顧客の仮想クラウド・ネットワークでIPv6トラフィックが検出されると、IPV4値の現在の場所のかわりに、IPV6アドレス値を持つフロー・ログ・エントリが生成されます。ソース・アドレスと宛先アドレスは、顧客のVCNに存在する構成およびトラフィックに基づいて、IPv4またはIPv6のいずれかです。このデータは、IPv6サポートが使用可能であり、顧客によって構成されているリージョンでのみ使用できます。

10.0.99.4

8222:91f5:88bb:2bf0:94a:e71b:65d3:4bd7
data.destinationPort 宛先のIANAポート番号 36266
data.endTime UNIXエポック秒での取得ウィンドウの終了時間。 1598917970
data.flowid キー・フィールドのハッシュ(ソースと宛先のアドレス、ポートおよびプロトコル)。 a6a73770
data.packets 取得ウィンドウで記録されたパケット数。 250
data.protocol IANAプロトコル番号。 6
data.protocolName プロトコルのIANA名。 TCP
data.sourceAddress

ソースのIPアドレス(IPv4ドット表記またはIPv6コロン表記)。

data.destinationAddressの説明のノートを参照してください。

123.0.0.1

1fde:9f1c:2433:4038:68fc:e0b:73f3:3b3b
data.sourcePort ソースのIANAポート番号 443
data.startTime

UNIXエポック秒での取得ウィンドウの開始時間。

UNIXエポック時間は、過去の固定時点を使用して現在時間を参照します。現在時間の毎秒は、1576090259 (2019年12月11日水曜日6:50:59 PM GMT)などの数値で表すことができます。

各フロー・ログ・レコードは、データ・フローの1分間隔(0から59秒)を記録し、エポック開始時間および終了時間を使用してそのレコードの60秒間隔の間にデータが出現する時間を示します。140秒の固定間隔中のデータ・フローに対して出現するエポック時間エントリについて考えてみます。特定の1分が経過した5秒後に、ホストへの接続を開き、次の140秒(3分、3レコード未満)の間、その接続でデータの継続的な送信を開始します。

エポック開始時間および終了時間は、次のようにログに出現します:

  • 最初のレコードには、分マークの5秒後にエポック開始時間が、その分の最後(54秒後)にエポック終了時間が示されます。
  • 次のレコードには、0秒マークにエポック開始時間が、その分の最後(59秒後)にエポック終了時間が示されます。この場合、データが継続的に送信されたと想定しています。送信が断続的であった場合、エポック時間は、その60秒間隔(絶対時間)の間に発生した最初と最後の秒のデータ・フローを反映します。
  • 最後のレコードには、0秒マークにエポック開始時間が、20秒後にエポック終了時間が示されます(フローの合計存続期間は140秒のみで、20秒は各レコードで3番目の1分ロギング間隔に記録されるためです)。
 1598917969
data.status

データ取得ウィンドウのステータス。使用可能な値:

  • OK: 通常のパケット・ログ。
  • NODATA: 取得ウィンドウ中にトラフィックは記録されませんでした。この場合、次のデータ・フィールドのみが設定されます: endTime、startTime、statusおよびversion。残りのデータ・フィールドはnullに設定されます: action、bytesOut、destinationAddress、destinationPort、flowid、packets、protocol、protocolName、sourceAddressおよびsourcePort。
  • SKIPDATA: システム・エラーまたは容量の問題のため、取得ウィンドウ中に一部のトラフィックは記録されませんでした。この場合、データ・フィールドendTime、startTime、statusおよびversionのみが設定され、残りのデータ・フィールドはnullに設定されます。フロー・ログには、取得ウィンドウで受け入れられたトラフィックまたは拒否されたトラフィックに関する他のレコードが含まれることがあります。
 OK
data.version フロー・ログ・レコード・スキーマのバージョン。 2
datetime ミリ秒単位のタイムスタンプ。oracle.ingestedtimeフィールドと同じですが、ミリ秒単位です。 1598917955000
id 各ログ・エントリに固有のランダムUUID。 abcdabcd-abcd-abcd-abcd-abcdabcdabcd
oracle.compartmentid ログ・グループが存在するコンパートメントのOCID。 ocid1.compartment.oc1.<region-id>.<unique-id>
oracle.ingestedtime OCIロギングによってログが収集された時間。 2020-08-31T23:53:54Z
oracle.loggroupid ログ・グループのOCID。 ocid1.loggroup.oc1.<region-id>.<unique-id>
oracle.logid ログのOCID。 ocid1.log.oc1.<region-id>.<unique-id>
oracle.tenantid テナントのOCID。 ocid1.tenancy.oc1..<region-id>.<unique-id>
oracle.vniccompartmentocid VNICが属するコンパートメントのOCID。 ocid1.compartment.oc1..<region-id>.<unique-id>
oracle.vnicocid VNICのOCID。 ocid1.vnic.oc1.<region-id>.<unique-id>
oracle.vnicsubnetocid VNICが属するサブネットのOCID。 ocid1.subnet.oc1.<region-id>.<unique-id>
specversion OCIロギング・スキーマ・バージョン。 1.0
time startTimeと同じ。 2020-08-31T23:52:35Z
type ログのカテゴリ: DataEvent、QualityEvent.NoDataまたはQualityEvent.SkipData。 com.oraclecloud.vcn.flowlogs.DataEvent

制限事項および考慮事項

  • 容量の問題またはシステム・エラーのため、取得ウィンドウ中に一部のトラフィックがログに記録されない場合があります。このような場合、NODATAまたはSKIPDATAのログ・ステータスが記録されます。
  • 一部のサービスはVNICを管理します。たとえば、ロード・バランシング・サービスは、ロード・バランサにアタッチされたVNICを管理します。管理対象VNICのフロー・ログが取得され、VNIC IDによって識別されます。ただし、フローログには、そのようなVNICが属するサービスを示すフィールドが含まれていません。
  • コンピュート・インスタンスのパブリックIPを介したトラフィックの場合、フロー・ログには対応するプライベートIPが記録されます。
  • フロー・ログは、カテゴリallまたはサブネットのいずれかで、サブネット・リソースで有効にできます。これらのカテゴリで取得されたフローに差異はありません。

CLIの使用

コマンドの例は、VCNフロー・ログの例を参照してください。