Documentation Oracle Cloud Infrastructure

VCN Flow Logs

Utilisez les journaux de flux VCN pour capturer les informations sur le trafic réseau afin de répondre aux besoins de surveillance et de sécurité.

Points clés

  • Les journaux de flux VCN affichent des détails sur le trafic qui passe par un VCN.
  • Les journaux de flux VCN vous aident à auditer le trafic et à dépanner les listes de sécurité.
  • Activez et gérez les journaux de flux à partir de Network Command Center.
  • Utilisez des filtres de capture pour évaluer et sélectionner le trafic à inclure dans le journal de flux.
  • Les journaux de flux exploitent le service Logging pour envoyer les informations de journal à un groupe de journaux spécifié. Pour plus d'informations, reportez-vous à Présentation de Logging.
  • Activez les journaux de flux pour toutes les cartes d'interface réseau virtuelles d'un VCN ou d'un sous-réseau, ou des instances spécifiques à la cible, des équilibreurs de charge réseau ou des cartes d'interface réseau virtuelles de ressource en tant que points d'activation.

Présentation

Chaque ressource d'un VCN possède une ou plusieurs cartes d'interface réseau virtuelles (VNIC). Le service Networking utilise des listes de sécurité pour décider du trafic autorisé via une carte d'interface réseau virtuelle particulière. La carte d'interface réseau virtuelle est soumise à toutes les règles de toutes les listes de sécurité associées à son sous-réseau.

Pour vous aider à dépanner les listes de sécurité ou à auditer le trafic entrant et sortant des cartes d'interface réseau virtuelles, vous pouvez configurer des journaux de flux VCN. Les journaux de flux enregistrent les détails relatifs au trafic accepté ou rejeté en fonction des règles de liste de sécurité.

Activation et transmission des journaux de flux

Les journaux de flux sont activés dans Network Command Center et exploitent le service Logging pour stocker les journaux de flux dans un groupe de journaux. Les groupes de journaux sont des conteneurs logiques que vous utilisez pour gérer et organiser les journaux de flux.

Vous avez le choix entre quatre types de point d'activation :
  • Réseau cloud virtuel (VCN) : le trafic est consigné pour les cartes d'interface réseau virtuelles existantes et futures dans tous les sous-réseaux du VCN.
  • Sous-réseau : le trafic est consigné pour les cartes d'interface réseau virtuelles existantes et futures dans ce sous-réseau.
  • VNIC : le trafic est consigné pour des cartes d'interface réseau virtuelles spécifiques dans un VCN.
  • Ressources : le trafic est journalisé pour une instance ciblée ou un équilibreur de charge réseau dans un VCN.
Chaque enregistrement de journal de flux contient des informations sur le trafic d'une carte d'interface réseau virtuelle unique.

Les journaux de flux utilisent des filtres de capture pour sélectionner les éléments inclus dans le trafic journalisé. A l'aide d'un filtre de capture, vous pouvez indiquer le pourcentage de flux réseau à capturer (taux d'échantillonnage). Vous pouvez également créer des règles pour inclure ou exclure des paquets en fonction de critères que vous spécifiez. Un filtre de capture doit comporter entre une et dix règles. Les règles de filtre de capture sont examinées dans l'ordre que vous définissez. Lorsqu'une correspondance est trouvée, la règle concernée est appliquée. En l'absence de correspondance avec une règle particulière, la règle suivante est évaluée et exécutée en cas de correspondance. La réorganisation des règles peut modifier le comportement du filtre de capture. Pour plus d'informations, voir Filtres de capture.

Une fois les journaux de flux activés, un batch de journaux de flux est collecté pour chaque VNIC, à la vitesse d'échantillonnage indiquée dans le filtre de capture du journal.

Vous pouvez visualiser le contenu du journal de flux et gérer les journaux de flux et les groupes de journaux à partir du centre de commande réseau ou de la page du service Logging. Vous pouvez afficher et gérer les filtres de capture à partir de Network Command Center.

Contenu d'un journal de flux

Chaque enregistrement de journal de flux reflète le trafic consigné dans une direction d'une connexion entre deux adresses. Par exemple, pour une connexion TCP unique, vous pouvez avoir deux enregistrements dans la fenêtre de capture : l'un pour le trafic entrant et l'autre pour le trafic sortant.

Pour obtenir plus d'informations sur le contenu des journaux de flux, connaître les limites et d'autres remarques en lien, et consulter des exemples, reportez-vous à Détails relatifs aux journaux de flux de réseau cloud virtuel.