トランジットルーター (TR) のフローログは、ネットワークインスタンス接続のトラフィック情報をキャプチャします。ログを NIS Traffic Analyzer または Simple Log Service (SLS) に配信して分析することで、ネットワークパフォーマンスのモニター、ネットワークの問題のトラブルシューティング、またはトラフィックコストの最適化ができます。
仕組み
フローログは、データパスの外部でネットワークトラフィック情報をキャプチャするため、ネットワークパフォーマンスに影響を与えません。ワークフローは以下の通りです。
-
トラフィックのキャプチャ:VPC 接続、リージョン間接続、またはトランジットルーターインスタンス全体など、指定したリソースを通過する IP トラフィックをモニターします。
-
データの集計:事前に設定された集計期間 (1 分または 10 分) 内で、システムはトラフィックの 5 タプル (送信元/宛先 IP アドレス、送信元/宛先ポート、プロトコル) に基づいてパケット情報を集計し、合計バイト数とパケット数を計算します。
-
ログの配信:集計期間が終了すると、システムは集計済みのトラフィック統計をログレコードとして、指定したNIS Traffic AnalyzerまたはSimple Log Service (SLS)に配信します。
-
分析とクエリ:NIS または SLS コンソールでフローログをクエリまたは分析します。
たとえば、ログを SLS に配信すると、各ネットワークインスタンス接続の詳細なトラフィック情報を確認したり、いずれのルートにも一致しないトラフィックや、ブラックホールルートに一致するトラフィックを分析したりできます。
配信先
-
推奨
-
迅速な分析には、ログをNIS Traffic Analyzerに配信することを推奨します。
-
カスタム SQL クエリ、カスタムレポート、生ログのクエリなど、詳細な分析シナリオでは、ログをSimple Log Serviceに配信することを推奨します。
-
-
比較
項目
NIS Traffic Analyzer
Simple Log Service
技術的な専門知識
低いです。操作はシンプルで、ユーザーフレンドリーなインターフェイスを備えており、短期間で習得できます。
高いです (SQL クエリに精通している必要があります)。
柔軟性
限定的です。分析は事前に構築されたインターフェイスに制限されます。
高いです。SQL ステートメントを使用してカスタム分析を行えます。
カスタムレポート
サポートされていません
サポートされています。クエリ結果からカスタムチャートを作成できます。
コスト
NIS では、フローログに対して処理料金とストレージ料金が課金されます。
SLS では、データ書き込み、ストレージ、その他の項目に対して課金されます。
キャプチャ方向
トラフィック情報のキャプチャ方向は、リソースによって異なります。
リージョン間接続:現在のトランジットルーターからのアウトバウンドトラフィックのみをキャプチャします (
directionフィールドがoutの場合)。双方向トラフィックをキャプチャするには、ピアトランジットルーター上のリージョン間接続でもフローログを有効にする必要があります。VPC、VPN、ECR、および VBR 接続:インバウンド (
directionフィールドがin) とアウトバウンド (directionフィールドがout) の両方のトラフィックをキャプチャします。TR:トランジットルーター上に作成されたすべてのネットワークインスタンス接続のトラフィックをキャプチャします。キャプチャ方向は前述のルールに従います。
フィールド
フローログはベストエフォートでトラフィックをキャプチャするため、ログレコード内の一部のフィールドが空になる場合があります。リソースがそのフィールドをサポートしていない場合、またはトラフィックに対応する情報が含まれていない場合、フィールドが空になることがあります。
制限事項
-
フローログは、 Enterprise Edition のトランジットルーターでのみサポートされます。Basic Edition のトランジットルーターを使用している場合は、まず アップグレード する必要があります。
-
フローログは、マルチキャストトラフィックのキャプチャには対応していません。
-
TCP スキャン攻撃による過剰なログの生成を防ぐため、フローログは接続の確立、リセット、または終了パケットのみで構成される TCP 接続を記録しません。
たとえば、3 ウェイハンドシェイクが完了しない場合や、クライアントの接続要求がファイアウォールによってリセットされた場合、その接続は記録されません。
-
