VPC フローログは、ENI のインバウンドトラフィックとアウトバウンドトラフィックを収集および記録します。 フローログを使用すると、ネットワークパフォーマンスの監視、ネットワーク問題のトラブルシューティング、およびトラフィックコストの最適化を行うことができます。
仕組み
フローログは、ENI、vSwitch、または VPC の 3 つの粒度レベルでのトラフィック収集をサポートしています。 VPC または vSwitch のフローログを作成すると、システムは、フローログの作成後に作成された ENI を含め、VPC または vSwitch 内のすべての関連付けられた ENI からトラフィックを収集します。
システムは、各キャプチャウィンドウ(デフォルトでは 10 分)内でトラフィック情報をフローログエントリに集約し、Simple Log Service (SLS) に配信します。
各フローログエントリは、特定のキャプチャウィンドウ内の特定の 5 次元ルール ネットワークフローを記録します。 これには、送信元 IP アドレス、宛先 IP アドレス、送信元ポート、宛先ポート、プロトコルなどの情報が含まれます。 次に例を示します。
eni-id | direction | srcaddr | srcport | protocol | dstaddr | dstport | ... |
eni-xxx | in | 10.0.0.1 | 53870 | 6 | 10.0.0.2 | 80 | ... |
eni-xxx | out | 10.0.0.2 | 80 | 6 | 10.0.0.1 | 53870 | ... |
すべてのフィールドとその意味の詳細については、「フローログフィールドの説明」をご参照ください。
コストを削減するために、特定のパスからのみトラフィックを収集できます。 次のパスを使用できます。
IPv4 ゲートウェイを経由したインターネットへのトラフィック
NAT ゲートウェイを経由したトラフィック
VPN ゲートウェイを経由したトラフィック
トランジットルーター (TR) を経由したトラフィック
ゲートウェイエンドポイントを経由した Alibaba Cloud サービスへのトラフィック
仮想ボーダールータ (VBR) を経由した専用回線へのトラフィック
Express Connect Router (ECR) を経由したトラフィック
Gateway Load Balancer (GWLB) エンドポイントを経由したトラフィック
フローログの一般的なシナリオは次のとおりです。
ネットワーク監視: VPC スループットとパフォーマンスの監視、VPC 内のリソースのトラフィック情報とトレンドの分析、ネットワーク問題のトラブルシューティング、セキュリティグループまたはネットワーク ACL の有効性の確認。
ネットワークトラフィックコストの最適化: ネットワーク転送データを分析して、トラフィックコストを最適化します。 たとえば、VPC から他のリージョン、特定のパブリック IP アドレス、またはオンプレミス データセンターや他のクラウドネットワークへのトラフィックデータを取得できます。 また、大量のトラフィックを生成する VPC 内の ECS インスタンスを特定することもできます。
ネットワークセキュリティ分析: セキュリティインシデントが発生した場合、インバウンドトラフィックとアウトバウンドトラフィックの情報を分析して、疑わしい IP アドレスを特定したり、侵入レコードを調査したりします。
制限
初めてフローログ機能を使用する前に、次の操作を実行する必要があります。
フローログページで、[今すぐ有効にする] をクリックします。 パブリックプレビュー中にフローログインスタンスを作成した場合は、[今すぐ有効にする] をクリックして、これらのインスタンスを再度表示および管理する必要もあります。
フローログページで、[今すぐ承認] をクリックし、[承認ポリシーの確認] をクリックします。 この操作により、
AliyunVPCLogArchiveRoleという名前の RAM ロールとAliyunVPCLogArchiveRolePolicyという名前の RAM ポリシーが自動的に作成されます。 VPC は、このロールとポリシーをデフォルトで使用して Simple Log Service にアクセスし、フローログがサービスに書き込まれるようにします。Simple Log Service 製品ページ で Simple Log Service を有効にします。
フローログを有効にした後、新しく作成された ENI の最初のトラフィックキャプチャが遅延する可能性があります(通常は 10 分未満)。
フローログは マルチキャスト トラフィックの収集をサポートしていません。
フローログの管理
コンソール
フローログの作成
VPC コンソールの フローログページ に移動します。 [フローログの作成] をクリックします。 [フローログの作成] パネルで、次のパラメータを構成します。
[収集構成]:
[リージョン]: 監視するリソースのリージョンを選択します。
[リソースタイプ] と [リソースインスタンス]: 収集の粒度を [ENI]、[vSwitch]、または [VPC] に設定できます。 VPC または vSwitch を選択すると、システムは選択したリソース内のすべての ENI のトラフィックを監視します。
[トラフィックタイプ]: セキュリティグループルールやネットワーク ACL ルールなどのアクセス制御ルールで許可または拒否されるトラフィックをキャプチャするかどうかを選択します。
[IP バージョン]: [IPv4] を選択して IPv4 トラフィックのみをキャプチャするか、[デュアルスタック] を選択して IPv4 トラフィックと IPv6 トラフィックの両方をキャプチャできます。 IPv6 をサポートするリージョンは次のとおりです: 中国 (杭州)、中国 (上海)、中国 (青島)、中国 (北京)、中国 (フフホト)、中国 (深圳)、シンガポール、米国 (シリコンバレー)、米国 (バージニア).
