トランジットルーターはフローログ機能をサポートしています。 フローログは、リージョン間接続、仮想プライベートクラウド (VPC) 接続、VPN接続、Express Connect Router (ECR) 接続、仮想ボーダールーター (VBR) 接続など、トランジットルーターとネットワークインスタンス接続のトラフィック情報を取得するために使用されます。 フローログによってキャプチャされたトラフィック情報は、フローログエントリとしてSimple Log Serviceに配信されます。 Simple Log Serviceコンソールでフローログを照会および分析して、トランジットルーターに関するトラフィック送信の詳細に関する洞察を得ることができます。 フローログは、トラフィック情報をキャプチャするときにトラフィックパスをバイパスするため、ネットワークパフォーマンスには影響しません。
フローログの概要
仕組み
フローログは、指定された時間ウィンドウ中のトラフィック情報をキャプチャするために使用されます。 タイムウィンドウを1分または10分に設定できます。 指定された時間枠の間に、フローログは最初にキャプチャされたトラフィック情報を集約し、次にトラフィック情報をフローログエントリとしてSimple Log Serviceに書き込みます。 Simple log Serviceコンソールでログエントリを照会および分析できます。 たとえば、フローログは次のシナリオで使用できます。
リージョン間接続、VPC接続、VPN接続、ECR接続、およびVBR接続に関するトラフィック送信の詳細を照会します。
ルートと一致しないトラフィックを分析します。
ブラックホールルートに一致するトラフィックを分析します。
サポートされるリソース
フローログは、次のリソースのトラフィック情報をキャプチャできます。
Enterprise Editionトランジットルーターに接続されているEnterprise Editionトランジットルーターとリソースのみがフローログをサポートします。 Basic EditionトランジットルーターとBasic Editionトランジットルーターに接続されているリソースは、フローログをサポートしていません。 Basic EditionトランジットルーターとBasic Editionトランジットルーターに接続されているリソースのトラフィック情報をキャプチャするには、まずBasic EditionトランジットルーターをEnterprise Editionにアップグレードする必要があります。 詳細については、「基本版トランジットルーターのアップグレード」をご参照ください。
サポートされているリソース | サポートされるトラフィック方向 |
リージョン間接続 | 中継ルータからの送信ネットワークトラフィック。 |
VPC 接続 | 受信と送信の両方のネットワークトラフィック。
説明 フローログを使用してVPCのトラフィック情報をキャプチャする場合、フローログにはトランジットルーターENIによって転送されたトラフィックに関する情報のみが記録されます。 VPC内の他のENIによって転送されるトラフィックの詳細については、「フローログの概要」をご参照ください。 |
VPN コネクション | 受信と送信の両方のネットワークトラフィック。
|
ECR接続 | 受信と送信の両方のネットワークトラフィック。
|
VBR 接続 | 受信と送信の両方のネットワークトラフィック。
|
Enterprise Edition トランジットルーター | Enterprise Editionトランジットルーターのフローログを作成すると、Enterprise Editionトランジットルーターに接続され、フローログをサポートするすべてのリソースに対してフローログが有効になります。 フローログは、Enterprise EditionトランジットルーターのVPC接続、VPN接続、ECR接続、VBR接続、およびリージョン間接続のトラフィック情報をキャプチャします。 各リソースのフローログでキャプチャできるネットワークトラフィックの方向の詳細については、この表の上記の内容をご参照ください。 |
フローログエントリのフィールド
次の表に、フローログエントリのフィールドを示します。 リソースのフローログを作成した後、フィールドが空の場合、そのフィールドはリソースでサポートされていないか、フィールドはフローログによって収集されません。
項目 | 説明 | サポートされているフローログのバージョン |
account-id | CENインスタンスが属するAlibaba CloudアカウントのID。 | 2 |
attachment-id | ネットワークインスタンス接続のID。 | 2 |
バイト | パケット内のバイト数。 | 2 |
