創(chuàng)建和管理流日志
專有網(wǎng)絡(luò)VPC(Virtual Private Cloud)提供流日志功能。流日志功能可以捕獲VPC中彈性網(wǎng)卡ENI(Elastic Network Interface)傳入和傳出的流量信息,您可以通過分析流日志捕獲的流量信息檢查VPC下的訪問控制規(guī)則、排查網(wǎng)絡(luò)故障以及監(jiān)控異常流量。本文介紹如何創(chuàng)建和管理流日志。
前提條件
在創(chuàng)建流日志前,請(qǐng)確保您已滿足以下條件:
當(dāng)您首次創(chuàng)建流日志時(shí),需要單擊立即授權(quán),然后單擊同意授權(quán)。授權(quán)成功后才能保證流日志可以將相關(guān)日志寫入日志服務(wù)中。
您已經(jīng)在日志服務(wù)產(chǎn)品頁(yè)開通了日志服務(wù)。
您已經(jīng)創(chuàng)建了管理和存儲(chǔ)捕獲流量的Project和Logstore。具體操作,請(qǐng)參見創(chuàng)建項(xiàng)目Project和創(chuàng)建Logstore。
您已經(jīng)創(chuàng)建了捕獲資源。具體操作,請(qǐng)參見創(chuàng)建輔助彈性網(wǎng)卡、創(chuàng)建和管理專有網(wǎng)絡(luò)和創(chuàng)建和管理交換機(jī)。
創(chuàng)建流日志
- 登錄專有網(wǎng)絡(luò)管理控制臺(tái)。
- 在左側(cè)導(dǎo)航欄,選擇。
首次使用流日志功能時(shí),單擊立即開通完成流日志功能的開通。
說(shuō)明如果您之前創(chuàng)建過流日志實(shí)例,單擊立即開通后,已創(chuàng)建的流日志實(shí)例會(huì)重新展示在流日志頁(yè)面。
在頂部菜單欄處,選擇要捕獲日志的地域。
流日志功能支持的地域信息,請(qǐng)參見功能發(fā)布及地域支持情況。
在流日志頁(yè)面,單擊創(chuàng)建流日志。
在創(chuàng)建流日志對(duì)話框,根據(jù)以下信息配置流日志,然后單擊確定。
配置
說(shuō)明
流日志名稱
輸入流日志名稱。
資源類型
選擇要捕獲流量的資源類型,然后選擇相應(yīng)的資源。支持選擇以下資源類型:
專有網(wǎng)絡(luò):捕獲指定的VPC內(nèi)所有彈性網(wǎng)卡的流量信息。
交換機(jī):捕獲指定的交換機(jī)內(nèi)所有彈性網(wǎng)卡的流量信息。
彈性網(wǎng)卡:捕獲指定的彈性網(wǎng)卡的流量信息。
資源組
選擇流日志所屬的資源組。
資源實(shí)例
選擇要捕獲流量的資源實(shí)例。
標(biāo)簽鍵
選擇或輸入完整的標(biāo)簽鍵。最多支持輸入20個(gè)標(biāo)簽鍵。
標(biāo)簽鍵最多支持128個(gè)字符,不能以
aliyun或acs:開頭,也不能包含http://或https://。標(biāo)簽值
選擇或輸入完整的標(biāo)簽值。最多支持輸入20個(gè)標(biāo)簽值。
標(biāo)簽值最多支持128個(gè)字符,不能以
aliyun或acs:開頭,也不能包含http://或https://。流量類型
選擇要捕獲流量的類型:
全部流量:捕獲指定資源的全部流量。
被訪問控制允許的流量:捕獲指定資源被安全組規(guī)則和網(wǎng)絡(luò)ACL規(guī)則允許的流量。
被訪問控制拒絕的流量:捕獲指定資源被安全組規(guī)則和網(wǎng)絡(luò)ACL規(guī)則拒絕的流量。
