VPC流日志
VPC流日志采集并记录弹性网卡的进出流量信息,可以帮助您监控网络性能、排查网络故障或优化流量成本。
工作原理
流日志支持3种粒度的流量信息采集:弹性网卡、交换机或VPC。如果为VPC或交换机创建流日志,则系统会采集VPC或交换机内所有关联弹性网卡的流量,包括创建流日志后新建的弹性网卡。
系统会在每个采集窗口(默认为10分钟)内先将流量信息聚合为流日志条目,再投递到SLS。
每条流日志条目会记录特定采集窗口中的特定五元组网络流,包含源/目IP地址、源/目端口、协议等信息,示例:
eni-id | direction | srcaddr | srcport | protocol | dstaddr | dstport | ... |
eni-xxx | in | 10.0.0.1 | 53870 | 6 | 10.0.0.2 | 80 | ... |
eni-xxx | out | 10.0.0.2 | 80 | 6 | 10.0.0.1 | 53870 | ... |
您可参考流日志字段说明了解所有字段及其含义。
您可根据实际使用场景,仅采集所需路径的流量,从而降低流日志的使用成本。可选路径:
通过IPv4网关访问公网的流量
通过NAT网关的流量
通过VPN网关的流量
通过转发路由器(TR)的流量
通过网关终端节点访问云服务的流量
通过边界路由器(VBR)访问专线的流量
通过专线网关(ECR)的流量
通过网关型负载均衡终端节点的流量
流日志的应用场景:
网络监控:了解VPC吞吐量和性能、VPC内资源的流量信息及变化趋势、排查网络故障、检查安全组或网络ACL生效情况。
优化网络流量成本:通过流日志分析网络传输情况,来优化网络流量费用。例如获取VPC发往其他地域的流量、发往特定公网地址的流量、流向本地IDC和其他云网络的流量,以及定位VPC中高流量的ECS实例。
网络安全分析:在出现突发事件时,通过出入流量信息分析异常IP或者调查入侵IP访问记录。
使用限制
管理流日志
控制台
创建流日志
前往专有网络控制台流日志页面,单击创建流日志。在创建流日志面板中进行配置:
采集配置:
地域:选择目标采集对象所在的地域。
资源类型和资源实例:可选采集粒度为弹性网卡、交换机、专有网络。选择专有网络或交换机时,系统会监控其内所有弹性网卡的流量。
流量类型:可选被访问控制允许或拒绝的流量,此处的访问控制包括安全组和网络ACL。
流量采集版本:可选仅采集IPv4或采集IPv4+IPv6双栈。当前支持IPv6的地域包括:华北1(青岛)、华北5(呼和浩特)、美国(硅谷)、美国(弗吉尼亚)。
采样间隔(分钟):聚合流量信息的采集窗口时间,可选1分钟、5分钟或10分钟。窗口越小,流日志生成越频繁和及时,有助于更快发现和定位问题。窗口越大时效性越低,但日志条目数也会下降从而节省费用成本。
例如1个保持长连接的TCP会话,窗口为1分钟时每小时产生60条日志;为10分钟时仅产生6条。
当VPC内存在多个流日志实例同时采集同一网卡流量时,将会以所有流日志实例中最小的采样间隔作为实际采集周期。
采样路径:您可选择特定的采集场景来降低使用成本。选择前需要先取消默认的采集全部场景。
支持选择通过如下网元的流量:IPv4网关、NAT网关、VPN网关、转发路由器(TR)、网关终端节点、边界路由器(VBR)、专线网关(ECR)、网关型负载均衡节点(GWLB)。
分析和投递配置:选择至少一个目标。
成功创建流日志后,系统会自动启动流量信息采集,下一步您可以分析流日志。
启动或停止流日志
前往专有网络控制台流日志页面,在目标流日志的操作列单击启动或停止。
停止后,VPC不再收取流日志生成费,但SLS会针对已保存的流日志持续计费。
删除流日志
前往专有网络控制台流日志页面,在目标流日志的操作列单击删除。
删除后,VPC不再收取流日志生成费,但SLS会针对已保存的流日志持续计费,需至日志服务控制台删除对应的Logstore才能停止全部费用。
API
创建流日志前,请确保您已开通流日志功能,且已在日志服务产品中创建了Project和Logstore:
调用OpenFlowLogService开通流日志功能。
调用CreateProject创建Project,调用CreateLogStore创建Logstore。
确保满足上述条件后,您可以:
调用CreateFlowLog创建流日志,可选调用CreateIndex创建索引。
调用DeactiveFlowLog停止流日志。
调用ActiveFlowLog启动流日志。
调用DeleteFlowLog删除流日志。
Terraform
Resources: alicloud_log_project, alicloud_log_store, alicloud_vpc_flow_log
# 指定创建流日志的地域
provider "alicloud" {
region = "cn-hangzhou"
}
# 指定Project的描述、Logstore和流日志的名称
variable "name" {
default = "vpc-flowlog-example"