既存のフローログは自動的にアップグレードできません。新しいバージョンのフィールドを使用するには、既存のフローログを削除して新しいフローログを作成する必要があります。新しく作成されたフローログは自動的に最新バージョンを使用し、下位互換性も備えています。フローログのバージョンは、 Cloud Enterprise Network コンソールで確認できます。
フローログの作成
コンソール
-
Cloud Enterprise Network コンソールに移動します。ターゲットトランジットルーターの詳細ページで、フローログ タブをクリックします。
-
フローログの作成 をクリックします。フローログの作成 ダイアログボックスで、次のパラメーターを設定します。
-
収集の設定:
-
インスタンス: 監視対象のリソースを選択します。キャプチャ方向はリソースタイプによって異なります。
-
[サンプリング間隔]: トラフィック情報を収集する集計間隔です。1 分または 10 分を選択できます。間隔を短くすると、よりタイムリーなデータが得られ、問題の検出と解決を迅速に行うことができます。間隔を長くすると、ログエントリが減少しコストを節約できますが、データレイテンシーが増加します。
重要ログを NIS トラフィックアナライザーに配信する場合、フローログのサンプリング間隔は、対象の NIS トラフィックアナライザーのサンプリング間隔以下である必要があります。そうでない場合、配信は失敗します。
-
-
分析と配信の設定:
-
モードの選択: 配信先を 1 つ以上選択する必要があります。
-
[NIS トラフィック分析]: NIS アナライザーの選択 する必要があります。
トランジットルーターのフローログを NIS トラフィックアナライザーへ配信できるのは、一部のリージョンのみです。
-
SLS に送信: 対象の [Log Service プロジェクト] と [Log Service Logstore] を選択します。その場で新しいものを作成することもできます。
-
-
ログフォーマット: フローログに記録する フィールド を選択します。
-
デフォルト形式: システムがデフォルトで選択したフィールドを使用します。
-
カスタム形式: 記録するフィールドをカスタマイズします。このフォーマットは、デフォルトフォーマットよりも多くのフィールドをサポートしています。選択するフィールドを少なくすることで、ログ情報を簡素化し、コストを削減できます。
srcaddr、dstaddr、およびbytesフィールドは必須です。ログ形式を選択すると、システムは以下のテキストボックスにその形式を文字列として自動的に生成します。選択した形式をコピー をクリックすると、API を使用して同じ形式の複数のフローログを作成できます。
-
-
-
API
CreateFlowlog オペレーションを呼び出し、フローログを作成します。
フローログの分析
フローログが作成されると、デフォルトでアクティブです。ログの分析を開始できます:
-
NIS Traffic Analyzer でのフローログの分析
対象のフローログインスタンスの NIS アナライザー 列で、トラフィックアナライザー ID をクリックして NIS コンソールに移動し、クエリと分析を行います。
-
Simple Log Service でのフローログの分析
フローログが作成された後、Simple Log Service がトラフィック情報の記録を開始するまで、初期化に数分かかります。対象のフローログインスタンスの Log Service 列で、Project 名と Logstore 名をクリックして SLS コンソールに移動し、ログのクエリと分析を行います。ログの分析方法の詳細については、次のトピックをご参照ください:
-
チュートリアル: フローログを使用した上位リージョン間トラフィックのクエリ
-
操作ガイド: SLS のクエリと分析のクイックスタート
-
フローログの管理
コンソール
-
フローログの変更:
-
フローログの [サンプリング間隔] の変更:対象のフローログの サンプリング間隔 (分) 列で、変更 をクリックします。
-
フローログの 送信先 の変更:送信先を直接変更することはできません。代わりに、[操作] 列の [配信設定の変更] をクリックします。このプロセスでは、元のフローログが設定の更新された新しいフローログに置き換えられます。
-
-
フローログの停止:フローログを停止すると、システムは NIS または SLS へのログの配信を停止します。
対象のフローログの アクション 列で、停止 をクリックします。後で 起動 をクリックして再開できます。
-
フローログの削除:フローログを削除すると、収集タスクのみが削除されます。すでに NIS または SLS に配信され、保管期間内にあるトラフィック情報は削除されません。フローログを削除する前に、そのデータソースが NIS Traffic Analyzer から削除されていることを確認してください。
対象のフローログの アクション 列で、削除 をクリックします。
API
-
フローログの変更:
-
フローログの [サンプリング間隔] を変更するには、ModifyFlowLogAttribute API を呼び出します。
-
フローログの 送信先 を変更するには、既存のフローログを削除して新しく作成する必要があります。送信先を直接変更することはできません。
-
-
フローログの停止:DeactivateFlowLog API を呼び出してフローログを停止します。後で ActiveFlowLog API を呼び出して再開できます。
-
フローログの削除:DeleteFlowLog API を呼び出してフローログを削除します。
課金
トランジットルーターのフローログには、次の 2 種類の料金が発生します。
-
ネットワークログ抽出料金:トランジットルーターによるフローログ収集の料金です。この料金は現在免除されています。正式に課金を開始する前に通知します。
-
送信先サービス料金:フローログが配信されると、送信先サービスで課金が開始されます。
-
NIS トラフィックアナライザー:フローログが NIS トラフィックアナライザーに配信されると、NIS が課金します。これには 処理およびストレージ料金 が含まれます。
-
Simple Log Service:フローログが SLS に配信されると、SLS が課金します。これには データ書き込みとストレージ の料金が含まれます。
SLS は、データ書き込み量課金と機能単位課金の 2 つの課金方法を提供します。Cloud Enterprise Network (CEN) コンソールでフローログを作成する際に、新しい Logstore の作成を選択すると、デフォルトで機能単位課金が使用されます。
-
サポートされているリージョン
-
NIS Traffic Analyzer への TR フローログの配信をサポートするリージョン:
中国 (杭州)、中国 (上海)、中国 (深セン)、中国 (広州)、中国 (青島)、中国 (北京)、中国 (張家口)、中国 (フフホト)、中国 (ウランチャブ)、中国 (成都)、シンガポール、中国 (香港)、マレーシア (クアラルンプール)、インドネシア (ジャカルタ)、日本 (東京)、韓国 (ソウル)、タイ (バンコク)、ドイツ (フランクフルト)、イギリス (ロンドン)、米国 (バージニア)、および米国 (シリコンバレー)。
-
TR フローログの Simple Log Service への配信をサポートするリージョン:
エンタープライズ版 TR の作成をサポートするすべてのリージョン。
ベストプラクティス
-
コストと粒度のバランス:初期デプロイメントやトラブルシューティングの際には、
1 分のサンプリング間隔を使用して、きめ細かいデータを取得してください。定常モニタリングでは、10 分の間隔を使用することで、ログボリュームとコストを削減できます。 -
詳細なモニタリング:TR インスタンス全体でロギングを有効にするのではなく、重要なビジネストラフィックを扱う VPC 接続に対して個別のフローログを作成してください。これにより、不要なログデータを削減し、コストを低減できます。
-
単一の宛先の選択:コストを削減するには、宛先として NIS または SLS のいずれかのみを選択してください。
よくある質問
[フローログ] タブが表示されないのはなぜですか?
この機能は Enterprise Edition トランジットルーターでのみ利用できます。まず、トランジットルーターのエディションを確認してください。Basic Edition の場合、この機能を使用するには Enterprise Edition にアップグレードする必要があります。
SLS にデータがないのはなぜですか?
次の手順に従って問題をトラブルシューティングしてください。
-
フローログのステータスを確認する:フローログインスタンスが アクティブ であることを確認してください。
-
初期化を待つ:新しく作成されたフローログは、データの記録を開始する前に数分間の初期化が必要です。
-
ネットワークトラフィックを確認する:監視対象リソースを IP トラフィックが通過していることを確認してください。トラフィックがない場合、ログは生成されません。
-
クエリの時間範囲を確認する:Simple Log Service コンソールで、クエリに正しい時間範囲を選択していることを確認し、ログ配信が数分遅延する可能性があることも考慮してください。
フローログをアップグレードするにはどうすればよいですか?
既存のフローログを直接アップグレードすることはできません。最新のフィールドを使用するには、既存のインスタンスを削除して新しいインスタンスを作成する必要があります。新しいインスタンスは自動的に最新バージョンを使用し、すべてのフィールドを含みます。