流日志

• 资源类型：支持的资源类型有专有网络、交换机、弹性网卡。

  说明

  资源类型为专有网络或交换机时，您可以在流日志页面，在目标流日志的操作列单击查看ENI采集范围，查看采集的弹性网卡信息。

• 资源实例：要采集流量的资源实例。

• 流量类型：支持全部流量、被访问控制允许的流量、被访问控制拒绝的流量。

• 流量采集IP版本：当前仅支持IPv4。

• 项目（Project）：选择现有Project或新建Project，存储采集流量。

  说明

  创建流日志后，如果Project或Logstore被删除导致流日志推送到日志服务失败，流日志会被后台自动停止（流日志依旧是数据投递成功的状态）。此时您可以重建相同名称的Project或者Logstore，然后重新启动流日志，流日志会继续被推送至日志服务。

• 日志库（Logstore）：选择现有 Logstore或新建 Logstore，存储采集流量。

• 开启流日志分析报表功能：选择该功能后，所选的LogStore会开启索引并建立仪表盘，支持对数据进行SQL与可视化分析。

  日志服务索引功能按流量收费，仪表盘不收费。更多信息，请参见日志服务计费说明。

• 采样间隔（分钟）：当前支持1分钟、5分钟和10分钟。默认采用10分钟的采样间隔。采样间隔越短，流日志生成越频繁和及时，但流日志条目数量会越多，流日志成本也越高。

  说明

  • 流日志创建完成后，您可以在流日志页面，找到目标流日志，在采样间隔（分钟）列单击编辑，修改采样间隔。

  • 当VPC内存在多个流日志实例同时采集同一网卡流量时，将会以所有流日志实例中最小的采样间隔作为实际采集周期。

• 采样路径：当前支持采集全部场景的流量、通过IPv4网关访问公网的流量、通过NAT网关的流量、通过VPN网关的流量、通过转发路由器（TR）的流量、通过网关终端节点访问云服务的流量、通过边界路由器（VBR）访问专线的流量。默认采集全部场景。如果您需要采集某一场景下的流量信息，需要先取消采集全部场景，然后再选择指定的采集场景。

  说明

  各个采样路径下默认不记录“被访问控制拒绝的流量”类型的流量信息。如果您需要记录“被访问控制拒绝的流量”类型的流量信息，创建流日志时流量类型需选择“被访问控制拒绝的流量”，采样路径需选择“采集全部场景”。

通过分析流日志，您可以监控网络性能、排查网络故障、优化网络流量成本以及进行网络安全分析等。

使用日志库

1. 在流日志页面，找到目标流日志，单击日志服务列的日志库链接。

2. 在日志管理控制台，使用日志服务提供的相关功能，查询分析流日志。

使用Flowlog日志中心

1. 登录日志服务控制台。

2. 在日志应用区域，单击查看更多日志应用，在日志应用对话框中单击Flowlog日志中心。

3. 在Flowlog管理页面，单击添加。在创建实例面板中，选择创建流日志时配置的Project和Logstore。

4. 创建实例成功后，单击Flowlog日志中心列表的实例ID。在Flowlog详情页面，您可以查看并分析流日志的信息。

   

   监控中心提供以下仪表盘和自定义查询功能：

   • 概览：展示流日志的整体信息。

   • 策略统计：展示Accept趋势、Reject趋势、Accept次数统计（由五元组构成）、Reject次数统计（由五元组构成）等信息。五元组是由源IP、源端口、协议类型、目标IP和目标端口组成的集合。

     • Accept：安全组和网络ACL允许记录的流量。

     • Reject：安全组和网络ACL拒绝记录的流量。

   • ENI流量：展示弹性网卡入方向和出方向的流量信息。

   • ECS间流量：展示ECS实例之间的流量情况。

   • 自定义查询：您可以自行查询和分析流日志。

5. 在Flowlog详情页面，单击网段设置，在网段设置页签，打开开启“域间分析”开关。

   开启域间分析功能后，系统将自动创建数据加工任务，生成具有网段信息的VPC流日志，用于分析不同网段之间的流量情况。数据加工功能会收取一定的费用，您可以选择是否开启域间分析功能。

   日志服务已预设多个网段，如下图所示。当您需要分析不同网段之间的流量情况时，只需一键开启域间分析功能即可。如果预设网段未满足您的需求，您可以自定义添加网段。

   

   域间分析提供以下仪表盘和自定义查询功能：

   • 域间流量：展示不同网段之间的流量情况。

   • ECS到区间流量：展示ECS实例到目标网段的流量情况。

   • 威胁情报：展示源IP地址与目标IP地址的威胁情报信息。

   • 自定义查询：您可以自行查询和分析具有网段信息的VPC流日志。