AI 助理
备案控制台
文档
输入文档关键字查找
首页专有网络VPC操作指南运维与监控流日志

流日志

更新时间:2025-02-28 01:49:43
产品详情
我的收藏

VPC提供流日志功能,通过记录VPC中弹性网卡ENI入方向和出方向的流量信息,帮助您监控网络性能、排查网络故障、优化网络流量成本以及进行网络安全分析等。

功能简介

image

流日志支持采集指定弹性网卡、交换机或VPC的流量。如果选择为VPC或交换机创建流日志,则会采集VPC和交换机中所有弹性网卡的流量,包括在开启流日志功能后新建的弹性网卡。

流日志功能采集的流量信息会以流日志记录的方式写入日志服务SLS。每条流日志条目会记录特定采集窗口中的特定五元组网络流,在该段采样间隔内,流日志服务会先聚合数据,再发布流日志记录。

您可以根据场景选择仅采集对应路径的流量,降低流日志的使用成本。支持采集以下路径的流量:

  • 全部场景的流量

  • 通过IPv4网关访问公网的流量

  • 通过NAT网关的流量

  • 通过VPN网关的流量

  • 通过转发路由器(TR)的流量

  • 通过网关终端节点访问云服务的流量

  • 通过边界路由器(VBR)访问专线的流量

  • 通过专线网关(ECR)的流量

  • 通过网关型负载均衡终端节点的流量

应用场景

网络监控

优化网络流量成本

网络安全分析

网络监控

优化网络流量成本

网络安全分析

通过查询流日志可以:

  • 了解VPC吞吐量和性能

  • 了解VPC内资源的流量信息和流量变化趋势

  • 排查网络故障

  • 检查访问控制规则

通过查询流日志分析网络传输情况,可以优化网络流量费用。例如,通过查询流日志获取以下信息:

  • VPC发往其他地域的流量

  • VPC中发往特定公网地址的流量

  • VPC中流向本地IDC和其他云网络的流量

  • VPC中高流量的ECS实例

如果出现突发事件,可以通过查询VPC流日志获取以下信息:

  • IP访问历史记录

  • 通过出方向和入方向流量信息分析异常IP或者调查入侵IP访问记录

功能计费

image

流日志生成费按照每月每地域生成的日志量实行阶梯累积计费,每个阿里云账号(主账号)在每个地域每月拥有5 GB免费额度。日志服务的服务费遵循日志服务产品的计费策略。更多信息,请参见流日志计费说明

使用限制

  • 功能限制

    首次使用流日志功能时,您需要在流日志管理页面单击立即开通,完成流日志功能的开通。

    说明

    如果您之前创建过流日志实例,单击立即开通后,已创建的流日志实例会重新展示在流日志页面。

  • 支持的地域

    单击查看流日志支持的地域

    公有云支持的地域

    区域

    支持流日志的地域

    亚太-中国

    华东1(杭州)华东2(上海)华北1(青岛)华北2(北京)华北3(张家口)华北5(呼和浩特)华北6(乌兰察布)华南1(深圳)华南2(河源)华南3(广州)西南1(成都)中国香港华东6(福州-本地地域)

    亚太-其他

    日本(东京)韩国(首尔)新加坡马来西亚(吉隆坡)印度尼西亚(雅加达)菲律宾(马尼拉)泰国(曼谷)

    欧洲与美洲

    德国(法兰克福)英国(伦敦)美国(硅谷)美国(弗吉尼亚)

    中东

    阿联酋(迪拜)沙特(利雅得)

    重要

    沙特(利雅得)地域由合作伙伴运营。

    金融云支持的地域

    区域

    支持流日志的地域

    亚太

    华北2 金融云(邀测)华南1 金融云华东2 金融云

    政务云支持的地域

    区域

    支持流日志的地域

    亚太

    华北2 阿里政务云1

  • 配额限制

    配额名称

    描述

    默认限制

    提升配额

    配额名称

    描述

    默认限制

    提升配额

    vpc_quota_flowlog_inst_nums_per_user

    用户支持创建的流日志实例的数量

    10

    您可以通过以下任意方式自助提升配额:

管理流日志

  1. 登录专有网络管理控制台

  2. 在左侧导航栏,选择运维与监控 > 流日志。在顶部菜单栏处,选择流日志的地域。

根据您的需求,继续执行以下操作。

创建或删除流日志

创建流日志

说明

创建流日志前,请确保已满足以下条件:

  • 当您首次创建流日志时,需要单击立即授权,然后单击同意授权。授权成功后才能保证流日志可以将相关日志写入日志服务中。

  • 您已经在日志服务产品页开通了日志服务。

  • 您已经创建采集日志的资源。您可以采集指定弹性网卡VPC交换机的日志。

流日志页面,单击创建流日志。在创建流日志对话框,根据以下信息配置流日志。

  • 资源类型:支持的资源类型有专有网络交换机弹性网卡

    说明

    资源类型为专有网络交换机时,您可以在流日志页面,在目标流日志的操作列单击查看ENI采集范围,查看采集的弹性网卡信息。

  • 资源实例:要采集流量的资源实例。

  • 流量类型:支持全部流量被访问控制允许的流量被访问控制拒绝的流量

  • 流量采集IP版本:当前仅支持IPv4

  • 项目(Project)选择现有Project新建Project,存储采集流量。

    说明

    创建流日志后,如果ProjectLogstore被删除导致流日志推送到日志服务失败,流日志会被后台自动停止(流日志依旧是数据投递成功的状态)。此时您可以重建相同名称的Project或者Logstore,然后重新启动流日志,流日志会继续被推送至日志服务。