[サンプリング間隔 (分)]: トラフィック情報を集約するためのキャプチャウィンドウの期間。 間隔は 1 分、5 分、または 10 分に設定できます。 間隔が短いほどフローログが頻繁に生成されるため、問題をより迅速に発見して特定できます。 間隔が長いほどデータの適時性は低下しますが、ログエントリの数が減り、コストを節約できます。
たとえば、持続的接続を維持する TCP セッションの場合、1 分ウィンドウでは 1 時間あたり 60 個のログレコードが生成されますが、10 分ウィンドウでは 6 個のログレコードしか生成されません。
VPC 内の複数のフローログインスタンスが同じ ENI からトラフィックを収集する場合、すべてのインスタンスの中で最も短いサンプリング間隔が実際のキャプチャウィンドウとして使用されます。
[サンプリングパス]: 特定の収集シナリオを選択して、使用コストを削減できます。 これを行うには、まずデフォルトの [すべてのシナリオ] オプションの選択を解除します。
次のネットワーク要素を通過するトラフィックを選択できます: IPv4 ゲートウェイ、NAT ゲートウェイ、VPN ゲートウェイ、トランジットルーター (TR)、ゲートウェイエンドポイント、仮想ボーダールータ (VBR)、Express Connect Router (ECR)、Gateway Load Balancer (GWLB) エンドポイント。
[分析および配信の構成]: 1 つ以上の宛先を選択します。
[Simple Log Service に配信]:
プロジェクトとログストアを選択します。 最初のフローログでは、[プロジェクトの作成] と [ログストアの作成] をクリックしてデータを分離することをお勧めします。 集中分析のために複数のフローログを統合するには、同じログストアを選択します。
[フローログ分析レポートを有効にする]: この機能は、フローログを含むログストアの インデックスを自動的に作成 し、ダッシュボードを作成 して、SQL と可視化分析を実行できるようにします。 この機能を有効にすると、SLS プロダクトの 料金が発生します。
[NIS トラフィック分析を有効にする] (まだ利用できません)。
フローログを作成すると、トラフィック収集が自動的に開始されます。 その後、フローログを分析 できます。
フローログの開始または停止
VPC コンソールの フローログページ で、ターゲットフローログを見つけて、[開始] または [停止] 列の [操作] をクリックします。
フローログを停止すると、VPC はフローログ生成料金を請求しなくなります。 ただし、SLS は既存のフローログの保存に対して 課金 し続けます。
フローログの削除
VPC コンソールの フローログページ で、ターゲットフローログを見つけて、[操作] 列で [削除] をクリックします。
フローログを削除すると、VPC はフローログ生成料金を請求しなくなります。 ただし、SLS は既存のフローログの保存に対して 課金 し続けます。 すべての料金を停止するには、SLS コンソールで 対応するログストアを削除 する必要があります。
API
フローログを作成する前に、フローログ機能を有効にし、SLS でプロジェクトとログストアを作成していることを確認してください。
OpenFlowLogService を呼び出して、フローログ機能を有効にします。
CreateProject を呼び出してプロジェクトを作成し、CreateLogStore を呼び出してログストアを作成します。
これらの前提条件を満たしたら、次の操作を実行できます。
CreateFlowLog を呼び出してフローログを作成し、オプションで CreateIndex を呼び出してインデックスを作成します。
DeactiveFlowLog を呼び出してフローログを停止します。
ActiveFlowLog を呼び出してフローログを開始します。
DeleteFlowLog を呼び出してフローログを削除します。
Terraform
リソース: alicloud_log_project、alicloud_log_store、alicloud_vpc_flow_log
# フローログを作成するリージョンを指定します。
provider "alicloud" {
region = "cn-hangzhou"
}
# プロジェクトの説明、ログストアとフローログの名前を指定します。
variable "name" {
default = "vpc-flowlog-example"
}
# ランダムな数値を生成してプロジェクト名を作成します。
resource "random_uuid" "example" {
}
# Simple Log Service プロジェクトを作成します。
resource "alicloud_log_project" "example" {
project_name = substr("tf-example-${replace(random_uuid.example.result, "-", "")}", 0, 16)
description = var.name
}
# Simple Log Service ログストアを作成します。
resource "alicloud_log_store" "example" {
project_name = alicloud_log_project.example.project_name
logstore_name = var.name
shard_count = 3
auto_split = true
max_split_shard_count = 60
