什么是 VPC 流日志?
13399
Created On 01/11/19 20:11 PM - Last Modified 03/26/21 17:30 PM
Question
什么是 VPC 流日志?
Environment
Prisma Cloud
Answer
VPC 流量日志提供网络流量的 单向 记录。 他们会告诉你数据包从 A 流到 B ,并在一个单独的记录包流 B 从到 A ,但他们不会告诉你哪个端点启动了对话。 它们无法直接了解任何对话中的哪个端点是服务器。
您可以查看哪个流记录的时戳较低,并假设该记录中的源是客户端 VPC ,但在流日志的情况下,日志收集通过几分钟的窗口进行聚合,从而消除了使此成为可靠指示器所需的精度。 此外,出现在批次日志边界上的长寿命连接和连接将击败这种启发式连接。
我们还可以考虑其他因素,例如源端口与目的地端口。 我们还可以比较特定端点和端口的不同同行的计数 IP
Prisma Cloud 。 评估所有这些条件,加上其他条件,每个指标都有权重和历史偏见。 但最终,这些措施是启发式的,并不完美。