NAT Gateway提供會話日誌功能,當您為NAT Gateway建立SNAT條目,有流量經過NAT Gateway時,SNAT會話將以日誌的形式進行記錄,便於您進行溯源和監控。
功能介紹
會話日誌捕獲的SNAT會話以日誌的形式寫入Log Service(Log Service,簡稱SLS)中。每條會話日誌記錄會捕獲特定捕獲視窗中的特定五元組網路流,捕獲周期大約為10分鐘,該段時間內會話Log Service會先彙總資料,再投遞至已建立的SLS中,此間資料投遞延遲在5分鐘之內。但是,會話Log Service依據最大能力交付原則,因此您的會話日誌記錄可能會超出交付時間,並可能因為網路傳輸延遲或SLS投遞處理延時,無法確保100%交付所有會話。
會話日誌目前處於公測中,如需使用,請聯絡商務經理。
會話日誌資料的收集在您網路流量路徑之外,因此不會影響NAT Gateway的網路輸送量或延遲。
會話日誌的格式如下表所示。
欄位 | 說明 |
intstance | NAT Gateway執行個體ID。 |
vpc_id | NAT Gateway執行個體所屬的專用網路ID。 |
protocol | 流量的IANA協議編號。 更多資訊,請參見網際網路通訊協定 (IP)編號。 |
pri_ip | 源地址。 |
pri_port | 源連接埠。 說明 當為ICMP報文時,pri_port對應ICMP ID欄位。 |
pub_ip | 目的地址。 |
pub_port | 目的連接埠。 |
nat_ip |
|
nat_port |
|
bytes_from_pub |
|
pkts_from_pub |
|
bytes_from_vpc | 來自VPC的資料包大小。 |
pkts_from_vpc | 來自VPC的資料包數量。 |
start_time | 會話日誌建立時間。 |
end_time | 會話日誌停止時間。 |
功能計費
會話日誌不收取日誌產生費,但會話日誌將捕獲的SNAT會話儲存在阿里雲Log Service中,Log Service收取相應的儲存和檢索費用。更多資訊,請參見Log Service計費。
使用限制
按規格計費的NAT Gateway執行個體不支援開啟會話Log Service。
NAT Gateway執行個體需要與建立的Log Service在同一地區。
支援的地區
會話日誌支援的地區請參考下述表格。
地區 | 會話日誌支援的地區 |
中國 | 華北1(青島)、華北3(張家口)、華北5(呼和浩特)、華北6(烏蘭察布)、華東2(上海)、華南1(深圳)、華南2(河源)、華南3(廣州)、西南1(成都) |
亞太地區 | 新加坡、馬來西亞(吉隆坡)、印尼(雅加達)、菲律賓(馬尼拉)、日本(東京)、韓國(首爾) |
歐美地區 | 德國(法蘭克福) |
配置流程
建立Project
您需要為Log Service建立一個Project。具體操作,請參見建立專案Project。
建立Logstore
Logstore是Project的資源集合,Logstore中的所有資料都來自於同一個資料來源。建立Project後,您需要建立Logstore。具體操作,請參見建立Logstore。
啟動會話日誌
啟動會話日誌功能,捕獲SNAT會話,並將SNAT會話投遞至目標Log Service。具體操作,請參見啟動會話日誌。
啟動會話日誌
在頂部功能表列處,選擇NAT Gateway所屬的地區。
在左側導覽列選擇公網NAT Gateway或VPC NAT Gateway。
在公網NAT Gateway或VPC NAT Gateway頁面,找到目標NAT Gateway執行個體,然後單擊NAT Gateway執行個體ID。
在NAT Gateway實詳情頁面,選擇頁簽,然後單擊啟動會話日誌。
在啟用會話日誌對話方塊中,根據以下內容配置資訊,然後單擊確定。
配置
說明
NAT執行個體ID|名稱
顯示當前NAT Gateway執行個體的ID和名稱。
NAT執行個體所屬地區