append_meta = true
}
# VPC フローログを作成します。
resource "alicloud_vpc_flow_log" "example" {
flow_log_name = var.name
log_store_name = alicloud_log_store.example.logstore_name
description = var.name
traffic_path = ["all"] # すべてのシナリオからトラフィックを収集します。
project_name = alicloud_log_project.example.project_name
resource_type = "VPC" # リソースタイプは VPC です。
resource_id = "vpc-bp1ekmgzch0bo3hxXXXXXX" # VPC の ID。
aggregation_interval = "1" # キャプチャウィンドウは 1 分です。
traffic_type = "All" # アクセス制御で許可または拒否されるかどうかに関係なく、すべてのトラフィックを収集します。
}フローログの分析
フローログを分析すると、ネットワークパフォーマンスの監視、ネットワーク問題のトラブルシューティング、ネットワークトラフィックコストの最適化、およびネットワークセキュリティ分析を実行できます。
コンソール
カスタム分析: ログストア経由
VPC コンソールの フローログページ に移動します。 ターゲットフローログの [Simple Log Service] 列で、ログストアインスタンスの名前をクリックして、ログストアの詳細ページを開きます。 このページでは、次のことができます。
[未加工ログ] でフローログエントリの詳細を表示できます。
文を入力して、フローログをクエリおよび分析 します。
事前定義されたテンプレートを使用した分析: フローログログセンター
フローログログセンターは、VPC フローログを迅速に分析するのに役立つ一連の可視化テンプレートを提供します。 テンプレートは、VPC ポリシー統計、ENI トラフィック統計、CIDR ブロック間のトラフィック統計をサポートしています。
フローログログセンター に移動し、右上隅にある [追加] をクリックします。
[インスタンスの作成] パネルで、[インスタンス名] を入力し、既存のフローログを含む [プロジェクト] と [Logstore] を選択し、[OK] をクリックします。
インスタンスを作成したら、[フローログログセンターリスト] でインスタンス ID をクリックします。[フローログの詳細] ページで、フローログの情報を表示および分析できます。
[モニタリングセンター] には、次のダッシュボードとカスタムクエリ機能が用意されています。
[概要]: 受理および拒否されたフローログと、インバウンドおよびアウトバウンドトラフィックの傾向、各 VPC および ENI のパケットとバイトの総数、送信元と送信先の IP アドレスの地理的分布が表示されます。
[ポリシー統計]: 受理および拒否された接続の傾向、5 次元ルールに基づく受理および拒否された接続の統計、その他の情報が表示されます。 5 次元ルールとは、送信元 IP アドレス、送信元ポート、プロトコルタイプ、宛先 IP アドレス、および宛先ポートの集合です。
受理: セキュリティグループとネットワーク ACL で許可されているトラフィック。
拒否: セキュリティグループとネットワーク ACL で拒否されているトラフィック。
[ENI トラフィック]: ENI のインバウンドおよびアウトバウンドトラフィックが表示されます。
[ECS 間トラフィック]: ECS インスタンス間のトラフィック。
[カスタムクエリ]: 詳細については、「クエリと分析クイックスタート」をご参照ください。
ドメイン間分析を有効にする(オプション): [フローログの詳細] ページで、[CIDR ブロック設定] をクリックします。次に、[CIDR ブロック設定] タブで、["ドメイン間分析" を有効にする] スイッチをオンにします。
ドメイン間分析機能を有効にすると、システムは自動的にデータ変換タスクを作成します。このタスクは、異なる CIDR ブロック間のトラフィックを分析するための CIDR ブロック情報を含む VPC フローログを生成します。データ変換機能は課金対象です。
SLS には、次の図に示すように、複数の定義済み CIDR ブロックがあります。異なる CIDR ブロック間のトラフィックを分析するには、ワンクリックでドメイン間分析機能を有効にすることができます。要件に基づいてカスタム CIDR ブロックを追加することもできます。
[ドメイン間分析] 機能は、次のダッシュボードとカスタムクエリを提供します。
[ドメイン間トラフィック]: 異なる CIDR ブロック間のトラフィック。
[ECS からドメインへのトラフィック]: ECS インスタンスから宛先 CIDR ブロックへのトラフィック。
[脅威インテリジェンス]: 送信元 IP アドレスと宛先 IP アドレスに関する脅威インテリジェンスを表示します。
[カスタムクエリ]: VPC フローログのセグメント情報をクエリおよび分析できます。
API
GetLogsV2 を呼び出して、フローログをクエリおよび分析します。
使用例
以下のセクションでは、4 つの典型的な使用例を紹介します。
インターネットから ECS インスタンスにアクセスするソース IP アドレスを分析する
図に示すように、ポート 80 経由でインターネットからアクセスできる Web サーバーを作成し、セキュリティグループルールを使用してソース IP アドレスからのアクセスを制限しているとします。