}
# 生成随机数,用于生成project名称
resource "random_uuid" "example" {
}
# 创建日志服务Project
resource "alicloud_log_project" "example" {
project_name = substr("tf-example-${replace(random_uuid.example.result, "-", "")}", 0, 16)
description = var.name
}
# 创建日志服务Logstore
resource "alicloud_log_store" "example" {
project_name = alicloud_log_project.example.project_name
logstore_name = var.name
shard_count = 3
auto_split = true
max_split_shard_count = 60
append_meta = true
}
# 创建VPC流日志
resource "alicloud_vpc_flow_log" "example" {
flow_log_name = var.name
log_store_name = alicloud_log_store.example.logstore_name
description = var.name
traffic_path = ["all"] # 采集所有场景
project_name = alicloud_log_project.example.project_name
resource_type = "VPC" # 资源类型为VPC
resource_id = "vpc-bp1ekmgzch0bo3hxXXXXXX" # VPC的ID
aggregation_interval = "1" # 采集时间窗口为1分钟
traffic_type = "All" # 采集全部流量,无论访问控制允许还是拒绝
}
分析流日志
通过分析流日志,您可以监控网络性能、排查网络故障、优化网络流量成本以及进行网络安全分析等。
控制台
自定义分析:通过Logstore日志库
前往专有网络控制台流日志页面,在目标流日志的日志服务列单击Logstore的实例名称,进入Logstore的详情页面。在此页面,您可以:
查看原始日志获取流日志条目明细。
输入语句查询分析流日志。
通过预设模板分析:Flowlog日志中心
Flowlog日志中心预设了一组可视化模板,支持VPC的策略统计、弹性网卡流量统计以及网段间流量统计,帮助您快速分析VPC流日志。
前往Flowlog日志中心页面,在右上方单击添加。
在创建实例面板中,填入实例名称、已有流日志对应的Project和Logstore,单击确定。
实例创建成功后,单击Flowlog日志中心列表的实例ID。在Flowlog详情页面,您可以查看并分析流日志的信息。
监控中心提供以下仪表盘和自定义查询功能:
概览:展示流日志的Accept和Reject趋势、进出流量趋势、每个VPC的总数据包数和总字节数、每个ENI的总数据包数和总字节数、来源IP和目标IP的地理分布。
策略统计:展示Accept趋势、Reject趋势、Accept次数统计(由五元组构成)、Reject次数统计(由五元组构成)等信息。五元组是由源IP、源端口、协议类型、目标IP和目标端口组成的集合。
Accept:安全组和网络ACL允许记录的流量。
Reject:安全组和网络ACL拒绝记录的流量。
ENI流量:展示弹性网卡入方向和出方向的流量信息。
ECS间流量:展示ECS实例之间的流量情况。
自定义查询:您可以自行查询与分析快速指引。
开启域间分析(可选):在Flowlog详情页面,单击网段设置,在网段设置页签,打开开启“域间分析”开关。
开启域间分析功能后,系统将自动创建数据加工任务,生成具有网段信息的VPC流日志,用于分析不同网段之间的流量情况。数据加工功能会收取一定的费用。
日志服务已预设多个网段,如下图所示。当您需要分析不同网段之间的流量情况时,只需一键开启域间分析功能即可。您也可以根据自身需求自定义添加网段。
域间分析提供以下仪表盘和自定义查询功能:
域间流量:展示不同网段之间的流量情况。
ECS到区间流量:展示ECS实例到目标网段的流量情况。
威胁情报:展示源IP地址与目标IP地址的威胁情报信息。
自定义查询:您可以自行查询和分析具有网段信息的VPC流日志。
API
调用GetLogsV2查询分析流日志。
使用示例
下面列举4个典型的使用示例,供参考。
分析公网访问ECS的来源IP
如图,假设您已经创建了1台向公网开放的、监听80端口的Web服务器,并通过安全组限制了源IP访问。
那么您可以通过创建流日志,来查询访问80端口的来源IP,并统计访问被安全组允许或拒绝的情况。
创建流日志
资源实例选择Web服务器的弹性网卡。
流量类型选择全部流量。
投递配置选择投递至日志服务并开启流日志分析报表功能。
其他选项保持默认。
