配置流日志
轉(zhuǎn)發(fā)路由器提供流日志功能。流日志可以幫您捕獲轉(zhuǎn)發(fā)路由器實(shí)例和網(wǎng)絡(luò)實(shí)例連接(跨地域連接、VPC連接、VPN連接、ECR連接和VBR連接)傳輸?shù)牧髁啃畔ⅰA魅罩静东@流量信息后會(huì)將這些信息以流日志形式投遞到日志服務(wù)產(chǎn)品中,您可以在日志服務(wù)控制臺(tái)查詢分析流日志了解轉(zhuǎn)發(fā)路由器下流量的傳輸情況。流日志在流量路徑之外捕獲流量信息,不會(huì)影響您的網(wǎng)絡(luò)性能。
流日志概述
流日志原理
流日志會(huì)在指定的捕獲窗口捕獲流量信息,您可以指定捕獲窗口時(shí)長(zhǎng)為1分鐘或10分鐘。在捕獲窗口期間,流日志會(huì)先聚合捕獲到的流量信息,然后將聚合后的流量信息以流日志形式投遞到日志服務(wù)中,您可以在日志服務(wù)控制臺(tái)查詢分析流日志以了解流量的傳輸情況。例如:
通過流日志了解跨地域連接、VPC連接、VPN連接、ECR連接或VBR連接的流量傳輸明細(xì)
通過流日志分析未匹配到路由的流量
通過流日志分析匹配到黑洞路由的流量
支持流日志的資源
流日志支持捕獲以下資源的流量傳輸信息:
僅企業(yè)版轉(zhuǎn)發(fā)路由器實(shí)例及其連接的資源支持流日志功能,基礎(chǔ)版轉(zhuǎn)發(fā)路由器實(shí)例及其連接的資源不支持流日志功能。如果需要捕獲基礎(chǔ)版轉(zhuǎn)發(fā)路由器及其連接的資源的流量傳輸信息,請(qǐng)升級(jí)基礎(chǔ)版轉(zhuǎn)發(fā)路由器。具體操作,請(qǐng)參見升級(jí)基礎(chǔ)版轉(zhuǎn)發(fā)路由器。
支持流日志的資源 | 支持捕獲哪個(gè)方向的流量信息 |
跨地域連接 | 流量從轉(zhuǎn)發(fā)路由器流出的方向。 |
VPC連接 | 同時(shí)捕獲兩個(gè)方向的流量信息:
說明 流日志捕獲VPC連接的流量信息時(shí),僅捕獲轉(zhuǎn)發(fā)路由器ENI傳輸?shù)牧髁啃畔ⅲ绻枰私釼PC內(nèi)其他ENI傳輸?shù)牧髁啃畔ⅲ?qǐng)參見VPC流日志概述。 |
VPN連接 | 同時(shí)捕獲兩個(gè)方向的流量信息:
|
ECR連接 | 同時(shí)捕獲兩個(gè)方向的流量信息:
|
VBR連接 | 同時(shí)捕獲兩個(gè)方向的流量信息:
|
企業(yè)版轉(zhuǎn)發(fā)路由器實(shí)例 | 如果為企業(yè)版轉(zhuǎn)發(fā)路由器實(shí)例創(chuàng)建了流日志,則代表您為企業(yè)版轉(zhuǎn)發(fā)路由器下所有支持流日志的資源開啟了流日志功能,系統(tǒng)會(huì)同時(shí)捕獲企業(yè)版轉(zhuǎn)發(fā)路由器下VPC連接、VPN連接、ECR連接、VBR連接和跨地域連接的流量傳輸信息。 各個(gè)資源的流量捕獲方向,請(qǐng)參見表格上述內(nèi)容。 |
流日志字段
流日志支持記錄以下字段。流日志會(huì)盡力幫您捕獲流量信息,為資源創(chuàng)建流日志后,如果一些字段的值為空,則表示該資源不支持記錄該字段或資源的該字段信息遺漏。
字段 | 說明 | 引入該字段的流日志版本 |
account-id | 云企業(yè)網(wǎng)實(shí)例所屬阿里云賬號(hào)ID。 | 2 |
attachment-id | 網(wǎng)絡(luò)實(shí)例連接ID。 | 2 |
bytes | 數(shù)據(jù)包字節(jié)數(shù)。 | 2 |
cen-id | 云企業(yè)網(wǎng)實(shí)例ID。 | 2 |
direction | 流量的方向。
具體信息,請(qǐng)參見支持流日志的資源。 | 2 |
dscp | 數(shù)據(jù)包攜帶的DSCP值。 在流日志捕獲跨地域連接的流量時(shí),該字段將記錄流量標(biāo)記策略修改過后的DSCP值。 | 3 |
dst-region-id | 網(wǎng)絡(luò)實(shí)例連接所屬地域ID。 當(dāng)捕獲跨地域連接的流量時(shí),該字段為目的轉(zhuǎn)發(fā)路由器所屬地域ID。 | 2 |