項(xiàng)目(Project)
選擇管理捕獲流量的項(xiàng)目(Project)的類型:
選擇現(xiàn)有Project:從已有的項(xiàng)目中選擇存儲(chǔ)捕獲流量的項(xiàng)目。
新建Project:新建一個(gè)用于存儲(chǔ)捕獲流量的項(xiàng)目。
日志庫(kù)(Logstore)
選擇存儲(chǔ)捕獲流量的日志庫(kù)(Logstore)的類型:
選擇現(xiàn)有 Logstore:從已有的項(xiàng)目中選擇存儲(chǔ)捕獲流量的日志庫(kù)。
新建 Logstore:新建一個(gè)用于存儲(chǔ)捕獲流量的日志庫(kù)。
開啟流日志分析報(bào)表功能
選擇該功能后,所選的LogStore會(huì)開啟索引并建立儀表盤,支持對(duì)數(shù)據(jù)進(jìn)行SQL與可視化分析。
日志服務(wù)索引功能按流量收費(fèi),儀表盤不收費(fèi)。更多信息,請(qǐng)參見日志服務(wù)計(jì)費(fèi)說(shuō)明。
采樣間隔(分鐘)
選擇流日志采樣的時(shí)間間隔,當(dāng)前支持1分鐘、5分鐘和10分鐘的采樣間隔。默認(rèn)采用10分鐘的采樣間隔。
采樣路徑
選擇流日志的采樣路徑。默認(rèn)采集所有路徑的流量。
采集全部場(chǎng)景
通過IPv4網(wǎng)關(guān)的流量
通過NAT網(wǎng)關(guān)的流量
通過VPN網(wǎng)關(guān)的流量
通過轉(zhuǎn)發(fā)路由器(TR)的流量
通過網(wǎng)關(guān)終端節(jié)點(diǎn)訪問云服務(wù)的流量
通過邊界路由器(VBR)訪問專線的流量
說(shuō)明采樣路徑功能默認(rèn)不開放,如需使用,請(qǐng)聯(lián)系阿里云客戶經(jīng)理申請(qǐng)。
描述
輸入流日志的描述。
查看流日志
創(chuàng)建流日志后,您可以查看流日志的基本信息及采集彈性網(wǎng)卡的信息。
- 登錄專有網(wǎng)絡(luò)管理控制臺(tái)。
- 在左側(cè)導(dǎo)航欄,選擇。
- 在頂部菜單欄,選擇流日志的地域。
在流日志頁(yè)面,即可查看已創(chuàng)建的流日志。
在流日志采集詳情面板,查看流日志的實(shí)例ID、狀態(tài)、采集范圍等基本信息。
在流日志采集詳情面板,單擊操作列查看ENI采集范圍,單擊不采集流日志的彈性網(wǎng)卡或全部彈性網(wǎng)卡頁(yè)簽,查看流日志采集彈性網(wǎng)卡的信息。
不采集流日志的彈性網(wǎng)卡:流日志不支持捕獲流量信息的彈性網(wǎng)卡。
全部彈性網(wǎng)卡:流日志采集范圍內(nèi)的所有彈性網(wǎng)卡。例如,流日志捕獲的是VPC內(nèi)流量信息,則此處顯示的是該VPC內(nèi)的全部彈性網(wǎng)卡,包含支持和不支持捕獲流量信息的彈性網(wǎng)卡。
說(shuō)明當(dāng)彈性網(wǎng)卡中存在傳入或傳出流量時(shí),才可查看采集彈性網(wǎng)卡的信息。
通過Flowlog日志中心分析流日志
通過分析流日志,您可以檢查訪問控制規(guī)則、監(jiān)控網(wǎng)絡(luò)流量和排查網(wǎng)絡(luò)故障。
在日志應(yīng)用區(qū)域,單擊查看更多日志應(yīng)用,然后在日志應(yīng)用對(duì)話框中單擊Flowlog日志中心。
在Flowlog管理頁(yè)面,單擊添加。
