当前位置：首页 > news >正文

[专有网络VPC]创建和管理流日志

news 2025/4/21 23:19:58

专有网络VPC（Virtual Private Cloud）提供流日志功能。流日志功能可以捕获VPC中弹性网卡ENI（Elastic Network Interface）传入和传出的流量信息，您可以通过分析流日志捕获的流量信息检查VPC下的访问控制规则、排查网络故障以及监控异常流量。本文介绍如何创建和管理流日志。

前提条件

在创建流日志前，请确保您已满足以下条件：

当您首次创建流日志时，需要单击立即授权，然后单击同意授权。授权成功后才能保证流日志可以将相关日志写入日志服务中。
您已经在日志服务产品页开通了日志服务。
您已经创建了管理和存储捕获流量的Project和Logstore。具体操作，请参见创建项目Project和创建Logstore。
您已经创建了捕获资源。具体操作，请参见创建辅助弹性网卡、创建和管理专有网络和创建和管理交换机。

创建流日志

登录专有网络管理控制台。
在左侧导航栏，选择运维与监控 > 流日志。
首次使用流日志功能时，单击立即开通完成流日志功能的开通。

说明

如果您之前创建过流日志实例，单击立即开通后，已创建的流日志实例会重新展示在流日志页面。
在顶部菜单栏处，选择要捕获日志的地域。

流日志功能支持的地域信息，请参见功能发布及地域支持情况。
在流日志页面，单击创建流日志。

在创建流日志对话框，根据以下信息配置流日志，然后单击确定。

配置	说明
流日志名称	输入流日志名称。
资源类型	选择要捕获流量的资源类型，然后选择相应的资源。支持选择以下资源类型：专有网络：捕获指定的VPC内所有弹性网卡的流量信息。交换机：捕获指定的交换机内所有弹性网卡的流量信息。弹性网卡：捕获指定的弹性网卡的流量信息。
资源组	选择流日志所属的资源组。
资源实例	选择要捕获流量的资源实例。
标签键	选择或输入完整的标签键。最多支持输入20个标签键。标签键最多支持128个字符，不能以`aliyun`或`acs:`开头，也不能包含`http://`或`https://`。
标签值	选择或输入完整的标签值。最多支持输入20个标签值。标签值最多支持128个字符，不能以`aliyun`或`acs:`开头，也不能包含`http://`或`https://`。
流量类型	选择要捕获流量的类型：全部流量：捕获指定资源的全部流量。被访问控制允许的流量：捕获指定资源被安全组规则和网络ACL规则允许的流量。被访问控制拒绝的流量：捕获指定资源被安全组规则和网络ACL规则拒绝的流量。
项目（Project）	选择管理捕获流量的项目（Project）的类型：选择现有Project：从已有的项目中选择存储捕获流量的项目。新建Project：新建一个用于存储捕获流量的项目。
日志库（Logstore）	选择存储捕获流量的日志库（Logstore）的类型：选择现有 Logstore：从已有的项目中选择存储捕获流量的日志库。新建 Logstore：新建一个用于存储捕获流量的日志库。
开启流日志分析报表功能	选择该功能后，所选的LogStore会开启索引并建立仪表盘，支持对数据进行SQL与可视化分析。日志服务索引功能按流量收费，仪表盘不收费。更多信息，请参见日志服务计费说明。
采样间隔（分钟）	选择流日志采样的时间间隔，当前支持1分钟、5分钟和10分钟的采样间隔。默认采用10分钟的采样间隔。
采样路径	选择流日志的采样路径。默认采集所有路径的流量。采集全部场景通过IPv4网关的流量通过NAT网关的流量通过VPN网关的流量通过转发路由器（TR）的流量通过网关终端节点访问云服务的流量通过边界路由器（VBR）访问专线的流量说明采样路径功能默认不开放，如需使用，请联系阿里云客户经理申请。
描述	输入流日志的描述。