  • 日志库(Logstore)选择现有 Logstore新建 Logstore,存储采集流量。

  • 开启流日志分析报表功能:选择该功能后,所选的LogStore会开启索引并建立仪表盘,支持对数据进行SQL与可视化分析。

    日志服务索引功能按流量收费,仪表盘不收费。更多信息,请参见日志服务计费说明

  • 采样间隔(分钟):当前支持1分钟、5分钟和10分钟。默认采用10分钟的采样间隔。采样间隔越短,流日志生成越频繁和及时,但流日志条目数量会越多,流日志成本也越高。

    说明

    • 流日志创建完成后,您可以在流日志页面,找到目标流日志,在采样间隔(分钟)列单击编辑,修改采样间隔。

    • VPC内存在多个流日志实例同时采集同一网卡流量时,将会以所有流日志实例中最小的采样间隔作为实际采集周期。

  • 采样路径:当前支持采集全部场景的流量、通过IPv4网关访问公网的流量、通过NAT网关的流量、通过VPN网关的流量、通过转发路由器(TR)的流量、通过网关终端节点访问云服务的流量、通过边界路由器(VBR)访问专线的流量。默认采集全部场景。如果您需要采集某一场景下的流量信息,需要先取消采集全部场景,然后再选择指定的采集场景。

    说明

    各个采样路径下默认不记录“被访问控制拒绝的流量”类型的流量信息。如果您需要记录“被访问控制拒绝的流量”类型的流量信息,创建流日志时流量类型需选择“被访问控制拒绝的流量”,采样路径需选择“采集全部场景”。

删除流日志

您可以删除处于已启动未启动状态的流日志。删除流日志后,您仍可以通过日志管理控制台查看之前采集的流量信息。删除流日志后,不再产生流日志生成费。

分析流日志

通过分析流日志,您可以监控网络性能、排查网络故障、优化网络流量成本以及进行网络安全分析等。

使用日志库

  1. 流日志页面,找到目标流日志,单击日志服务列的日志库链接。

  2. 在日志管理控制台,使用日志服务提供的相关功能,查询分析流日志。

使用Flowlog日志中心

  1. 登录日志服务控制台

  2. 日志应用区域,单击查看更多日志应用,在日志应用对话框中单击Flowlog日志中心

  3. Flowlog管理页面,单击添加。在创建实例面板中,选择创建流日志时配置的ProjectLogstore。

  4. 创建实例成功后,单击Flowlog日志中心列表的实例ID。Flowlog详情页面,您可以查看并分析流日志的信息。

    日志中心

    监控中心提供以下仪表盘和自定义查询功能:

    • 概览:展示流日志的整体信息。

    • 策略统计:展示Accept趋势、Reject趋势、Accept次数统计(由五元组构成)、Reject次数统计(由五元组构成)等信息。五元组是由源IP、源端口、协议类型、目标IP和目标端口组成的集合。

      • Accept:安全组和网络ACL允许记录的流量。

      • Reject:安全组和网络ACL拒绝记录的流量。

    • ENI流量:展示弹性网卡入方向和出方向的流量信息。

    • ECS间流量:展示ECS实例之间的流量情况。

    • 自定义查询:您可以自行查询和分析流日志

  5. Flowlog详情页面,单击网段设置,在网段设置页签,打开开启“域间分析”开关。

    开启域间分析功能后,系统将自动创建数据加工任务,生成具有网段信息的VPC流日志,用于分析不同网段之间的流量情况。数据加工功能会收取一定的费用,您可以选择是否开启域间分析功能。

    日志服务已预设多个网段,如下图所示。当您需要分析不同网段之间的流量情况时,只需一键开启域间分析功能即可。如果预设网段未满足您的需求,您可以自定义添加网段。

    image

    域间分析提供以下仪表盘和自定义查询功能:

    • 域间流量:展示不同网段之间的流量情况。

    • ECS到区间流量:展示ECS实例到目标网段的流量情况。

    • 威胁情报:展示源IP地址与目标IP地址的威胁情报信息。

    • 自定义查询:您可以自行查询和分析具有网段信息的VPC流日志

启动或停止流日志

启动流日志

您可以启动处于未启动状态的流日志。启动流日志后,流日志才会采集弹性网卡的流量信息。

停止流日志

如果您希望暂时停止采集弹性网卡的流量信息,您可以停止流日志。停止流日志并非删除流日志,待您希望再次采集弹性网卡的流量信息时,可以启动状态为未启动的流日志。停止流日志后,不再产生流日志生成费。

常见问题

VPC流日志可以保存多长时间?

VPC流日志生成后会被自动投递至日志服务中,遵循日志服务产品的保存策略。

  • 创建VPC流日志时如果选择开启流日志分析报表功能,则用于存储VPC流日志的Logstore的数据保存时长将被强制修改为7天。

  • 创建VPC流日志时如果没有选择开启流日志分析报表功能,则VPC流日志新建的Logstore的数据保存时长默认为300天,现有的Logstore的数据保存时长您可以在日志服务控制台查看。

您可以按需修改数据保存时长

等保(信息安全等级保护)要求网络日志,在哪里可以查询网络日志?

阿里云专有网络VPC为虚拟化资源,默认没有日志记录。如果您需要日志记录,可以开启VPC流日志功能,VPC流日志支持记录弹性网卡入方向和出方向的流量信息,可以帮助您监控VPC网络。

如果仅要采集VPC下几台ECS实例的日志信息,如何创建流日志?

创建流日志时资源类型选择弹性网卡,为每个ECS实例的每个弹性网卡创建一个流日志即可。

相关文档

上一篇:运维与监控下一篇:流日志记录
  • 本页导读 (1)
  • 功能简介
  • 应用场景
  • 功能计费
  • 使用限制
  • 管理流日志
  • 创建或删除流日志
  • 分析流日志
  • 启动或停止流日志
  • 常见问题
  • 相关文档