分析流日志
查询分析语句
过滤访问10.0.0.1:80端口的源IP,并显示每个IP被安全组允许和拒绝的次数:
dstaddr:10.0.0.1 AND dstport:80 | SELECT -- 过滤目的IP是10.0.0.1,目的地端口是80的日志 srcaddr, SUM(CASE WHEN action = 'ACCEPT' THEN 1 ELSE 0 END) AS accept_count, -- 每当ACCEPT(即被允许)时计1 SUM(CASE WHEN action = 'REJECT' THEN 1 ELSE 0 END) AS reject_count -- 每当REJECT(即被拒绝)时计1 FROM log GROUP BY srcaddr -- 按源IP地址分组 ORDER BY accept_count + reject_count DESC -- 按照“安全组允许+拒绝”的总次数倒序排列
效果预览
如图,
srcaddr
列显示访问80端口的源IP,accept_count
和reject_count
列分别统计每个源IP被安全组允许和拒绝的流日志条目数,即在查询时间内:访问80端口来源IP有6个,分别为XX.XX.77.149、XX.XX.138.199、XX.XX.87.21。
前两个公网IP(XX.XX.77.149和XX.XX.138.199 )的请求全部被允许,其他公网IP的请求全部被拒绝。
分析ECS互访流量
配置项 | 分析VPC内部的ECS互访流量 | 分析VPC之间的ECS互访流量 |
示意图 | ||
示例说明 | 如图所示,假设您在1个VPC中部署了3台ECS,且ECS之间有互访流量。 此时,您可以使用流日志功能分析ECS之间互访的流量速率和变化趋势。 | 如图所示,假设您拥有两个位于不同地域的VPC,每个VPC内均部署有多台ECS实例。两个VPC已通过对等连接实现内网互通,对等连接使用CDT按量计费。 最近发现,跨地域流量费用较以往突增,此时您可以使用流日志定位高流量ECS实例,从而优化流量成本。 |
创建流日志配置 |
|
|
查询分析语句 | 统计ECS1和其他ECS之间的流量速率趋势:
| 统计2个VPC之间的会话流量速率趋势:
|
效果预览 | 如图,10.0.0.1发送到10.0.0.2的流量速率最大,约为180Kbps。10.0.0.1发送到10.0.0.3的流量速率次之,约为90Kbps,其他流量占比较小。 | 如图,每个IP会话之间的速率趋势较为稳定,其中172.16.0.3发送到10.0.0.1的流量最大,约为5Mbps。 |
分析公网NAT流量
如图,假设您在某地域拥有多台ECS,且都部署在同一个交换机中,这些ECS通过公网NAT网关的SNAT功能访问互联网。
近期发现NAT访问公网的流量突增,导致服务器响应变慢,此时您可以通过流日志,排查分析流量占比高的ECS。
创建流日志
资源实例选择公网NAT网关所在的
交换机2
。投递配置选择投递至日志服务并开启流日志分析报表功能。
其他选项保持默认。
过滤特定流量路径的方法
在本示例场景中过滤特定路径的流量信息时,需要在查询语句限定不同的条件:
示意图
序号
过滤方法
①
过滤从ECS到NAT网关的流量:
direction
为in,srcaddr
为ECS私网IP地址②
过滤从NAT网关到公网的流量:
direction
为out,srcaddr
为NAT网关私网IP地址③
过滤从公网到NAT网关的流量:
direction
为in,dstaddr
为NAT网关私网IP地址④
过滤从NAT网关到ECS的流量:
direction
为out,dstaddr
是ECS私网IP地址分析流日志
查询分析语句
在ECS到NAT网关的这段路径上,分析去往特定公网IP地址的流量:
direction: 'in' and srcaddr: 10.0.0.* and dstaddr: 120.26.XX.XX | select -- 过滤ECS访问特定公网IP地址的日志 date_format(from_unixtime(__time__ - __time__% 60), '%H:%i:%S') as time, srcaddr, -- 将Unix时间戳转换为可读的时间格式 sum(bytes*8/60) as bandwidth -- 将字节转换为比特,并除以采集窗口时间1分钟 group by time,srcaddr -- 以时间、源ip分组 order by time asc -- 按时间升序 limit 100 -- 显示前100条结果
效果预览
如图可以看到,在ECS到NAT网关的这段路径上,10.0.0.1(ECS1)发送到公网IP地址120.26.XX.XX的流量速率最高,约12Kbps。
分析专线内流量占比
如图,某企业在阿里云某地域使用两个VPC部署不同业务,并通过高速通道物理专线+云企业网实现本地IDC接入阿里云。
现在IT部门准备使用流日志监控分析VPC中不同业务流量对物理专线资源的占用情况,为网络资源规划、改善网络性能提供指导。