フローログを作成して、ポート 80 にアクセスするソース IP アドレスをクエリし、セキュリティグループによって許可または拒否されたアクセスリクエストの数をカウントできます。
フローログを作成する
[リソースインスタンス] で、Web サーバーの [ENI] を選択します。
[トラフィックタイプ] を [すべてのトラフィック] に設定します。
配信を設定するには、[Simple Log Service に配信] と [ログ分析レポートを有効にする] を選択します。
その他のパラメーターはデフォルト値のままにします。
フローログを分析する
クエリおよび分析文
10.0.0.1 のポート 80 にアクセスするソース IP アドレスをフィルタリングし、各 IP アドレスがセキュリティグループによって許可および拒否された回数を表示します。
dstaddr:10.0.0.1 AND dstport:80 | SELECT -- 送信先 IP アドレスが 10.0.0.1、送信先ポートが 80 のログをフィルタリングします。 srcaddr, SUM(CASE WHEN action = 'ACCEPT' THEN 1 ELSE 0 END) AS accept_count, -- ACCEPT(許可)操作ごとに 1 をカウントします。 SUM(CASE WHEN action = 'REJECT' THEN 1 ELSE 0 END) AS reject_count -- REJECT(拒否)操作ごとに 1 をカウントします。 FROM log GROUP BY srcaddr -- ソース IP アドレスごとにグループ化します。 ORDER BY accept_count + reject_count DESC -- 許可された操作と拒否された操作の合計数に基づいて結果を降順にソートします。プレビュー
図に示すように、
srcaddr列には、ポート 80 にアクセスするソース IP アドレスが表示されます。accept_count列とreject_count列には、クエリ時間範囲内でセキュリティグループによって許可および拒否された各ソース IP アドレスのフローログエントリ数が表示されます。5 つのソース IP アドレス(120.26.XX.XX、121.43.XX.XX、154.212.XX.XX、176.65.XX.XX、198.235.XX.XX)がポート 80 にアクセスしました。
120.26.XX.XX からのリクエストはすべて許可されましたが、他のパブリック IP アドレスからのリクエストはすべて拒否されました。
ECS インスタンス間のトラフィックを分析する
構成項目 | 同じ VPC 内の ECS インスタンス間のトラフィックを分析する | 異なる VPC 内の ECS インスタンス間のトラフィックを分析する |
図 | ||
例の記述 | 図に示すように、1 つの VPC に 3 つの ECS インスタンスをデプロイし、ECS インスタンス間にトラフィックがあるとします。 この場合、フローログ機能を使用して、ECS インスタンス間のトラフィックレートとトレンドを分析できます。 | 図に示すように、異なるリージョンに 2 つの VPC があり、各 VPC に複数の ECS インスタンスがあるとします。2 つの VPC は、VPC ピアリング接続を使用して接続されています。ピアリング接続は、クラウドデータ転送 (CDT) の従量課金制で課金されます。 リージョン間のデータ転送料金が大幅に増加していることに気付きました。この場合、フローログを使用して、大量のトラフィックを生成している ECS インスタンスを特定し、トラフィックコストを最適化できます。 |
フローログ構成 |
|
|
クエリおよび分析文 | ECS1 と他の ECS インスタンス間のトラフィックレートのトレンドをクエリします。 | 2 つの VPC 間のセッショントラフィックレートのトレンドをクエリします。 |
プレビュー |
図に示すように、10.0.0.1 から 10.0.0.2 へのトラフィックレートが約 1.4 Mbps と最も高くなっています。10.0.0.1 から 10.0.0.3 へのトラフィックレートが約 700 Kbps と 2 番目に高くなっています。その他のトラフィックはわずかな割合を占めています。 |
図に示すように、10.0.0.1 から 172.16.0.1 へのトラフィックは約 6 Mbps のトラフィックスパイクです。 |
インターネット NAT ゲートウェイトラフィックを分析する
図に示すように、リージョンに複数の ECS インスタンスがあるとします。すべてのインスタンスは同じ vSwitch にデプロイされ、インターネット NAT ゲートウェイの SNAT 機能を介してインターネットにアクセスします。
インターネットへの NAT トラフィックの量が大幅に増加し、サーバーの応答が遅くなっていることに気付きました。この場合、フローログを使用して、トラフィックの大部分を生成している ECS インスタンスを特定できます。
フローログを作成する
[リソースインスタンス] で、インターネット NAT ゲートウェイの vSwitch である
vSwitch 2を選択します。配信設定で、[Simple Log Service に配信] と [ログ分析レポートを有効にする] を選択します。
その他のパラメーターはデフォルト値のままにします。
特定のトラフィックパスをフィルタリングする方法
