Konfigurasikan log aliran untuk melihat informasi lalu lintas tentang router transit - Cloud Enterprise Network

Router transit mendukung fitur log aliran. Log ini digunakan untuk menangkap informasi lalu lintas pada router transit dan koneksi instance jaringan, termasuk koneksi antar wilayah, koneksi virtual private cloud (VPC), koneksi VPN, koneksi Express Connect Router (ECR), dan koneksi virtual border router (VBR). Informasi yang ditangkap dikirim ke Layanan Log Sederhana sebagai entri log aliran. Anda dapat meminta dan menganalisis log tersebut di konsol Layanan Log Sederhana untuk mendapatkan wawasan tentang detail transmisi lalu lintas. Log aliran tidak memengaruhi kinerja jaringan karena beroperasi secara independen dari jalur lalu lintas.

Ikhtisar log aliran

Cara kerjanya

Log aliran menangkap informasi lalu lintas dalam jendela waktu tertentu, yang dapat diatur menjadi 1 menit atau 10 menit. Selama jendela waktu tersebut, informasi lalu lintas digabungkan dan kemudian ditulis ke Layanan Log Sederhana sebagai entri log aliran. Anda dapat meminta dan menganalisis entri log ini di konsol Layanan Log Sederhana. Contoh penggunaan log aliran meliputi:

Meminta detail transmisi lalu lintas untuk koneksi antar wilayah, koneksi VPC, koneksi VPN, koneksi ECR, dan koneksi VBR.
Menganalisis lalu lintas yang tidak cocok dengan rute.
Menganalisis lalu lintas yang cocok dengan rute blackhole.

Sumber daya yang didukung

Log aliran dapat menangkap informasi lalu lintas untuk sumber daya berikut:

Catatan

Hanya Router transit Edisi Perusahaan dan sumber daya terhubungnya yang mendukung log aliran. Router transit Edisi Dasar dan sumber daya terhubungnya tidak mendukung fitur ini. Untuk menggunakan log aliran pada Router transit Edisi Dasar, Anda harus meningkatkannya ke Edisi Perusahaan. Lihat Tingkatkan Router transit Edisi Dasar untuk informasi lebih lanjut.

Sumber daya yang didukung	Arah lalu lintas yang didukung
Koneksi antar wilayah	Lalu lintas jaringan keluar dari router transit.
Koneksi VPC	Baik lalu lintas masuk maupun keluar jaringan. masuk: Lalu lintas jaringan yang berasal dari elastic network interfaces (ENI) router transit menuju router transit. keluar: Lalu lintas jaringan yang berasal dari router transit menuju ENI router transit. Catatan Jika Anda menggunakan log aliran untuk menangkap informasi lalu lintas untuk VPC, log aliran hanya mencatat informasi tentang lalu lintas yang diteruskan oleh ENI router transit. Untuk informasi lebih lanjut tentang lalu lintas yang diteruskan oleh ENI lainnya di VPC, lihat Log aliran.
Koneksi VPN	Baik lalu lintas masuk maupun keluar jaringan. masuk: Lalu lintas jaringan yang berasal dari koneksi IPsec-VPN menuju router transit. keluar: Lalu lintas jaringan yang berasal dari router transit menuju koneksi IPsec-VPN.
Koneksi ECR	Baik lalu lintas masuk maupun keluar jaringan. masuk: Lalu lintas jaringan yang berasal dari ECR menuju router transit. keluar: Lalu lintas jaringan yang berasal dari router transit menuju ECR.
Koneksi VBR	Baik lalu lintas masuk maupun keluar jaringan. masuk: Lalu lintas jaringan yang berasal dari VBR menuju router transit. keluar: Lalu lintas jaringan yang berasal dari router transit menuju VBR.
Router transit Edisi Perusahaan	Setelah Anda membuat log aliran untuk Router transit Edisi Perusahaan, log aliran diaktifkan untuk semua sumber daya yang terhubung ke Router transit Edisi Perusahaan dan mendukung log aliran. Log aliran menangkap informasi lalu lintas untuk koneksi VPC, koneksi VPN, koneksi ECR, koneksi VBR, dan koneksi antar wilayah pada Router transit Edisi Perusahaan. Untuk informasi lebih lanjut tentang arah lalu lintas jaringan yang dapat ditangkap oleh log aliran untuk setiap sumber daya, lihat konten sebelumnya dalam tabel ini.

Bidang dalam entri log aliran

Tabel berikut menjelaskan bidang dalam entri log aliran. Jika suatu bidang kosong setelah pembuatan log aliran, itu berarti bidang tersebut tidak didukung oleh sumber daya atau tidak dikumpulkan oleh log aliran.

