AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 云服务器 ECS 用户指南 安全合规 安全合规治理 安全审计与运维 启用VPC流日志,分析和审计网络流量

启用VPC流日志,分析和审计网络流量

更新时间:
产品详情
我的收藏

启用VPC流量日志,流日志服务会从VPC、交换机、弹性网卡采集流量并存储到用户SLS中形成流量日志。

安全风险

VPC流日志能够全面记录VPC内外的所有IP流量。它的核心价值在于:

  • 流量监控与分析: 监控网络流量模式,分析应用通信行为。

  • 定位故障: 快速定位网络连接异常、性能瓶颈等问题。

  • 安全审计与合规: 满足数据安全与合规性要求,提供可追溯的网络活动记录。

  • 分析网络安全攻击: 分析潜在的网络安全攻击,如异常流量或非法扫描。

VPC流日志记录了VPC内部ECS之间、VPC与外部通信的网络流信息。每一条流日志都是对一个特定网络会话的聚合统计。该会话由其五元组(源/目的IP、源/目的端口、协议)唯一确定,日志内容不仅包含通信时长和流量大小等关键指标,还附带了如流量方向、网元ID等元数据。

最佳实践

开通和创建VPC流日志

  1. 开通VPC流日志

    首次使用流日志功能时,需要:

    • 流日志页面单击立即授权,然后单击确认授权,完成安全验证即可。该操作会自动创建1RAM角色

      AliyunVPCLogArchiveRole1RAM策略AliyunVPCLogArchiveRolePolicy,VPC默认

      通过此角色和策略来访问日志服务,来保证将流日志写入日志服务中。

    • 流日志页面单击立即开通,然后单击开通流日志服务。如果曾在公测期间创建过流日志实例,需单

      立即开通后才能重新查看和管理这些实例。

    • 前往日志服务控制台,开通日志服务。

    image.png

  2. 创建流日志

    前往专有网络控制台流日志页面,单击创建流日志。在创建流日志面板中进行配置:

    • 采集配置

      • 地域:选择目标采集对象所在的地域。

      • 资源类型资源实例:可选采集粒度为弹性网卡交换机专有网络。选择专有网络或交换机

        时,系统会监控其内所有弹性网卡的流量。

      • 流量类型:可选被访问控制允许或拒绝的流量,此处的访问控制包括安全组和网络ACL。

      • 流量采集版本:可选仅采集IPv4或采集IPv4+IPv6双栈。当前支持IPv6的地域包括:华东1(杭州)华东2(上海)华北1(青岛)华北2(北京)华北5(呼和浩特)华南1(深圳)新加坡美国(硅谷)美国(弗吉尼亚)

      • 采样间隔(分钟):聚合流量信息的采集窗口时间,可选1分钟、5分钟或10分钟。窗口越小,流日

        志生成越频繁和及时,有助于更快发现和定位问题。窗口越大时效性越低,但日志条目数也会下降从而节省费用成本。

        例如1个保持长连接的TCP会话,窗口为1分钟时每小时产生60条日志;为10分钟时仅产生6条。

        VPC内存在多个流日志实例同时采集同一网卡流量时,将会以所有流日志实例中最小的采样间隔作为实际采集周期。

      • 采样路径:可选择特定的采集场景来降低使用成本。选择前需要先取消默认的采集全部场景

        支持选择通过如下网元的流量:IPv4网关、NAT网关、VPN网关、转发路由器(TR)、网关终端节点、边界路由器(VBR)、专线网关(ECR)、网关型负载均衡节点(GWLB)。

    • 分析和投递配置:选择至少一个目标。

      • 投递至日志服务

        • 选择ProjectLogstore:首次创建流日志时,为和其他数据隔离,建议新建Project新建Logstore。当需要将多个流日志汇总到一处集中分析时,请选择同一个Logstore。

        • 开启流日志分析报表功能:建议勾选。该功能会自动在流日志对应的LogStore创建索引创建仪表盘,以支持对流日志执行SQL与可视化分析。开启后SLS产品会产生计费

      • 开启NIS流量分析(暂未开放)。

    单击确定完成创建,成功创建流日志后,系统会自动启动流量信息采集。

2. 分析流日志

通过分析流日志,可以监控网络性能、排查网络故障、优化网络流量成本以及进行网络安全分析等。

自定义分析:通过Logstore日志库

前往专有网络控制台流日志页面,在目标流日志的日志服务列单击Logstore的实例名称,进入Logstore的详情页面。在此页面可以:

image

通过预设模板分析:Flowlog日志中心

Flowlog日志中心预设了一组可视化模板,支持VPC的策略统计、弹性网卡流量统计以及网段间流量统计,帮助您快速分析VPC流日志。

  1. 前往Flowlog日志中心页面,在右上方单击添加

  2. 创建实例面板中,填入实例名称、已有流日志对应的ProjectLogstore,单击确定

  3. 实例创建成功后,单击Flowlog日志中心列表的实例ID。Flowlog详情页面,可以查看并分析流日志的信息。

    image

    监控中心提供以下仪表盘和自定义查询功能:

    • 概览:展示流日志的AcceptReject趋势、进出流量趋势、每个VPC的总数据包数和总字节数、每

      ENI的总数据包数和总字节数、来源IP和目标IP的地理分布。

    • 策略统计:展示Accept趋势、Reject趋势、Accept次数统计(由五元组构成)、Reject次数统计

      (由五元组构成)等信息。五元组是由源IP、源端口、协议类型、目标IP和目标端口组成的集合。

      • Accept:安全组和网络ACL允许记录的流量。

      • Reject:安全组和网络ACL拒绝记录的流量。

    • ENI流量:展示弹性网卡入方向和出方向的流量信息。

    • ECS间流量:展示ECS实例之间的流量情况。

    • 自定义查询:可以自行查询与分析快速指引

  4. 开启域间分析(可选):Flowlog详情页面,单击网段设置,在网段设置页签,打开开启“域间分析”开关。

    开启域间分析功能后,系统将自动创建数据加工任务,生成具有网段信息的VPC流日志,用于分析不同网段之间的流量情况。数据加工功能会收取一定的费用

    日志服务已预设多个网段,如下图所示。当需要分析不同网段之间的流量情况时,只需一键开启域间分析功能即可。也可以根据自身需求自定义添加网段。

    image

    域间分析提供以下仪表盘和自定义查询功能:

    • 域间流量:展示不同网段之间的流量情况。

    • ECS到区间流量:展示ECS实例到目标网段的流量情况。

    • 威胁情报:展示源IP地址与目标IP地址的威胁情报信息。

    • 自定义查询:可以自行查询和分析具有网段信息的VPC流日志

上一篇:使用堡垒机运维满足等保2.0要求下一篇:应用安全