このシナリオで特定のパス上のトラフィックをフィルタリングするには、クエリ文で異なる条件を指定する必要があります。
図
番号
フィルタリング方法
①
ECS インスタンスから NAT ゲートウェイへのトラフィックをフィルタリングします。
directionを in に、srcaddrを ECS インスタンスのプライベート IP アドレスに設定します。②
NAT ゲートウェイからインターネットへのトラフィックをフィルタリングします。
directionを out に、srcaddrを NAT ゲートウェイのプライベート IP アドレスに設定します。③
インターネットから NAT ゲートウェイへのトラフィックをフィルタリングします。
directionを in に、dstaddrを NAT ゲートウェイのプライベート IP アドレスに設定します。④
NAT ゲートウェイから ECS インスタンスへのトラフィックをフィルタリングします。
directionを out に、dstaddrを ECS インスタンスのプライベート IP アドレスに設定します。フローログを分析する
クエリおよび分析文
ECS インスタンスから NAT ゲートウェイへのパスで、特定のパブリック IP アドレスへのトラフィックを分析します。
direction: 'in' and srcaddr: 10.0.0.* and dstaddr: 120.26.XX.XX | select -- 特定のパブリック IP アドレスにアクセスする ECS インスタンスのログをフィルタリングします。 date_format(from_unixtime(__time__ - __time__% 60), '%H:%i:%S') as time, srcaddr, -- UNIX タイムスタンプを読み取り可能な時間形式に変換します。 sum(bytes*8/60) as bandwidth -- バイトをビットに変換し、1 分間のキャプチャウィンドウで除算します。 group by time,srcaddr -- 時間とソース IP アドレスごとにグループ化します。 order by time asc -- 時間の昇順にソートします。 limit 100 -- 最初の 100 件の結果を表示します。プレビュー
図に示すように、ECS インスタンスから NAT ゲートウェイへのパスで、10.0.0.1 (ECS1) からパブリック IP アドレス 120.26.XX.XX へのトラフィックレートが約 12 Kbps と最も高くなっています。
専用回線のトラフィック比率を分析する
図に示すように、企業は Alibaba Cloud リージョンで 2 つの VPC を使用して異なるサービスをデプロイしています。企業は、Express Connect 回線と CEN を使用して、オンプレミスデータセンターを Alibaba Cloud に接続しています。
IT 部門は、フローログを使用して、VPC 内のさまざまなサービスからのトラフィックが Express Connect 回線をどのように使用しているかを監視および分析することを計画しています。この分析は、ネットワークリソースの計画とパフォーマンスの向上に役立ちます。
フローログを作成する
同じ Logstore にデータを送信する 2 つのフローログを作成します。各フローログの主な構成は次のとおりです。
[リソースインスタンス] で、[VPC] の下で、VPC1 と VPC2 を選択します。
[サンプリングパス] を [TR 経由のトラフィック] に設定します。
配信設定で、[Simple Log Service に配信] を選択し、両方のフローログに同じ Logstore を選択し、[ログ分析レポートを有効にする] を選択します。
その他のパラメーターはデフォルト値のままにします。
フローログを分析する
クエリおよび分析文
さまざまな VPC からオンプレミスデータセンターに流れるトラフィックの比率を分析します。
action: ACCEPT and srcaddr: 192.168.* and dstaddr:10.1.* | WITH vpc1_traffic AS ( SELECT date_trunc('minute',__time__) AS minute, SUM(bytes*8/(case WHEN "end"-start=0 THEN 1 else "end"-start end)) AS total_vpc1_traffic FROM log WHERE srcaddr LIKE '192.168.20.%' GROUP BY date_trunc('minute',__time__) ), vpc2_traffic AS ( SELECT date_trunc('minute',__time__) AS minute, SUM(bytes*8/(case WHEN "end"-start=0 THEN 1 else "end"-start end)) AS total_vpc2_traffic FROM log WHERE srcaddr LIKE '192.168.10.%' GROUP BY date_trunc('minute',__time__) ) SELECT COALESCE(vpc1_traffic.minute, vpc2_traffic.minute) AS minute, (COALESCE(vpc1_traffic.total_vpc1_traffic, 0) * 100/ NULLIF((COALESCE(vpc1_traffic.total_vpc1_traffic, 0) + COALESCE(vpc2_traffic.total_vpc2_traffic, 0)), 0)) AS vpc1_percentage, (COALESCE(vpc2_traffic.total_vpc2_traffic, 0) * 100/ NULLIF((COALESCE(vpc1_traffic.total_vpc1_traffic, 0) + COALESCE(vpc2_traffic.total_vpc2_traffic, 0)), 0)) AS vpc2_percentage FROM vpc1_traffic FULL OUTER JOIN vpc2_traffic ON vpc1_traffic.minute = vpc2_traffic.minute ORDER BY minuteプレビュー