创建流日志
创建2个流日志,集中投递到同1个logstore,每个流日志的关键配置如下:
资源实例分别选择专有网络VPC1和VPC2。
采样路径选择通过转发路由器(TR)的流量。
投递配置选择投递至日志服务,2个流日志选择同1个logstore,并开启流日志分析报表功能。
其他选项保持默认。
分析流日志
查询分析语句
分析不同VPC流入本地IDC流量的占比情况:
action: ACCEPT and srcaddr: 192.168.* and dstaddr:10.1.* | WITH vpc1_traffic AS ( SELECT date_trunc('minute',__time__) AS minute, SUM(bytes*8/(case WHEN "end"-start=0 THEN 1 else "end"-start end)) AS total_vpc1_traffic FROM log WHERE srcaddr LIKE '192.168.20.%' GROUP BY date_trunc('minute',__time__) ), vpc2_traffic AS ( SELECT date_trunc('minute',__time__) AS minute, SUM(bytes*8/(case WHEN "end"-start=0 THEN 1 else "end"-start end)) AS total_vpc2_traffic FROM log WHERE srcaddr LIKE '192.168.10.%' GROUP BY date_trunc('minute',__time__) ) SELECT COALESCE(vpc1_traffic.minute, vpc2_traffic.minute) AS minute, (COALESCE(vpc1_traffic.total_vpc1_traffic, 0) * 100/ NULLIF((COALESCE(vpc1_traffic.total_vpc1_traffic, 0) + COALESCE(vpc2_traffic.total_vpc2_traffic, 0)), 0)) AS vpc1_percentage, (COALESCE(vpc2_traffic.total_vpc2_traffic, 0) * 100/ NULLIF((COALESCE(vpc1_traffic.total_vpc1_traffic, 0) + COALESCE(vpc2_traffic.total_vpc2_traffic, 0)), 0)) AS vpc2_percentage FROM vpc1_traffic FULL OUTER JOIN vpc2_traffic ON vpc1_traffic.minute = vpc2_traffic.minute ORDER BY minute
效果预览
如图,在14:50-15:50这段时间内,VPC1流入本地IDC的流量占比较高。
更多信息
流日志字段说明
流日志条目字段信息说明如下:
如果某个字段不适用,则字段值显示为-
。
字段 | 说明 |
version | 流日志版本,当前所有的日志条目版本为 |
account-id | 阿里云账号ID。 |
eni-id | 弹性网卡ID。 |
vm-id | 弹性网卡绑定的ECS云服务器ID。 |
vswitch-id | 弹性网卡所在交换机ID。 |
vpc-id | 弹性网卡所在专有网络ID。 |
type | 流量类型,取值为IPv4或IPv6。 支持采集IPv4/IPv6双栈流量的地域有:华北1(青岛)、华北5(呼和浩特)、美国(硅谷)、美国(弗吉尼亚)。 |
protocol | 流量的IANA协议编号。 常见协议号举例:ICMP为1,TCP为6,UDP为17。 |
srcaddr | 源IP地址。 |
srcport | 源端口。 |
dstaddr | 目的IP地址。 |
dstport | 目的端口。 |
direction | 流量方向:
|
action | 安全组或网络ACL是否允许该访问:
|
packets | 数据包个数。 |
bytes | 字节数。 |
start | 在采集窗口内,收到第1个包的时间。格式为Unix时间戳。 |
end | 对于长连接,是采集窗口结束的时间;对于短连接,是连接关闭的时间。格式为Unix时间戳。 |
tcp-flags | TCP标志位,以十进制表示,反映了 TCP 协议中的 SYN、ACK、FIN 等标志的组合。 采集窗口内1个流日志条目可能会对应多个TCP数据包,该值是所有相关数据包的标志位字段进行 例如,1个TCP会话在某采集窗口内有两个数据包,分别带有SYN(2)和SYN-ACK(18)标志,则日志中记录的TCP标志位字段为18(2 | 18 = 18)。 部分TCP标志位对应的十进制:
关于TCP标志通用信息(例如SYN、FIN、ACK、RST等标志的含义),请参见RFC: 793。 |
