取得フィルタ
取得フィルタを使用して、フロー・ログまたはVTAPに含めるトラフィックを選択します。
取得フィルタには、フロー・ログ取得フィルタとVTAP取得フィルタの2つのタイプを作成できます。どちらのタイプも、パケットを含めるか除外するルールを使用します。フロー・ログ取得フィルタでは、サンプリング・レートも指定できます。
取得フィルタは、多くのVTAPまたはフローログで使用できます。取得フィルタの構成を変更すると、その取得フィルタを使用するすべてのリソースが影響を受けます。適切なタイプの取得フィルタは、リソースでのみ使用できます。たとえば、フロー・ログでVTAP取得フィルタを使用することはできません。
詳細は、VCNフロー・ログおよび仮想テスト・アクセス・ポイントを参照してください。
サンプリング・レート
フロー・ログ取得フィルタを作成するときに、サンプリング・レートを指定できます。取得フィルタのサンプリング・レートは、フロー・ログで取得するネットワーク・フローの割合を制御します。次に、取得フィルタによってルールが適用され、フロー内のパケットをロギングの対象または除外にします。
ルール
取得フィルタには少なくとも1つのルールが必要であり、最大10個のルールを含めることができます。取得フィルタ・ルールは、定義した順序で調査されます。一致が見つかると、そのルールが適用されます。特定のルールで一致が見つからない場合、順序内の次のルールが評価され、一致すれば実行されます。ルールの順序を変更すると、取得フィルタの動作を変更できます。取得フィルタでは、次のタイプの基準に基づいてアクション(パケットを含めるか除外するか)を実行できます:
- パケットは、イングレスまたはエグレス・トラフィックの一部です
- パケットは、特定のソースまたは宛先のIPv4 CIDRブロックまたはIPv6接頭辞を宛先とするか、そこから送信されます
- このパケットは、トラフィックで使用される特定のIPプロトコル・パラメータ(TCPまたはUDPポート範囲、ICMP、ICMPv6)、または任意のプロトコル(デフォルトのAllを使用)を使用します
ルールでCIDRブロック、接頭辞またはIPプロトコルが指定されていない場合、そのルールではすべてのIPアドレスまたはIPプロトコルが受け入れられます。
次に、一連のルールを構成する方法の実例を示します。目的として、10.1.0.0/16からのトラフィックは、除外する10.1.1.1以外はすべて含めます:
- ソースCIDR: 10.1.1.1/32、除外
- ソースCIDR: 10.1.0.0/16、含める
- ソースCIDR: 10.1.1.0/24、含める
取得フィルタは、定義された順序内のルールに対してトラフィックの各パケットを評価します。10.1.1.1からのパケットは、最初のルールに一致し、ミラー化されたトラフィックから除外されます。パケットは、セット内のその他のルールに対しては比較されません。ルール・セットは目的どおりに機能します。
最初のルールを順序内で3番目に移動すると、一連のルールが目的どうりに機能しなくなります:
- ソースCIDR: 10.1.0.0/16、含める
- ソースCIDR: 10.1.1.0/24、含める
- ソースCIDR: 10.1.1.1/32、除外
取得フィルタ・ルールは、定義された順序でトラフィックの各パケットを評価するため、この場合10.1.1.1からのパケットは最初のルールに一致し、ミラー化されたトラフィックに含まれます。それ以降のルール評価はスキップされます。この例ではCIDRブロックを使用しますが、ルールはどのソース・タイプを選択しても同じ方法で評価されます。
パケットがどのルールとも一致しない場合、そのパケットは無視され、ログには含まれません。ルールで特に指定されていないパケットをログに含める場合は、0.0.0.0/0のソースCIDRのIncludeルールを作成できます。これによって、前のルールで取得されていないログ内の残りのパケットが取得されます。
次に例を示します。目的は、10.1.1.1からのすべてのトラフィックが除外され、その他のすべてのトラフィックが含まれることです。
- ソースCIDR: 10.1.1.1/32、除外
- ソースCIDR: 0.0.0.0/0、含める
0.0.0.0/0を使用してパケットをログに記録すると、大量のログ・データが生成される可能性があります。