全部產品
Search
文件中心

Virtual Private Cloud:流日誌概述

更新時間:Nov 19, 2024

VPC提供流日誌功能,通過記錄VPC中彈性網卡ENI傳入和傳出的流量資訊,協助您檢查存取控制規則、監控網路流量和排查網路故障。

功能簡介

流日誌

您可以建立流日誌採集指定彈性網卡、VPC或交換器的流量。如果選擇為VPC或交換器建立流日誌,則會採集VPC和交換器中所有彈性網卡的流量,包括在開啟流日誌功能後建立的彈性網卡。

流日誌記錄

流日誌功能採集的流量資訊會以流日誌記錄的方式寫入Log ServiceSLS。每條流日誌記錄會採集特定採集視窗中的特定五元組網路流,採集視窗預設為10分鐘,您可以根據需要調整為1分鐘或5分鐘。在該段採樣間隔內,流Log Service會先彙總資料,再發布流日誌記錄。

您可以根據具體情境選擇採集對應路徑的流量資訊,包括:採集全部情境、通過IPv4網關訪問公網的流量、通過NAT Gateway的流量、通過VPN網關的流量、通過轉寄路由器(TR)的流量、通過網關終端節點訪問雲端服務的流量、通過邊界路由器(VBR)訪問專線的流量、通過專線網關(ECR)的流量、通過網關型負載平衡終端節點的流量。

流記錄欄位

流日誌記錄的欄位資訊如下表所示。

欄位

說明

version

流日誌版本。

account-id

帳號ID。

eni-id

彈性網卡ID。

vm-id

彈性網卡綁定的雲端服務器ID。

vswitch-id

彈性網卡所在交換器ID。

vpc-id

彈性網卡所在專用網路ID。

type

流量類型:IPv4。

protocol

流量的IANA協議編號。

更多資訊,請參見網際網路通訊協定 (IP)編號

srcaddr

源地址。

srcport

源連接埠。

dstaddr

目的地址。

dstport

目的連接埠。

direction

流量方向:

  • in:入方向流量。

  • out:出方向流量。

action

與流量關聯的操作:

  • ACCEPT:安全性群組和網路ACL允許記錄的流量。

  • REJECT:安全性群組和網路ACL拒絕記錄的流量。

packets

資料包數量。

bytes

資料包大小。

start

捕捉視窗開始時間。

end

捕捉視窗結束時間。

tcp-flags

部分TCP的標誌位和對應的掩碼值如下:

  • SYN:2

  • SYN,ACK:18

  • RST:4

  • PSH:8

  • URG:32

  • FIN:1

關於TCP標誌通用資訊(例如SYN、FIN、ACK、RST等標誌的含義),請參見RFC: 793

log-status

流日誌的日誌選項組:

  • OK:資料記錄正常。

  • NODATA:採集視窗中沒有傳入或傳出網路介面的網路流量,常見於備用系統、非業務高峰期或配置問題導致沒有流量的情境。

  • SKIPDATA:採集視窗中跳過了一些流日誌記錄,常見於高流量環境或突發性流量高峰,導致內部系統過載,從而無法採集流量並跳過記錄的情境。

traffic_path

流量的採樣路徑:

  • 6 - 通過網關終端節點訪問雲端服務的流量。

  • 7 - 通過NAT Gateway的流量。

  • 8 - 通過轉寄路由器(TR)的流量。

  • 9 - 通過VPN網關的流量。

  • 10 - 通過邊界路由器(VBR)訪問專線的流量。

  • 11 - 通過CEN基礎版訪問同地區VPC的流量。

  • 12 - 除11、18、19、20所列出情境外通過CEN基礎版的流量,如通過CEN基礎版訪問跨地區雲端服務、通過CEN基礎版訪問雲串連網CCN等情境的流量。

  • 13 - 通過IPv4網關訪問公網的流量。

  • 18 - 通過CEN基礎版訪問跨地區VPC的流量。

  • 19 - 通過CEN基礎版訪問同地區VBR的流量。

  • 20 - 通過CEN基礎版訪問跨地區VBR的流量。

  • 21 - 通過專線網關(ECR)的流量。

  • 22 - 通過網關型負載平衡終端節點的流量。

流日誌記錄樣本

流日誌格式如下:

<account-id> <action> <bytes> <direction> <dstaddr> <dstport> <end> <eni-id> <log-status> <packets> <protocol> <srcaddr> <srcport> <start> <tcp-flags> <traffic_path> <type> <version> <vm-id> <vpc-id> <vswitch-id>

資料記錄正常且允許記錄流量樣本

本樣本阿里雲主帳號ID為1210123456******,VPC流日誌版本為1,在2024年7月12日17:10:20至17:11:20(1分鐘內),彈性網卡eni-bp166tg9uk1ryf******允許出方向以下流量:

源地址和連接埠(172.31.16.139,1332)通過TCP協議(6表示TCP協議)向目的地址和連接埠(172.31.16.21,80)傳輸了10個資料包,資料包總大小為2048位元組。日誌選項組為OK,無異常。