log-status | 日志记录状态:
|
traffic_path | 流量发生的场景:
|
如下是流日志条目示例:
数据记录正常且允许记录流量示例
本示例阿里云主账号ID为1210123456******,VPC流日志版本为1,在2024年7月12日17:10:20至17:11:20(1分钟内),弹性网卡eni-bp166tg9uk1ryf******
允许出方向以下流量:
源地址和端口(172.31.16.139,1332)通过TCP协议(6表示TCP协议)向目的地址和端口(172.31.16.21,80)传输了10个数据包,数据包总大小为2048字节。日志记录状态为OK,无异常。
{
"account-id": "1210123456******",
"action": "ACCEPT",
"bytes": "2048",
"direction": "out",
"dstaddr": "172.31.16.21",
"dstport": "80",
"end": "1720775480",
"eni-id": "eni-bp166tg9uk1ryf******",
"log-status": "OK",
"packets": "10",
"protocol": "6",
"srcaddr": "172.31.16.139",
"srcport": "1332",
"start": "1720775420",
"tcp-flags": "22",
"traffic_path": "-",
"version": "-",
"vm-id": "1",
"vpc-id": "-",
"vswitch-id": "vpc-bp1qf0c43jb3maz******"
}
数据记录正常且拒绝记录流量示例
本示例阿里云主账号ID为1210123456******,VPC流日志版本为1,在2024年7月15日10:20:00至10:30:00(10分钟内),弹性网卡eni-bp1ftp5sm9oszt******
拒绝入方向以下流量:
源地址和端口(172.31.16.139,1332)通过TCP协议(6表示TCP协议)向目的地址和端口(172.31.16.21,80)传输了20个数据包,数据包总大小为4208字节。日志记录状态为OK,无异常。
{
"account-id": "1210123456******",
"action": "REJECT",
"bytes": "4208",
"direction": "in",
"dstaddr": "172.31.16.21",
"dstport": "80",
"end": "1721010600",
"eni-id": "eni-bp1ftp5sm9oszt******",
"log-status": "OK",
"packets": "20",
"protocol": "6",
"srcaddr": "172.31.16.139",
"srcport": "1332",
"start": "1721010000",
"tcp-flags": "22",
"traffic_path": "-",
"version": "-",
"vm-id": "1",
"vpc-id": "-",
"vswitch-id": "vpc-bp1qf0c43jb3maz******"
}
无数据记录状态示例
本示例阿里云主账号ID为1210123456******,VPC流日志版本为1,在2024年7月15日10:52:20至10:55:20(3分钟内),弹性网卡eni-bp1j7mmp34jlve******
在此时间段内没有流量数据记录(NODATA)。
{
"account-id": "1210123456******",
"action": "-",
"bytes": "-",
"direction": "-",
"dstaddr": "-",
"dstport": "-",
"end": "1721012120",
"eni-id": "eni-bp1j7mmp34jlve******",
"log-status": "NODATA",
"packets": "-",
"protocol": "-",
"srcaddr": "-",
"srcport": "-",
"start": "1721011940",
"tcp-flags": "-",
"traffic_path": "-",
"version": "-",
"vm-id": "1",
"vpc-id": "-",
"vswitch-id": "vpc-bp1qf0c43jb3maz******"
}
跳过的数据记录状态示例
本示例阿里云主账号ID为1210123456******,VPC流日志版本为1,在2024年7月12日16:20:30至16:23:30(3分钟内),弹性网卡eni-bp1dfm4xnlpruv******
的数据记录被跳过(SKIPDATA)。
{
"account-id": "1210123456******",
