NAT Gatewayはセッションログ機能を提供します。 NATゲートウェイのSNATエントリを作成し、トラフィックがNATゲートウェイを流れると、SNATセッションがログエントリとして記録され、追跡と監視が容易になります。
概要
SNATセッションはログエントリとして記録され、Simple log Serviceプロジェクトに配信されます。 各セッションログエントリは、特定のキャプチャウィンドウ内の特定の5タプルネットワークフローをキャプチャします。 キャプチャ期間は約10分続きます。 この期間中、セッションログ機能は最初にデータを集約し、次にデータをSimple log Serviceプロジェクトに配信します。 データ配信遅延は通常5分以内です。 ただし、セッションログは配信を確実にするために時間通りに配信されない場合があります。 ネットワーク遅延または配信遅延により、セッションログが100% に配信されない場合があります。
セッションログ機能はパブリックプレビュー中です。 セッションログ機能を使用するには、アカウントマネージャーに連絡してください。
セッションログデータの収集は、NAT Gatewayのスループットまたはレイテンシに影響しません。
次の表に、セッションログのフィールドを示します。
項目 | 説明 |
intstance | NAT ゲートウェイの ID 。 |
vpc_id | NATゲートウェイが属する仮想プライベートクラウド (VPC) のID。 |
portocol | Internet Assigned Numbers Authority (IANA) プロトコル番号。 詳細については、「プロトコル番号」をご参照ください。 |
pri_ip | 送信元 IP アドレス。 |
pri_port | 送信元ポート。 説明 パケットがICMPを使用する場合、pri_portはICMP IDを示します。 |
pub_ip | 送信先 IP アドレス。 |
pub_port | 宛先ポート。 |
nat_ip |
|
nat_port |
|
bytes_from_pub |
|
pkts_from_pub |
|
bytes_from_vpc | VPCからのトラフィック量。 |
pkts_from_vpc | VPCからのパケット数。 |
start_time | セッションログが作成された時刻。 |
end_time | セッションログが停止した時刻。 |
課金
セッションログ機能の使用に対して課金されません。 ただし、記録されたSNATセッションはSimple Log Serviceプロジェクトに保存され、Simple Log Serviceの使用に対して課金されます。 詳細については、「Simple Log Serviceの課金」をご参照ください。
制限事項
仕様課金NAT Gatewayのセッションログ機能を有効にすることはできません。
NAT gatewayとSimple Log Serviceプロジェクトは、同じリージョンに属している必要があります。
サポートされるリージョン
次の表に、セッションログ機能をサポートするリージョンを示します。
地域 | リージョン |
中国本土 | 中国 (青島) 、中国 (張家口) 、中国 (フフホト) 、中国 (ウランカブ) 、中国 (上海) 、中国 (深セン) 、中国 (河源) 、中国 (広州) 、中国 (成都) |
アジア太平洋 | シンガポール、オーストラリア (シドニー) サービス終了、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ) 、フィリピン (マニラ) 、日本 (東京) 、韓国 (ソウル) |
ヨーロッパおよびアメリカ | ドイツ (フランクフルト) |
手順
プロジェクトの作成
Simple Log Serviceのプロジェクトを作成する必要があります。 詳細については、「プロジェクトの作成」をご参照ください。
Logstore の作成
Logstoreは、プロジェクト内のリソースのコレクションです。 Logstore内のすべてのデータは、同じソースから取得されます。 プロジェクトを作成したら、Logstoreを作成する必要があります。 詳細については、「Logstore の作成」をご参照ください。
セッションログの開始
セッションログを開始してSNATセッションを記録し、ログエントリをSimple log Serviceに配信します。 詳細については、「セッションログの開始」をご参照ください。
セッションログの開始
NAT Gatewayコンソールにログインします。
上部のナビゲーションバーで、NATゲートウェイのリージョンを選択します。
左側のナビゲーションウィンドウで、[インターネットNATゲートウェイ] または [VPC NATゲートウェイ] をクリックします。
[インターネットNATゲートウェイ] または [VPC NATゲートウェイ] ページで、NATゲートウェイを見つけ、そのIDをクリックします。
詳細ページで、
タブを選択し、[セッションログの有効化] をクリックします。[セッションログの有効化] ダイアログボックスで、次のパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
