什么是阿里云VPC的流日志服务？_专有网络VPC(VPC)-阿里云帮助中心

VPC提供流日志功能，通过记录VPC中弹性网卡ENI入方向和出方向的流量信息，帮助您监控网络性能、排查网络故障、优化网络流量成本以及进行网络安全分析等。

功能简介

流日志支持采集指定弹性网卡、交换机或VPC的流量。如果选择为VPC或交换机创建流日志，则会采集VPC和交换机中所有弹性网卡的流量，包括在开启流日志功能后新建的弹性网卡。

当前，您可在华北1（青岛）、华北5（呼和浩特）、美国（硅谷）、美国（弗吉尼亚）地域，采集IPv4或IPv4/IPv6双栈流量；其他地域仅可采集IPv4流量。

流日志功能采集的流量信息会以流日志记录的方式写入日志服务SLS。每条流日志条目会记录特定采集窗口中的特定五元组网络流，在该段采样间隔内，流日志服务会先聚合数据，再发布流日志记录。

您可以根据场景选择仅采集对应路径的流量，降低流日志的使用成本。支持采集以下路径的流量：

全部场景的流量
通过IPv4网关访问公网的流量
通过NAT网关的流量
通过VPN网关的流量
通过转发路由器（TR）的流量
通过网关终端节点访问云服务的流量
通过边界路由器（VBR）访问专线的流量
通过专线网关（ECR）的流量
通过网关型负载均衡终端节点的流量

应用场景

网络监控	优化网络流量成本	网络安全分析

网络监控

优化网络流量成本

网络安全分析

通过查询流日志可以：

了解VPC吞吐量和性能
了解VPC内资源的流量信息和流量变化趋势
排查网络故障
检查访问控制规则

通过查询流日志分析网络传输情况，可以优化网络流量费用。例如，通过查询流日志获取以下信息：

VPC发往其他地域的流量
VPC中发往特定公网地址的流量
VPC中流向本地IDC和其他云网络的流量
VPC中高流量的ECS实例

如果出现突发事件，可以通过查询VPC流日志获取以下信息：

IP访问历史记录
通过出方向和入方向流量信息分析异常IP或者调查入侵IP访问记录

功能计费

流日志生成费按照每月每地域生成的日志量实行阶梯累积计费，每个阿里云账号（主账号）在每个地域每月拥有5 GB免费额度。日志服务的服务费遵循日志服务产品的计费策略。更多信息，请参见流日志计费说明。

使用限制

功能限制
首次使用流日志功能时，您需要在流日志管理页面单击立即开通，完成流日志功能的开通。
说明
如果您之前创建过流日志实例，单击立即开通后，已创建的流日志实例会重新展示在流日志页面。

支持的地域

单击查看流日志支持的地域

公有云支持的地域

区域	支持流日志的地域
亚太-中国	华东1（杭州）、华东2（上海）、华北1（青岛）、华北2（北京）、华北3（张家口）、华北5（呼和浩特）、华北6（乌兰察布）、华南1（深圳）、华南2（河源）、华南3（广州）、西南1（成都）、中国香港、华东6（福州-本地地域）
亚太-其他	日本（东京）、韩国（首尔）、新加坡、马来西亚（吉隆坡）、印度尼西亚（雅加达）、菲律宾（马尼拉）、泰国（曼谷）
欧洲与美洲	德国（法兰克福）、英国（伦敦）、美国（硅谷）、美国（弗吉尼亚）
中东	阿联酋（迪拜）、沙特（利雅得）重要沙特（利雅得）地域由合作伙伴运营。

金融云支持的地域

区域	支持流日志的地域
亚太	华北2 金融云（邀测）、华南1 金融云、华东2 金融云

政务云支持的地域

区域	支持流日志的地域
亚太	华北2 阿里政务云1

配额限制

配额名称	描述	默认限制	提升配额

配额名称

描述

默认限制

提升配额

vpc_quota_flowlog_inst_nums_per_user

用户支持创建的流日志实例的数量

10个

您可以通过以下任意方式自助提升配额：

前往配额管理页面提升配额。具体操作，请参见管理VPC配额。
前往配额中心自助提升配额。具体操作，请参见创建配额提升申请。

管理流日志

登录专有网络管理控制台。
在左侧导航栏，选择运维与监控 > 流日志。在顶部菜单栏处，选择流日志的地域。

根据您的需求，继续执行以下操作。

创建或删除流日志

创建流日志

说明

创建流日志前，请确保已满足以下条件：

当您首次创建流日志时，需要单击立即授权，然后单击同意授权。授权成功后才能保证流日志可以将相关日志写入日志服务中。
您已经在日志服务产品页开通了日志服务。
您已经创建采集日志的资源。您可以采集指定弹性网卡、VPC或交换机的日志。