Bidang	Deskripsi	Versi log aliran yang didukung
account-id	ID akun Alibaba Cloud tempat instance CEN berada.	2
attachment-id	ID koneksi instance jaringan.	2
bytes	Jumlah byte dalam paket.	2
cen-id	ID instance CEN.	2
direction	Arah lalu lintas jaringan. in: lalu lintas masuk ke router transit. out: lalu lintas keluar dari router transit. Untuk informasi lebih lanjut, lihat Sumber daya yang didukung.	2
dscp	Nilai differentiated services code point (DSCP) dalam paket. Bidang ini mencatat nilai DSCP yang dimodifikasi oleh kebijakan penandaan lalu lintas ketika log aliran menangkap informasi lalu lintas untuk koneksi antar wilayah.	3
dst-region-id	ID wilayah koneksi instance jaringan. Bidang ini mencatat ID wilayah router transit tujuan ketika log aliran menangkap informasi lalu lintas untuk koneksi antar wilayah.	2
dstaddr	Alamat IP tujuan.	2
dstport	Port tujuan.	2
end	Timestamp yang menunjukkan akhir jendela tangkapan. Tentukan timestamp UNIX yang mewakili jumlah milidetik yang telah berlalu sejak waktu epoch 1 Januari 1970, 00:00:00 UTC.	2
flowlog-resource-type	Tipe sumber daya untuk mana log aliran diaktifkan. Nilai valid: TransitRouterAttachment: koneksi instance jaringan TransitRouter: router transit	3
packets	Jumlah paket.	2
packets-lost-blackhole	Jumlah paket yang dijatuhkan karena paket cocok dengan rute blackhole.	3
packets-lost-mtu-exceeded	Jumlah paket yang dijatuhkan karena ukuran unit transmisi maksimum (MTU) terlampaui.	3
packets-lost-no-route	Jumlah paket yang dijatuhkan karena paket tidak cocok dengan rute.	3
packets-lost-ttl-expired	Jumlah paket yang dijatuhkan karena batas waktu hidup (TTL) habis. Catatan Dalam banyak kasus, penyebab paket semacam itu adalah loop jaringan.	3
protocol	Protokol paket.	2
src-region-id	ID wilayah koneksi instance jaringan. Bidang ini mencatat ID wilayah router transit sumber ketika log aliran menangkap informasi lalu lintas untuk koneksi antar wilayah.	2
srcaddr	Alamat IP sumber.	2
srcport	Port sumber.	2
start	Timestamp yang menunjukkan awal jendela tangkapan. Tentukan timestamp UNIX yang mewakili jumlah milidetik yang telah berlalu sejak waktu epoch 1 Januari 1970, 00:00:00 UTC.	2
tr-dst-az-id	ID zona ENI yang digunakan oleh router transit tujuan. Bidang ini dicatat hanya ketika log aliran menangkap informasi tentang lalu lintas yang menuju VPC di wilayah yang sama.	3
tr-dst-eni	ID ENI yang digunakan oleh router transit tujuan. Bidang ini dicatat hanya ketika log aliran menangkap informasi tentang lalu lintas yang menuju VPC di wilayah yang sama.	3
tr-dst-resource-account-id	ID akun Alibaba Cloud tempat instance jaringan tujuan berada.	3
tr-dst-resource-id	ID instance jaringan tujuan. Bidang ini mencatat ID router transit peer ketika sumber daya tujuan dan router transit berada di wilayah yang berbeda.	3
tr-dst-vsw-id	ID vSwitch yang digunakan oleh ENI router transit tujuan. Bidang ini dicatat hanya ketika log aliran menangkap informasi tentang lalu lintas yang menuju VPC di wilayah yang sama.	3
tr-id	ID wilayah router transit tempat log aliran berada.	3
tr-pair-attachment-id	Bidang ini mencatat ID koneksi instance jaringan masuk atau koneksi instance jaringan keluar berdasarkan arah lalu lintas. Jika arah lalu lintas adalah masuk, bidang ini mencatat ID koneksi instance jaringan keluar. Jika arah lalu lintas adalah keluar, bidang ini mencatat ID koneksi instance jaringan masuk. Bidang ini kosong jika Anda menggunakan log aliran untuk menangkap informasi lalu lintas untuk koneksi VPC, VPN, ECR, atau VBR antar wilayah. Catatan Bidang ini juga kosong jika lalu lintas yang ditangkap dijatuhkan. Jika log aliran menangkap informasi tentang lalu lintas yang dijatuhkan, nilai bidang berikut tidak 0: packets-lost-blackhole, packets-lost-mtu-exceeded, packets-lost-no-route, dan packets-lost-ttl-expired.	3
tr-src-az-id	ID zona ENI yang digunakan oleh router transit sumber. Bidang ini dicatat hanya ketika log aliran menangkap informasi tentang lalu lintas yang berasal dari VPC di wilayah yang sama.	3
tr-src-eni	ID ENI yang digunakan oleh router transit sumber. Bidang ini dicatat hanya ketika log aliran menangkap informasi tentang lalu lintas yang berasal dari VPC di wilayah yang sama.	3
tr-src-resource-account-id	ID akun Alibaba Cloud tempat instance jaringan sumber berada.	3
tr-src-resource-id	ID instance jaringan sumber.	3
tr-src-vsw-id	ID vSwitch yang digunakan oleh ENI router transit sumber. Bidang ini dicatat hanya ketika log aliran menangkap informasi tentang lalu lintas yang berasal dari VPC di wilayah yang sama.	3
type	Tipe lalu lintas. Nilai valid: v4: lalu lintas IPv4 v6: lalu lintas IPv6	3
version	Versi log aliran.	3

