流日志概述
專(zhuān)有網(wǎng)絡(luò)VPC(Virtual Private Cloud)提供流日志功能,可以記錄VPC網(wǎng)絡(luò)中彈性網(wǎng)卡ENI(Elastic Network Interface)傳入和傳出的流量信息,幫助您檢查訪問(wèn)控制規(guī)則、監(jiān)控網(wǎng)絡(luò)流量和排查網(wǎng)絡(luò)故障。
功能發(fā)布及地域支持情況
首次使用流日志功能時(shí),您需要在流日志管理控制臺(tái)單擊立即開(kāi)通并完成流日志功能的開(kāi)通。
如果您之前創(chuàng)建過(guò)流日志實(shí)例,單擊立即開(kāi)通后,已創(chuàng)建的流日志實(shí)例會(huì)重新展示在流日志頁(yè)面。
公有云支持的地域
區(qū)域 | 支持流日志的地域 |
亞太 | 華東1(杭州)、華東2(上海)、華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華北6(烏蘭察布)、華南1(深圳)、華南2(河源)、華南3(廣州)、西南1(成都)、中國(guó)香港、華東6(福州-本地地域)、日本(東京)、韓國(guó)(首爾)、新加坡、澳大利亞(悉尼)(關(guān)停中)、馬來(lái)西亞(吉隆坡)、印度尼西亞(雅加達(dá))、菲律賓(馬尼拉)、泰國(guó)(曼谷) |
歐洲與美洲 | 德國(guó)(法蘭克福)、英國(guó)(倫敦)、美國(guó)(硅谷)、美國(guó)(弗吉尼亞) |
中東 | 阿聯(lián)酋(迪拜)、沙特(利雅得) 重要 沙特(利雅得)地域由合作伙伴運(yùn)營(yíng)。 |
金融云支持的地域
區(qū)域 | 支持流日志的地域 |
亞太 | 華北2 金融云(邀測(cè))、華南1 金融云、華東2 金融云 |
政務(wù)云支持的地域
區(qū)域 | 支持流日志的地域 |
亞太 | 華北2 阿里政務(wù)云1 |
功能介紹
您可以捕獲指定彈性網(wǎng)卡的流量,也可以捕獲指定VPC或交換機(jī)的流量。如果選擇為VPC或交換機(jī)創(chuàng)建流日志,則會(huì)捕獲VPC和交換機(jī)中所有彈性網(wǎng)卡的流量,包括在開(kāi)啟流日志功能后新建的彈性網(wǎng)卡。
通過(guò)日志服務(wù)控制臺(tái)創(chuàng)建的流日志實(shí)例可以展示在VPC列表中,但在VPC中無(wú)法對(duì)該流日志實(shí)例進(jìn)行修改、啟動(dòng)、停止、刪除操作。
流日志功能捕獲的流量信息會(huì)以流日志記錄的方式寫(xiě)入日志服務(wù)(Log Service,簡(jiǎn)稱SLS)。每條流日志記錄會(huì)捕獲特定捕獲窗口中的特定五元組網(wǎng)絡(luò)流,捕獲窗口大約為10分鐘,該段時(shí)間內(nèi)流日志服務(wù)會(huì)先聚合數(shù)據(jù),然后再發(fā)布流日志記錄。
流日志記錄字段
流日志記錄的字段信息如下表所示。
字段 | 說(shuō)明 |
version | 流日志版本。 |
vswitch-id | 彈性網(wǎng)卡所在交換機(jī)ID。 |
vm-id | 彈性網(wǎng)卡綁定的云服務(wù)器ID。 |
vpc-id | 彈性網(wǎng)卡所在專(zhuān)有網(wǎng)絡(luò)ID。 |
account-id | 賬號(hào)ID。 |
eni-id | 彈性網(wǎng)卡ID。 |
srcaddr | 源地址。 |
srcport | 源端口。 |
dstaddr | 目的地址。 |
dstport | 目的端口。 |
protocol | 流量的IANA協(xié)議編號(hào)。 更多信息,請(qǐng)參見(jiàn)Internet 協(xié)議編號(hào)。 |
direction | 流量方向:
|
packets | 數(shù)據(jù)包數(shù)量。 |
bytes | 數(shù)據(jù)包大小。 |
start | 捕捉窗口開(kāi)始時(shí)間。 |
tcp-flags | 部分TCP的標(biāo)志位和對(duì)應(yīng)的掩碼值如下:
關(guān)于TCP標(biāo)志通用信息(例如SYN、FIN、ACK、RST等標(biāo)志的含義),請(qǐng)參見(jiàn)RFC: 793。 |
end | 捕捉窗口結(jié)束時(shí)間。 |
log-status | 流日志的日志記錄狀態(tài):
|
action | 與流量關(guān)聯(lián)的操作:
|
TrafficPath | 流量的采樣路徑:
說(shuō)明 采樣路徑功能默認(rèn)不開(kāi)放,如需使用,請(qǐng)聯(lián)系阿里云客戶經(jīng)理申請(qǐng)。 |
流日志記錄示例
流日志格式如下:
<account-id> <action> <bytes> <direction> <dstaddr> <dstport> <end> <eni-id> <log-status> <packets> <protocol> <srcaddr> <srcport> <start> <tcp-flags> <traffic_path> <version> <vm-id> <vpc-id> <vswitch-id>數(shù)據(jù)記錄正常且允許記錄流量示例
本示例阿里云主賬號(hào)ID為1210123456******,VPC流日志版本為1,在2024年7月12日17:10:20至17:11:20(1分鐘內(nèi)),彈性網(wǎng)卡eni-bp166tg9uk1ryf******允許出方向以下流量:
源地址和端口(172.31.16.139,1332)通過(guò)TCP協(xié)議(6表示TCP協(xié)議)向目的地址和端口(172.31.16.21,80)傳輸了10個(gè)數(shù)據(jù)包,數(shù)據(jù)包總大小為2048字節(jié)。日志記錄狀態(tài)為OK,無(wú)異常。