NATゲートウェイID /名前
選択したNATゲートウェイのIDと名前が表示されます。
リージョン
NAT gatewayが属するリージョンを表示します。
プロジェクト
キャプチャしたトラフィック情報を管理するプロジェクトを指定します。 有効な値:
Select Project: キャプチャしたトラフィック情報を保存する既存のプロジェクトを選択します。
プロジェクトの作成: キャプチャした交通情報を保存するプロジェクトを作成します。
ログストア
キャプチャしたトラフィック情報を保存するLogstoreを指定します。 有効な値:
Logstoreの選択: キャプチャしたトラフィック情報を保存する既存のプロジェクトからLogstoreを選択します。
Logstoreの作成: キャプチャしたトラフィック情報を保存するLogstoreを作成します。
セッションログの表示
NAT Gatewayコンソールにログインします。
上部のナビゲーションバーで、NATゲートウェイのリージョンを選択します。
左側のナビゲーションウィンドウで、[インターネットNATゲートウェイ] または [VPC NATゲートウェイ] をクリックします。
[インターネットNATゲートウェイ] または [VPC NATゲートウェイ] ページで、NATゲートウェイを見つけ、そのIDをクリックします。
詳細ページで、
を選択します。 次に、セッションログを見つけて情報を表示します。パラメーター
説明
セッションログステータス
セッションログの開始後、[有効] が表示されます。
セッションログを開始すると、システムは自動的に
AliyunServiceRolePolicyForNatgwLogDelivery
サービスにリンクされたロールを作成し、データをSimple log serviceに配信できるようにします。詳しくは、「AliyunServiceRolePolicyForNatgwLogDelivery」をご参照ください。配信ステータス
セッションログの配信ステータス。 有効な値:
成功: セッションログはSimple log Serviceに配信されます。
変更中: セッションログが変更中または開始中です。
失敗: セッションログのSimple log Serviceへの配信に失敗しました。 詳細については、「エラーコード」をご参照ください。
配信タイプ
配信タイプ。 値をslsに設定します。
宛先情報
[宛先情報] 列で、LogstoreリンクをクリックしてSimple Log Serviceコンソールに移動します。 ログを表示および分析する前に、セッションログが配信されるログストアのインデックスを手動で作成する必要があります。 詳細については、「インデックスの作成」および「ログの照会と分析」をご参照ください。
セッションログの無効化
NAT Gatewayコンソールにログインします。
上部のナビゲーションバーで、NATゲートウェイのリージョンを選択します。
左側のナビゲーションウィンドウで、[インターネットNATゲートウェイ] または [VPC NATゲートウェイ] をクリックします。
[インターネットNATゲートウェイ] または [VPC NATゲートウェイ] ページで、NATゲートウェイを見つけ、そのIDをクリックします。
詳細ページで、
タブを選択し、セッションログを見つけて、[操作] 列の [停止] をクリックします。表示されたメッセージボックスで、[OK] をクリックします。
説明セッションログが停止した後、配信されたログエントリは削除されません。
配送エラーコード
エラーコード | 説明 |
ProjectNotExist | ターゲットプロジェクトが存在しません。 |
LogStoreNotExist | 宛先Logstoreが存在しません。 |
ProjectForbidden | プロジェクトは無効になっており、原因は料金滞納である可能性があります。 |
InvalidAccessKeyId | セッションログの開始時にサービスにリンクされたロールは作成されません。 |
Unauthorized | セッションログの開始時にサービスにリンクされたロールは作成されません。 |
UnavaliableTarget | Unauthorized、ProjectNotExist、LogStoreNotExist、ProjectForbiddenのいずれかのエラーコードが返された場合、ログエントリを5分以内に宛先に配信することはできません。 5分後に新しいデータを配信する必要がある場合、システムは配信テストを実行します。 テストが成功した場合、新しいデータを配信できます。 それ以外の場合、配信はさらに5分間無効になります。 |
WriteQuotaExceed | プロジェクトへの書き込みトラフィックが上限を超えています。 デフォルトでは、プロジェクト内のすべてのLogstoreは、1分あたり最大30 GBの書き込みトラフィックをサポートします。 |
ShardWriteQuotaExceed | ログセッショントラフィックが大きく、Logstoreのシャードが不十分な場合は、さらに多くのシャードを分割することを推奨します。 詳細については、「シャードの管理」をご参照ください。 |