查看流日志

创建流日志后，您可以查看流日志的基本信息及采集弹性网卡的信息。

登录专有网络管理控制台。
在左侧导航栏，选择运维与监控 > 流日志。
在顶部菜单栏，选择流日志的地域。
在流日志页面，即可查看已创建的流日志。
在流日志采集详情面板，查看流日志的实例ID、状态、采集范围等基本信息。
在流日志采集详情面板，单击操作列查看ENI采集范围，单击不采集流日志的弹性网卡或全部弹性网卡页签，查看流日志采集弹性网卡的信息。
- 不采集流日志的弹性网卡：流日志不支持捕获流量信息的弹性网卡。
- 全部弹性网卡：流日志采集范围内的所有弹性网卡。例如，流日志捕获的是VPC内流量信息，则此处显示的是该VPC内的全部弹性网卡，包含支持和不支持捕获流量信息的弹性网卡。
说明

当弹性网卡中存在传入或传出流量时，才可查看采集弹性网卡的信息。

通过Flowlog日志中心分析流日志

通过分析流日志，您可以检查访问控制规则、监控网络流量和排查网络故障。

登录日志服务控制台。
在日志应用区域，单击查看更多日志应用，然后在日志应用对话框中单击Flowlog日志中心。
在Flowlog管理页面，单击添加。

在创建实例面板中，配置以下参数，然后单击确定。

参数	说明
实例ID	日志服务默认提供实例ID。您也可以自定义实例ID。
实例名称	配置实例名称。
Project	选择您已创建的Project。该Project需与创建流日志中配置的Project保持一致。
Logstore	选择您已创建的Logstore。该Logstore需与创建流日志中配置的Logstore保持一致。

创建实例成功后，可以在Flowlog日志中心列表查看已创建的实例。

流日志管理

在实例ID列单击实例ID。
在Flowlog详情页面，您可以查看并分析流日志的信息。

监控中心提供以下仪表盘和自定义查询功能：
- 概览：展示流日志的整体信息。
- 策略统计：展示Accept趋势、Reject趋势、Accept次数统计（由五元组构成）、Reject次数统计（由五元组构成）等信息。五元组是由源网段、源端口、协议类型、目标网段和目标端口组成的集合。
  - Accept：安全组和网络ACL允许记录的流量。
  - Reject：安全组和网络ACL拒绝记录的流量。
- ENI流量：展示弹性网卡传入和传出的流量信息。
- ECS间流量：展示ECS实例之间的流量情况。
- 自定义查询：您可以自行查询和分析VPC流日志。具体操作，请参见查询和分析日志。
在Flowlog详情页面，单击网段设置，然后在网段设置页签，打开开启“域间分析”开关。

开启域间分析功能后，系统将自动创建数据加工任务，生成具有网段信息的VPC流日志，用于分析不同网段之间的流量情况。数据加工功能会收取一定的费用，您可以选择是否开启域间分析功能。关于数据加工功能的具体计费情况，请参见按使用功能计费模式计费项。

日志服务已预设多个网段，如下图所示。当您需要分析不同网段之间的流量情况时，只需一键开启域间分析功能即可。如果预设网段未满足您的需求，您可以自定义添加网段。

域间分析提供以下仪表盘和自定义查询功能：
- 域间流量：展示不同网段之间的流量情况。
- ECS到区间流量：展示ECS实例到目标网段的流量情况。
- 威胁情报：展示源IP地址与目标IP地址的威胁情报信息。
- 自定义查询：您可以自行查询和分析具有网段信息的VPC流日志。具体操作，请参见查询和分析日志。

修改流日志

创建流日志后，您可以修改流日志的名称和描述信息。

说明

通过日志服务控制台创建的流日志实例可以展示在VPC列表中，但在VPC中无法修改该流日志实例。

修改流日志的名称和描述

登录专有网络管理控制台。
在左侧导航栏，选择运维与监控 > 流日志。
在顶部菜单栏，选择流日志的地域。
在流日志页面，找到目标流日志，然后在实例ID/名称列单击

图标修改流日志的名称。
在描述列单击

图标修改流日志的描述信息。

修改流日志的采样间隔

创建流日志后，您可以修改流日志的采样间隔时间。

登录专有网络管理控制台。
在左侧导航栏，选择运维与监控 > 流日志。
在顶部菜单栏，选择流日志的地域。
在流日志页面，找到目标流日志，然后在采样间隔（分钟）列单击编辑。
您可以根据需要在下拉列表中选择采样间隔为1分钟、5分钟或10分钟，然后单击确定。

当您不需要修改当前的采样间隔时，您可以在采样间隔（分钟）列单击取消。