流日志记录

流日志功能采集的流量信息会以流日志记录的方式写入日志服务SLS。每条流日志条目会记录特定采集窗口中的特定五元组网络流，采集窗口默认为10分钟，您可以根据需要调整为1分钟或5分钟。在该段采样间隔内，流日志服务会先聚合数据，再发布流日志记录。本文汇总描述流日志支持记录的字段，并给出一些记录示例。

流日志字段

字段	说明
version	流日志版本。
account-id	账号ID。
eni-id	弹性网卡ID。
vm-id	弹性网卡绑定的云服务器ID。
vswitch-id	弹性网卡所在交换机ID。
vpc-id	弹性网卡所在专有网络ID。
type	流量类型：IPv4、IPv6。说明支持采集IPv4/IPv6双栈流量的地域有：华北1（青岛）、华北5（呼和浩特）、美国（硅谷）、美国（弗吉尼亚）。
protocol	流量的IANA协议编号。更多信息，请参见Internet 协议编号。
srcaddr	源地址。
srcport	源端口。
dstaddr	目的地址。
dstport	目的端口。
direction	流量方向： in：入方向流量。 out：出方向流量。
action	与流量关联的操作： ACCEPT：安全组和网络ACL允许记录的流量。 REJECT：安全组和网络ACL拒绝记录的流量。
packets	数据包数量。
bytes	数据包大小。
start	捕捉窗口开始时间。
end	捕捉窗口结束时间。
tcp-flags	部分TCP的标志位和对应的掩码值如下： SYN：2 SYN,ACK：18 RST：4 PSH：8 URG：32 FIN：1 关于TCP标志通用信息（例如SYN、FIN、ACK、RST等标志的含义），请参见RFC: 793。
log-status	流日志的日志记录状态： OK：数据记录正常。 NODATA：采集窗口中没有传入或传出网络接口的网络流量，常见于备用系统、非业务高峰期或配置问题导致没有流量的场景。 SKIPDATA：采集窗口中跳过了一些流日志记录，常见于高流量环境或突发性流量高峰，导致内部系统过载，从而无法采集流量并跳过记录的场景。
traffic_path	该字段不同取值，含义说明如下： 0 - 除下述场景外，采集到的流量。 1 - 通过同一VPC中其他资源的流量。 2 - 访问同VPC内ECS实例的私网流量。 3 - 通过弹性网卡的流量。 4 - 通过高可用虚拟IP（HaVip）的流量。 5 - 访问同地域阿里云云服务的流量。 6 - 通过网关终端节点访问云服务的流量。 7 - 通过NAT网关的流量。 8 - 通过转发路由器（TR）的流量。 9 - 通过VPN网关的流量。 10 - 通过边界路由器（VBR）访问专线的流量。 11 - 通过CEN基础版访问同地域VPC的流量。 12 - 除11、18、19、20所列出场景外通过CEN基础版的流量，如通过CEN基础版访问跨地域云服务、通过CEN基础版访问云连接网CCN等场景的流量。 13 - 通过IPv4网关访问公网的流量。 14 - 通过IPv6网关访问公网的流量。 15 - 通过公网IP访问公网的流量。 17 - 通过VPC对等连接的流量。 18 - 通过CEN基础版访问跨地域VPC的流量。 19 - 通过CEN基础版访问同地域VBR的流量。 20 - 通过CEN基础版访问跨地域VBR的流量。 21 - 通过专线网关（ECR）的流量。 22 - 通过网关型负载均衡终端节点的流量。

流日志记录示例

流日志格式如下：

<account-id> <action> <bytes> <direction> <dstaddr> <dstport> <end> <eni-id> <log-status> <packets> <protocol> <srcaddr> <srcport> <start> <tcp-flags> <traffic_path> <type> <version> <vm-id> <vpc-id> <vswitch-id>

数据记录正常且允许记录流量示例

本示例阿里云主账号ID为1210123456******，VPC流日志版本为1，在2024年7月12日17:10:20至17:11:20（1分钟内），弹性网卡eni-bp166tg9uk1ryf******允许出方向以下流量：

源地址和端口（172.31.16.139，1332）通过TCP协议（6表示TCP协议）向目的地址和端口（172.31.16.21，80）传输了10个数据包，数据包总大小为2048字节。日志记录状态为OK，无异常。

1210123456****** ACCEPT 2048 out 172.31.16.21 80 1720775480 eni-bp166tg9uk1ryf****** OK 10 6 172.31.16.139 1332 1720775420 22 - - 1 - vpc-bp1qf0c43jb3maz****** vsw-bp12632woke7abk******

数据记录正常且拒绝记录流量示例

本示例阿里云主账号ID为1210123456******，VPC流日志版本为1，在2024年7月15日10:20:00至10:30:00（10分钟内），弹性网卡eni-bp1ftp5sm9oszt******拒绝入方向以下流量：

源地址和端口（172.31.16.139，1332）通过TCP协议（6表示TCP协议）向目的地址和端口（172.31.16.21，80）传输了20个数据包，数据包总大小为4208字节。日志记录状态为OK，无异常。

1210123456****** REJECT 4208 in 172.31.16.21 80 1721010600 eni-bp1ftp5sm9oszt****** OK 20 6 172.31.16.139 1332 1721010000 22 - - 1 - vpc-bp1qf0c43jb3maz****** vsw-bp12632woke7abk******

无数据记录状态示例

本示例阿里云主账号ID为1210123456******，VPC流日志版本为1，在2024年7月15日10:52:20至10:55:20（3分钟内），弹性网卡eni-bp1j7mmp34jlve******在此时间段内没有流量数据记录（NODATA）。

1210123456****** - - - - - 1721012120 eni-bp1j7mmp34jlve****** NODATA - - - - 1721011940 - - - 1 - vpc-bp1qf0c43jb3maz****** vsw-bp12632woke7abk******

跳过的数据记录状态示例

本示例阿里云主账号ID为1210123456******，VPC流日志版本为1，在2024年7月12日16:20:30至16:23:30（3分钟内），弹性网卡eni-bp1dfm4xnlpruv******的数据记录被跳过（SKIPDATA）。

1210123456****** - - - - - 1720772610 eni-bp1dfm4xnlpruv****** SKIPDATA - - - - 1720772430 - - - 1 - vpc-bp1qf0c43jb3maz****** vsw-bp12632woke7abk******

流日志字段