流日誌 - Cloud Enterprise Network

轉寄路由器（TR）流日誌可捕獲網路執行個體串連的流量資訊，並支援投遞到NIS流量分析器或SLSLog Service進行分析，協助您監控網路效能、排查網路故障或最佳化流量成本。

工作原理

TR流日誌功能通過旁路方式捕獲網路流量資訊，對網路效能無影響。其工作流程如下：

流量捕獲：在指定的資源（如VPC串連、跨地區串連或整個轉寄路由器執行個體）上，監控流經的IP流量。
資料彙總：在一個預設的捕獲視窗（1分鐘或10分鐘）內，系統會根據流量的五元組（源/目的IP、源/目的連接埠、協議）對資料包資訊進行彙總，累加其位元組數和包數。
日誌投遞：捕獲視窗結束後，彙總後的流量統計資訊將作為一條日誌記錄，投遞到您指定的NIS流量分析器，或SLSLog Service中。
分析與查詢：在NIS或SLS控制台，查詢或分析流日誌。
以投遞到SLS為例，您可以瞭解各個網路執行個體串連的流量傳輸明細、分析未匹配到路由的流量、分析匹配到黑洞路由的流量。

選擇投遞目標

選型建議：
- 針對快速上手分析的情境，建議選擇投遞到NIS流量分析器。
- 針對自訂SQL查詢、報表定製、原始日誌查詢等深度分析情境，建議選擇投遞到SLSLog Service。

兩者區別：

對比項	NIS流量分析器	SLSLog Service
技術門檻	低（操作簡單，介面友好，上手快）	高（需熟悉SQL查詢語句）
靈活性	有限，通過預置的介面分析	高，可自訂SQL語句分析
報表定製	不支援	支援對查詢結果自訂統計圖表
成本	NIS產品會收取流日誌處理費和儲存費	SLS產品會收取寫入和儲存等費用

捕獲方向

針對不同的資源，流量資訊的捕獲方向如下：

跨地區串連：僅支援採集從當前轉寄路由器流出的單向流量資訊（direction 欄位為 out）。若需採集雙向流量資訊，需在對端轉寄路由器上也針對跨地區串連開啟流日誌。
VPC串連、VPN串連、ECR串連、VBR串連：均支援採集流入（direction欄位為in）和流出（direction欄位為out）轉寄路由器的雙向流量資訊。
TR：採集在該 TR 上建立的所有網路執行個體串連的流量，具體捕獲方向與上述規則一致。