1210123456****** ACCEPT 2048 out 172.31.16.21 80 1720775480 eni-bp166tg9uk1ryf****** OK 10 6 172.31.16.139 1332 1720775420 22 - - 1 - vpc-bp1qf0c43jb3maz****** vsw-bp12632woke7abk******

資料記錄正常且拒絕記錄流量樣本

本樣本阿里雲主帳號ID為1210123456******,VPC流日誌版本為1,在2024年7月15日10:20:00至10:30:00(10分鐘內),彈性網卡eni-bp1ftp5sm9oszt******拒絕入方向以下流量:

源地址和連接埠(172.31.16.139,1332)通過TCP協議(6表示TCP協議)向目的地址和連接埠(172.31.16.21,80)傳輸了20個資料包,資料包總大小為4208位元組。日誌選項組為OK,無異常。

1210123456****** REJECT 4208 in 172.31.16.21 80 1721010600 eni-bp1ftp5sm9oszt****** OK 20 6 172.31.16.139 1332 1721010000 22 - - 1 - vpc-bp1qf0c43jb3maz****** vsw-bp12632woke7abk******     

無資料記錄狀態樣本

本樣本阿里雲主帳號ID為1210123456******,VPC流日誌版本為1,在2024年7月15日10:52:20至10:55:20(3分鐘內),彈性網卡eni-bp1j7mmp34jlve******在此時間段內沒有流量資料記錄(NODATA)。

1210123456****** - - - - - 1721012120 eni-bp1j7mmp34jlve****** NODATA - - - - 1721011940 - - - 1 - vpc-bp1qf0c43jb3maz****** vsw-bp12632woke7abk****** 

跳過的資料記錄狀態樣本

本樣本阿里雲主帳號ID為1210123456******,VPC流日誌版本為1,在2024年7月12日16:20:30至16:23:30(3分鐘內),彈性網卡eni-bp1dfm4xnlpruv******的資料記錄被跳過(SKIPDATA)。

1210123456****** - - - - - 1720772610 eni-bp1dfm4xnlpruv****** SKIPDATA - - - - 1720772430 - - - 1 - vpc-bp1qf0c43jb3maz****** vsw-bp12632woke7abk****** 

功能計費

關於流日誌的計費,請參見流日誌計費說明

使用限制

功能限制

首次使用流日誌功能時,您需要在流日誌管理頁面單擊立即開通,完成流日誌功能的開通。

說明

如果您之前建立過流日誌執行個體,單擊立即開通後,已建立的流日誌執行個體會重新展示在流日誌頁面。

支援的地區

地區

支援流日誌的地區

亞太地區

華東1(杭州)華東2(上海)華北1(青島)華北2(北京)華北3(張家口)華北5(呼和浩特)華北6(烏蘭察布)華南1(深圳)華南2(河源)華南3(廣州)西南1(成都)中國香港華東6(福州-本地地區)日本(東京)韓國(首爾)新加坡馬來西亞(吉隆坡)印尼(雅加達)菲律賓(馬尼拉)泰國(曼穀)

歐美地區

德國(法蘭克福)英國(倫敦)美國(矽谷)美國(維吉尼亞)

中東

阿聯酋(杜拜)沙特(利雅得)

重要

沙特(利雅得)地區由夥伴營運。

配額限制

配額名稱

描述

預設限制

提升配額

vpc_quota_flowlog_inst_nums_per_user

使用者支援建立的流日誌執行個體的數量

10個

您可以通過以下任意方式自助提升配額:

管理流日誌

  1. 登入專用網路管理主控台
  2. 在左側導覽列,選擇營運與監控 > 流日誌。在頂部功能表列處,選擇流日誌的地區。

根據您的需求,繼續執行以下操作。

建立或刪除流日誌

建立流日誌

說明

建立流日誌前,請確保已滿足以下條件:

  • 當您首次建立流日誌時,需要單擊立即授權,然後單擊同意授權。授權成功後才能保證流日誌可以將相關日誌寫入Log Service中。

  • 您已經在開通了Log Service。

  • 您已經建立採集日誌的資源。您可以採集指定彈性網卡VPC交換器的日誌。

流日誌頁面,單擊建立流日誌。在建立流日誌對話方塊,根據以下資訊配置流日誌。

  • 資源類型:選擇要採集流量的資源類型。支援選擇以下資源類型:專用網路交換器彈性網卡

    說明

    當彈性網卡中存在傳入或傳出流量時,您才可以在流日誌頁面,在目標流日誌的操作列單擊查看ENI採集範圍,查看採集彈性網卡的資訊。

  • 資源執行個體:選擇要採集流量的資源執行個體。

  • 流量類型:選擇要採集的流量類型。支援全部流量被存取控制允許的流量被存取控制拒絕的流量

  • 流量採集IP地址類型:選擇要採集流量的IP地址類型,支援IPv4

  • 項目(Project)選擇現有Project建立Project,儲存採集流量。

  • 在:選擇現有 Logstore建立 Logstore,儲存採集流量。

  • 開啟流日誌分析報表功能:選擇該功能後,所選的LogStore會開啟索引並建立儀錶盤,支援對資料進行SQL與可視化分析。

    Log Service索引功能按流量收費,儀錶盤不收費。更多資訊,請參見Log Service計費說明

  • 採樣間隔(分鐘):選擇流日誌採樣的時間間隔,當前支援1分鐘、5分鐘和10分鐘。預設採用10分鐘的採樣間隔。

    說明

    流日誌建立完成後,您可以在流日誌頁面,找到目標流日誌,在採樣間隔(分鐘)列單擊編輯,修改採樣間隔。

  • 採樣路徑:選擇流日誌的採樣路徑。當前支援採集全部情境、通過IPv4網關訪問公網的流量、通過NAT Gateway的流量、通過VPN網關的流量、通過轉寄路由器(TR)的流量、通過網關終端節點訪問雲端服務的流量、通過邊界路由器(VBR)訪問專線的流量。預設採集全部情境,您也可以按需配置,組合選擇採集其他情境的流量。

刪除流日誌

您可以刪除處於已啟動未啟動狀態的流日誌。刪除流日誌後,您仍可以通過日誌管理主控台查看之前採集的流量資訊。

  1. 流日誌頁面,找到目標流日誌,然後在操作列單擊刪除

  2. 刪除流日誌對話方塊,單擊確定

分析流日誌

通過分析流日誌,您可以檢查存取控制規則、監控網路流量和排查網路故障。

使用日誌庫

  1. 流日誌頁面,找到目標流日誌,單擊Log Service列的日誌庫連結。

  2. 在日誌管理主控台,單擊查詢/分析。您可以使用Log Service提供的相關功能,分析流日誌。

使用Flowlog日誌中心

  1. 登入Log Service控制台

  2. 日誌應用地區,單擊查看更多日誌應用,在日誌應用對話方塊中單擊Flowlog日誌中心

  3. Flowlog管理頁面,單擊添加。在建立執行個體面板中,選擇建立流日誌時配置的Project和Logstore。

  4. 建立執行個體成功後,單擊Flowlog日誌中心列表的執行個體ID。Flowlog詳情頁面,您可以查看並分析流日誌的資訊。

    日誌中心

    監控中心提供以下儀錶盤和自訂查詢功能:

    • 概覽:展示流日誌的整體資訊。

    • 策略統計:展示Accept趨勢、Reject趨勢、Accept次數統計(由五元組構成)、Reject次數統計(由五元組構成)等資訊。五元組是由源網段、源連接埠、協議類型、目標網段和目標連接埠組成的集合。

      • Accept:安全性群組和網路ACL允許記錄的流量。

      • Reject:安全性群組和網路ACL拒絕記錄的流量。

    • ENI流量:展示彈性網卡傳入和傳出的流量資訊。

    • ECS間流量:展示ECS執行個體之間的流量情況。

    • 自訂查詢:您可以自行查詢和分析流日誌

  5. Flowlog詳情頁面,單擊網段設定,在網段設定頁簽,開啟開啟“域間分析”開關。

    開啟域間分析功能後,系統將自動建立資料加工任務,產生具有網段資訊的VPC流日誌,用於分析不同網段之間的流量情況。資料加工功能會收取一定的費用,您可以選擇是否開啟域間分析功能。

    Log Service已預設多個網段,如下圖所示。當您需要分析不同網段之間的流量情況時,只需一鍵開啟域間分析功能即可。如果預設網段未滿足您的需求,您可以自訂添加網段。

    image

    域間分析提供以下儀錶盤和自訂查詢功能:

    • 域間流量:展示不同網段之間的流量情況。

    • ECS到區間流量:展示ECS執行個體到目標網段的流量情況。

    • 威脅情報:展示源IP地址與目標IP地址的威脅情報資訊。

    • 自訂查詢:您可以自行查詢和分析具有網段資訊的VPC流日誌

啟動或停止流日誌

啟動流日誌

您可以啟動處於未啟動狀態的流日誌。啟動流日誌後,流日誌才會採集彈性網卡的流量資訊。

流日誌頁面,找到目標流日誌,然後在操作列單擊啟動啟動流日誌後,流日誌的狀態變更為已啟動

停止流日誌

如果您希望暫時停止採集彈性網卡的流量資訊,您可以停止流日誌。停止流日誌並非刪除流日誌,待您希望再次採集彈性網卡的流量資訊時,可以啟動狀態為未啟動的流日誌。

流日誌頁面,找到目標流日誌,然後在操作列單擊停止停止流日誌後,流日誌的狀態變更為未啟動

相關文檔

您可以通過其他方式,SDK、Terraform或ROS調用以下API管理流日誌: