转发路由器提供流日志功能。流日志可以帮您捕获转发路由器实例和网络实例连接(跨地域连接、VPC连接、VPN连接、ECR连接和VBR连接)传输的流量信息。流日志捕获流量信息后会将这些信息以流日志形式投递到日志服务产品中,您可以在日志服务控制台查询分析流日志了解转发路由器下流量的传输情况。流日志在流量路径之外捕获流量信息,不会影响您的网络性能。
流日志概述
流日志原理
流日志会在指定的捕获窗口捕获流量信息,您可以指定捕获窗口时长为1分钟或10分钟。在捕获窗口期间,流日志会先聚合捕获到的流量信息,然后将聚合后的流量信息以流日志形式投递到日志服务中,您可以在日志服务控制台查询分析流日志以了解流量的传输情况。例如:
通过流日志了解跨地域连接、VPC连接、VPN连接、ECR连接或VBR连接的流量传输明细
通过流日志分析未匹配到路由的流量
通过流日志分析匹配到黑洞路由的流量
支持流日志的资源
流日志支持捕获以下资源的流量传输信息:
仅企业版转发路由器实例及其连接的资源支持流日志功能,基础版转发路由器实例及其连接的资源不支持流日志功能。如果需要捕获基础版转发路由器及其连接的资源的流量传输信息,请升级基础版转发路由器。具体操作,请参见升级基础版转发路由器。
支持流日志的资源 | 支持捕获哪个方向的流量信息 |
跨地域连接 | 流量从转发路由器流出的方向。 |
VPC连接 | 同时捕获两个方向的流量信息:
说明 流日志捕获VPC连接的流量信息时,仅捕获转发路由器ENI传输的流量信息,如果您需要了解VPC内其他ENI传输的流量信息,请参见VPC流日志概述。 |
VPN连接 | 同时捕获两个方向的流量信息:
|
ECR连接 | 同时捕获两个方向的流量信息:
|
VBR连接 | 同时捕获两个方向的流量信息:
|
企业版转发路由器实例 | 如果为企业版转发路由器实例创建了流日志,则代表您为企业版转发路由器下所有支持流日志的资源开启了流日志功能,系统会同时捕获企业版转发路由器下VPC连接、VPN连接、ECR连接、VBR连接和跨地域连接的流量传输信息。 各个资源的流量捕获方向,请参见表格上述内容。 |
流日志字段
流日志支持记录以下字段。流日志会尽力帮您捕获流量信息,为资源创建流日志后,如果一些字段的值为空,则表示该资源不支持记录该字段或资源的该字段信息遗漏。
字段 | 说明 | 引入该字段的流日志版本 |
account-id | 云企业网实例所属阿里云账号ID。 | 2 |
attachment-id | 网络实例连接ID。 | 2 |
bytes | 数据包字节数。 | 2 |
cen-id | 云企业网实例ID。 | 2 |
direction | 流量的方向。
具体信息,请参见支持流日志的资源。 | 2 |
dscp | 数据包携带的DSCP值。 在流日志捕获跨地域连接的流量时,该字段将记录流量标记策略修改过后的DSCP值。 | 3 |
dst-region-id | 网络实例连接所属地域ID。 当捕获跨地域连接的流量时,该字段为目的转发路由器所属地域ID。 | 2 |
dstaddr | 目的IP地址。 | 2 |
dstport | 目的端口。 | 2 |
end | 流日志捕获窗口结束的时间戳。 时间戳的格式采用Unix时间戳,表示从格林威治时间1970年01月01日00时00分00秒至当前流日志捕获窗口结束时的总时长。 | 2 |
flowlog-resource-type | 开启流日志的资源类型。取值:
| 3 |
packets | 数据包的数量。 | 2 |
packets-lost-blackhole | 因匹配到黑洞路由而被丢弃的数据包的数量。 | 3 |
packets-lost-mtu-exceeded | 因MTU过大而被丢弃的数据包的数量。 | 3 |
packets-lost-no-route | 因未匹配到路由而被丢弃的数据包的数量。 | 3 |
packets-lost-ttl-expired | 因TTL超时而被丢弃的数据包的数量。 说明 出现该类数据包的原因通常是网络产生了环路。 | 3 |
protocol | 数据包协议。 | 2 |
src-region-id | 网络实例连接所属地域ID。 当捕获跨地域连接的流量时,该字段为源转发路由器所属地域ID。 | 2 |
srcaddr | 源地址。 | 2 |
srcport | 源端口。 | 2 |
start | 流日志捕获窗口开始的时间戳。 时间戳的格式采用Unix时间戳,表示从格林威治时间1970年01月01日00时00分00秒至当前流日志捕获窗口开始时的总时长。 | 2 |
tr-dst-az-id | 目的转发路由器ENI所属可用区ID。 仅捕获去往同地域VPC实例的流量信息时会记录该字段。 | 3 |
tr-dst-eni | 目的转发路由器ENI ID。 仅捕获去往同地域VPC实例的流量信息时会记录该字段。 | 3 |
tr-dst-resource-account-id | 目的网络实例所属阿里云账号ID。 | 3 |
tr-dst-resource-id | 目的网络实例ID。 如果流量的目的资源与当前转发路由器属于不同地域,该字段将记录对端转发路由器实例ID。 | 3 |
tr-dst-vsw-id | 目的转发路由器ENI所属交换机ID。 仅捕获去往同地域VPC实例的流量信息时会记录该字段。 | 3 |
tr-id | 流日志所属的转发路由器实例ID。 | 3 |
tr-pair-attachment-id | 根据流量的方向,记录入口网络实例连接ID或出口网络实例连接ID:
| 3 |
tr-src-az-id | 源转发路由器ENI所属可用区ID。 仅捕获来自同地域VPC实例的流量信息时会记录该字段。 | 3 |
tr-src-eni | 源转发路由器ENI ID。 仅捕获来自同地域VPC实例的流量信息时会记录该字段。 | 3 |
tr-src-resource-account-id | 源网络实例所属阿里云账号ID。 | 3 |
tr-src-resource-id | 源网络实例ID。 | 3 |
tr-src-vsw-id | 源转发路由器ENI所属交换机ID。 仅捕获来自同地域VPC实例的流量信息时会记录该字段。 | 3 |
type | 流量类型。取值:
| 3 |
version | 流日志的版本。 | 3 |
使用限制
流日志不支持捕获组播流量信息。
如果您已经创建了流日志,若希望使用新版本的字段,需要删除流日志重新创建。
新建的流日志默认为最新版本的流日志,最新版的流日志兼容之前版本的所有字段。您可以在云企业网管理控制台查看流日志的版本。
如果单个TCP连接中,只包含连接建立、连接重置或连接关闭的包,那么转发路由器的流日志不会记录该连接。
例如,一个TCP连接未完成三次握手过程,或者客户端的连接请求被防火墙重置,那么流日志不会记录该连接。这种设计是为避免TCP扫描攻击产生大量流日志。
计费说明
在您使用转发路由器流日志过程中,将会产生以下两部分费用:
网络日志提取费
转发路由器会按照提取的日志收取网络日志提取费。
说明当前暂不收取网络日志提取费,收费时间将另行通知。
日志服务的服务费
流日志捕获的流量信息存储在阿里云日志服务中,您可以在日志服务中查看和分析相关数据,日志服务收取相应的存储和检索费用。更多信息,请参见日志服务计费概述。
前提条件
为资源创建流日志前,请确保您已经拥有了相关资源。各个资源的创建操作,请参见:
创建VPC连接
创建VPN连接
创建VBR连接
创建ECR连接
创建跨地域连接
创建转发路由器实例
创建流日志
- 登录云企业网管理控制台。
- 在云企业网实例页面,找到目标云企业网实例,单击目标实例ID。
在页签,找到待开启流日志功能的资源所属的转发路由器实例,单击目标实例ID。
在转发路由器实例详情页面,单击流日志页签。
如果您当前阿里云账号未开通过日志服务功能,您需要先进行开通,才能使用流日志功能。
在流日志页签,单击立即开通。在日志服务页面,查阅并选中日志服务协议,然后单击立即开通。开通日志服务后,返回流日志页签。
说明如果您当前阿里云账号已开通日志服务功能,请忽略本步骤。
在流日志页签,单击创建流日志。
在创建流日志对话框,根据以下信息进行配置,然后单击确认。
配置项
说明
名称
输入流日志的名称。
描述
输入流日志的描述信息。
地域
系统默认显示当前转发路由器的地域。
转发路由器实例ID
系统默认显示当前转发路由器的实例ID。
实例
先选择资源类型,然后再选择需要捕获流量信息的资源。支持以下资源类型:
TR
选择该资源类型后,无需再选择资源。系统将会为当前地域转发路由器下的所有VPC连接、VPN连接、ECR连接、VBR连接、跨地域连接开启流日志功能。
跨地域连接
VPC连接
VPN连接
ECR连接
VBR连接
项目(Project)
选择管理流日志的Project。
您可以选择现有Project或者直接新建Project。您只能选择与当前转发路由器同地域的Project或者在转发路由器所属地域新建Project。
日志库(Logstore)
选择存储流日志的Logstore。
您可以选择现有Logstore或者直接新建Logstore。
日志格式
选择您希望流日志记录的字段。支持以下两种格式:
默认格式(默认值)
使用系统已选择的字段。该格式下不支持添加、删除字段。
自定义格式
除必选字段(srcaddr、dstaddr、bytes)外,您可以自定义需要记录的字段。
选择日志格式后,系统会自动生成字符串形式的日志格式(如下所示),单击复制已选格式按钮,您可以在调用API时批量创建相同格式的流日志。
${srcaddr}${dstaddr}${bytes}${version}${flowlog-resource-type}${account-id}${cen-id}${tr-id}${src-region-id}${dst-region-id}${attachment-id}${tr-pair-attachment-id}${tr-src-resource-account-id}${tr-dst-resource-account-id}${tr-src-resource-id}${tr-dst-resource-id}${tr-src-vsw-id}${tr-dst-vsw-id}${tr-src-eni}${tr-dst-eni}${tr-src-az-id}${tr-dst-az-id}${srcport}${dstport}${protocol}${dscp}${packets}${start}${end}${type}${packets-lost-no-route}${packets-lost-blackhole}${packets-lost-mtu-exceeded}${packets-lost-ttl-expired}${direction}采样频率
选择流日志捕获流量信息的捕获窗口时长。取值:
1分钟(默认值)
10分钟
标签
为流日志添加标签。
标签键:不允许为空字符串。最多支持64个字符,不能以
aliyun和acs:开头,不能包含http://或者https://。标签值:可以为空字符串。最多支持128个字符,不能以
aliyun和acs:开头,不能包含http://或者https://。
支持为流日志添加多个标签。关于标签的更多信息,请参见标签。
服务关联角色创建须知
在您创建流日志时,系统将自动创建一个名称为AliyunServiceRoleForTRFlowLog的服务关联角色。转发路由器将通过该角色获取日志服务的部分读取及修改权限,以便调用日志服务相关API完成指定资源的流量信息采集。
若AliyunServiceRoleForTRFlowLog角色已存在,系统则不会重复创建。关于AliyunServiceRoleForTRFlowLog服务关联角色策略,请参见云企业网系统权限策略参考。
查询分析流日志
流日志创建完成后,默认直接启动。日志服务首次启动需要几分钟进行初始化,初始化完成后会自动开始记录流量信息。您可以在日志服务列单击Project和Logstore的名称,跳转至日志服务控制台查询、分析流日志。如何查询分析流日志,请参见日志服务查询概述和日志服务分析概述。
更多操作
操作 | 步骤 |
停止流日志 |
|
删除流日志 | 删除流日志只是不再记录相关资源的流量信息,该资源已经产生的日志不会被删除。
|
相关文档
CreateFlowlog - 创建流日志
DeleteFlowlog - 删除流日志
ModifyFlowLogAttribute - 编辑流日志的属性
ActiveFlowLog - 启动流日志
DeactiveFlowLog - 停止流日志
DescribeFlowlogs - 查询流日志