Amazon VPC流日志是一项功能强大的网络监控工具,用于捕获VPC中网络接口的IP流量信息,可为VPC、子网或网络接口创建流日志,选择捕获接受、拒绝或所有流量。可以选择将流日志发布到CloudWatch Logs、S3或Data Firehose。流日志支持默认格式和自定义格式。流日志不影响网络吞吐量和延迟,创建或删除不会影响网络性能。流日志对于排查网络配置问题、检测异常活动以及优化网络性能都具有重要意义。
在高流量的VPC中,流日志会迅速积累,导致存储成本上升和查询变慢。您需要制定合理的日志保留策略,并考虑使用S3生命周期规则来管理数据。充分理解日志延迟,日志通常5分钟内交付到CloudWatch Logs、10分钟内交付到S3,但可能延迟。创建流日志后无法修改配置,需删除重建,且IAM权限不够精细,易出现权限不足或过度授权。原始日志的可读性较差。流量信息是原始的元数据记录,直接阅读效率低下。通常需要借助Amazon Athena或CloudWatch Logs Insights等分析工具进行查询和可视化。流日志本身不会发出警报。它仅被动记录,无法直接通知您网络攻击或异常。您必须结合CloudWatch或使用第三方安全分析工具,才能实现主动监控。
Amazon VPC流日志记录DNS流量和实例元数据服务流量,但通常不记录 AWS 内部系统(如NTP)的流量,也不记录 DHCP 流量。记住日志的四个核心字段:srcaddr、dstaddr、srcport、dstport。深刻理解“动作”字段的ACCEPT和REJECT含义及区别。熟悉将流日志发送到S3和CloudWatch Logs的两种主要场景及其用途,S3适合长期存储和大规模分析,而CloudWatch 便于实时监控和集成警报。流日志本身不具备实时威胁阻断能力,需要结合其它 AWS 服务(如GuardDuty、Traffic Mirroring)构建纵深防御。