図に示すように、14:50 から 15:50 までの期間では、VPC1 からオンプレミスデータセンターに流れるトラフィックの比率が高くなっています。
詳細情報
ログフィールド
次の表は、フローログエントリのフィールドについて説明しています。
フィールドが該当しない場合、その値は - として表示されます。フィールド | 説明 |
version | フローログのバージョン。すべてのログエントリのバージョンは |
account-id | Alibaba Cloud アカウントの ID。 |
eni-id | ENI の ID。 |
vm-id | ENI がアタッチされている ECS インスタンスの ID。 |
vswitch-id | ENI が属する vSwitch の ID。 |
vpc-id | ENI が属する VPC の ID。 |
type | トラフィックタイプ。有効な値:IPv4 および IPv6。 次のリージョンでは、IPv4/IPv6 [デュアルスタック] トラフィックの収集がサポートされています: 中国 (杭州)、中国 (上海)、中国 (青島)、中国 (北京)、中国 (フフホト)、中国 (深セン)、シンガポール、米国 (シリコンバレー)、および 米国 (バージニア)。 |
protocol | トラフィックの IANA プロトコル番号。一般的なプロトコル番号の例:ICMP の場合は 1、TCP の場合は 6、UDP の場合は 17。 |
srcaddr | 送信元 IP アドレス。 |
srcport | 送信元ポート。 |
dstaddr | 宛先 IP アドレス。 |
dstport | 宛先ポート。 |
direction | トラフィックの方向:
|
action | セキュリティグループまたはネットワーク ACL によってアクセスが許可されているかどうか:
|
packets | パケット数。 |
bytes | バイト数。 |
start | キャプチャウィンドウで最初のパケットを受信した時刻。フォーマットは UNIX タイムスタンプです。 |
end | 持続的接続の場合、これはキャプチャウィンドウが終了する時刻です。短期間の接続の場合、これは接続が閉じられる時刻です。フォーマットは UNIX タイムスタンプです。 |
tcp-flags | 10 進数で表される TCP フラグ。TCP プロトコルにおける SYN、ACK、FIN などのフラグの組み合わせを反映しています。 キャプチャウィンドウ内のフローログエントリは、複数の TCP パケットに対応している場合があります。この値は、すべての関連パケットのフラグフィールドに対する たとえば、TCP セッションにキャプチャウィンドウ内に SYN (2) フラグと SYN-ACK (18) フラグを持つ 2 つのパケットがある場合、ログに記録される TCP フラグフィールドは 18 (2 | 18 = 18) です。 以下は、いくつかの TCP フラグとその 10 進数値です。
SYN、FIN、ACK、RST フラグの意味など、TCP フラグの一般的な情報については、RFC: 793 を参照してください。 |
log-status | ログレコードステータス:
|
traffic_path | トラフィックが発生するシナリオ:
|
以下のセクションでは、フローログエントリの例を示します。
通常のデータ記録と許可されたトラフィックの例
この例では、Alibaba Cloud アカウント ID は 1210123456******、VPC フローログのバージョンは 1 です。 2024 年 7 月 12 日の 17:10:20 から 17:11:20 (1 分間隔) の間、ENI eni-bp166tg9uk1ryf****** は次のアウトバウンドトラフィックを許可しました。
送信元アドレス 172.31.16.139 とポート 1332 は、TCP (6 は TCP を示す) を介して宛先アドレス 172.31.16.21 とポート 80 に 10 パケットを送信しました。パケットの合計サイズは 2048 バイトです。ログステータスは OK で、例外は発生していません。
{
"account-id": "1210123456******",
"action": "ACCEPT",
"bytes": "2048",
"direction": "out",
"dstaddr": "172.31.16.21",
"dstport": "80",
"end": "1720775480",
"eni-id": "eni-bp166tg9uk1ryf******",
"log-status": "OK",
"packets": "10",
"protocol": "6",
"srcaddr": "172.31.16.139",
"srcport": "1332",
"start": "1720775420",