cen-id | CEN インスタンスの ID。 | 2 |
direction | ネットワークトラフィックの方向。
詳細については、「サポートされているリソース」をご参照ください。 | 2 |
dscp | パケット内の差別化サービスコードポイント (DSCP) 値。 このフィールドは、フローログがリージョン間接続のトラフィック情報をキャプチャするときに、トラフィックマーキングポリシーによって変更されたDSCP値を記録します。 | 3 |
dst-region-id | ネットワークインスタンス接続のリージョンID。 このフィールドは、フローログがリージョン間接続のトラフィック情報をキャプチャするときに、宛先トランジットルーターのリージョンIDを記録します。 | 2 |
dstaddr | 送信先 IP アドレス。 | 2 |
dstport | 宛先ポート。 | 2 |
end | キャプチャウィンドウの終了を示すタイムスタンプ。 1970年1月1日00:00:00 UTCのエポック時刻から経過したミリ秒数を表すUNIXタイムスタンプを指定します。 | 2 |
flowlogリソース型 | フローログが有効になっているリソースのタイプ。 有効な値:
| 3 |
packets | パケットの数。 | 2 |
パケット-失われた-ブラックホール | パケットがブラックホールルートと一致するためにドロップされるパケットの数。 | 3 |
packets-lost-mtu-exceeded | オーバーサイズの最大伝送単位 (MTU) のためにドロップされるパケットの数。 | 3 |
パケット-lost-no-route | パケットがルートと一致しないためにドロップされたパケットの数。 | 3 |
packets-lost-ttl-expired | time-to-live (TTL) タイムアウトのためにドロップされたパケットの数。 説明 ほとんどの場合、そのようなパケットの原因はネットワークループです。 | 3 |
protocol | パケットプロトコル。 | 2 |
src-region-id | ネットワークインスタンス接続のリージョンID。 このフィールドは、フローログがリージョン間接続のトラフィック情報をキャプチャするときに、送信元トランジットルーターのリージョンIDを記録します。 | 2 |
srcaddr | 送信元 IP アドレス。 | 2 |
srcport | 送信元ポート。 | 2 |
start | キャプチャウィンドウの開始を示すタイムスタンプ。 1970年1月1日00:00:00 UTCのエポック時刻から経過したミリ秒数を表すUNIXタイムスタンプを指定します。 | 2 |
tr-dst-az-id | 宛先トランジットルーターによって使用されるENIのゾーンID。 このフィールドは、フローログが同じリージョンのVPCに送信されるトラフィックに関する情報をキャプチャした場合にのみ記録されます。 | 3 |
tr-dst-eni | 宛先トランジットルーターによって使用されるENIのID。 このフィールドは、フローログが同じリージョンのVPCに送信されるトラフィックに関する情報をキャプチャした場合にのみ記録されます。 | 3 |
tr-dst-resource-account-id | 移行先ネットワークインスタンスが属するAlibaba CloudアカウントのID。 | 3 |
tr-dst-resource-id | 宛先ネットワークインスタンスのID。 このフィールドには、宛先リソースとトランジットルータが異なるリージョンにある場合のピアトランジットルータのIDが記録されます。 | 3 |
tr-dst-vsw-id | 宛先トランジットルーターのENIによって使用されるvSwitchのID。 このフィールドは、フローログが同じリージョンのVPCに送信されるトラフィックに関する情報をキャプチャした場合にのみ記録されます。 | 3 |
tr-id | フローログが属するトランジットルーターのリージョンID。 | 3 |
tr-pair-attachment-id | このフィールドには、トラフィックの方向に基づいて、入口ネットワークインスタンス接続または出口ネットワークインスタンス接続のIDが記録されます。
| 3 |
tr-src-az-id | 送信元トランジットルーターが使用するENIのゾーンID。 このフィールドは、フローログが同じリージョンのVPCからのトラフィックに関する情報をキャプチャした場合にのみ記録されます。 | 3 |
tr-src-eni | 送信元トランジットルーターによって使用されるENIのID。 このフィールドは、フローログが同じリージョンのVPCからのトラフィックに関する情報をキャプチャした場合にのみ記録されます。 | 3 |
