流日志
VPC提供流日志功能,通過記錄VPC中彈性網(wǎng)卡ENI傳入和傳出的流量信息,幫助您檢查訪問控制規(guī)則、監(jiān)控網(wǎng)絡(luò)流量和排查網(wǎng)絡(luò)故障。
功能簡介
流日志
您可以創(chuàng)建流日志采集指定彈性網(wǎng)卡、VPC或交換機(jī)的流量。如果選擇為VPC或交換機(jī)創(chuàng)建流日志,則會采集VPC和交換機(jī)中所有彈性網(wǎng)卡的流量,包括在開啟流日志功能后新建的彈性網(wǎng)卡。
流日志記錄
流日志功能采集的流量信息會以流日志記錄的方式寫入日志服務(wù)SLS。每條流日志記錄會采集特定采集窗口中的特定五元組網(wǎng)絡(luò)流,采集窗口默認(rèn)為10分鐘,您可以根據(jù)需要調(diào)整為1分鐘或5分鐘。在該段采樣間隔內(nèi),流日志服務(wù)會先聚合數(shù)據(jù),再發(fā)布流日志記錄。
您可以根據(jù)具體場景選擇采集對應(yīng)路徑的流量信息,包括:采集全部場景、通過IPv4網(wǎng)關(guān)訪問公網(wǎng)的流量、通過NAT網(wǎng)關(guān)的流量、通過VPN網(wǎng)關(guān)的流量、通過轉(zhuǎn)發(fā)路由器(TR)的流量、通過網(wǎng)關(guān)終端節(jié)點(diǎn)訪問云服務(wù)的流量、通過邊界路由器(VBR)訪問專線的流量、通過專線網(wǎng)關(guān)(ECR)的流量、通過網(wǎng)關(guān)型負(fù)載均衡終端節(jié)點(diǎn)的流量。
流日志記錄字段
流日志記錄的字段信息如下表所示。
字段 | 說明 |
version | 流日志版本。 |
account-id | 賬號ID。 |
eni-id | 彈性網(wǎng)卡ID。 |
vm-id | 彈性網(wǎng)卡綁定的云服務(wù)器ID。 |
vswitch-id | 彈性網(wǎng)卡所在交換機(jī)ID。 |
vpc-id | 彈性網(wǎng)卡所在專有網(wǎng)絡(luò)ID。 |
type | 流量類型:IPv4。 |
protocol | 流量的IANA協(xié)議編號。 更多信息,請參見Internet 協(xié)議編號。 |
srcaddr | 源地址。 |
srcport | 源端口。 |
dstaddr | 目的地址。 |
dstport | 目的端口。 |
direction | 流量方向:
|
action | 與流量關(guān)聯(lián)的操作:
|
packets | 數(shù)據(jù)包數(shù)量。 |
bytes | 數(shù)據(jù)包大小。 |
start | 捕捉窗口開始時(shí)間。 |
end | 捕捉窗口結(jié)束時(shí)間。 |
tcp-flags | 部分TCP的標(biāo)志位和對應(yīng)的掩碼值如下:
關(guān)于TCP標(biāo)志通用信息(例如SYN、FIN、ACK、RST等標(biāo)志的含義),請參見RFC: 793。 |
log-status | 流日志的日志記錄狀態(tài):
|
traffic_path | 流量的采樣路徑:
|
流日志記錄示例
流日志格式如下:
<account-id> <action> <bytes> <direction> <dstaddr> <dstport> <end> <eni-id> <log-status> <packets> <protocol> <srcaddr> <srcport> <start> <tcp-flags> <traffic_path> <type> <version> <vm-id> <vpc-id> <vswitch-id>數(shù)據(jù)記錄正常且允許記錄流量示例
本示例阿里云主賬號ID為1210123456******,VPC流日志版本為1,在2024年7月12日17:10:20至17:11:20(1分鐘內(nèi)),彈性網(wǎng)卡eni-bp166tg9uk1ryf******允許出方向以下流量:
源地址和端口(172.31.16.139,1332)通過TCP協(xié)議(6表示TCP協(xié)議)向目的地址和端口(172.31.16.21,80)傳輸了10個(gè)數(shù)據(jù)包,數(shù)據(jù)包總大小為2048字節(jié)。日志記錄狀態(tài)為OK,無異常。
1210123456****** ACCEPT 2048 out 172.31.16.21 80 1720775480 eni-bp166tg9uk1ryf****** OK 10 6 172.31.16.139 1332 1720775420 22 - - 1 - vpc-bp1qf0c43jb3maz****** vsw-bp12632woke7abk******數(shù)據(jù)記錄正常且拒絕記錄流量示例
本示例阿里云主賬號ID為1210123456******,VPC流日志版本為1,在2024年7月15日10:20:00至10:30:00(10分鐘內(nèi)),彈性網(wǎng)卡eni-bp1ftp5sm9oszt******拒絕入方向以下流量:
源地址和端口(172.31.16.139,1332)通過TCP協(xié)議(6表示TCP協(xié)議)向目的地址和端口(172.31.16.21,80)傳輸了20個(gè)數(shù)據(jù)包,數(shù)據(jù)包總大小為4208字節(jié)。日志記錄狀態(tài)為OK,無異常。
1210123456****** REJECT 4208 in 172.31.16.21 80 1721010600 eni-bp1ftp5sm9oszt****** OK 20 6 172.31.16.139 1332 1721010000 22 - - 1 - vpc-bp1qf0c43jb3maz****** vsw-bp12632woke7abk****** 無數(shù)據(jù)記錄狀態(tài)示例
本示例阿里云主賬號ID為1210123456******,VPC流日志版本為1,在2024年7月15日10:52:20至10:55:20(3分鐘內(nèi)),彈性網(wǎng)卡eni-bp1j7mmp34jlve******在此時(shí)間段內(nèi)沒有流量數(shù)據(jù)記錄(NODATA)。
1210123456****** - - - - - 1721012120 eni-bp1j7mmp34jlve****** NODATA - - - - 1721011940 - - - 1 - vpc-bp1qf0c43jb3maz****** vsw-bp12632woke7abk****** 跳過的數(shù)據(jù)記錄狀態(tài)示例
本示例阿里云主賬號ID為1210123456******,VPC流日志版本為1,在2024年7月12日16:20:30至16:23:30(3分鐘內(nèi)),彈性網(wǎng)卡eni-bp1dfm4xnlpruv******的數(shù)據(jù)記錄被跳過(SKIPDATA)。
1210123456****** - - - - - 1720772610 eni-bp1dfm4xnlpruv****** SKIPDATA - - - - 1720772430 - - - 1 - vpc-bp1qf0c43jb3maz****** vsw-bp12632woke7abk****** 功能計(jì)費(fèi)
關(guān)于流日志的計(jì)費(fèi),請參見流日志計(jì)費(fèi)說明。
使用限制
功能限制
首次使用流日志功能時(shí),您需要在流日志管理頁面單擊立即開通,完成流日志功能的開通。
如果您之前創(chuàng)建過流日志實(shí)例,單擊立即開通后,已創(chuàng)建的流日志實(shí)例會重新展示在流日志頁面。
支持的地域
公有云支持的地域
區(qū)域 | 支持流日志的地域 |
亞太 | 華東1(杭州)、華東2(上海)、華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華北6(烏蘭察布)、華南1(深圳)、華南2(河源)、華南3(廣州)、西南1(成都)、中國香港、華東6(福州-本地地域)、日本(東京)、韓國(首爾)、新加坡、馬來西亞(吉隆坡)、印度尼西亞(雅加達(dá))、菲律賓(馬尼拉)、泰國(曼谷) |
歐洲與美洲 | 德國(法蘭克福)、英國(倫敦)、美國(硅谷)、美國(弗吉尼亞) |
中東 | 阿聯(lián)酋(迪拜)、沙特(利雅得) 重要 沙特(利雅得)地域由合作伙伴運(yùn)營。 |
金融云支持的地域
區(qū)域 | 支持流日志的地域 |
亞太 | 華北2 金融云(邀測)、華南1 金融云、華東2 金融云 |
政務(wù)云支持的地域
區(qū)域 | 支持流日志的地域 |
亞太 | 華北2 阿里政務(wù)云1 |
配額限制
配額名稱 | 描述 | 默認(rèn)限制 | 提升配額 |
vpc_quota_flowlog_inst_nums_per_user | 用戶支持創(chuàng)建的流日志實(shí)例的數(shù)量 | 10個(gè) | 您可以通過以下任意方式自助提升配額:
|
管理流日志
- 登錄專有網(wǎng)絡(luò)管理控制臺。
在左側(cè)導(dǎo)航欄,選擇。在頂部菜單欄處,選擇流日志的地域。
根據(jù)您的需求,繼續(xù)執(zhí)行以下操作。
創(chuàng)建或刪除流日志
創(chuàng)建流日志
創(chuàng)建流日志前,請確保已滿足以下條件:
當(dāng)您首次創(chuàng)建流日志時(shí),需要單擊立即授權(quán),然后單擊同意授權(quán)。授權(quán)成功后才能保證流日志可以將相關(guān)日志寫入日志服務(wù)中。
您已經(jīng)在日志服務(wù)產(chǎn)品頁開通了日志服務(wù)。
您已經(jīng)創(chuàng)建采集日志的資源。您可以采集指定彈性網(wǎng)卡、VPC或交換機(jī)的日志。
在流日志頁面,單擊創(chuàng)建流日志。在創(chuàng)建流日志對話框,根據(jù)以下信息配置流日志。
資源類型:選擇要采集流量的資源類型。支持選擇以下資源類型:專有網(wǎng)絡(luò)、交換機(jī)、彈性網(wǎng)卡。
說明當(dāng)彈性網(wǎng)卡中存在傳入或傳出流量時(shí),您才可以在流日志頁面,在目標(biāo)流日志的操作列單擊查看ENI采集范圍,查看采集彈性網(wǎng)卡的信息。
資源實(shí)例:選擇要采集流量的資源實(shí)例。
流量類型:選擇要采集的流量類型。支持全部流量、被訪問控制允許的流量、被訪問控制拒絕的流量。
流量采集IP地址類型:選擇要采集流量的IP地址類型,支持IPv4。
項(xiàng)目(Project):選擇現(xiàn)有Project或新建Project,存儲采集流量。
在:選擇現(xiàn)有 Logstore或新建 Logstore,存儲采集流量。
開啟流日志分析報(bào)表功能:選擇該功能后,所選的LogStore會開啟索引并建立儀表盤,支持對數(shù)據(jù)進(jìn)行SQL與可視化分析。
日志服務(wù)索引功能按流量收費(fèi),儀表盤不收費(fèi)。更多信息,請參見日志服務(wù)計(jì)費(fèi)說明。
采樣間隔(分鐘):選擇流日志采樣的時(shí)間間隔,當(dāng)前支持1分鐘、5分鐘和10分鐘。默認(rèn)采用10分鐘的采樣間隔。
說明流日志創(chuàng)建完成后,您可以在流日志頁面,找到目標(biāo)流日志,在采樣間隔(分鐘)列單擊編輯,修改采樣間隔。
采樣路徑:選擇流日志的采樣路徑。當(dāng)前支持采集全部場景、通過IPv4網(wǎng)關(guān)訪問公網(wǎng)的流量、通過NAT網(wǎng)關(guān)的流量、通過VPN網(wǎng)關(guān)的流量、通過轉(zhuǎn)發(fā)路由器(TR)的流量、通過網(wǎng)關(guān)終端節(jié)點(diǎn)訪問云服務(wù)的流量、通過邊界路由器(VBR)訪問專線的流量。默認(rèn)采集全部場景,您也可以按需配置,組合選擇采集其他場景的流量。
刪除流日志
您可以刪除處于已啟動和未啟動狀態(tài)的流日志。刪除流日志后,您仍可以通過日志管理控制臺查看之前采集的流量信息。
在流日志頁面,找到目標(biāo)流日志,然后在操作列單擊刪除。
在刪除流日志對話框,單擊確定。
分析流日志