在創(chuàng)建實(shí)例面板中,配置以下參數(shù),然后單擊確定。
參數(shù)
說(shuō)明
實(shí)例ID
日志服務(wù)默認(rèn)提供實(shí)例ID。您也可以自定義實(shí)例ID。
實(shí)例名稱
配置實(shí)例名稱。
Project
選擇您已創(chuàng)建的Project。該P(yáng)roject需與創(chuàng)建流日志中配置的Project保持一致。
Logstore
選擇您已創(chuàng)建的Logstore。該Logstore需與創(chuàng)建流日志中配置的Logstore保持一致。
創(chuàng)建實(shí)例成功后,可以在Flowlog日志中心列表查看已創(chuàng)建的實(shí)例。
在實(shí)例ID列單擊實(shí)例ID。
在Flowlog詳情頁(yè)面,您可以查看并分析流日志的信息。
監(jiān)控中心提供以下儀表盤和自定義查詢功能:
概覽:展示流日志的整體信息。
策略統(tǒng)計(jì):展示Accept趨勢(shì)、Reject趨勢(shì)、Accept次數(shù)統(tǒng)計(jì)(由五元組構(gòu)成)、Reject次數(shù)統(tǒng)計(jì)(由五元組構(gòu)成)等信息。五元組是由源網(wǎng)段、源端口、協(xié)議類型、目標(biāo)網(wǎng)段和目標(biāo)端口組成的集合。
Accept:安全組和網(wǎng)絡(luò)ACL允許記錄的流量。
Reject:安全組和網(wǎng)絡(luò)ACL拒絕記錄的流量。
ENI流量:展示彈性網(wǎng)卡傳入和傳出的流量信息。
ECS間流量:展示ECS實(shí)例之間的流量情況。
自定義查詢:您可以自行查詢和分析VPC流日志。具體操作,請(qǐng)參見查詢和分析日志。
在Flowlog詳情頁(yè)面,單擊網(wǎng)段設(shè)置,然后在網(wǎng)段設(shè)置頁(yè)簽,打開開啟“域間分析”開關(guān)。
開啟域間分析功能后,系統(tǒng)將自動(dòng)創(chuàng)建數(shù)據(jù)加工任務(wù),生成具有網(wǎng)段信息的VPC流日志,用于分析不同網(wǎng)段之間的流量情況。數(shù)據(jù)加工功能會(huì)收取一定的費(fèi)用,您可以選擇是否開啟域間分析功能。關(guān)于數(shù)據(jù)加工功能的具體計(jì)費(fèi)情況,請(qǐng)參見按使用功能計(jì)費(fèi)模式計(jì)費(fèi)項(xiàng)。
日志服務(wù)已預(yù)設(shè)多個(gè)網(wǎng)段,如下圖所示。當(dāng)您需要分析不同網(wǎng)段之間的流量情況時(shí),只需一鍵開啟域間分析功能即可。如果預(yù)設(shè)網(wǎng)段未滿足您的需求,您可以自定義添加網(wǎng)段。
域間分析提供以下儀表盤和自定義查詢功能:
域間流量:展示不同網(wǎng)段之間的流量情況。
ECS到區(qū)間流量:展示ECS實(shí)例到目標(biāo)網(wǎng)段的流量情況。
威脅情報(bào):展示源IP地址與目標(biāo)IP地址的威脅情報(bào)信息。
自定義查詢:您可以自行查詢和分析具有網(wǎng)段信息的VPC流日志。具體操作,請(qǐng)參見查詢和分析日志。
修改流日志
創(chuàng)建流日志后,您可以修改流日志的名稱和描述信息。
通過日志服務(wù)控制臺(tái)創(chuàng)建的流日志實(shí)例可以展示在VPC列表中,但在VPC中無(wú)法修改該流日志實(shí)例。