tr-src-resource-account-id | ソースネットワークインスタンスが属するAlibaba CloudアカウントのID。 | 3 |
tr-src-resource-id | ソースネットワークインスタンスのID。 | 3 |
tr-src-vsw-id | 送信元トランジットルーターのENIによって使用されるvSwitchのID。 このフィールドは、フローログが同じリージョンのVPCからのトラフィックに関する情報をキャプチャした場合にのみ記録されます。 | 3 |
type | トラフィックの種類。 有効な値:
| 3 |
version | フローログのバージョン。 | 3 |
制限事項
フローログはマルチキャストトラフィック情報をキャプチャできません。
既存のフローログがあり、新しいバージョンのフローログのフィールドを使用する場合は、フローログを削除して新しいフローログを作成する必要があります。
フローログを作成すると、デフォルトでは最新バージョンで作成されます。 最新のフローログバージョンは、以前のフローログバージョンのすべてのフィールドをサポートします。 CENコンソールでフローログのバージョンを表示できます。
単一のTCP接続に、接続の確立、接続のリセット、または接続の終了に使用されるパケットのみが含まれている場合、トランジットルーターのフローログには接続が記録されません。
たとえば、TCP接続が3方向ハンドシェイクを完了していない場合、またはクライアント要求がファイアウォールによってリセットされた場合、接続はフローログに記録されません。 この設計は、TCPスキャナによって生成される過剰なフローログエントリを防ぐことを目的としています。
課金
トランジットルーターのフローログ機能を有効にすると、次の請求可能アイテムに対して課金されます。
フローログ収集料金
収集されたフローログエントリの数に基づいて、フローログ収集料金が請求されます。
説明ネットワークログの取得は無料です。 料金が請求される時間は、製品発表に掲載されます。
Simple Log Serviceのサービス料
フローログエントリはSimple log Serviceに保存されます。 Simple log Serviceでフローログエントリを表示および分析できます。 Simple Log Serviceを使用すると、データの保存と取得に対して課金されます。 詳細については、「課金概要」をご参照ください。
前提条件
フローログを作成する前に, 必要なリソースが準備されていることを確認してください。 リソースの作成方法の詳細については、以下のトピックを参照してください。
フローログの作成
CENコンソールにログインします。
インスタンス ページで、管理するCENインスタンスのIDをクリックします。
タブで、フローログを有効にするリソースのトランジットルーターのIDをクリックします。
トランジットルーターの詳細ページで、[フローログ] タブをクリックします。
Alibaba CloudアカウントでSimple Log Serviceが有効化されていない場合、フローログを使用する前に、まずSimple Log Serviceを有効化する必要があります。
[フローログ] タブで、[今すぐ有効化] をクリックします。 [Simple Log Service] ページで、[Simple Log Serviceの利用規約] チェックボックスを表示して選択し、[今すぐ有効化] をクリックします。 Simple Log Serviceを有効化した後、[フローログ] タブに戻ります。
説明Alibaba CloudアカウントでSimple Log Serviceが既に有効化されている場合は、この手順をスキップしてください。
[フローログ] タブで、[フローログの作成] をクリックします。
[フローログの作成] ダイアログボックスで、次のパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
名前
VSwitch の名前を入力します。
説明
フローログの説明を入力します。
リージョン
現在のトランジットルーターがデプロイされているリージョンがデフォルトで表示されます。
トランジットルーターID
現在のトランジットルーターのIDがデフォルトで表示されます。
インスタンス
リソースタイプを選択し、フローログを作成するリソースを選択します。 サポートされるリソース:
トランジットルーター
トランジットルーターを選択した場合、特定のリソースを選択する必要はありません。 システムは、現在のリージョンのトランジットルーターで、VPC接続、VPN接続、ECR接続、VBR接続、およびリージョン間接続のフローログを自動的に有効にします。
リージョン間接続
VPC接続
VPN接続
ECR接続
VBR接続
プロジェクト