通過分析流日志,您可以檢查訪問控制規(guī)則、監(jiān)控網(wǎng)絡(luò)流量和排查網(wǎng)絡(luò)故障。
使用日志庫
在流日志頁面,找到目標(biāo)流日志,單擊日志服務(wù)列的日志庫鏈接。
在日志管理控制臺,單擊查詢/分析。您可以使用日志服務(wù)提供的相關(guān)功能,分析流日志。
使用Flowlog日志中心
登錄日志服務(wù)控制臺。
在日志應(yīng)用區(qū)域,單擊查看更多日志應(yīng)用,在日志應(yīng)用對話框中單擊Flowlog日志中心。
在Flowlog管理頁面,單擊添加。在創(chuàng)建實(shí)例面板中,選擇創(chuàng)建流日志時(shí)配置的Project和Logstore。
創(chuàng)建實(shí)例成功后,單擊Flowlog日志中心列表的實(shí)例ID。在Flowlog詳情頁面,您可以查看并分析流日志的信息。
監(jiān)控中心提供以下儀表盤和自定義查詢功能:
概覽:展示流日志的整體信息。
策略統(tǒng)計(jì):展示Accept趨勢、Reject趨勢、Accept次數(shù)統(tǒng)計(jì)(由五元組構(gòu)成)、Reject次數(shù)統(tǒng)計(jì)(由五元組構(gòu)成)等信息。五元組是由源網(wǎng)段、源端口、協(xié)議類型、目標(biāo)網(wǎng)段和目標(biāo)端口組成的集合。
Accept:安全組和網(wǎng)絡(luò)ACL允許記錄的流量。
Reject:安全組和網(wǎng)絡(luò)ACL拒絕記錄的流量。
ENI流量:展示彈性網(wǎng)卡傳入和傳出的流量信息。
ECS間流量:展示ECS實(shí)例之間的流量情況。
自定義查詢:您可以自行查詢和分析流日志。
在Flowlog詳情頁面,單擊網(wǎng)段設(shè)置,在網(wǎng)段設(shè)置頁簽,打開開啟“域間分析”開關(guān)。
開啟域間分析功能后,系統(tǒng)將自動創(chuàng)建數(shù)據(jù)加工任務(wù),生成具有網(wǎng)段信息的VPC流日志,用于分析不同網(wǎng)段之間的流量情況。數(shù)據(jù)加工功能會收取一定的費(fèi)用,您可以選擇是否開啟域間分析功能。
日志服務(wù)已預(yù)設(shè)多個(gè)網(wǎng)段,如下圖所示。當(dāng)您需要分析不同網(wǎng)段之間的流量情況時(shí),只需一鍵開啟域間分析功能即可。如果預(yù)設(shè)網(wǎng)段未滿足您的需求,您可以自定義添加網(wǎng)段。
域間分析提供以下儀表盤和自定義查詢功能:
域間流量:展示不同網(wǎng)段之間的流量情況。
ECS到區(qū)間流量:展示ECS實(shí)例到目標(biāo)網(wǎng)段的流量情況。
威脅情報(bào):展示源IP地址與目標(biāo)IP地址的威脅情報(bào)信息。
自定義查詢:您可以自行查詢和分析具有網(wǎng)段信息的VPC流日志。
啟動或停止流日志
啟動流日志
您可以啟動處于未啟動狀態(tài)的流日志。啟動流日志后,流日志才會采集彈性網(wǎng)卡的流量信息。
在流日志頁面,找到目標(biāo)流日志,然后在操作列單擊啟動。啟動流日志后,流日志的狀態(tài)變更為已啟動。
停止流日志
如果您希望暫時(shí)停止采集彈性網(wǎng)卡的流量信息,您可以停止流日志。停止流日志并非刪除流日志,待您希望再次采集彈性網(wǎng)卡的流量信息時(shí),可以啟動狀態(tài)為未啟動的流日志。
在流日志頁面,找到目標(biāo)流日志,然后在操作列單擊停止。停止流日志后,流日志的狀態(tài)變更為未啟動。
相關(guān)文檔
您可以通過其他方式,SDK、Terraform或ROS調(diào)用以下API管理流日志:
CreateFlowLog:創(chuàng)建流日志。
DescribeFlowLogs:查詢流日志。
ModifyFlowLogAttribute:修改流日志的屬性。
ActiveFlowLog:啟動流日志。
DeactiveFlowLog:停止流日志。
DeleteFlowLog:刪除流日志。