专有网络VPC(Virtual Private Cloud)提供流日志功能,可以记录VPC网络中弹性网卡ENI(Elastic Network Interface)传入和传出的流量信息,帮助您检查访问控制规则、监控网络流量和排查网络故障。
功能发布及地域支持情况
首次使用流日志功能时,您需要在流日志管理控制台单击立即开通并完成流日志功能的开通。
说明
如果您之前创建过流日志实例,单击立即开通后,已创建的流日志实例会重新展示在流日志页面。
公有云支持的地域
| 区域 | 支持流日志的地域 |
| 亚太 | 华东1(杭州)、华东2(上海)、华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华北6(乌兰察布)、华南1(深圳)、华南2(河源)、华南3(广州)、西南1(成都)、中国香港、华东6(福州-本地地域)、日本(东京)、韩国(首尔)、新加坡、澳大利亚(悉尼)(关停中)、马来西亚(吉隆坡)、印度尼西亚(雅加达)、菲律宾(马尼拉)、泰国(曼谷) |
| 欧洲与美洲 | 德国(法兰克福)、英国(伦敦)、美国(硅谷)、美国(弗吉尼亚) |
| 中东 | 阿联酋(迪拜)、沙特(利雅得) 重要 沙特(利雅得)地域由合作伙伴运营。 |
金融云支持的地域
| 区域 | 支持流日志的地域 |
| 亚太 | 华北2 金融云(邀测)、华南1 金融云、华东2 金融云 |
政务云支持的地域
| 区域 | 支持流日志的地域 |
| 亚太 | 华北2 阿里政务云1 |
功能介绍
您可以捕获指定弹性网卡的流量,也可以捕获指定VPC或交换机的流量。如果选择为VPC或交换机创建流日志,则会捕获VPC和交换机中所有弹性网卡的流量,包括在开启流日志功能后新建的弹性网卡。
说明
通过日志服务控制台创建的流日志实例可以展示在VPC列表中,但在VPC中无法对该流日志实例进行修改、启动、停止、删除操作。
流日志功能捕获的流量信息会以流日志记录的方式写入日志服务(Log Service,简称SLS)。每条流日志记录会捕获特定捕获窗口中的特定五元组网络流,捕获窗口大约为10分钟,该段时间内流日志服务会先聚合数据,然后再发布流日志记录。
流日志记录字段
流日志记录的字段信息如下表所示。
| 字段 | 说明 |
| version | 流日志版本。 |
| vswitch-id | 弹性网卡所在交换机ID。 |
| vm-id | 弹性网卡绑定的云服务器ID。 |
| vpc-id | 弹性网卡所在专有网络ID。 |
| account-id | 账号ID。 |
| eni-id | 弹性网卡ID。 |
| srcaddr | 源地址。 |
| srcport | 源端口。 |
| dstaddr | 目的地址。 |
| dstport | 目的端口。 |
| protocol | 流量的IANA协议编号。 更多信息,请参见Internet 协议编号。 |
| direction | 流量方向:
|
| packets | 数据包数量。 |
| bytes | 数据包大小。 |
| start | 捕捉窗口开始时间。 |
| tcp-flags | 部分TCP的标志位和对应的掩码值如下:
关于TCP标志通用信息(例如SYN、FIN、ACK、RST等标志的含义),请参见RFC: 793。 |
| end | 捕捉窗口结束时间。 |
| log-status | 流日志的日志记录状态:
|
| action | 与流量关联的操作:
|
| TrafficPath | 流量的采样路径:
说明 采样路径功能默认不开放,如需使用,请联系阿里云客户经理申请。 |
流日志记录示例
流日志格式如下:
<account-id> <action> <bytes> <direction> <dstaddr> <dstport> <end> <eni-id> <log-status> <packets> <protocol> <srcaddr> <srcport> <start> <tcp-flags> <traffic_path> <version> <vm-id> <vpc-id> <vswitch-id>数据记录正常且允许记录流量示例
本示例阿里云主账号ID为1210123456******,VPC流日志版本为1,在2024年7月12日17:10:20至17:11:20(1分钟内),弹性网卡eni-bp166tg9uk1ryf******允许出方向以下流量:
源地址和端口(172.31.16.139,1332)通过TCP协议(6表示TCP协议)向目的地址和端口(172.31.16.21,80)传输了10个数据包,数据包总大小为2048字节。日志记录状态为OK,无异常。
