仮想プライベートクラウド (VPC) は、elastic network interface (ENI) の受信および送信トラフィックを記録するフローログを提供します。 この機能を使用して、アクセス制御リスト (ACL) ルールのチェック、ネットワークトラフィックの監視、およびネットワークエラーのトラブルシューティングを行うことができます。
概要
フローログ
特定のENI、VPC、またはvSwitchのフローログを作成できます。 VPCまたはvSwitchのフローログは、フローログが有効化された後に追加されたENIを含む、ENIのすべてのトラフィックをキャプチャします。
フローログエントリ
フローログによってキャプチャされたトラフィック情報は、フローログエントリとしてSimple Log Serviceに保存されます。 各ログは、キャプチャウィンドウと呼ばれる特定のウィンドウ内のトラフィックフローの5タプルを記録します。 デフォルトのウィンドウは10分ですが、1分または5分に調整できます。 キャプチャウィンドウ内で、フローのトラフィック情報がキャプチャされ、フローログエントリに集約されます。
特定のシナリオでキャプチャされるトラフィックを設定できます。 利用可能なオプションには、すべてのトラフィック、IPv4ゲートウェイを介したトラフィック、NATゲートウェイを介したトラフィック、VPNゲートウェイを介したトラフィック、トランジットルーターを介したトラフィック、ゲートウェイエンドポイントを介してクラウドサービスにアクセスするトラフィック、VBRを介してエクスプレスコネクト回路にアクセスするトラフィック、エクスプレスコネクトルーター (ECR) およびゲートウェイロードバランサーエンドポイントを介したトラフィック。
フローログエントリのフィールド
次の表は、フローログレコードのフィールドの概要です。
項目 | 説明 |
version | フローログのバージョン。 |
account-id | Alibaba Cloud アカウント ID。 |
eni-id | ENI ID。 |
vm-id | ENIに関連付けられているElastic Compute Service (ECS) インスタンスのID。 |
vswitch-id | ENIが属するvSwitchのID。 |
vpc-id | ENIが属するVPCのID。 |
type | トラフィックのタイプ。 IPv4トラフィックがサポートされています。 |
protocol | トラフィックのInternet Assigned Numbers Authority (IANA) プロトコル。 詳細については、「インターネットプロトコル番号」をご参照ください。 |
srcaddr | 送信元 IP アドレス。 |
srcport | 送信元ポート。 |
dstaddr | 送信先 IP アドレス。 |
dstport | 宛先ポート。 |
direction | トラフィックの方向。 有効な値:
|
action | トラフィックに対して実行できるアクション。 有効な値:
|
packets | データパケットの数。 |
bytes | データパケットのサイズ。 |
start | キャプチャウィンドウの開始時間。 |
end | キャプチャウィンドウの終了時刻。 |
tcpフラグ | TCPフラグと対応するマスク:
SYN、FIN、ACK、RSTの意味など、TCPフラグの詳細については、「RFC 793」をご参照ください。 |
log-status | フローログのステータス:
|
traffic_path | トラフィックのサンプリングパス:
|
フローログ入力の例
フローログの形式は次のとおりです。
<account-id> <action> <bytes> <direction> <dstaddr> <dstport> <end> <eni-id> <log-status> <packets> <protocol> <srcaddr> <srcport> <start> <tcp-flags> <traffic_path> <type> <version> <vm-id> <vpc-id> <vswitch-id>
通常記録される、受け入れられるトラフィック
この例では、Alibaba CloudアカウントIDは1210123456 ****** で、VPCフローログバージョンは1です。 ENI eni-bp166tg9uk1ryf ******
は、2024年7月12日の17:10:20から17:11:20まで、次のアウトバウンドトラフィックを許可しました。
送信元アドレス172.31.16.139とポート1332は、TCPを介して宛先アドレス172.31.16.21とポート80に10個のパケットを送信しました。6はTCPを示し、合計パケットサイズは2,048バイトです。 フローログエントリのステータスはOKで、例外は発生していません。
1210123456****** ACCEPT 2048 out 172.31.16.21 80 1720775480 eni-bp166tg9uk1ryf****** OK 10 6 172.31.16.139 1332 1720775420 22 - - 1 - vpc-bp1qf0c43jb3maz****** vsw-bp12632woke7abk******