dstaddr | 目的IP地址。 | 2 |
dstport | 目的端口。 | 2 |
end | 流日志捕獲窗口結(jié)束的時(shí)間戳。 時(shí)間戳的格式采用Unix時(shí)間戳,表示從格林威治時(shí)間1970年01月01日00時(shí)00分00秒至當(dāng)前流日志捕獲窗口結(jié)束時(shí)的總時(shí)長(zhǎng)。 | 2 |
flowlog-resource-type | 開啟流日志的資源類型。取值:
| 3 |
packets | 數(shù)據(jù)包的數(shù)量。 | 2 |
packets-lost-blackhole | 因匹配到黑洞路由而被丟棄的數(shù)據(jù)包的數(shù)量。 | 3 |
packets-lost-mtu-exceeded | 因MTU過大而被丟棄的數(shù)據(jù)包的數(shù)量。 | 3 |
packets-lost-no-route | 因未匹配到路由而被丟棄的數(shù)據(jù)包的數(shù)量。 | 3 |
packets-lost-ttl-expired | 因TTL超時(shí)而被丟棄的數(shù)據(jù)包的數(shù)量。 說明 出現(xiàn)該類數(shù)據(jù)包的原因通常是網(wǎng)絡(luò)產(chǎn)生了環(huán)路。 | 3 |
protocol | 數(shù)據(jù)包協(xié)議。 | 2 |
src-region-id | 網(wǎng)絡(luò)實(shí)例連接所屬地域ID。 當(dāng)捕獲跨地域連接的流量時(shí),該字段為源轉(zhuǎn)發(fā)路由器所屬地域ID。 | 2 |
srcaddr | 源地址。 | 2 |
srcport | 源端口。 | 2 |
start | 流日志捕獲窗口開始的時(shí)間戳。 時(shí)間戳的格式采用Unix時(shí)間戳,表示從格林威治時(shí)間1970年01月01日00時(shí)00分00秒至當(dāng)前流日志捕獲窗口開始時(shí)的總時(shí)長(zhǎng)。 | 2 |
tr-dst-az-id | 目的轉(zhuǎn)發(fā)路由器ENI所屬可用區(qū)ID。 僅捕獲去往同地域VPC實(shí)例的流量信息時(shí)會(huì)記錄該字段。 | 3 |
tr-dst-eni | 目的轉(zhuǎn)發(fā)路由器ENI ID。 僅捕獲去往同地域VPC實(shí)例的流量信息時(shí)會(huì)記錄該字段。 | 3 |
tr-dst-resource-account-id | 目的網(wǎng)絡(luò)實(shí)例所屬阿里云賬號(hào)ID。 | 3 |
tr-dst-resource-id | 目的網(wǎng)絡(luò)實(shí)例ID。 如果流量的目的資源與當(dāng)前轉(zhuǎn)發(fā)路由器屬于不同地域,該字段將記錄對(duì)端轉(zhuǎn)發(fā)路由器實(shí)例ID。 | 3 |
tr-dst-vsw-id | 目的轉(zhuǎn)發(fā)路由器ENI所屬交換機(jī)ID。 僅捕獲去往同地域VPC實(shí)例的流量信息時(shí)會(huì)記錄該字段。 | 3 |
tr-id | 流日志所屬的轉(zhuǎn)發(fā)路由器實(shí)例ID。 | 3 |
tr-pair-attachment-id | 根據(jù)流量的方向,記錄入口網(wǎng)絡(luò)實(shí)例連接ID或出口網(wǎng)絡(luò)實(shí)例連接ID:
| 3 |
tr-src-az-id | 源轉(zhuǎn)發(fā)路由器ENI所屬可用區(qū)ID。 僅捕獲來自同地域VPC實(shí)例的流量信息時(shí)會(huì)記錄該字段。 | 3 |
tr-src-eni | 源轉(zhuǎn)發(fā)路由器ENI ID。 僅捕獲來自同地域VPC實(shí)例的流量信息時(shí)會(huì)記錄該字段。 | 3 |
tr-src-resource-account-id | 源網(wǎng)絡(luò)實(shí)例所屬阿里云賬號(hào)ID。 | 3 |
tr-src-resource-id | 源網(wǎng)絡(luò)實(shí)例ID。 | 3 |
