トランジットルーターはフローログ機能をサポートしています。 フローログは、トランジットルーター間のリージョン間ネットワークトラフィックと仮想ボーダールーター (VBR) の接続に関する情報をキャプチャするために使用されます。 取得した情報に基づいて、帯域幅使用量の分析、ネットワークエラーのトラブルシューティング、データ転送料金の削減を行うことができます。
フローログとは何ですか?
フローログは、指定された時間ウィンドウ中のトラフィック情報をキャプチャするために使用されます。 タイムウィンドウを1分または10分に設定できます。 指定された時間枠の間に、フローログは最初にキャプチャされたトラフィック情報を集約し、次にトラフィック情報をフローログエントリとしてlog Serviceに書き込みます。 log Serviceコンソールでログエントリを照会および分析できます。
ログエントリのフィールドは、監視対象オブジェクトによって異なります。 次の表に、リージョン間接続およびVBR接続によって生成されるログエントリのフィールドを示します。
次の表では、
はこのフィールドがサポートされていることを示し、
はこのフィールドがサポートされていないことを示します。
ログフィールド | 説明 | リージョン間接続 | VBR接続 |
account-id | Alibaba CloudアカウントのID |
|
|
attachment-id | ネットワークインスタンス接続のID |
|
|
cen-id | Cloud Enterprise Network (CEN) インスタンスのID |
|
|
src-region-id | ソースリージョンのID |
|
|
srcaddr | 送信元IPアドレス |
|
|
srcport | ソースポート |
|
|
dst-region-id | ターゲットリージョンのID |
|
|
dstadr | 宛先IPアドレス |
|
|
dstport | 宛先ポート |
|
|
プロトコル | プロトコル |
|
|
パケット | データパケットの数 |
|
|
バイト | データパケットのサイズ |
|
|
start | タイムウィンドウの始まり |
|
|
終了 | 時間ウィンドウの終わり |
|
|
方向 | VBR接続を介してネットワークトラフィックが流れる方向
|
|
|
課金ルール
トランジットルーターのフローログ機能を有効にすると、次の請求可能アイテムに対して課金されます。
フローログ収集料金
収集されたフローログエントリの数に基づいて、フローログ収集料金が請求されます。
説明ネットワークログの取得は無料です。 料金が請求される時間は、製品発表に掲載されます。
Log Serviceのサービス料金
フローログエントリはlog Serviceに保存されます。 log Serviceでフローログエントリを表示および分析できます。 Log Serviceを使用すると、データの保存と取得に対して課金されます。 詳細については、「Log Service課金」をご参照ください。
制限事項
Enterprise Editionトランジットルーターのみがフローログ機能をサポートしています。 Basic Editionトランジットルーターは、フローログ機能をサポートしていません。
Basic Editionトランジットルーターがデプロイされているリージョンでフローログを使用する場合は、まずトランジットルーターをBasic EditionからEnterprise Editionにアップグレードします。 詳細については、「Basic EditionからEnterprise Editionへのトランジットルーターのアップグレード」をご参照ください。
VBR接続上のネットワークトラフィックに関する情報を取得できるのは、次のリージョンのフローログだけです。
中国 (杭州) 、中国 (上海) 、中国 (南京-地方地域) 、中国 (深セン) 、中国 (河源) 、中国 (広州) 、中国 (青島) 、中国 (北京) 、中国 (張家口) 、中国 (フフホト) 、中国 (ウランカブ) 、中国 (成都) 、シンガポール、中国 (香港) 、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ) 、フィリピン (マニラ) 、日本 (東京) 、ドイツ (フランクフルト) 、英国 (ロンドン) 、米国 (バージニア) 、米国 (シリコンバレー) 、オーストラリア (シドニー) (サービス終了)。
フローログは、トランジットルーターのアウトバウンドトラフィックに関する情報をキャプチャするために使用されます。 トランジットルーターのインバウンドトラフィックに関する情報はキャプチャされません。
たとえば、米国 (シリコンバレー) リージョンのECS (Elastic Compute Service) インスタンスは、CENを介して米国 (バージニア) リージョンのECSインスタンスにアクセスします。 米国 (バージニア) リージョンのトランジットルーターのフローログ機能を有効にすると、米国 (バージニア) リージョンのECSインスタンスから米国 (シリコンバレー) リージョンのECSインスタンスに送信されたパケットに関するログエントリを確認できます。 ただし、米国 (シリコンバレー) リージョンのECSインスタンスから米国 (バージニア) リージョンのECSインスタンスに送信されたパケットは記録されません。 米国 (シリコンバレー) リージョンのECSインスタンスから米国 (バージニア) リージョンのECSインスタンスに送信されたパケットを記録する場合は、米国 (シリコンバレー) リージョンのトランジットルーターでフローログ機能を有効にする必要もあります。