1210123456****** ACCEPT 2048 out 172.31.16.21 80 1720775480 eni-bp166tg9uk1ryf****** OK 10 6 172.31.16.139 1332 1720775420 22 - 1 - vpc-bp1qf0c43jb3maz****** vsw-bp12632woke7abk******數(shù)據(jù)記錄正常且拒絕記錄流量示例
本示例阿里云主賬號(hào)ID為1210123456******,VPC流日志版本為1,在2024年7月15日10:20:00至10:30:00(10分鐘內(nèi)),彈性網(wǎng)卡eni-bp1ftp5sm9oszt******拒絕入方向以下流量:
源地址和端口(172.31.16.139,1332)通過(guò)TCP協(xié)議(6表示TCP協(xié)議)向目的地址和端口(172.31.16.21,80)傳輸了20個(gè)數(shù)據(jù)包,數(shù)據(jù)包總大小為4208字節(jié)。日志記錄狀態(tài)為OK,無(wú)異常。
1210123456****** REJECT 4208 in 172.31.16.21 80 1721010600 eni-bp1ftp5sm9oszt****** OK 20 6 172.31.16.139 1332 1721010000 22 - 1 - vpc-bp1qf0c43jb3maz****** vsw-bp12632woke7abk****** 無(wú)數(shù)據(jù)記錄狀態(tài)示例
本示例阿里云主賬號(hào)ID為1210123456******,VPC流日志版本為1,在2024年7月15日10:52:20至10:55:20(3分鐘內(nèi)),彈性網(wǎng)卡eni-bp1j7mmp34jlve******在此時(shí)間段內(nèi)沒(méi)有流量數(shù)據(jù)記錄(NODATA)。
1210123456****** - - - - - 1721012120 eni-bp1j7mmp34jlve****** NODATA - - - - 1721011940 - - 1 - vpc-bp1qf0c43jb3maz****** vsw-bp12632woke7abk****** 跳過(guò)的數(shù)據(jù)記錄狀態(tài)示例
本示例阿里云主賬號(hào)ID為1210123456******,VPC流日志版本為1,在2024年7月12日16:20:30至16:23:30(3分鐘內(nèi)),彈性網(wǎng)卡eni-bp1dfm4xnlpruv******的數(shù)據(jù)記錄被跳過(guò)(SKIPDATA)。
1210123456****** - - - - - 1720772610 eni-bp1dfm4xnlpruv****** SKIPDATA - - - - 1720772430 - - 1 - vpc-bp1qf0c43jb3maz****** vsw-bp12632woke7abk****** 功能計(jì)費(fèi)
關(guān)于流日志的計(jì)費(fèi),請(qǐng)參見(jiàn)流日志計(jì)費(fèi)說(shuō)明。
使用限制
配額名稱 | 描述 | 默認(rèn)限制 | 提升配額 |
vpc_quota_flowlog_inst_nums_per_user | 用戶支持創(chuàng)建的流日志實(shí)例的數(shù)量 | 10個(gè) | 您可以通過(guò)以下任意方式自助提升配額:
|
配置流程
開(kāi)通日志服務(wù)
通過(guò)流日志功能捕獲到的流量信息存儲(chǔ)在阿里云日志服務(wù)中。創(chuàng)建流日志前,您需要在日志服務(wù)產(chǎn)品頁(yè)開(kāi)通日志服務(wù)。
(可選)創(chuàng)建密鑰對(duì)
如果您需要通過(guò)API/SDK寫(xiě)入數(shù)據(jù),請(qǐng)創(chuàng)建密鑰對(duì);如果您通過(guò)Logtail采集日志,則不需要?jiǎng)?chuàng)建密鑰對(duì)。
創(chuàng)建Project
您需要為日志服務(wù)創(chuàng)建一個(gè)Project。具體操作,請(qǐng)參見(jiàn)創(chuàng)建項(xiàng)目Project。
創(chuàng)建Logstore
Logstore是Project的資源集合,Logstore中的所有數(shù)據(jù)都來(lái)自于同一個(gè)數(shù)據(jù)源。創(chuàng)建Project后,您需要?jiǎng)?chuàng)建Logstore。具體操作,請(qǐng)參見(jiàn)創(chuàng)建Logstore。
創(chuàng)建捕獲資源
創(chuàng)建流日志前,您需要?jiǎng)?chuàng)建捕獲日志的資源。您可以捕獲指定彈性網(wǎng)卡的日志,也可以捕獲指定VPC或交換機(jī)的日志。具體操作,請(qǐng)參見(jiàn)創(chuàng)建輔助彈性網(wǎng)卡、創(chuàng)建和管理專(zhuān)有網(wǎng)絡(luò)和創(chuàng)建和管理交換機(jī)。
創(chuàng)建流日志
您可以創(chuàng)建流日志,流日志可以捕獲VPC網(wǎng)絡(luò)中彈性網(wǎng)卡ENI(Elastic Network Interface)傳入和傳出的流量信息。具體操作,請(qǐng)參見(jiàn)創(chuàng)建和管理流日志。
查看流日志
創(chuàng)建流日志后,您可以查看流日志。通過(guò)查看捕獲的流量信息,您可以分析跨地域業(yè)務(wù)流量、優(yōu)化使用成本和排查網(wǎng)絡(luò)故障。具體操作,請(qǐng)參見(jiàn)通過(guò)Flowlog日志中心分析流日志。