tr-src-vsw-id | 源轉(zhuǎn)發(fā)路由器ENI所屬交換機(jī)ID。 僅捕獲來自同地域VPC實(shí)例的流量信息時(shí)會(huì)記錄該字段。 | 3 |
type | 流量類型。取值:
| 3 |
version | 流日志的版本。 | 3 |
使用限制
流日志不支持捕獲組播流量信息。
如果您已經(jīng)創(chuàng)建了流日志,若希望使用新版本的字段,需要?jiǎng)h除流日志重新創(chuàng)建。
新建的流日志默認(rèn)為最新版本的流日志,最新版的流日志兼容之前版本的所有字段。您可以在云企業(yè)網(wǎng)管理控制臺(tái)查看流日志的版本。
如果單個(gè)TCP連接中,只包含連接建立、連接重置或連接關(guān)閉的包,那么轉(zhuǎn)發(fā)路由器的流日志不會(huì)記錄該連接。
例如,一個(gè)TCP連接未完成三次握手過程,或者客戶端的連接請(qǐng)求被防火墻重置,那么流日志不會(huì)記錄該連接。這種設(shè)計(jì)是為避免TCP掃描攻擊產(chǎn)生大量流日志。
計(jì)費(fèi)說明
在您使用轉(zhuǎn)發(fā)路由器流日志過程中,將會(huì)產(chǎn)生以下兩部分費(fèi)用:
網(wǎng)絡(luò)日志提取費(fèi)
轉(zhuǎn)發(fā)路由器會(huì)按照提取的日志收取網(wǎng)絡(luò)日志提取費(fèi)。
說明當(dāng)前暫不收取網(wǎng)絡(luò)日志提取費(fèi),收費(fèi)時(shí)間將另行通知。
日志服務(wù)的服務(wù)費(fèi)
流日志捕獲的流量信息存儲(chǔ)在阿里云日志服務(wù)中,您可以在日志服務(wù)中查看和分析相關(guān)數(shù)據(jù),日志服務(wù)收取相應(yīng)的存儲(chǔ)和檢索費(fèi)用。更多信息,請(qǐng)參見日志服務(wù)計(jì)費(fèi)概述。
前提條件
為資源創(chuàng)建流日志前,請(qǐng)確保您已經(jīng)擁有了相關(guān)資源。各個(gè)資源的創(chuàng)建操作,請(qǐng)參見:
創(chuàng)建流日志
- 登錄云企業(yè)網(wǎng)管理控制臺(tái)。
- 在云企業(yè)網(wǎng)實(shí)例頁面,找到目標(biāo)云企業(yè)網(wǎng)實(shí)例,單擊目標(biāo)實(shí)例ID。
在頁簽,找到待開啟流日志功能的資源所屬的轉(zhuǎn)發(fā)路由器實(shí)例,單擊目標(biāo)實(shí)例ID。
在轉(zhuǎn)發(fā)路由器實(shí)例詳情頁面,單擊流日志頁簽。
如果您當(dāng)前阿里云賬號(hào)未開通過日志服務(wù)功能,您需要先進(jìn)行開通,才能使用流日志功能。
在流日志頁簽,單擊立即開通。在日志服務(wù)頁面,查閱并選中日志服務(wù)協(xié)議,然后單擊立即開通。開通日志服務(wù)后,返回流日志頁簽。
說明如果您當(dāng)前阿里云賬號(hào)已開通日志服務(wù)功能,請(qǐng)忽略本步驟。
在流日志頁簽,單擊創(chuàng)建流日志。
在創(chuàng)建流日志對(duì)話框,根據(jù)以下信息進(jìn)行配置,然后單擊確認(rèn)。
配置項(xiàng)
說明
名稱
輸入流日志的名稱。
描述
輸入流日志的描述信息。
地域
系統(tǒng)默認(rèn)顯示當(dāng)前轉(zhuǎn)發(fā)路由器的地域。
轉(zhuǎn)發(fā)路由器實(shí)例ID
系統(tǒng)默認(rèn)顯示當(dāng)前轉(zhuǎn)發(fā)路由器的實(shí)例ID。
實(shí)例
先選擇資源類型,然后再選擇需要捕獲流量信息的資源。支持以下資源類型:
TR
選擇該資源類型后,無需再選擇資源。系統(tǒng)將會(huì)為當(dāng)前地域轉(zhuǎn)發(fā)路由器下的所有VPC連接、VPN連接、ECR連接、VBR連接、跨地域連接開啟流日志功能。
跨地域連接
VPC連接
VPN連接
ECR連接
VBR連接
項(xiàng)目(Project)
選擇管理流日志的Project。
您可以選擇現(xiàn)有Project或者直接新建Project。您只能選擇與當(dāng)前轉(zhuǎn)發(fā)路由器同地域的Project或者在轉(zhuǎn)發(fā)路由器所屬地域新建Project。
