NAT 網關(NAT Gateway)提供會話日志功能,當您為NAT 網關創建SNAT條目,有流量經過NAT 網關時,SNAT會話將以日志的形式進行記錄,便于您進行溯源和監控。
功能介紹
會話日志捕獲的SNAT會話以日志的形式寫入日志服務(Log Service,簡稱SLS)中。每條會話日志記錄會捕獲特定捕獲窗口中的特定五元組網絡流,捕獲周期大約為10分鐘,該段時間內會話日志服務會先聚合數據,再投遞至已創建的SLS中,此間數據投遞延遲在5分鐘之內。但是,會話日志服務依據最大能力交付原則,因此您的會話日志記錄可能會超出交付時間,并可能因為網絡傳輸延遲或SLS投遞處理延時,無法確保100%交付所有會話。
會話日志目前處于公測中,如需使用,請聯系商務經理。
會話日志數據的收集在您網絡流量路徑之外,因此不會影響NAT 網關的網絡吞吐量或延遲。
會話日志的格式如下表所示。
字段 | 說明 |
intstance | NAT 網關實例ID。 |
vpc_id | NAT 網關實例所屬的專有網絡ID。 |
protocol | 流量的IANA協議編號。 更多信息,請參見Internet 協議編號。 |
pri_ip | 源地址。 |
pri_port | 源端口。 說明 當為ICMP報文時,pri_port對應ICMP ID字段。 |
pub_ip | 目的地址。 |
pub_port | 目的端口。 |
nat_ip |
|
nat_port |
|
bytes_from_pub |
|
pkts_from_pub |
|
bytes_from_vpc | 來自VPC的數據包大小。 |
pkts_from_vpc | 來自VPC的數據包數量。 |
start_time | 會話日志建立時間。 |
end_time | 會話日志停止時間。 |
功能計費
會話日志不收取日志生成費,但會話日志將捕獲的SNAT會話存儲在阿里云日志服務中,日志服務收取相應的存儲和檢索費用。更多信息,請參見日志服務計費。
使用限制
按固定規格計費(停止新購)的NAT 網關實例不支持開啟會話日志服務。
NAT 網關實例需要與創建的日志服務在同一地域。
會話日志不支持DNAT條目。
支持的地域
會話日志支持的地域請參考下述表格。
區域 | 會話日志支持的地域 |
中國 | 華北1(青島)、華北3(張家口)、華北5(呼和浩特)、華北6(烏蘭察布)、華東1(杭州)、華東2(上海)、華南1(深圳)、華南2(河源)、華南3(廣州)、西南1(成都)、華東5 (南京-本地地域)、華東6(福州-本地地域)、華中1(武漢-本地地域) |
亞太 | 新加坡、馬來西亞(吉隆坡)、印度尼西亞(雅加達)、菲律賓(馬尼拉)、日本(東京)、韓國(首爾) |
歐洲與美洲 | 德國(法蘭克福) |
配置流程
創建Project
您需要為日志服務創建一個Project。具體操作,請參見創建項目Project。
創建Logstore
Logstore是Project的資源集合,Logstore中的所有數據都來自于同一個數據源。創建Project后,您需要創建Logstore。具體操作,請參見創建Logstore。
啟動會話日志
啟動會話日志功能,捕獲SNAT會話,并將SNAT會話投遞至目標日志服務。具體操作,請參見啟動會話日志。
啟動會話日志
登錄NAT網關管理控制臺。
在頂部菜單欄處,選擇NAT 網關所屬的地域。
在左側導航欄選擇公網NAT網關或VPC NAT網關。
在公網NAT網關或VPC NAT網關頁面,找到目標NAT 網關實例,然后單擊NAT 網關實例ID。
在NAT 網關實詳情頁面,選擇頁簽,然后單擊啟動會話日志。
在啟用會話日志對話框中,根據以下內容配置信息,然后單擊確定。
配置
說明
NAT實例ID|名稱
顯示當前NAT 網關實例的ID和名稱。