"tcp-flags": "22",
"traffic_path": "-",
"version": "-",
"vm-id": "1",
"vpc-id": "-",
"vswitch-id": "vpc-bp1qf0c43jb3maz******"
}通常のデータ記録と拒否されたトラフィックの例
この例では、Alibaba Cloud アカウント ID は 1210123456******、VPC フローログのバージョンは 1 です。 2024 年 7 月 15 日の 10:20:00 から 10:30:00 (10 分間隔) の間、ENI eni-bp1ftp5sm9oszt****** は次のインバウンドトラフィックを拒否しました。
送信元アドレス 172.31.16.139 とポート 1332 は、TCP (6 は TCP を示す) を介して宛先アドレス 172.31.16.21 とポート 80 に 20 パケットを送信しました。パケットの合計サイズは 4208 バイトです。ログステータスは OK で、例外は発生していません。
{
"account-id": "1210123456******",
"action": "REJECT",
"bytes": "4208",
"direction": "in",
"dstaddr": "172.31.16.21",
"dstport": "80",
"end": "1721010600",
"eni-id": "eni-bp1ftp5sm9oszt******",
"log-status": "OK",
"packets": "20",
"protocol": "6",
"srcaddr": "172.31.16.139",
"srcport": "1332",
"start": "1721010000",
"tcp-flags": "22",
"traffic_path": "-",
"version": "-",
"vm-id": "1",
"vpc-id": "-",
"vswitch-id": "vpc-bp1qf0c43jb3maz******"
}データレコードステータスがない例
この例では、Alibaba Cloud アカウント ID は 1210123456******、VPC フローログのバージョンは 1 です。 2024 年 7 月 15 日の 10:52:20 から 10:55:20 までの 3 分間、ENI eni-bp1j7mmp34jlve****** のトラフィックデータ (NODATA) は記録されませんでした。
{
"account-id": "1210123456******",
"action": "-",
"bytes": "-",
"direction": "-",
"dstaddr": "-",
"dstport": "-",
"end": "1721012120",
"eni-id": "eni-bp1j7mmp34jlve******",
"log-status": "NODATA",
"packets": "-",
"protocol": "-",
"srcaddr": "-",
"srcport": "-",
"start": "1721011940",
"tcp-flags": "-",
"traffic_path": "-",
"version": "-",
"vm-id": "1",
"vpc-id": "-",
"vswitch-id": "vpc-bp1qf0c43jb3maz******"
}スキップされたデータレコードステータスの例
この例では、Alibaba Cloud アカウント ID は 1210123456******、VPC フローログのバージョンは 1 です。 2024 年 7 月 12 日の 16:20:30 から 16:23:30 までの 3 分間、ENI eni-bp1dfm4xnlpruv****** のデータレコードはスキップされました (SKIPDATA)。
{
"account-id": "1210123456******",
"action": "-",
"bytes": "-",
"direction": "-",
"dstaddr": "-",
"dstport": "-",
"end": "1720772610",
"eni-id": "eni-bp1dfm4xnlpruv******",
"log-status": "SKIPDATA",
"packets": "-",
"protocol": "-",
"srcaddr": "-",
"srcport": "-",
"start": "1720772430",
"tcp-flags": "-",
"traffic_path": "-",
"version": "-",
"vm-id": "1",
"vpc-id": "-",
"vswitch-id": "vpc-bp1qf0c43jb3maz******"
}課金
課金項目
フローログ料金 = フローログ生成料金 + Simple Log Service 料金。
フローログ生成料金:この料金は、フローログが SLS に配信される前に発生し、VPC によって課金されます。この料金は、各リージョンで収集されたログの月間量に基づいて課金され、段階的価格設定モデルを使用します。各 Alibaba Cloud アカウントは、各リージョンで毎月 5 GB の無料枠を受け取ります。価格:
フローログ生成ボリューム階層 (月間)
価格 (USD/GB)
0 TB ~ 10 TB (10 TB 含む)
0.37
10 TB ~ 30 TB (30 TB 含む)