欄位說明

流日誌會儘力幫您捕獲流量資訊。建立流日誌後，如果日誌中某些欄位的值為空白，可能原因包括：資源本身不支援該欄位，或該欄位在當前流量中無相關資訊。

單擊查看流日誌欄位說明

流日誌版本為3的欄位，從2024年11月之後開始支援。如果您的流日誌沒有對應欄位，請刪除當前流日誌執行個體重新建立。

欄位	說明	引入該欄位的流日誌版本
account-id	雲企業網執行個體所屬阿里雲帳號ID。	2
attachment-id	網路執行個體串連ID。	2
bytes	位元組數。	2
cen-id	雲企業網執行個體ID。	2
direction	流量的方向。 in：流量進入轉寄路由器的方向。 out：流量流出轉寄路由器的方向。	2
dscp	資料包攜帶的DSCP值。在流日誌捕獲跨地區串連的流量時，該欄位將記錄流量標記策略修改過後的DSCP值。	3
dst-region-id	網路執行個體串連所屬地區ID。當捕獲跨地區串連的流量時，該欄位為目的轉寄路由器所屬地區ID。	2
dstaddr	目的IP地址。	2
dstport	目的連接埠。	2
end	流日誌捕獲視窗結束的時間戳記。時間戳記的格式採用Unix時間戳記，表示從格林威治時間1970年01月01日00時00分00秒至當前流日誌捕獲視窗結束時的總時間長度。	2
flowlog-resource-type	開啟流日誌的資源類型。取值： TransitRouterAttachment：網路執行個體串連。 TransitRouter：轉寄路由器執行個體。	3
packets	資料包個數。	2
packets-lost-blackhole	因匹配到黑洞路由而被丟棄的資料包的數量。	3
packets-lost-mtu-exceeded	因MTU過大而被丟棄的資料包的數量。	3
packets-lost-no-route	因未匹配到路由而被丟棄的資料包的數量。	3
packets-lost-ttl-expired	因TTL逾時而被丟棄的資料包的數量。說明出現該類資料包的原因通常是網路產生了環路。	3
protocol	資料包協議。	2
src-region-id	網路執行個體串連所屬地區ID。當捕獲跨地區串連的流量時，該欄位為源轉寄路由器所屬地區ID。	2
srcaddr	源地址。	2
srcport	源連接埠。	2
start	流日誌捕獲視窗開始的時間戳記。時間戳記的格式採用Unix時間戳記，表示從格林威治時間1970年01月01日00時00分00秒至當前流日誌捕獲視窗開始時的總時間長度。	2
tr-dst-az-id	目的轉寄路由器ENI所屬可用性區域ID。僅捕獲去往同地區VPC執行個體的流量資訊時會記錄該欄位。	3
tr-dst-eni	目的轉寄路由器ENI ID。僅捕獲去往同地區VPC執行個體的流量資訊時會記錄該欄位。	3
tr-dst-resource-account-id	目的網路執行個體所屬阿里雲帳號ID。	3
tr-dst-resource-id	目的網路執行個體ID。如果流量的目的資源與當前轉寄路由器屬於不同地區，該欄位將記錄對端轉寄路由器執行個體ID。	3
tr-dst-vsw-id	目的轉寄路由器ENI所屬交換器ID。僅捕獲去往同地區VPC執行個體的流量資訊時會記錄該欄位。	3
tr-id	流日誌所屬的轉寄路由器執行個體ID。	3
tr-pair-attachment-id	根據流量的方向，記錄入口網路執行個體串連ID或出口網路執行個體串連ID：如果流量方向為in，該欄位記錄出口網路執行個體串連ID。如果流量方向為out，該欄位記錄入口網路執行個體串連ID。在流日誌捕獲VPC串連、VPN串連、ECR串連、VBR串連的流量資訊時，如果該流量為跨地區的流量，則該欄位為空白。說明當擷取的流量是被丟棄的流量時，該欄位也為空白。若捕獲到被丟棄的流量，packets-lost-blackhole、packets-lost-mtu-exceeded、packets-lost-no-route或packets-lost-ttl-expired欄位的值不為0。	3
tr-src-az-id	源轉寄路由器ENI所屬可用性區域ID。僅捕獲來自同地區VPC執行個體的流量資訊時會記錄該欄位。	3
tr-src-eni	源轉寄路由器ENI ID。僅捕獲來自同地區VPC執行個體的流量資訊時會記錄該欄位。	3
tr-src-resource-account-id	源網路執行個體所屬阿里雲帳號ID。	3
tr-src-resource-id	源網路執行個體ID。	3
tr-src-vsw-id	源轉寄路由器ENI所屬交換器ID。僅捕獲來自同地區VPC執行個體的流量資訊時會記錄該欄位。	3
type	流量類型。取值： v4，表示IPv4流量。 v6，表示IPv6流量。	3
version	流日誌的版本。	3

使用限制

僅企業版轉寄路由器支援流日誌。針對基礎版，請先升級。
不支援採集組播流量資訊。
為避免TCP掃描攻擊產生大量流日誌，對於僅包含串連建立、串連重設或串連關閉的TCP串連，流日誌不記錄。
例如，一個TCP串連未完成三向交握過程，或用戶端的串連請求被防火牆重設，則該串連不會被寫入流日誌。
已建立的流日誌無法自動升級以支援新版本的欄位。如需使用新欄位，必須刪除舊的流日誌執行個體並重新建立。建立的流日誌預設為最新版本，相容之前版本的所有欄位。可以在雲企業網管理主控台查看流日誌的版本。

建立流日誌

控制台

前往雲企業網管理主控台，在目標轉寄路由器的詳情頁面，單擊流日誌頁簽。
單擊创建流日志，在開啟的创建流日志對話方塊中進行配置：
1. 採集配置：
  - 執行個體：選擇要採集的目標資源，不同資源的捕獲方向有區別。
  - 採樣間隔：彙總流量資訊的採集視窗長度，可選1分鐘或10分鐘。視窗越小，流日誌產生越頻繁和及時，有助於更快發現和定位問題。視窗越大時效性越低，但日誌條目數也會下降從而節省費用成本。
    重要
    若後續選擇投遞到流量分析器，則流日誌的採樣間隔需小於或等於目標流量分析器的採樣間隔，否則無法投遞。
2. 分析和投遞配置：
  - 選擇模式：選擇投遞目標。至少選擇1個模式，支援多選。
    - 開啟NIS流量分析：需選擇NIS流量分析器。
      僅部分地區支援將TR流日誌投遞到NIS流量分析器。
    - 投遞至Log Service：需選擇目標Log Service Project和Log Service Logstore，可直接建立。
  - 日誌格式：選擇流日誌記錄的欄位。
    - 預設格式：使用系統預設選擇的欄位。
    - 自訂格式：自訂選擇欄位，支援的欄位比預設格式更多。選擇較少的欄位可簡化日誌資訊，從而節省費用成本。srcaddr、dstaddr、bytes三個欄位為必選。
      選擇日誌格式後，系統會自動在下方文字框中產生字串形式的日誌格式，單擊複製已選格式按鈕，可在調用API時大量建立相同格式的流日誌。

