取得フィルタ
取得フィルタを使用して、フローログまたはVTAPに含めるトラフィックを選択します。
フロー・ログ取得フィルタとVTAP取得フィルタの2つのタイプの取得フィルタを作成できます。どちらのタイプも、パケットを含めるか除外するルールを使用します。フロー・ログの取得フィルタでは、サンプリング・レートも指定できます。
取得フィルタは、多くのVTAPまたはフローログで使用できます。取得フィルタの構成を変更すると、その取得フィルタを使用するすべてのリソースが影響を受けます。リソースでは、適切なタイプの取得フィルタのみを使用できます。たとえば、フロー・ログでVTAP取得フィルタを使用することはできません。
詳細は、VCNフロー・ログおよび仮想テスト・アクセス・ポイントを参照してください。
サンプリング率
フロー・ログ取得フィルタを作成するときに、サンプリング・レートを指定できます。取得フィルタ・サンプリング・レートは、フロー・ログで取得するネットワーク・フローの割合を制御します。次に、取得フィルタによってルールが適用され、フロー内のパケットがロギングの対象または対象外になります。
ルール
取得フィルタには少なくとも1つのルールが必要であり、最大10個のルールを含めることができます。取得フィルタ・ルールは、定義した順序で調査されます。一致が見つかると、そのルールが適用されます。特定のルールで一致が見つからない場合、順序内の次のルールが評価され、一致すれば実行されます。ルールの順序を変更すると、取得フィルタの動作を変更できます。取得フィルタでは、次のタイプの基準に基づいてアクション(パケットを含めるか除外するか)を実行できます:
- パケットは、イングレスまたはエグレス・トラフィックの一部です
- パケットは、特定のソースまたは宛先のIPv4 CIDRブロックまたはIPv6接頭辞を宛先とするか、そこから送信されます
- パケットは、トラフィックで使用される特定のIPプロトコル・パラメータ(TCPまたはUDPポート範囲、 ICMP、 ICMPv6)、または任意のプロトコル(デフォルトのAllを使用)を使用します
ルールでCIDRブロック、接頭辞またはIPプロトコルが指定されていない場合、そのルールではすべてのIPアドレスまたはIPプロトコルが受け入れられます。
次に、一連のルールを構成する方法の実例を示します。目的として、10.1.0.0/16からのトラフィックは、除外する10.1.1.1以外はすべて含めます:
- ソースCIDR: 10.1.1.1/32、除外
- ソースCIDR: 10.1.0.0/16、含める
- ソースCIDR: 10.1.1.0/24、含める
取得フィルタは、定義された順序内のルールに対してトラフィックの各パケットを評価します。10.1.1.1からのパケットは、最初のルールに一致し、ミラー化されたトラフィックから除外されます。パケットは、セット内のその他のルールに対しては比較されません。ルール・セットは目的どおりに機能します。
最初のルールを順序内で3番目に移動すると、一連のルールが目的どうりに機能しなくなります:
- ソースCIDR: 10.1.0.0/16、含める
- ソースCIDR: 10.1.1.0/24、含める
- ソースCIDR: 10.1.1.1/32、除外
取得フィルタ・ルールは、定義された順序でトラフィックの各パケットを評価するため、この場合10.1.1.1からのパケットは最初のルールに一致し、ミラー化されたトラフィックに含まれます。それ以降のルール評価はスキップされます。この例ではCIDRブロックを使用していますが、どのソース・タイプを選択しても、ルールは同様に評価されます。
パケットがどのルールにも一致しない場合、パケットは無視され、ログには含まれません。ルールで特に指定されていないパケットをログに含める場合は、0.0.0.0/0のソースCIDRのIncludeルールを作成できます。これにより、以前のルールで取得されていないログ内の残りのパケットが取得されます。
次に例を示します。目的は、10.1.1.1からのすべてのトラフィックが除外され、その他すべてが含まれることです。
- ソースCIDR: 10.1.1.1/32、除外
- ソースCIDR: 0.0.0.0/0、含める
0.0.0.0/0を使用してパケットをログに記録すると、大量のログ・データが生成される可能性があります。