0.185
30 TB ~ 50 TB (50 TB 含む)
0.074
50 TB 超
0.037
課金サイクルと請求書生成サイクルはどちらも 1 時間です。請求書は通常、課金サイクルの終了後 3 ~ 4 時間で生成されます。請求書の発行される正確な時間はシステムによって決定されます。
Simple Log Service 利用料金:SLS 利用料金は、フローログが配信された後に SLS によって課金されます。この料金には、データの書き込みとストレージの料金が含まれます。
SLS は、データ量による支払いおよび機能による支払いの 2 つの課金方法を提供しています。VPC コンソールでフローログを作成し、新しい Logstore を作成することを選択した場合、デフォルトでは機能による支払いの課金方法が使用されます。
課金の例
例 1
2022 年 9 月 1 日 00:00:00 にあるリージョンでフローログ機能を有効にしたとします。 2022 年 9 月 1 日 00:00:00 から 2022 年 10 月 1 日 00:00:00 までに、合計 3 GB のログが Simple Log Service に配信されます。
各 Alibaba Cloud アカウントには、フローログ生成料金に対して毎月 5 GB の無料枠があります。したがって、その月のフローログ料金の合計は Simple Log Service 料金と同じです。
例 2
2022 年 9 月 1 日 00:00:00 に中国 (上海) リージョンでフローログ機能を有効にしたとします。 2022 年 9 月 1 日 00:00:00 から 2022 年 10 月 1 日 00:00:00 までに、合計 100 GB のログが Simple Log Service に配信されます。
その月のフローログ生成料金は (100 - 5) × 0.37 = 35.15 USD です。その月のフローログ料金の合計は 35.15 USD + Simple Log Service 料金です。
例 3
2022 年 9 月 1 日 00:00:00 に中国 (北京) リージョンでフローログ機能を有効にしたとします。 2022 年 9 月 1 日 00:00:00 から 2022 年 10 月 1 日 00:00:00 までに、合計 60 TB のログが Simple Log Service に配信されます。
フローログ生成料金は、段階的価格設定モデルに基づいて計算されます。
0 TB ~ 10 TB (10 TB 含む):(10 × 1024 - 5) × 0.37 = 3,786.95 USD
10 TB ~ 30 TB (30 TB 含む):20 × 1024 × 0.185 = 3,788.8 USD
30 TB ~ 50 TB (50 TB 含む):20 × 1024 × 0.074 = 1,515.52 USD
50 TB 超:10 × 1024 × 0.037 = 378.88 USD
その月のフローログ生成料金の合計は 3,786.95 + 3,788.8 + 1,515.52 + 378.88 = 9,470.15 USD です。その月のフローログ料金の合計は 9,470.15 USD + Simple Log Service 料金です。
支払い遅延とチャージ
サポートされているリージョン
エリア | リージョン |
アジア太平洋 - 中国 | 中国 (杭州)、中国 (上海)、中国 (青島)、中国 (北京)、中国 (張家口)、中国 (フフホト)、中国 (ウランチャブ)、中国 (深セン)、中国 (河源)、中国 (広州)、中国 (成都)、中国 (香港)、および 中国 (福州 - ローカルリージョン) |
アジア太平洋 - その他 | 日本 (東京)、韓国 (ソウル)、シンガポール、マレーシア (クアラルンプール)、インドネシア (ジャカルタ)、フィリピン (マニラ)、および タイ (バンコク) |
ヨーロッパ & アメリカ | ドイツ (フランクフルト)、英国 (ロンドン)、米国 (シリコンバレー)、および 米国 (バージニア) |
中東 | UAE (ドバイ) および SAU (リヤド - パートナーリージョン) 重要 SAU (リヤド - パートナーリージョン) リージョンはパートナーによって運営されています。 |
クォータ
クォータ名 | 説明 | デフォルト制限 | クォータの増加 |
vpc_quota_flowlog_inst_nums_per_user | ユーザーが作成できるフローログインスタンスの数。 | 10 |
よくある質問
VPC フローログはどのくらいの期間保持されますか?
VPC フローログは SLS に自動的に配信され、SLS のデータ保持ポリシーの対象となります。
VPC フローログを作成するときに FlowLog レポート分析機能の有効化 を選択した場合、Logstore のデフォルトのデータ保持期間は 7 日です。それ以外の場合、デフォルトの保持期間は 300 日です。
Simple Log Service コンソールで 既存の Logstore のデータ保持期間を確認し、必要に応じて変更できます。
情報セキュリティの保護 (PoIS) にはネットワークログが必要です。どのようにクエリできますか?
デフォルトでは、Alibaba Cloud VPC はネットワークログを記録しません。情報セキュリティ保護の要件を満たすために、VPC フローログ機能を有効にすることができます。これにより、セキュリティとコンプライアンスの監視のために、ENI のインバウンドトラフィックとアウトバウンドトラフィックを記録および分析できます。