通常記録され、トラフィックは拒否されました
この例では、Alibaba CloudアカウントIDは1210123456 ****** で、VPCフローログバージョンは1です。 ENI eni-bp1ftp5sm9oszt ******
は、2024年7月15日の10:20:00から10:30:00までの次のインバウンドトラフィックを拒否しました。
送信元アドレス172.31.16.139およびポート1332は、TCPを介して宛先アドレス172.31.16.21およびポート80に20個のパケットを送信しました。6はTCPを示し、合計パケットサイズは4,208バイトです。 フローログエントリのステータスはOKで、例外は発生していません。
1210123456****** REJECT 4208 in 172.31.16.21 80 1721010600 eni-bp1ftp5sm9oszt****** OK 20 6 172.31.16.139 1332 1721010000 22 - - 1 - vpc-bp1qf0c43jb3maz****** vsw-bp12632woke7abk******
データなし
この例では、Alibaba CloudアカウントIDは1210123456 ****** で、VPCフローログバージョンは1です。 2024年7月15日の10:52:20から10:55:20までENI eni-bp1j7mmp34jlve ******
にトラフィックデータ (ステータスNODATA) は記録されませんでした。
1210123456****** - - - - - 1721012120 eni-bp1j7mmp34jlve****** NODATA - - - - 1721011940 - - - 1 - vpc-bp1qf0c43jb3maz****** vsw-bp12632woke7abk******
スキップされたデータ
この例では、Alibaba Cloudアカウントは1210123456 ****** で、VPCフローログバージョンは1です。 ENI eni-bp1dfm4xnlpruv ******
のデータレコードは、2024年7月12日の16:20:30から16:23:30までスキップされました (ステータスSKIPDATA) 。
1210123456****** - - - - - 1720772610 eni-bp1dfm4xnlpruv****** SKIPDATA - - - - 1720772430 - - - 1 - vpc-bp1qf0c43jb3maz****** vsw-bp12632woke7abk******
課金
フローログ課金の詳細については、「課金」をご参照ください。
制限事項
機能制限
フローログ機能を初めて使用する場合は、[フローログ] ページで 今すぐ有効化 をクリックします。
今すぐ有効化 をクリックすると、作成したフローログインスタンスがフローログページに再表示されます。
サポート対象リージョン
エリア | リージョン |
アジア太平洋 | 中国 (杭州) 、中国 (上海) 、中国 (青島) 、中国 (北京) 、中国 (張家口) 、中国 (フフホト) 、中国 (ウランカブ) 、中国 (深セン) 、中国 (河源) 、中国 (広州) 、中国 (成都) 、中国 (香港) 、中国 (福州-地方地域) 、日本 (東京) 、韓国 (ソウル) 、シンガポール、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ) 、フィリピン (マニラ) 、タイ (バンコク) |
ヨーロッパおよびアメリカ | ドイツ (フランクフルト) 、英国 (ロンドン) 、米国 (シリコンバレー) 、米国 (バージニア) |
中東 | UAE (ドバイ) およびSAU (リヤド-パートナー地域) 重要 SAU (リヤド-パートナーリージョン) リージョンはパートナーによって運営されています。 |
制限事項
名前 /ID | 説明 | デフォルト値 | 調整可能 |
vpc_quota_flowlog_inst_nums_per_ユーザー | 各アカウントで作成できるフローログの最大数 | 10 | 次の操作を実行して、クォータを増やすことができます。
|
フローログの管理
VPCコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。 上部のメニューバーで、フローログを作成するリージョンを選択します。
要件に基づいて、次の操作を続行できます。
フローログの作成または削除
フローログの分析
フローログの開始または停止
関連ドキュメント
SDK、Terraform、またはROSを使用してフローログを管理することもできます。 詳しくは、以下のドキュメントをご参照ください。
CreateFlowLog: 新しいフローログを作成します。
DescribeFlowLogs: 既存のフローログを照会します。
ModifyFlowLogAttribute: フローログのパラメーターを変更します。
ActiveFlowLog: フローログを有効にします。
DeactiveFlowLog: フローログを無効にします。
DeleteFlowLog: フローログを削除します。