SNAT セッションログの設定と理解 - NAT Gateway

NAT Gateway に SNAT エントリを作成し、トラフィックがゲートウェイを経由して流れるようになると、SNAT セッションがログとして記録され、トレーサビリティおよびモニタリングをサポートします。

仕組み

ログの収集および配信メカニズム

セッションログは SNAT セッションをキャプチャし、Simple Log Service (SLS) に書き込みます。各セッションログは、約 10 分間のタイムウィンドウ内で発生する 5 次元ルールのネットワークフローを記録します。この期間中、セッションログサービスはデータを集約し、その後お客様の SLS プロジェクトへ配信します。データ配信は通常、5 分以内に完了します。

セッションログは最善努力型配信モデルに従うため、予定より遅れて到着する場合があります。ネットワーク伝送遅延や SLS 処理遅延により、すべてのセッションが確実に配信される保証はありません。
セッションログの収集はネットワークトラフィックパスの外側で行われるため、NAT Gateway のネットワークスループットおよびレイテンシには一切影響しません。

セッションログとフローログの違い

VPC フローログおよび NAT Gateway セッションログの両方とも、NAT Gateway を通過するネットワークトラフィックを記録します。

VPC フローログ：Elastic Network Interface (ENI) を通過する各パケットをネットワークレイヤーで双方向にキャプチャします。ネットワーク接続のトラブルシューティングやセキュリティポリシーの問題分析に使用します。
セッションログ：NAT セッションを単一の単位として記録します。各ログエントリは、プライベート IP アドレス、NAT 変換後のアドレス、パブリック IP アドレス、および 1 つのセッションにおける双方向トラフィックを集約します。パブリックネットワークへのアクセス監査や SNAT ポート使用傾向の分析に使用します。

シナリオ例

VPC 内の ECS インスタンス（プライベート IP 172.16.20.21）が、NAT Gateway 上の SNAT を使用してパブリックサーバー 106.XX.XX.203:12180 にアクセスします。NAT Gateway は ECS の送信元アドレスを 172.16.10.13:48155 に変換します。

VPC フローログ — 4 エントリ（フローログの全フィールド一覧）

NAT セッションログ — 1 エントリ（セッションログの完全なフォーマット説明）

①  ECS → NAT Gateway（アドレス変換前）
    srcaddr: 172.16.20.21    srcport: 47176
    dstaddr: 106.XX.XX.203   dstport: 12180
    direction: in  bytes: 487  packets: 6

②  NAT Gateway → インターネット（アドレス変換後）
    srcaddr: 172.16.10.13    srcport: 48155
    dstaddr: 106.XX.XX.203   dstport: 12180
    direction: out bytes: 487  packets: 6

③  インターネット → NAT Gateway（応答受信）
    srcaddr: 106.XX.XX.203   srcport: 12180
    dstaddr: 172.16.10.13    dstport: 48155
    direction: in  bytes: 449  packets: 4

④  NAT Gateway → ECS（逆変換）
    srcaddr: 106.XX.XX.203   srcport: 12180
    dstaddr: 172.16.20.21    dstport: 47176
    direction: out bytes: 449  packets: 4

# 送信元アドレス（ECS のプライベート IP）
pri_ip: 172.16.20.21       pri_port: 47176
# NAT アドレス変換
nat_ip: 172.16.10.13       nat_port: 48155
# 宛先アドレス（EIP）
pub_ip: 106.XX.XX.203      pub_port: 12180
# VPC 側からのトラフィック
bytes_from_vpc: 417        pkts_from_vpc: 6
# インターネット側からのトラフィック
bytes_from_pub: 421        pkts_from_pub: 4

適用範囲

仕様課金型 NAT Gateway（購入不可）では、セッションログを有効化できません。
NAT Gateway と Simple Log Service プロジェクトは、同一リージョン内に存在している必要があります。
セッションログは DNAT セッションをキャプチャしません。

課金

セッションログの生成自体には課金されません。ただし、セッションログによってキャプチャされた SNAT セッションは Simple Log Service に保存されます。Simple Log Service におけるストレージおよび取得に対して課金されます。詳細については、「Simple Log Service の課金」をご参照ください。

セッションログの設定

セッションログの開始

NAT Gateway コンソールにログインします。上部のナビゲーションバーから、NAT Gateway が配置されているリージョンを選択します。
左側のナビゲーションウィンドウで、パブリック NAT ゲートウェイ または VPC NAT ゲートウェイ をクリックします。対象の NAT Gateway を見つけ、その ID をクリックします。
モニタリングとログ > セッションログ タブで、セッションログの有効化 をクリックします。
プロジェクトおよび Logstore の選択：初めてセッションログを作成する場合は、プロジェクトの作成 および Logstore の作成 を行い、他のログデータと分離したセッションログ専用環境を構築できます。複数のセッションログを統合分析する場合は、同じ Logstore を再利用してください。

セッションログの無効化

セッションログのステータス 列で、対象のセッションログの 無効化 をクリックします。セッションログを停止しても、既存のログは削除されません。SLS プロジェクト内で閲覧可能です。

セッションログのステータス確認

対象 NAT Gateway の モニタリングとログ > セッションログ タブに移動します。

項目	説明
セッションログのステータス	セッションログの現在のステータスです。セッションログを有効化すると、ステータスは有効と表示されます。セッションログを開始すると、システムは自動的に `<a baseurl="t2714254_v1_2_7.xdita" data-node="4747792" data-root="16523" data-tag="xref" href="t2607841.xdita#" id="cf1675d0bbl4v">AliyunServiceRolePolicyForNatgwLogDelivery</a>` サービスリンクロールを作成し、指定した Logstore へデータ配信の権限付与を行います。
送信ステータス	セッションログの配信ステータスです。有効な値は以下のとおりです。成功：セッションログが Simple Log Service へ正常に配信されました。変更中：セッションログが変更または開始中の一時的なステータスです。失敗：セッションログの Simple Log Service への配信に失敗しました。詳細については、「詳細情報」をご参照ください。
送信タイプ	セッションログの配信先タイプです。`sls` を指定します。
ターゲット情報	ターゲット情報列で Logstore のリンクをクリックすると、Simple Log Service コンソールが開きます。ログの閲覧および分析を開始する前に、セッションログ配信用 Logstore に対して手動でインデックスを作成してください。

詳細情報

セッションログのフォーマット

フィールド	説明
instance	NAT Gateway のインスタンス ID。
vpc_id	NAT Gateway が属する仮想プライベートクラウド (VPC) の ID。
protocol	IANA プロトコル番号において、1 は ICMP、6 は TCP、17 は UDP を表します。
pri_ip	送信元 IP アドレス。
pri_port	送信元ポート。 ICMP パケットの場合、pri_port は ICMP ID フィールドに対応します。
pub_ip	宛先 IP アドレス。
pub_port	宛先ポート。
nat_ip	インターネット NAT Gateway インスタンス：一般モード：インターネット NAT Gateway に関連付けられた Elastic IP Address (EIP) のプライベート IP アドレス。マルチ EIP-to-ENI モード：インターネット NAT Gateway に関連付けられた EIP。 DescribeNatGateways 操作を呼び出して `EipBindMode` パラメーターを照会し、EIP 結合モードを確認してください。 ModifyNatGatewayAttribute 操作を呼び出して `EipBindMode` パラメーターを変更できます。ただし、マルチ EIP-to-ENI モードから一般モードへの変更のみ可能です。 VPC NAT Gateway インスタンス: VPC NAT Gateway インスタンスにバインドされている NAT IP アドレスを示します。
nat_port	インターネット NAT Gateway の場合：インターネット NAT Gateway に関連付けられた EIP が使用するポート。 VPC NAT Gateway の場合：VPC NAT Gateway に関連付けられた NAT IP アドレスが使用するポート。
bytes_from_pub	インターネット NAT Gateway の場合：インターネットからのパケットサイズ。 VPC NAT Gateway の場合：他の VPC またはデータセンターからのパケットサイズ。単位：バイト。
pkts_from_pub	インターネット NAT Gateway の場合：インターネットからのパケット数。 VPC NAT Gateway の場合：他の VPC またはデータセンターからのパケット数。このフィールドはネットワークレイヤーのパケット数をカウントします — アプリケーションレイヤーまたはトランスポートレイヤーのメッセージではありません。したがって、IP フラグメンテーションが発生した場合、エンドポイントでのパケットキャプチャとカウントが異なる可能性があります。正確なデータ量を把握するには、バイト数を使用してください。
bytes_from_vpc	VPC からのパケットサイズ。単位：バイト。
pkts_from_vpc	VPC からのパケット数。
start_time	セッションログが作成された時刻。
end_time	セッションログが終了した時刻。

配信エラーコード

エラーコード	説明
ProjectNotExist	配信先プロジェクトが存在しません。
LogStoreNotExist	配信先 Logstore が存在しません。
ProjectForbidden	プロジェクトが無効化されています（支払い遅延などが原因である可能性があります）。
InvalidAccessKeyId	セッションログを有効化した際に、サービスリンクロールが作成されていません。
Unauthorized	セッションログを有効化した際に、Logstore への権限付与を行うためのサービスリンクロールが作成されていません。
UnavaliableTarget	Unauthorized、ProjectNotExist、LogStoreNotExist、ProjectForbidden のいずれかのエラーが発生した場合、システムは配信先への配信を 5 分間無効化します。5 分経過後、新たなデータの配信が必要となった場合、システムは Logstore に対して 1 回のテスト配信を試行します。テスト配信が失敗した場合、さらに 5 分間配信は無効化されたままとなります。テスト配信が成功した場合、通常の配信が再開されます。
WriteQuotaExceed	プロジェクトの書き込みトラフィッククォータを超えています。デフォルトでは、プロジェクト内のすべての Logstore は 1 分間に最大 30 GB の書き込みトラフィックをサポートします。
ShardWriteQuotaExceed	ログトラフィックが大規模であり、Logstore のシャード数が不足しています。高い書き込みトラフィックをサポートするために、より多くのシャードを分割することを推奨します。詳細については、「シャードの管理」をご参照ください。