在流日志页面，单击创建流日志。在创建流日志对话框，根据以下信息配置流日志。

资源类型：支持的资源类型有专有网络、交换机、弹性网卡。
说明
资源类型为专有网络或交换机时，您可以在流日志页面，在目标流日志的操作列单击查看ENI采集范围，查看采集的弹性网卡信息。
资源实例：要采集流量的资源实例。
流量类型：支持全部流量、被访问控制允许的流量、被访问控制拒绝的流量。
流量采集IP版本：支持IPv4、双栈。
说明
支持采集IPv4/IPv6双栈流量的地域有：华北1（青岛）、华北5（呼和浩特）、美国（硅谷）、美国（弗吉尼亚）。
项目（Project）：选择现有Project或新建Project，存储采集流量。
说明
创建流日志后，如果Project或Logstore被删除导致流日志推送到日志服务失败，流日志会被后台自动停止（流日志依旧是数据投递成功的状态）。此时您可以重建相同名称的Project或者Logstore，然后重新启动流日志，流日志会继续被推送至日志服务。
日志库（Logstore）：选择现有 Logstore或新建 Logstore，存储采集流量。
开启流日志分析报表功能：选择该功能后，所选的LogStore会开启索引并建立仪表盘，支持对数据进行SQL与可视化分析。
日志服务索引功能按流量收费，仪表盘不收费。更多信息，请参见日志服务计费说明。
采样间隔（分钟）：当前支持1分钟、5分钟和10分钟。默认采用10分钟的采样间隔。采样间隔越短，流日志生成越频繁和及时，但流日志条目数量会越多，流日志成本也越高。
说明
- 流日志创建完成后，您可以在流日志页面，找到目标流日志，在采样间隔（分钟）列单击编辑，修改采样间隔。
- 当VPC内存在多个流日志实例同时采集同一网卡流量时，将会以所有流日志实例中最小的采样间隔作为实际采集周期。
采样路径：当前支持采集全部场景的流量、通过IPv4网关访问公网的流量、通过NAT网关的流量、通过VPN网关的流量、通过转发路由器（TR）的流量、通过网关终端节点访问云服务的流量、通过边界路由器（VBR）访问专线的流量。默认采集全部场景。如果您需要采集某一场景下的流量信息，需要先取消采集全部场景，然后再选择指定的采集场景。
说明
各个采样路径下默认不记录“被访问控制拒绝的流量”类型的流量信息。如果您需要记录“被访问控制拒绝的流量”类型的流量信息，创建流日志时流量类型需选择“被访问控制拒绝的流量”，采样路径需选择“采集全部场景”。

删除流日志

您可以删除处于已启动和未启动状态的流日志。删除流日志后，您仍可以通过日志管理控制台查看之前采集的流量信息。删除流日志后，不再产生流日志生成费。

分析流日志

通过分析流日志，您可以监控网络性能、排查网络故障、优化网络流量成本以及进行网络安全分析等。

使用日志库

在流日志页面，找到目标流日志，单击日志服务列的日志库链接。
在日志管理控制台，使用日志服务提供的相关功能，查询分析流日志。

使用Flowlog日志中心

登录日志服务控制台。
在日志应用区域，单击查看更多日志应用，在日志应用对话框中单击Flowlog日志中心。
在Flowlog管理页面，单击添加。在创建实例面板中，选择创建流日志时配置的Project和Logstore。
创建实例成功后，单击Flowlog日志中心列表的实例ID。在Flowlog详情页面，您可以查看并分析流日志的信息。
监控中心提供以下仪表盘和自定义查询功能：
- 概览：展示流日志的整体信息。
- 策略统计：展示Accept趋势、Reject趋势、Accept次数统计（由五元组构成）、Reject次数统计（由五元组构成）等信息。五元组是由源IP、源端口、协议类型、目标IP和目标端口组成的集合。
  - Accept：安全组和网络ACL允许记录的流量。
  - Reject：安全组和网络ACL拒绝记录的流量。
- ENI流量：展示弹性网卡入方向和出方向的流量信息。
- ECS间流量：展示ECS实例之间的流量情况。
- 自定义查询：您可以自行查询和分析流日志。
在Flowlog详情页面，单击网段设置，在网段设置页签，打开开启“域间分析”开关。
开启域间分析功能后，系统将自动创建数据加工任务，生成具有网段信息的VPC流日志，用于分析不同网段之间的流量情况。数据加工功能会收取一定的费用，您可以选择是否开启域间分析功能。
日志服务已预设多个网段，如下图所示。当您需要分析不同网段之间的流量情况时，只需一键开启域间分析功能即可。如果预设网段未满足您的需求，您可以自定义添加网段。
域间分析提供以下仪表盘和自定义查询功能：
- 域间流量：展示不同网段之间的流量情况。
- ECS到区间流量：展示ECS实例到目标网段的流量情况。
- 威胁情报：展示源IP地址与目标IP地址的威胁情报信息。
- 自定义查询：您可以自行查询和分析具有网段信息的VPC流日志。

启动或停止流日志

启动流日志

您可以启动处于未启动状态的流日志。启动流日志后，流日志才会采集弹性网卡的流量信息。

停止流日志

如果您希望暂时停止采集弹性网卡的流量信息，您可以停止流日志。停止流日志并非删除流日志，待您希望再次采集弹性网卡的流量信息时，可以启动状态为未启动的流日志。停止流日志后，不再产生流日志生成费。

常见问题

VPC流日志可以保存多长时间？

VPC流日志生成后会被自动投递至日志服务中，遵循日志服务产品的保存策略。

创建VPC流日志时如果选择开启流日志分析报表功能，则用于存储VPC流日志的Logstore的数据保存时长将被强制修改为7天。
创建VPC流日志时如果没有选择开启流日志分析报表功能，则VPC流日志新建的Logstore的数据保存时长默认为300天，现有的Logstore的数据保存时长您可以在日志服务控制台查看。

您可以按需修改数据保存时长。

等保（信息安全等级保护）要求网络日志，在哪里可以查询网络日志？

阿里云专有网络VPC为虚拟化资源，默认没有日志记录。如果您需要日志记录，可以开启VPC流日志功能，VPC流日志支持记录弹性网卡入方向和出方向的流量信息，可以帮助您监控VPC网络。

如果仅要采集VPC下几台ECS实例的日志信息，如何创建流日志？

创建流日志时资源类型选择弹性网卡，为每个ECS实例的每个弹性网卡创建一个流日志即可。