Batasan

Log aliran tidak dapat menangkap informasi lalu lintas multicast.
Untuk menggunakan bidang versi log aliran yang lebih baru, Anda perlu menghapus log aliran yang ada dan membuat yang baru.
Secara default, log aliran dibuat dalam versi terbaru saat pembuatan. Versi terbaru mendukung semua bidang dari versi sebelumnya. Versi log aliran dapat dilihat di konsol CEN.
Koneksi TCP tunggal yang hanya berisi paket untuk pembentukan, pengaturan ulang, atau penutupan koneksi tidak dicatat dalam log aliran.
Sebagai contoh, jika jabat tangan tiga arah belum selesai atau permintaan klien direset oleh firewall, koneksi tersebut tidak dicatat. Desain ini bertujuan untuk mencegah entri log berlebihan akibat pemindai TCP.

Penagihan

Setelah mengaktifkan fitur log aliran untuk router transit, Anda akan dikenakan biaya untuk item berikut:

Biaya pengumpulan log aliran
Biaya dihitung berdasarkan jumlah entri log aliran yang dikumpulkan.
Catatan
Pengambilan log jaringan gratis. Informasi terkait biaya akan diumumkan melalui pengumuman produk.
Biaya layanan Layanan Log Sederhana
Entri log aliran disimpan di Layanan Log Sederhana. Biaya penyimpanan dan pengambilan data berlaku saat menggunakan layanan ini. Lihat Ikhtisar Penagihan untuk informasi lebih lanjut.

Prasyarat

Sebelum membuat log aliran, pastikan sumber daya yang diperlukan telah disiapkan. Lihat topik berikut untuk panduan:

Membuat log aliran

Masuk ke konsol CEN.
Di halaman Instances, klik ID instance CEN yang ingin Anda kelola.
Di tab Basic Information > Transit Router, klik ID router transit untuk sumber daya yang ingin Anda aktifkan log alirannya.
Di halaman detail router transit, klik tab Flow Logs.
Jika Layanan Log Sederhana belum diaktifkan di akun Alibaba Cloud Anda, aktifkan terlebih dahulu.
Di tab Flow Logs, klik Activate Now. Di halaman Simple Log Service, pilih kotak centang Simple Log Service Terms of Service, lalu klik Activate Now. Setelah aktivasi, kembali ke tab Flow Logs.
Catatan
Jika Layanan Log Sederhana sudah diaktifkan, lewati langkah ini.
Di tab Flow Logs, klik Create Flow Log.

Di kotak dialog Create Flow Log, atur parameter yang diperlukan dan klik OK.