修改流日志的名稱和描述
- 登錄專有網(wǎng)絡(luò)管理控制臺(tái)。
- 在左側(cè)導(dǎo)航欄,選擇。
- 在頂部菜單欄,選擇流日志的地域。
在流日志頁(yè)面,找到目標(biāo)流日志,然后在實(shí)例ID/名稱列單擊
圖標(biāo)修改流日志的名稱。在描述列單擊
圖標(biāo)修改流日志的描述信息。
修改流日志的采樣間隔
創(chuàng)建流日志后,您可以修改流日志的采樣間隔時(shí)間。
- 登錄專有網(wǎng)絡(luò)管理控制臺(tái)。
- 在左側(cè)導(dǎo)航欄,選擇。
- 在頂部菜單欄,選擇流日志的地域。
在流日志頁(yè)面,找到目標(biāo)流日志,然后在采樣間隔(分鐘)列單擊編輯。
您可以根據(jù)需要在下拉列表中選擇采樣間隔為1分鐘、5分鐘或10分鐘,然后單擊確定。
當(dāng)您不需要修改當(dāng)前的采樣間隔時(shí),您可以在采樣間隔(分鐘)列單擊取消。
啟動(dòng)流日志
您可以啟動(dòng)處于未啟動(dòng)狀態(tài)的流日志。啟動(dòng)流日志后,流日志才會(huì)捕獲彈性網(wǎng)卡的流量信息。
通過日志服務(wù)控制臺(tái)創(chuàng)建的流日志實(shí)例可以展示在VPC列表中,但在VPC中無(wú)法啟動(dòng)該流日志實(shí)例。
- 登錄專有網(wǎng)絡(luò)管理控制臺(tái)。
- 在左側(cè)導(dǎo)航欄,選擇。
- 在頂部菜單欄,選擇流日志的地域。
在流日志頁(yè)面,找到目標(biāo)流日志,然后在操作列單擊啟動(dòng)。
啟動(dòng)流日志后,流日志的狀態(tài)變更為已啟動(dòng)。
停止流日志
如果您希望暫時(shí)停止捕獲彈性網(wǎng)卡的流量信息,您可以停止流日志。停止流日志并非刪除流日志,待希望再次捕獲彈性網(wǎng)卡的流量信息時(shí),您可以啟動(dòng)狀態(tài)為未啟動(dòng)的流日志。
通過日志服務(wù)控制臺(tái)創(chuàng)建的流日志實(shí)例可以托管在VPC列表中,但在VPC中無(wú)法停止該流日志實(shí)例。
- 登錄專有網(wǎng)絡(luò)管理控制臺(tái)。
- 在左側(cè)導(dǎo)航欄,選擇。
- 在頂部菜單欄,選擇流日志的地域。
在流日志頁(yè)面,找到目標(biāo)流日志,然后在操作列單擊停止。
停止流日志后,流日志的狀態(tài)變更為未啟動(dòng)。
刪除流日志
您可以刪除處于已啟動(dòng)和未啟動(dòng)狀態(tài)的流日志。刪除流日志后,您仍可以通過日志管理控制臺(tái)查看之前捕獲的流量信息。
通過日志服務(wù)控制臺(tái)創(chuàng)建的流日志實(shí)例可以展示在VPC列表中,但在VPC中無(wú)法刪除該流日志實(shí)例。
- 登錄專有網(wǎng)絡(luò)管理控制臺(tái)。
- 在左側(cè)導(dǎo)航欄,選擇。
- 在頂部菜單欄,選擇流日志的地域。
在流日志頁(yè)面,找到目標(biāo)流日志,然后在操作列單擊刪除。
在 刪除流日志對(duì)話框,單擊確定。
相關(guān)文檔
CreateFlowLog:創(chuàng)建流日志。
DescribeFlowLogs:查詢流日志。
ModifyFlowLogAttribute:修改流日志的屬性。
ActiveFlowLog:?jiǎn)?dòng)流日志。
DeactiveFlowLog:停止流日志。
DeleteFlowLog:刪除流日志。