"action": "-",
"bytes": "-",
"direction": "-",
"dstaddr": "-",
"dstport": "-",
"end": "1720772610",
"eni-id": "eni-bp1dfm4xnlpruv******",
"log-status": "SKIPDATA",
"packets": "-",
"protocol": "-",
"srcaddr": "-",
"srcport": "-",
"start": "1720772430",
"tcp-flags": "-",
"traffic_path": "-",
"version": "-",
"vm-id": "1",
"vpc-id": "-",
"vswitch-id": "vpc-bp1qf0c43jb3maz******"
}
计费说明
计费项
流日志费用 = 流日志生成费 + 日志服务的服务费。
流日志生成费:流日志投递到SLS之前产生,由VPC产品计费。按照每月每地域采集的日志量实行阶梯累积计费,每个阿里云账号(主账号)在每个地域每月拥有5 GB免费额度。定价:
流日志生成量阶梯(每月)
定价(元/GB)
0 TB~10 TB(含)
2.5
10 TB~30 TB(含)
1.25
30 TB~50 TB(含)
0.5
大于50 TB
0.25
计费周期与出账周期均为1小时。账单出账时间通常在当前计费周期结束后3~4小时左右,具体以系统实际出账时间为准。
日志服务的服务费:流日志投递到SLS之后产生,由SLS产品计费。收取写入和存储等费用。
SLS提供2种计费模式:“按写入数据量计费”和“按使用功能计费”。在VPC控制台创建流日志并选择新建Logstore时,默认使用“按使用功能计费”模式。
计费示例
示例1
假设您于2022年09月01日00:00:00在某地域启用流日志功能,至2022年10月01日00:00:00期间,共向日志服务投递3 GB日志。
由于每个阿里云账号(主账号)每月有5 GB流日志生成费的免费额度,则您当月流日志的总费用=日志服务的服务费。
示例2
假设您于2022年09月01日00:00:00在华东2(上海)启用流日志功能,至2022年10月01日00:00:00期间,共向日志服务投递100 GB日志。
当月流日志的生成费=(100-5)×2.5=237.5元,当月流日志的总费用=237.5元+日志服务的服务费
示例3
假设您于2022年09月01日00:00:00在华北2(北京)启用流日志功能,至2022年10月01日00:00:00期间,共向日志服务投递60 TB日志。
流日志的生成费按照阶梯定价计费:
0至10 TB(含):(10×1024-5)×2.5=25587.5元
10 TB至30 TB(含):20×1024×1.25=25600元
30 TB至50 TB(含):20×1024×0.5=10240元
大于50 TB:10×1024×0.25=2560元
当月流日志生成费合计:25587.5+25600+10240+2560=63987.5元,当月流日志的总费用=63987.5元+日志服务的服务费
欠费与充值
支持的地域
公有云支持的地域
区域 | 支持流日志的地域 |
亚太-中国 | 华东1(杭州)、华东2(上海)、华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华北6(乌兰察布)、华南1(深圳)、华南2(河源)、华南3(广州)、西南1(成都)、中国香港、华东6(福州-本地地域) |
亚太-其他 | 日本(东京)、韩国(首尔)、新加坡、马来西亚(吉隆坡)、印度尼西亚(雅加达)、菲律宾(马尼拉)、泰国(曼谷) |
欧洲与美洲 | 德国(法兰克福)、英国(伦敦)、美国(硅谷)、美国(弗吉尼亚) |
中东 | 阿联酋(迪拜)、沙特(利雅得) 重要 沙特(利雅得)地域由合作伙伴运营。 |
金融云支持的地域
区域 | 支持流日志的地域 |
亚太 | 华北2 金融云(邀测)、华南1 金融云、华东2 金融云 |
政务云支持的地域
区域 | 支持流日志的地域 |
亚太 | 华北2 阿里政务云1 |
配额
配额名称 | 描述 | 默认限制 | 提升配额 |
vpc_quota_flowlog_inst_nums_per_user | 用户支持创建的流日志实例的数量 | 10个 | 您可以通过以下任意方式自助提升配额: |
常见问题
VPC流日志可以保存多长时间?
VPC流日志生成后会被自动投递至日志服务中,遵循日志服务产品的保存策略。
创建VPC流日志时如果勾选了开启流日志分析报表功能,则用于存储VPC流日志的Logstore的数据保存时长默认为7天。未勾选时,默认为300天。
您可在日志服务控制台查看现有Logstore的数据保存时间,并按需修改。
等保(信息安全等级保护)要求网络日志,如何查询?
阿里云 VPC 默认不记录网络日志。若需满足等保要求,开启VPC流日志功能即可记录并分析出入弹性网卡的流量信息,实现安全合规监控。