All Products
Search

This Product

    NAT Gateway:Log sesi

    Document Center

    NAT Gateway:Log sesi

    Last Updated:Feb 28, 2026

    Setelah Anda membuat entri SNAT untuk Gateway NAT dan lalu lintas mengalir melalui gateway tersebut, sesi SNAT direkam sebagai log untuk mendukung pelacakan dan pemantauan.

    Cara kerja

    Mekanisme pengumpulan dan pengiriman log

    Log sesi menangkap sesi SNAT dan menuliskannya ke Simple Log Service (SLS). Setiap log sesi mencatat aliran jaringan 5-tuple dalam rentang waktu sekitar 10 menit. Selama periode ini, layanan log sesi mengagregasi data lalu mengirimkannya ke proyek SLS Anda. Pengiriman data biasanya selesai dalam waktu 5 menit.

    • Karena log sesi mengikuti model pengiriman terbaik (best-effort delivery), log mungkin tiba lebih lambat dari yang diharapkan. Penundaan transmisi jaringan atau penundaan pemrosesan SLS dapat menyebabkan tidak semua sesi berhasil dikirimkan.

    • Pengumpulan log sesi dilakukan di luar jalur lalu lintas jaringan dan tidak memengaruhi throughput jaringan atau latensi Gateway NAT.

    Perbedaan antara log sesi dan flow log

    Baik flow log VPC maupun log sesi Gateway NAT merekam lalu lintas jaringan yang melewati Gateway NAT:

    • Flow log VPC: Menangkap setiap paket yang mengalir melalui Elastic Network Interface (ENI) pada lapisan jaringan, dalam kedua arah. Gunakan flow log ini untuk memecahkan masalah konektivitas jaringan atau kebijakan keamanan.

    • Log sesi: Mencatat sesi NAT sebagai satu kesatuan. Setiap entri log mengagregasi alamat IP privat, alamat hasil terjemahan NAT, alamat IP publik, serta lalu lintas dua arah untuk satu sesi. Gunakan log ini untuk mengaudit akses jaringan publik atau menganalisis tren penggunaan port SNAT.

    Contoh skenario

    Sebuah instance ECS dalam VPC (IP privat 172.16.20.21) mengakses server publik 106.XX.XX.203:12180 menggunakan SNAT pada Gateway NAT. Gateway NAT menerjemahkan alamat sumber ECS menjadi 172.16.10.13:48155.

    image

    Flow log VPC — 4 entri (Daftar lengkap field flow log)

    Log sesi NAT — 1 entri (Deskripsi format log sesi lengkap)

    ①  ECS → Gateway NAT (sebelum terjemahan alamat)
    srcaddr: 172.16.20.21    srcport: 47176
    dstaddr: 106.XX.XX.203   dstport: 12180
    direction: in  bytes: 487  packets: 6

②  Gateway NAT → Internet (setelah terjemahan alamat)
    srcaddr: 172.16.10.13    srcport: 48155
    dstaddr: 106.XX.XX.203   dstport: 12180
    direction: out bytes: 487  packets: 6

③  Internet → Gateway NAT (respons tiba)
    srcaddr: 106.XX.XX.203   srcport: 12180
    dstaddr: 172.16.10.13    dstport: 48155
    direction: in  bytes: 449  packets: 4

④  Gateway NAT → ECS (terjemahan balik)
    srcaddr: 106.XX.XX.203   srcport: 12180
    dstaddr: 172.16.20.21    dstport: 47176
    direction: out bytes: 449  packets: 4

    # Alamat sumber (IP privat ECS)
pri_ip: 172.16.20.21       pri_port: 47176
# Terjemahan alamat NAT
nat_ip: 172.16.10.13       nat_port: 48155
# Alamat tujuan (EIP)
pub_ip: 106.XX.XX.203      pub_port: 12180
# Traffic dari sisi VPC
bytes_from_vpc: 417        pkts_from_vpc: 6
# Traffic dari sisi Internet
bytes_from_pub: 421        pkts_from_pub: 4

    Penerapan

    • Anda tidak dapat mengaktifkan log sesi untuk Gateway NAT berbasis pay-by-specification (tidak lagi tersedia untuk pembelian).

    • Gateway NAT dan proyek Simple Log Service harus berada di wilayah yang sama.

    • Log sesi tidak merekam sesi DNAT.

    Penagihan

    Anda tidak dikenai biaya untuk menghasilkan log sesi. Namun, sesi SNAT yang ditangkap oleh log sesi disimpan di Simple Log Service. Anda akan dikenai biaya penyimpanan dan pengambilan di Simple Log Service. Untuk informasi selengkapnya, lihat Penagihan Simple Log Service.

    Konfigurasi log sesi

    Mulai log sesi

    1. Masuk ke Konsol Gateway NAT. Di bilah navigasi atas, pilih wilayah tempat Gateway NAT berada.

    2. Di panel navigasi kiri, klik Internet NAT Gateway atau VPC NAT Gateway. Temukan Gateway NAT tersebut lalu klik ID-nya.

    3. Di tab Monitoring and Logging > Session Log, klik Enable Session Log.

      Pilih Proyek dan Logstore: Saat pertama kali membuat log sesi, Anda dapat Create Project dan Create Logstore untuk mengisolasi data log sesi dari data lainnya. Untuk menganalisis beberapa log sesi secara terpusat, gunakan Logstore yang sama.

    Nonaktifkan log sesi

    Pada kolom Session Log Status, klik Stop untuk log sesi yang dituju. Menghentikan log sesi tidak menghapus log yang sudah ada. Anda dapat melihatnya di Proyek SLS.

    Lihat status log sesi

    Buka tab Monitoring and Logging > Session Log pada Gateway NAT yang dituju.