1210123456****** ACCEPT 2048 out 172.31.16.21 80 1720775480 eni-bp166tg9uk1ryf****** OK 10 6 172.31.16.139 1332 1720775420 22 - 1 - vpc-bp1qf0c43jb3maz****** vsw-bp12632woke7abk******数据记录正常且拒绝记录流量示例
本示例阿里云主账号ID为1210123456******,VPC流日志版本为1,在2024年7月15日10:20:00至10:30:00(10分钟内),弹性网卡eni-bp1ftp5sm9oszt******拒绝入方向以下流量:
源地址和端口(172.31.16.139,1332)通过TCP协议(6表示TCP协议)向目的地址和端口(172.31.16.21,80)传输了20个数据包,数据包总大小为4208字节。日志记录状态为OK,无异常。
1210123456****** REJECT 4208 in 172.31.16.21 80 1721010600 eni-bp1ftp5sm9oszt****** OK 20 6 172.31.16.139 1332 1721010000 22 - 1 - vpc-bp1qf0c43jb3maz****** vsw-bp12632woke7abk****** 无数据记录状态示例
本示例阿里云主账号ID为1210123456******,VPC流日志版本为1,在2024年7月15日10:52:20至10:55:20(3分钟内),弹性网卡eni-bp1j7mmp34jlve******在此时间段内没有流量数据记录(NODATA)。
1210123456****** - - - - - 1721012120 eni-bp1j7mmp34jlve****** NODATA - - - - 1721011940 - - 1 - vpc-bp1qf0c43jb3maz****** vsw-bp12632woke7abk****** 跳过的数据记录状态示例
本示例阿里云主账号ID为1210123456******,VPC流日志版本为1,在2024年7月12日16:20:30至16:23:30(3分钟内),弹性网卡eni-bp1dfm4xnlpruv******的数据记录被跳过(SKIPDATA)。
1210123456****** - - - - - 1720772610 eni-bp1dfm4xnlpruv****** SKIPDATA - - - - 1720772430 - - 1 - vpc-bp1qf0c43jb3maz****** vsw-bp12632woke7abk****** 功能计费
关于流日志的计费,请参见流日志计费说明。
使用限制
| 配额名称 | 描述 | 默认限制 | 提升配额 |
| vpc_quota_flowlog_inst_nums_per_user | 用户支持创建的流日志实例的数量 | 10个 | 您可以通过以下任意方式自助提升配额: |
配置流程
-
开通日志服务
通过流日志功能捕获到的流量信息存储在阿里云日志服务中。创建流日志前,您需要在日志服务产品页开通日志服务。
-
(可选)创建密钥对
如果您需要通过API/SDK写入数据,请创建密钥对;如果您通过Logtail采集日志,则不需要创建密钥对。
-
创建Project
您需要为日志服务创建一个Project。具体操作,请参见创建项目Project。
-
创建Logstore
Logstore是Project的资源集合,Logstore中的所有数据都来自于同一个数据源。创建Project后,您需要创建Logstore。具体操作,请参见创建Logstore。
-
创建捕获资源
创建流日志前,您需要创建捕获日志的资源。您可以捕获指定弹性网卡的日志,也可以捕获指定VPC或交换机的日志。具体操作,请参见创建辅助弹性网卡、创建和管理专有网络和创建和管理交换机。
-
创建流日志
您可以创建流日志,流日志可以捕获VPC网络中弹性网卡ENI(Elastic Network Interface)传入和传出的流量信息。具体操作,请参见创建和管理流日志。
-
查看流日志
创建流日志后,您可以查看流日志。通过查看捕获的流量信息,您可以分析跨地域业务流量、优化使用成本和排查网络故障。
扫一扫
1342
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