NAT實例所屬地域
顯示當前NAT 網關實例所屬的地域。
日志服務Project
選擇管理捕獲流量的項目(Project)的類型:
選擇現有 Project:從已有的項目中選擇存儲捕獲流量的項目。
新建 Project:新建一個用于存儲捕獲流量的項目。
日志服務Logstore
選擇存儲捕獲流量的日志庫(Logstore)的類型:
選擇現有 Logstore:從已有的項目中選擇存儲捕獲流量的日志庫。
新建 Logstore:新建一個用于存儲捕獲流量的日志庫。
查看會話日志
登錄NAT網關管理控制臺。
在頂部菜單欄處,選擇NAT 網關所屬的地域。
在左側導航欄選擇公網NAT網關或VPC NAT網關。
在公網NAT網關或VPC NAT網關頁面,找到目標NAT 網關實例,然后單擊NAT 網關實例ID。
在NAT 網關實例詳情頁面,選擇頁簽, 找到目標會話日志,查看會話日志相關信息。
列表項
說明
會話日志狀態
會話日志的啟動狀態,啟動會話日志后顯示為已啟動。
當您啟動會話日志后,系統會自動為您創建
AliyunServiceRolePolicyForNatgwLogDelivery服務關聯角色,向您創建的LogStore進行授權,從而完成數據的投遞。更多信息,請參見AliyunServiceRolePolicyForNatgwLogDelivery。投遞狀態
會話日志的投遞狀態。取值:
成功:會話日志成功投遞至日志服務。
修改中:中間狀態,表示會話日志正在修改或啟動中。
失敗:會話日志無法投遞至日志服務。相關錯誤信息,請參見投遞錯誤碼。
投遞類型
會話日志投遞的目標類型,取值:sls。
目標信息
在目標信息列單擊日志庫鏈接,跳轉至日志服務控制臺,在查看和分析日志之前,您需要為會話日志投遞的Logstore中手動創建索引。更多操作,請參見創建索引和查詢和分析日志。
停止會話日志
登錄NAT網關管理控制臺。
在頂部菜單欄處,選擇NAT 網關所屬的地域。
在左側導航欄選擇公網NAT網關或VPC NAT網關。
在公網NAT網關或VPC NAT網關頁面,找到目標NAT 網關實例,然后單擊NAT 網關實例ID。
在NAT 網關實例詳情頁面,選擇頁簽,找到目標會話日志,然后在操作列,單擊停止。
然后在彈出的對話框中單擊確定。
說明停止會話日志后不會刪除已完成投遞的會話日志數據。
投遞錯誤碼
錯誤碼 | 說明 |
ProjectNotExist | 會話日志投遞的目標Project不存在。 |
LogStoreNotExist | 會話日志投遞的目標LogStore不存在。 |
ProjectForbidden | 您創建的Project被禁用,可能由于欠費導致。 |
InvalidAccessKeyId | 啟動會話日志時,未創建服務關聯角色向LogStore授權。 |
Unauthorized | 啟動會話日志時,未創建服務關聯角色向LogStore授權。 |
UnavaliableTarget | 遇到Unauthorized、ProjectNotExist、LogStoreNotExist、ProjectForbidden錯誤時,分發會禁止投遞至目標5分鐘。在5分鐘禁用到期后,如果有新的數據需要投遞,會投遞一次至LogStore做探測,如果投遞不成功繼續禁用下一個5分鐘,如果投遞成功則恢復對LogStore的正常投遞。 |
WriteQuotaExceed | 您的Project寫入流量配額超過限制,默認一個Project下所有LogStore的寫入限制為30 GB/min。 |
ShardWriteQuotaExceed | 分發的日志流量較大,而您LogStore的Shard不足,建議您分裂更多Shard支撐更大寫入流量。具體操作,請參見管理Shard。 |