    Item

    Deskripsi

    Session Log Status

    Status saat ini dari log sesi. Setelah mengaktifkan log sesi, statusnya akan ditampilkan sebagai Enabled.

    Setelah Anda memulai log sesi, sistem secara otomatis membuat peran terkait layanan <a baseurl="t2714254_v1_2_7.xdita" data-node="4747792" data-root="16523" data-tag="xref" href="t2607841.xdita#" id="cf1675d0bbl4v">AliyunServiceRolePolicyForNatgwLogDelivery</a> dan memberikan otorisasi ke LogStore yang Anda buat untuk mengirimkan data.

    Delivery Status

    Status pengiriman log sesi. Nilai yang valid:

    • Success: Log sesi berhasil dikirim ke Simple Log Service.

    • Modifying: Status perantara yang menunjukkan bahwa log sesi sedang dimodifikasi atau dimulai.

    • Failed: Log sesi gagal dikirim ke Simple Log Service. Untuk detailnya, lihat Informasi selengkapnya.

    Delivery Type

    Jenis tujuan pengiriman log sesi. Tetapkan nilainya ke sls.

    Destination Information

    Pada kolom Destination Information, klik tautan Logstore untuk membuka konsol Simple Log Service. Sebelum melihat dan menganalisis log, buat indeks secara manual untuk Logstore yang digunakan dalam pengiriman log sesi.

    Informasi selengkapnya

    Format log sesi

    Field

    Deskripsi

    instance

    ID instans Gateway NAT.

    vpc_id

    ID virtual private cloud (VPC) tempat Gateway NAT berada.

    protocol

    Dalam daftar nomor protokol IANA protocol numbers, angka 1 merepresentasikan ICMP, 6 merepresentasikan TCP, dan 17 merepresentasikan UDP.

    pri_ip

    Alamat IP sumber.

    pri_port

    Port sumber.

    Untuk paket ICMP, pri_port berkorespondensi dengan field ID ICMP.

    pub_ip

    Alamat IP tujuan.

    pub_port

    Port tujuan.

    nat_ip

    • Instans Internet NAT Gateway:

      • Dalam Mode NAT: alamat IP privat dari Elastic IP Address (EIP) yang terkait dengan Internet NAT Gateway.

      • Dalam Mode Multi-EIP-to-ENI: EIP yang terkait dengan Internet NAT Gateway.

      Panggil operasi DescribeNatGateways untuk menanyakan parameter EipBindMode dan memastikan mode pengikatan EIP.
      Panggil operasi ModifyNatGatewayAttribute untuk mengubah parameter EipBindMode. Anda hanya dapat mengubah mode Multi-EIP-to-ENI menjadi mode NAT.

    • Instans VPC NAT Gateway: Menunjukkan alamat IP NAT yang terikat pada instans VPC NAT Gateway.

    nat_port

    • Untuk Internet NAT Gateway: port yang digunakan oleh EIP yang terkait dengan Internet NAT Gateway.

    • Untuk VPC NAT Gateway: port yang digunakan oleh alamat IP NAT yang terkait dengan VPC NAT Gateway.

    bytes_from_pub

    • Untuk Internet NAT Gateway: ukuran paket dari Internet.

    • Untuk VPC NAT Gateway: ukuran paket dari VPC lain atau pusat data.

    Unit: byte.

    pkts_from_pub

    • Untuk Internet NAT Gateway: jumlah paket dari Internet.

    • Untuk VPC NAT Gateway: jumlah paket dari VPC lain atau pusat data.

    Field ini menghitung paket pada lapisan jaringan—bukan pesan pada lapisan aplikasi atau transport. Oleh karena itu, ketika terjadi fragmentasi IP, jumlahnya mungkin berbeda dari hasil pengambilan paket di titik akhir. Untuk data volume yang akurat, gunakan penghitungan byte.

    bytes_from_vpc

    Ukuran paket dari VPC. Unit: byte.

    pkts_from_vpc

    Jumlah paket dari VPC.

    start_time

    Waktu saat log sesi dibuat.

    end_time

    Waktu saat log sesi dihentikan.

    Kode kesalahan pengiriman

    Kode kesalahan

    Deskripsi

    ProjectNotExist

    Proyek tujuan tidak ada.

    LogStoreNotExist

    Logstore tujuan tidak ada.

    ProjectForbidden

    Proyek dinonaktifkan, kemungkinan karena pembayaran tertunda.

    InvalidAccessKeyId

    Peran terkait layanan tidak dibuat saat Anda mengaktifkan log sesi.

    Unauthorized

    Peran terkait layanan tidak dibuat untuk memberikan izin ke Logstore saat Anda mengaktifkan log sesi.

    UnavaliableTarget

    Jika terjadi salah satu kesalahan berikut—Unauthorized, ProjectNotExist, LogStoreNotExist, atau ProjectForbidden—sistem akan menonaktifkan pengiriman ke tujuan selama 5 menit. Setelah 5 menit, jika ada data baru yang perlu dikirimkan, sistem akan melakukan satu kali uji coba pengiriman ke Logstore. Jika uji coba gagal, pengiriman tetap dinonaktifkan selama 5 menit berikutnya. Jika uji coba berhasil, pengiriman normal dilanjutkan.

    WriteQuotaExceed

    Kuota traffic tulis proyek Anda telah terlampaui. Secara default, semua Logstore dalam satu proyek mendukung hingga 30 GB traffic tulis per menit.

    ShardWriteQuotaExceed

    Traffic log besar dan Logstore Anda memiliki shard yang tidak mencukupi. Kami menyarankan Anda membagi lebih banyak shard untuk mendukung traffic tulis yang lebih tinggi. Untuk informasi selengkapnya, lihat Kelola shard.