日志庫(Logstore)
選擇存儲(chǔ)流日志的Logstore。
您可以選擇現(xiàn)有Logstore或者直接新建Logstore。
日志格式
選擇您希望流日志記錄的字段。支持以下兩種格式:
默認(rèn)格式(默認(rèn)值)
使用系統(tǒng)已選擇的字段。該格式下不支持添加、刪除字段。
自定義格式
除必選字段(srcaddr、dstaddr、bytes)外,您可以自定義需要記錄的字段。
選擇日志格式后,系統(tǒng)會(huì)自動(dòng)生成字符串形式的日志格式(如下所示),單擊復(fù)制已選格式按鈕,您可以在調(diào)用API時(shí)批量創(chuàng)建相同格式的流日志。
${srcaddr}${dstaddr}${bytes}${version}${flowlog-resource-type}${account-id}${cen-id}${tr-id}${src-region-id}${dst-region-id}${attachment-id}${tr-pair-attachment-id}${tr-src-resource-account-id}${tr-dst-resource-account-id}${tr-src-resource-id}${tr-dst-resource-id}${tr-src-vsw-id}${tr-dst-vsw-id}${tr-src-eni}${tr-dst-eni}${tr-src-az-id}${tr-dst-az-id}${srcport}${dstport}${protocol}${dscp}${packets}${start}${end}${type}${packets-lost-no-route}${packets-lost-blackhole}${packets-lost-mtu-exceeded}${packets-lost-ttl-expired}${direction}采樣頻率
選擇流日志捕獲流量信息的捕獲窗口時(shí)長(zhǎng)。取值:
1分鐘(默認(rèn)值)
10分鐘
標(biāo)簽
為流日志添加標(biāo)簽。
標(biāo)簽鍵:不允許為空字符串。最多支持64個(gè)字符,不能以
aliyun和acs:開頭,不能包含http://或者https://。標(biāo)簽值:可以為空字符串。最多支持128個(gè)字符,不能以
aliyun和acs:開頭,不能包含http://或者https://。
支持為流日志添加多個(gè)標(biāo)簽。關(guān)于標(biāo)簽的更多信息,請(qǐng)參見標(biāo)簽。
服務(wù)關(guān)聯(lián)角色創(chuàng)建須知
在您創(chuàng)建流日志時(shí),系統(tǒng)將自動(dòng)創(chuàng)建一個(gè)名稱為AliyunServiceRoleForTRFlowLog的服務(wù)關(guān)聯(lián)角色。轉(zhuǎn)發(fā)路由器將通過該角色獲取日志服務(wù)的部分讀取及修改權(quán)限,以便調(diào)用日志服務(wù)相關(guān)API完成指定資源的流量信息采集。
若AliyunServiceRoleForTRFlowLog角色已存在,系統(tǒng)則不會(huì)重復(fù)創(chuàng)建。關(guān)于AliyunServiceRoleForTRFlowLog服務(wù)關(guān)聯(lián)角色策略,請(qǐng)參見云企業(yè)網(wǎng)系統(tǒng)權(quán)限策略參考。
查詢分析流日志
流日志創(chuàng)建完成后,默認(rèn)直接啟動(dòng)。日志服務(wù)首次啟動(dòng)需要幾分鐘進(jìn)行初始化,初始化完成后會(huì)自動(dòng)開始記錄流量信息。您可以在日志服務(wù)列單擊Project和Logstore的名稱,跳轉(zhuǎn)至日志服務(wù)控制臺(tái)查詢、分析流日志。如何查詢分析流日志,請(qǐng)參見日志服務(wù)查詢概述和日志服務(wù)分析概述。
更多操作
操作 | 步驟 |
停止流日志 |
|
刪除流日志 | 刪除流日志只是不再記錄相關(guān)資源的流量信息,該資源已經(jīng)產(chǎn)生的日志不會(huì)被刪除。
|