顯示當前NAT Gateway執行個體所屬的地區。
Log ServiceProject
選擇管理捕獲流量的專案(Project)的類型:
選擇現有 Project:從已有的專案中選擇儲存捕獲流量的專案。
建立 Project:建立一個用於儲存捕獲流量的專案。
Log ServiceLogstore
選擇儲存捕獲流量的日誌庫(Logstore)的類型:
選擇現有 Logstore:從已有的專案中選擇儲存捕獲流量的日誌庫。
建立 Logstore:建立一個用於儲存捕獲流量的日誌庫。
查看會話日誌
在頂部功能表列處,選擇NAT Gateway所屬的地區。
在左側導覽列選擇公網NAT Gateway或VPC NAT Gateway。
在公網NAT Gateway或VPC NAT Gateway頁面,找到目標NAT Gateway執行個體,然後單擊NAT Gateway執行個體ID。
在NAT Gateway執行個體詳情頁面,選擇頁簽, 找到目標會話日誌,查看會話日誌相關資訊。
清單項目
說明
會話日誌狀態
會話日誌的啟動狀態,啟動會話日誌後顯示為已啟動。
當您啟動會話日誌後,系統會自動為您建立
AliyunServiceRolePolicyForNatgwLogDelivery服務關聯角色,向您建立的LogStore進行授權,從而完成資料的投遞。更多資訊,請參見AliyunServiceRolePolicyForNatgwLogDelivery。投遞狀態
會話日誌的投遞狀態。取值:
成功:會話日誌成功投遞至Log Service。
修改中:中間狀態,表示會話日誌正在修改或啟動中。
失敗:會話日誌無法投遞至Log Service。相關錯誤資訊,請參見投遞錯誤碼。
投遞類型
會話日誌投遞的目標類型,取值:sls。
目標資訊
在目標資訊列單擊日誌庫連結,跳轉至Log Service控制台,在查看和分析日誌之前,您需要為會話日誌投遞的Logstore中手動建立索引。更多操作,請參見建立索引和查詢和分析日誌。
停止會話日誌
在頂部功能表列處,選擇NAT Gateway所屬的地區。
在左側導覽列選擇公網NAT Gateway或VPC NAT Gateway。
在公網NAT Gateway或VPC NAT Gateway頁面,找到目標NAT Gateway執行個體,然後單擊NAT Gateway執行個體ID。
在NAT Gateway執行個體詳情頁面,選擇頁簽,找到目標會話日誌,然後在操作列,單擊停止。
然後在彈出的對話方塊中單擊確定。
說明停止會話日誌後不會刪除已完成投遞的會話日誌資料。
投遞錯誤碼
錯誤碼 | 說明 |
ProjectNotExist | 會話日誌投遞的目標Project不存在。 |
LogStoreNotExist | 會話日誌投遞的目標LogStore不存在。 |
ProjectForbidden | 您建立的Project被禁用,可能由於欠費導致。 |
InvalidAccessKeyId | 啟動會話日誌時,未建立服務關聯角色向LogStore授權。 |
Unauthorized | 啟動會話日誌時,未建立服務關聯角色向LogStore授權。 |
UnavaliableTarget | 遇到Unauthorized、ProjectNotExist、LogStoreNotExist、ProjectForbidden錯誤時,分發會禁止投遞至目標5分鐘。在5分鐘禁用到期後,如果有新的資料需要投遞,會投遞一次至LogStore做探測,如果投遞不成功繼續禁用下一個5分鐘,如果投遞成功則恢複對LogStore的正常投遞。 |
WriteQuotaExceed | 您的Project寫入流量配額超過限制,預設一個Project下所有LogStore的寫入限制為30 GB/min。 |
ShardWriteQuotaExceed | 分發的日誌流量較大,而您LogStore的Shard不足,建議您分裂更多Shard支撐更大寫入流量。具體操作,請參見管理Shard。 |