Amazon web services VPC流量日志和Nat实例_Amazon Web Services_Amazon Cloudwatch_Amazon Vpc_Tcpdump_Aws Nat Gateway

Amazon web services VPC流量日志和Nat实例

amazon-web-services

Amazon web services VPC流量日志和Nat实例,amazon-web-services,amazon-cloudwatch,amazon-vpc,tcpdump,aws-nat-gateway,Amazon Web Services,Amazon Cloudwatch,Amazon Vpc,Tcpdump,Aws Nat Gateway,我的专有网络有两个子网：具有Nat实例的公共子网不允许来自Internet的传入连接应用服务器的专用子网专用子网的路由表使用0.0.0.0/0目的地的Nat实例的eni，因此我的应用服务器可以通过Nat实例向某个外部服务器发送请求 VPC流量日志格式如下：因此，在Application server的流程日志中，我看到：看起来，外部主机31.220.24.x正在尝试连接我的私有实例172.30.4.205，不是吗？但是，根据，18作为tcp标志，意味着SYN-ACK，因此它是外部

我的专有网络有两个子网：

具有Nat实例的公共子网不允许来自Internet的传入连接

应用服务器的专用子网
专用子网的路由表使用0.0.0.0/0目的地的Nat实例的eni，因此我的应用服务器可以通过Nat实例向某个外部服务器发送请求
VPC流量日志格式如下：

因此，在Application server的流程日志中，我看到：

看起来，外部主机31.220.24.x正在尝试连接我的私有实例172.30.4.205，不是吗？但是，根据，18作为tcp标志，意味着SYN-ACK，因此它是外部主机对来自内部主机的SYN数据包的响应。我对在没有前面的SYN数据包的情况下获取SYN-ACK感到困惑，因此我尝试模拟这种情况，并通过tcpdump记录所有数据包。我从172.30.4.205向31.220.24.x发送了一些数据，并在CloudWatch中获得了相同的日志，但WireShark中的所有三个数据包-SYN，SYN-ACK，ACK：

所以，问题是为什么我没有在我的applicationserver的CloudWatch日志中看到第一个SYN数据包。
提前谢谢
看起来您正在使用自定义流日志配置，因此您应该在问题中包含此配置。然而，我怀疑正在发生的事情是，单个数据包正在聚合以生成流日志，并且正如文档所示，TCP标志将被合并在一起。因此，SYN不会与SYN-ACK分开报告。@Parsifal，谢谢你的回答！我已经添加了你提到的截图。在使用NAT网关的情况下，我们可以根据以下示例查看所有步骤：。那么，我们为什么不在NAT实例中看到它呢？对不起，不能回答这个问题。我认为这是由于聚合，但是查看您的流日志配置，SYN应该与SYN ACK分开聚合。如果有问题，可以咨询AWS支持人员？看起来您使用的是自定义流日志配置，因此您应该在问题中包含此配置。然而，我怀疑正在发生的事情是，单个数据包正在聚合以生成流日志，并且正如文档所示，TCP标志将被合并在一起。因此，SYN不会与SYN-ACK分开报告。@Parsifal，谢谢你的回答！我已经添加了你提到的截图。在使用NAT网关的情况下，我们可以根据以下示例查看所有步骤：。那么，我们为什么不在NAT实例中看到它呢？对不起，不能回答这个问题。我认为这是由于聚合，但是查看您的流日志配置，SYN应该与SYN ACK分开聚合。如果有问题，可以与AWS支持部门联系？