Parameter	Deskripsi
Name	Masukkan nama untuk log aliran.
Description	Masukkan deskripsi untuk log aliran.
Region	Wilayah tempat router transit saat ini diterapkan ditampilkan secara default.
Transit Router ID	ID router transit saat ini ditampilkan secara default.
Instance	Pilih tipe sumber daya dan pilih sumber daya untuk mana log aliran dibuat. Sumber daya yang didukung: Transit Router Jika Anda memilih Router Transit, Anda tidak perlu memilih sumber daya tertentu. Sistem secara otomatis mengaktifkan log aliran untuk koneksi VPC, koneksi VPN, koneksi ECR, koneksi VBR, dan koneksi antar wilayah pada router transit di wilayah saat ini. Koneksi Antar Wilayah Koneksi VPC Koneksi VPN Koneksi ECR Koneksi VBR
Project	Pilih proyek untuk menyimpan log aliran. Anda dapat memilih proyek yang ada atau membuat yang baru. Anda hanya dapat memilih proyek di wilayah yang sama dengan router transit atau membuat proyek di wilayah router transit.
Logstore	Pilih Penyimpanan Log untuk menyimpan log aliran. Anda dapat memilih Penyimpanan Log yang ada atau membuat yang baru.
Log Format	Pilih bidang yang ingin Anda sertakan dalam log aliran. Format berikut didukung: Default Format (default) Gunakan bidang yang dipilih oleh sistem. Format ini tidak memungkinkan Anda menambahkan atau menghapus bidang. Custom Format Selain bidang yang diperlukan, termasuk srcaddr, dstaddr, dan bytes, Anda juga dapat menentukan bidang kustom yang ingin Anda gunakan. Setelah Anda memilih format log, sistem secara otomatis menghasilkan string bidang log, seperti yang ditunjukkan dalam string sampel berikut. Anda dapat mengklik Copy Selected Formats untuk menyalin string dan memanggil operasi API untuk membuat log aliran yang menggunakan format log aliran yang disalin. ${srcaddr}${dstaddr}${bytes}${version}${flowlog-resource-type}${account-id}${cen-id}${tr-id}${src-region-id}${dst-region-id}${attachment-id}${tr-pair-attachment-id}${tr-src-resource-account-id}${tr-dst-resource-account-id}${tr-src-resource-id}${tr-dst-resource-id}${tr-src-vsw-id}${tr-dst-vsw-id}${tr-src-eni}${tr-dst-eni}${tr-src-az-id}${tr-dst-az-id}${srcport}${dstport}${protocol}${dscp}${packets}${start}${end}${type}${packets-lost-no-route}${packets-lost-blackhole}${packets-lost-mtu-exceeded}${packets-lost-ttl-expired}${direction}
Sampling Interval	Pilih durasi jendela tangkapan. Nilai valid: 1 Minute (default) 10 Minutes
Tag	Tambahkan tag ke log aliran berdasarkan kebutuhan bisnis Anda. Tag Key: Kunci tag dapat memiliki panjang hingga 64 karakter. Tidak boleh berupa string kosong atau dimulai dengan `acs:` atau `aliyun` atau berisi `http://` atau `https://`. Tag Value: Nilai tag dapat berupa string kosong dengan panjang maksimum 128 karakter. Tidak boleh dimulai dengan `acs:` atau `aliyun` atau berisi `http://` atau `https://`. Anda dapat menambahkan satu atau lebih tag ke log aliran. Untuk informasi lebih lanjut tentang tag, lihat Kelola tag.
Notes on Creating Service-linked Role	Ketika Anda membuat log aliran, sistem secara otomatis membuat peran terkait layanan AliyunServiceRoleForTRFlowLog. Router transit mengasumsikan peran terkait layanan ini untuk membaca dan memodifikasi Layanan Log Sederhana sehingga router transit dapat memanggil API Layanan Log Sederhana untuk mengumpulkan informasi lalu lintas untuk sumber daya yang ditentukan. Jika peran AliyunServiceRoleForTRFlowLog sudah ada, sistem tidak akan membuatnya lagi. Untuk informasi lebih lanjut tentang AliyunServiceRoleForTRFlowLog, lihat Kebijakan sistem untuk CEN.

Permintaan dan analisis log aliran

Setelah membuat log aliran, fitur ini diaktifkan secara default. Inisialisasi Layanan Log Sederhana memerlukan beberapa menit. Setelah selesai, Layanan Log Sederhana mulai mencatat informasi lalu lintas. Anda dapat mengklik nama proyek atau Penyimpanan Log di kolom Simple Log Service untuk membuka konsol Layanan Log Sederhana dan menganalisis informasi lalu lintas. Lihat Ikhtisar pencarian log dan Ikhtisar permintaan dan analisis log untuk informasi lebih lanjut.

2024-06-06_11-19-02

Apa yang harus dilakukan selanjutnya

Operasi

Prosedur

Nonaktifkan log aliran

Masuk ke konsol CEN.
Di halaman Instances, klik ID instance CEN yang ingin Anda kelola.
Pergi ke tab Basic Information > Transit Router dan klik ID router transit yang ingin Anda kelola.
Di halaman detail router transit, klik tab Flow Logs. Di tab Flow Logs, temukan log aliran yang ingin Anda nonaktifkan dan klik Disable di kolom Actions.
Di pesan Disable Flow Log, klik OK.
Untuk mengaktifkan log aliran, klik Enable di kolom Actions. Lalu, klik OK di pesan Enable Flow Log.

Hapus log aliran

Log aliran yang dihapus tidak lagi mencatat informasi lalu lintas. Namun, data log aliran yang ada tetap tersimpan.

Masuk ke konsol CEN.
Di halaman Instances, klik ID instance CEN yang ingin Anda kelola.
Pergi ke tab Basic Information > Transit Router dan klik ID router transit yang ingin Anda kelola.
Di halaman detail router transit, klik tab Flow Logs. Di tab Flow Logs, temukan log aliran yang ingin Anda hapus dan klik Delete di kolom Actions.
Di pesan Hapus Log Aliran, klik OK.

Cloud Enterprise Network：Konfigurasikan log aliran