TCP接続に接続確立、接続リセット、または接続終了のパケットのみが含まれている場合、転送ルータのフローログにはTCP接続は記録されません。
たとえば、TCP接続が3方向ハンドシェイクを完了しない場合、またはクライアント接続要求がファイアウォールによってリセットされた場合、フローログは接続を記録しません。 これは、TCPスキャン攻撃により大量のフローログが生成されないようにするためです。
前提条件
リージョン間のネットワークトラフィックに関する情報を取得する場合は、2つのリージョン間にリージョン間接続が作成されます。 詳細については、「リージョン間接続の管理」をご参照ください。
VBRのネットワークトラフィックに関する情報を取得する場合、VBRはEnterprise Editionトランジットルーターに接続されます。 詳細については、「VBR接続の作成」をご参照ください。
フローログの作成
CENコンソールにログインします。
インスタンス ページで、管理するCENインスタンスのIDをクリックします。
タブに移動し、管理するトランジットルーターのIDをクリックします。
トランジットルーターの詳細ページで、[フローログ] タブをクリックします。
Alibaba CloudアカウントでLog Serviceが有効化されていない場合は、フローログを使用する前に、まずLog Serviceを有効化する必要があります。
[フローログ] タブで、[今すぐ有効化] をクリックします。 [Log Service] ページで、[Log Serviceの利用規約] チェックボックスを表示して選択し、[今すぐ有効化] をクリックします。 Log Serviceを有効化した後、[フローログ] タブに戻ります。
説明Alibaba Cloudアカウントで既にLog Serviceが有効化されている場合は、この手順をスキップしてください。
[フローログ] タブで、[フローログの作成] をクリックします。
[フローログの作成] ダイアログボックスで、次のパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
名前
VSwitch の名前を入力します。
説明
フローログの説明を入力します。
リージョン
現在のトランジットルーターがデプロイされているリージョンがデフォルトで表示されます。
トランジットルーターID
現在のトランジットルーターのIDがデフォルトで表示されます。
インスタンス
ネットワークトラフィックをキャプチャするインスタンスを選択します。
インターリージョン (デフォルト): トランジットルーター間のリージョン間ネットワークトラフィックに関する情報を取得する場合は、インターリージョンとリージョン間接続を選択します。
VBR: VBR接続を介して送信されるネットワークトラフィックに関する情報を取得する場合は、VBRとVBR接続を選択します。
プロジェクト
トラフィック情報を保存するプロジェクトを選択します。
既存のプロジェクトを選択または作成できます。 [プロジェクトの作成] を選択すると、プロジェクトが作成されます。
ログストア
ログエントリを保存するLogstoreを選択します。
既存のLogstoreを選択するか、作成することができます。
収集間隔
時間ウィンドウの期間を選択します。 有効な値:
1分
10 分
サービスリンクロールの作成に関する注意事項
フローログを作成すると、サービスにリンクされたロールAliyunServiceRoleForSLSAuditが自動的に作成されます。 Log ServiceはAliyunServiceRoleForSLSAuditロールを引き受けて、トラフィック情報を収集するためにトランジットルーターで必要な読み取りおよび書き込み権限を取得できます。
AliyunServiceRoleForSLSAuditロールがすでに存在する場合、システムはそれを再度作成しません。 詳細については、「AliyunServiceRoleForSLSAuditサービスにリンクされたロールの管理」をご参照ください。
フローログの無効化
業務要件に基づいてフローログを有効または無効にできます。
CENコンソールにログインします。
インスタンス ページで、管理するCENインスタンスのIDをクリックします。
タブに移動し、管理するトランジットルーターのIDをクリックします。
トランジットルーターの詳細ページで、[フローログ] タブをクリックします。 [フローログ] タブで、無効にするフローログを見つけ、[操作] 列の [無効にする] をクリックします。
[フローログの無効化] メッセージで、[OK] をクリックします。
フローログを有効にする場合は、[操作] 列の [有効にする] をクリックします。 次に、[フローログの有効化] メッセージで [OK] をクリックします。
フローログの削除
使用しなくなったフローログを削除できます。
CENコンソールにログインします。
インスタンス ページで、管理するCENインスタンスのIDをクリックします。
タブに移動し、管理するトランジットルーターのIDをクリックします。
トランジットルーターの詳細ページで、[フローログ] タブをクリックします。 [フローログ] タブで、削除するフローログを見つけ、[操作] 列の [削除] をクリックします。
[フローログの削除] メッセージで、[OK] をクリックします。
関連ドキュメント
CreateFlowlog: フローログを作成します。
ModifyFlowLogAttribute: フローログの名前と説明を変更します。
ActiveFlowLog: フローログを有効にします。
DeactiveFlowLog: フローログを無効にします。
DeleteFlowlog: フローログを削除します。
DescribeFlowlogs: フローログの構成を照会します。