本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 VPC Flow Logs 进行应用程序日志记录和监控
<a name="vpc-flow-logs"></a>

[VPC Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) 是 Amazon Virtual Private Cloud（Amazon VPC）的一项功能，可以捕获进出 VPC 网络接口的 IP 流量信息。

## 使用 VPC Flow Logs
<a name="using-vpc-flow-logs"></a>

您可以为虚拟私有云（VPC）、子网或网络接口创建流日志。如果您为子网或 VPC 创建流日志，则会监控该子网或 VPC 中的每个网络接口。有关更多信息，请参阅 [Work with flow logs](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html)（Amazon VPC 文档）。

受监控网络接口的流日志数据被记录为流日志记录。*流日志记录*表示 VPC 中的网络流。默认情况下，每条记录捕获聚合间隔内发生的网络 IP 流量。每条记录都是一个字符串，字段用空格分隔。记录包括 IP 流的不同组件的值，包括源、目标和协议。当您创建流日志时，您可以为流日志记录使用默认格式，也可以指定自定义格式。有关更多信息，请参阅 [Flow log record examples](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-records-examples.html)（Amazon VPC 文档）。

流日志不会捕获以下信息：
+ 实例在联系 Amazon 域名系统（DNS）服务器时生成的流量。如果您使用自己的 DNS 服务器，则将记录到该 DNS 服务器的所有流量。
+ Windows 实例为 Amazon Windows 许可证激活生成的流量。
+ 实例元数据进出 `254.169.254` 的流量。
+ Amazon Time Sync Service 进出 `254.169.123` 的流量。
+ 动态主机配置协议（DHCP）流量。
+ 到默认 VPC 路由器的预留 IP 地址的流量。
+ 端点网络接口和网络负载均衡器网络接口之间的流量。

流日志数据可以发布到多个 AWS 服务，包括 Amazon CloudWatch 日志。创建流日志后，可以在您配置的日志组中的 CloudWatch 日志中检索和查看流日志记录。有关更多信息，请参阅[将流日志发布到日 CloudWatch 志](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-cwl.html)（Amazon VPC 文档）。

流日志数据是在网络流量路径之外收集的，因此不会影响网络吞吐量或延迟。您可以创建或删除流日志，而不会对网络性能造成任何影响。

## VPC 流日志用例
<a name="vpc-flow-logs-use-cases"></a>
+ 诊断过于严格的安全组规则
+ 监控到达应用程序实例的流量
+ 确定流量方向