VPC

字段

说明

__topic__

日志主题，固定为flow_log。

version

流日志版本，当前所有的日志条目版本为1。

vswitch-id

弹性网卡所在交换机ID。

vm-id

弹性网卡绑定的云服务器ID。

vpc-id

弹性网卡所在专有网络ID。

account-id

阿里云账号ID。

eni-id

弹性网卡ID。

region

VPC地域。

srcaddr

源IP地址。

srcport

源端口。

dstaddr

目的IP地址。

dstport

目的端口。

protocol

流量的IANA协议编号。 常见协议号举例：ICMP为1，TCP为6，UDP为17。

direction

流量方向：

• in：流入弹性网卡的流量。

• out：流出弹性网卡流量。

packets

数据包个数。

bytes

字节数。

start

在采集窗口内，收到第1个包的时间。格式为Unix时间戳。

end

对于长连接，是采集窗口结束的时间；对于短连接，是连接关闭的时间。格式为Unix时间戳。

log-status

流日志的日志记录状态：

• OK：数据记录正常。

• NODATA：采集窗口中没有传入或传出网络接口的网络流量，常见于备用系统、非业务高峰期或配置问题导致没有流量的场景。

• SKIPDATA：采集窗口中跳过了一些流日志记录，常见于高流量环境或突发性流量高峰，导致内部系统过载，从而无法采集流量并跳过记录的场景。

action

安全组或网络ACL是否允许该访问：

• ACCEPT：安全组允许记录的流量。

• REJECT：安全组未允许记录的流量。

tcp-flags

TCP标志位，以十进制表示，反映了 TCP 协议中的 SYN、ACK、FIN 等标志的组合。

采集窗口内1个流日志条目可能会对应多个TCP数据包，该值是所有相关数据包的标志位字段进行按位或（bitwise OR）运算后的结果。

例如，1个TCP会话在某采集窗口内有两个数据包，分别带有SYN（2）和SYN-ACK（18）标志，则日志中记录的TCP标志位字段为18（2 | 18 = 18）。

部分TCP标志位对应的十进制：

• FIN: 1

• SYN: 2

• RST: 4

• PSH: 8

• SYN-ACK: 18

• URG: 32

关于TCP标志通用信息（例如SYN、FIN、ACK、RST等标志的含义），请参见RFC: 793。

traffic_path

流量发生的场景：

• 0 - 除下述场景外，采集到的流量。

• 1 - 通过同一VPC中其他资源的流量。

• 2 - 访问同VPC内ECS实例的私网流量。

• 3 - 通过弹性网卡的流量。

• 4 - 通过高可用虚拟IP（HaVip）的流量。

• 5 - 访问同地域阿里云云服务的流量。

• 6 - 通过网关终端节点访问云服务的流量。

• 7 - 通过NAT网关的流量。

• 8 - 通过转发路由器（TR）的流量。

• 9 - 通过VPN网关的流量。

• 10 - 通过边界路由器（VBR）访问专线的流量。

• 11 - 通过CEN基础版访问同地域VPC的流量。

• 12 - 除11、18、19、20所列出场景外通过CEN基础版的流量，如通过CEN基础版访问跨地域云服务、通过CEN基础版访问云连接网CCN等场景的流量。

• 13 - 通过IPv4网关访问公网的流量。

• 14 - 通过IPv6网关访问公网的流量。

• 15 - 通过公网IP访问公网的流量。

• 17 - 通过VPC对等连接的流量。

• 18 - 通过CEN基础版访问跨地域VPC的流量。

• 19 - 通过CEN基础版访问同地域VBR的流量。

• 20 - 通过CEN基础版访问跨地域VBR的流量。

• 21 - 通过专线网关（ECR）的流量。

• 22 - 通过网关型负载均衡终端节点的流量。

srctype

开启域间分析后，源IP地址所对应的网段信息。

dsttype

开启域间分析后，目标IP地址所对应的网段信息。