フローログを保存するプロジェクトを選択します。
既存のプロジェクトを選択または作成できます。 トランジットルーターと同じリージョンのプロジェクトのみを選択するか、トランジットルーターのリージョンでプロジェクトを作成できます。
ログストア
フローログを保存するLogstoreを選択します。
既存のLogstoreを選択するか、作成することができます。
ログ形式
フローログに含めるフィールドを選択します。 次の形式がサポートされています。
デフォルト形式 (デフォルト)
システムによって選択されたフィールドを使用します。 この形式では、フィールドを追加または削除できません。
カスタム形式
srcaddr、dstadr、bytesなどの必須フィールド以外に、使用するカスタムフィールドを指定することもできます。
ログ形式を選択すると、次の図に示すように、ログフィールドの文字列が自動的に生成されます。 [選択した形式のコピー] をクリックして文字列をコピーし、API操作を呼び出して、コピーしたフローログ形式を使用するフローログを作成します。
${srcaddr}${dstaddr}${bytes}${version}${flowlog-resource-type}${account-id}${cen-id}${tr-id}${src-region-id}${dst-region-id}${attachment-id}${tr-pair-attachment-id}${tr-src-resource-account-id}${tr-dst-resource-account-id}${tr-src-resource-id}${tr-dst-resource-id}${tr-src-vsw-id}${tr-dst-vsw-id}${tr-src-eni}${tr-dst-eni}${tr-src-az-id}${tr-dst-az-id}${srcport}${dstport}${protocol}${dscp}${packets}${start}${end}${type}${packets-lost-no-route}${packets-lost-blackhole}${packets-lost-mtu-exceeded}${packets-lost-ttl-expired}${direction}
サンプリング間隔
キャプチャウィンドウの期間を選択します。 有効な値:
1分 (デフォルト)
10 分
タグ
ビジネス要件に基づいてフローログにタグを追加します。
タグキー: タグキーを空の文字列にすることはできません。 タグキーの長さは最大64文字です。 キーの先頭に
acs:
またはaliyun
を使用することも、http://
またはhttps://
を使用することもできません。タグ値: タグ値は空の文字列にすることができます。 タグの値の長さは、最大 128 文字です。 タグ値は、
acs:
またはaliyun
で始まることも、http://
またはhttps://
を含むこともできません。
フローログに1つ以上のタグを追加できます。 タグの詳細については、「タグの管理」をご参照ください。
サービス連携ロールの作成に関する注意事項
フローログを作成すると、サービスにリンクされたロールAliyunServiceRoleForTRFlowLogが自動的に作成されます。 トランジットルーターは、このサービスにリンクされたロールを引き受けてSimple Log serviceを読み取り、変更し、トランジットルーターがSimple Log Service APIを呼び出して、指定されたリソースのトラフィック情報を収集できるようにします。
AliyunServiceRoleForTRFlowLogロールがすでに存在する場合、システムはそれを再度作成しません。 AliyunServiceRoleForTRFlowLogの詳細については、「CENのシステムポリシー」をご参照ください。
フローログの照会と分析
フローログを作成すると、フローログはデフォルトで有効になります。 アクティベーション後、Simple Log Serviceの初期化に数分かかります。 初期化が完了すると、Simple Log Serviceは自動的にトラフィック情報の記録を開始します。 [Simple Log Service] 列のプロジェクトまたはログストアの名前をクリックして、Simple Log Serviceコンソールに移動し、キャプチャしたトラフィック情報を分析できます。 詳細については、「ログ検索の概要」および「ログ分析の概要」をご参照ください。
次のステップ
API 操作 | 手順 |
フローログの無効化 |
|
フローログの削除 | 削除されたフローログはトラフィック情報を記録しなくなります。 ただし、既存のフローログデータは保持されます。
|