API

調用CreateFlowlog建立流日誌。

分析流日誌

流日誌建立後預設為啟動狀態，可開始進行分析：

在NIS流量分析器中分析流日誌
在目標流日誌執行個體的NIS流量分析器列下，單擊流量分析器ID跳轉至NIS控制台進行查詢分析。
在SLSLog Service中分析流日誌
流日誌建立完成後，SLSLog Service需要幾分鐘進行初始化，初始化完成後會自動開始記錄流量資訊。可在目標流日誌執行個體的Log Service列下，單擊Project和Logstore名稱跳轉至SLS控制台進行查詢分析。分析方法參考：
- 實踐教程：通過流日誌查詢跨地區TOP流量。
- 操作文檔：SLS查詢與分析快速指引。

修改/停止/刪除流日誌

控制台

修改流日誌：
- 修改流日誌的採樣間隔：在目標流日誌的採樣間隔（分鐘）列，單擊修改。
- 修改流日誌的投遞目標：不支援直接修改，需要先刪除已有流日誌後重新建立。
停止流日誌：停止後，系統會停止向NIS或SLS投遞流日誌。
在目標流日誌的操作列，單擊停止。停止後可再次啟動。
刪除流日誌：刪除流日誌只是刪除對應的採集任務，已投遞到NIS或SLS、且在儲存時間長度內的流量資訊不會刪除。刪除流日誌前，需確保NIS流量分析器已移除該資料來源。
在目標流日誌的操作列，單擊刪除。

API

修改流日誌：
- 修改流日誌的採樣間隔：調用ModifyFlowLogAttribute修改
- 修改流日誌的投遞目標：不支援直接修改，需要先刪除已有流日誌後重新建立。
停止流日誌：調用DeactiveFlowLog停止流日誌。停止後調用ActiveFlowLog啟動流日誌。
刪除流日誌：調用DeleteFlowlog刪除流日誌。

計費說明

使用TR流日誌會產生兩部分費用：

部落格提取費：轉寄路由器採集流日誌產生的費用。當前此項費用暫不收取，正式收費前會另行通知。
投遞目標計費：流日誌投遞到目標後，由目標產品計費。
- NIS流量分析器：流日誌投遞到NIS流量分析器之後產生，由NIS產品計費，收取處理費和儲存費。
- SLSLog Service：流日誌投遞到SLS之後產生，由SLS產品計費，收取寫入和儲存等費用。
  SLS提供2種計費模式：“按寫入資料量計費”和“按使用功能計費”。在雲企業網控制台建立流日誌並選擇建立Logstore時，預設使用“按使用功能計費”模式。

支援的地區

支援將TR流日誌投遞到NIS流量分析器的地區：
華東1（杭州）、華東2（上海）、華南1（深圳）、華南3（廣州）、華北1（青島）、華北2（北京）、華北3（張家口）、華北5（呼和浩特）、華北6（烏蘭察布）、西南1（成都）、新加坡、中國香港、馬來西亞（吉隆坡）、印尼（雅加達）、日本（東京）、韓國（首爾）、泰國（曼穀）、德國（法蘭克福）、英國（倫敦）、美國（維吉尼亞）、美國（矽谷）。
支援將TR流日誌投遞到SLSLog Service的地區：
所有支援建立企業版TR的地區。

應用於生產環境

成本與粒度權衡：在生產初期或故障排查時，建議使用1分鐘採樣間隔擷取細粒度資料；在日常監控中，可使用10分鐘間隔以降低日誌量和成本。
精細化監控：針對關鍵業務的VPC串連單獨建立流日誌，而不是為整個TR執行個體開啟，以減少不必要的日誌資料並降低成本。
投遞點選擇：為節省成本，建議NIS和SLS兩個投遞點只選其一。

常見問題

為什麼在我的轉寄路由器詳情頁找不到“流日誌”頁簽？

此功能僅限企業版轉寄路由器。請首先確認您的轉寄路由器執行個體版本，如果是基礎版，需要先升級到企業版才能使用該功能。

我已經建立了流日誌，為什麼在Log Service裡看不到任何資料？

請按以下步驟排查：

檢查流日誌狀態：確保流日誌執行個體處於“運行中”狀態。
等待初始化：新建立的流日誌需要幾分鐘時間進行初始化才能開始記錄資料。
確認網路流量：檢查您監控的資源上是否有實際的IP流量通過。無流量則不會產生日誌。
檢查查詢範圍：在Log Service控制台，確保您查詢的時間範圍正確，並考慮日誌投遞可能存在的分鐘級延遲。

如何升級流日誌以使用最新的欄位？

針對存量的舊版本流日誌，不支援直接升級使用最新欄位。您必須刪除現有的流日誌執行個體，然後重新建立。建立的執行個體將自動採用最新版本，並包含所有欄位。