全部產品
Search

搜尋本產品

    Elastic Compute Service:啟用VPC流日誌,分析和審計網路流量

    文件中心

    Elastic Compute Service:啟用VPC流日誌,分析和審計網路流量

    更新時間:Nov 14, 2025

    啟用VPC流量日誌,流Log Service會從VPC、交換器、彈性網卡採集流量並儲存到使用者SLS中形成流量日誌。

    安全風險

    VPC流日誌能夠全面記錄VPC內外的所有IP流量。它的核心價值在於:

    • 流量監控與分析: 監控網路流量模式,分析應用通訊行為。

    • 定位故障: 快速定位網路連接異常、效能瓶頸等問題。

    • 安全審計與合規: 滿足資料安全與合規性要求,提供可追溯的網路活動記錄。

    • 分析網路安全攻擊: 分析潛在的網路安全攻擊,如異常流量或非法掃描。

    VPC流日誌記錄了VPC內部ECS之間、VPC與外部通訊的網路流資訊。每一條流日誌都是對一個特定網路會話的彙總統計。該會話由其五元組(源/目的IP、源/目的連接埠、協議)唯一確定,日誌內容不僅包含通訊時間長度和流量大小等關鍵計量,還附帶了如流量方向、網元ID等中繼資料。

    最佳實務

    開通和建立VPC流日誌

    1. 開通VPC流日誌

      首次使用流日誌功能時,需要:

      • 流日誌頁面單擊立即授權,然後單擊確認授權,完成安全驗證即可。該操作會自動建立1個RAM角色

        AliyunVPCLogArchiveRole和1個RAM策略AliyunVPCLogArchiveRolePolicy,VPC預設

        通過此角色和策略來訪問Log Service,來保證將流日誌寫入Log Service中。

      • 流日誌頁面單擊立即開通,然後單擊開通流Log Service。如果曾在公測期間建立過流日誌執行個體,需單

        立即開通後才能重新查看和管理這些執行個體。

      • 前往Log Service控制台,開通Log Service。

    2. 建立流日誌

      前往專用網路控制台流日誌頁面,單擊建立流日誌。在建立流日誌面板中進行配置:

      • 採集配置

        • 地區:選擇目標採集對象所在的地區。

        • 資源類型資源執行個體:可選採集粒度為彈性網卡交換器專用網路。選擇專用網路或交換器

          時,系統會監控其內所有彈性網卡的流量。

        • 流量類型:可選被存取控制允許或拒絕的流量,此處的存取控制包括安全性群組和網路ACL。

        • 流量採集版本:可選僅採集IPv4或採集IPv4+IPv6雙棧。當前支援IPv6的地區包括:華東1(杭州)華東2(上海)華北1(青島)華北2(北京)華北5(呼和浩特)華南1(深圳)新加坡美國(矽谷)美國(維吉尼亞)

        • 採樣間隔(分鐘):彙總流量資訊的採集視窗時間,可選1分鐘、5分鐘或10分鐘。視窗越小,流日

          志產生越頻繁和及時,有助於更快發現和定位問題。視窗越大時效性越低,但日誌條目數也會下降從而節省費用成本。

          例如1個保持長串連的TCP會話,視窗為1分鐘時每小時產生60條日誌;為10分鐘時僅產生6條。

          當VPC記憶體在多個流日誌執行個體同時採集同一網卡流量時,將會以所有流日誌執行個體中最小的採樣間隔作為實際採集周期。

        • 採樣路徑:可選擇特定的採集情境來降低使用成本。選擇前需要先取消預設的採集全部情境

          支援選擇通過如下網元的流量:IPv4網關、NAT Gateway、VPN網關、轉寄路由器(TR)、網關終端節點、邊界路由器(VBR)、專線網關(ECR)、網關型負載平衡節點(GWLB)。

      • 分析和投遞配置:選擇至少一個目標。

        • 投遞至Log Service

          • 選擇Project和Logstore:首次建立流日誌時,為和其他資料隔離,建議建立Project建立Logstore。當需要將多個流日誌匯總到一處集中分析時,請選擇同一個Logstore。

          • 開啟流日誌分析報表功能:建議勾選。該功能會自動在流日誌對應的LogStore上建立索引建立儀錶盤,以支援對流日誌執行SQL與可視化分析。開啟後SLS產品會產生計費

        • 開啟NIS流量分析(暫未開放)。

      單擊確定完成建立,成功建立流日誌後,系統會自動啟動流量資訊採集。

    2. 分析流日誌

    通過分析流日誌,可以監控網路效能、排查網路故障、最佳化網路流量成本以及進行網路安全分析等。

    自訂分析:通過Logstore日誌庫

    前往專用網路控制台流日誌頁面,在目標流日誌的Log Service列單擊Logstore的執行個體名稱,進入Logstore的詳情頁面。在此頁面可以:

    通過預設模板分析:Flowlog日誌中心

    Flowlog日誌中心預設了一組可視化模板,支援VPC的策略統計、彈性網卡流量統計以及網段間流量統計,協助您快速分析VPC流日誌。

    1. 前往Flowlog日誌中心頁面,在右上方單擊添加

    2. 建立執行個體面板中,填入執行個體名稱、已有流日誌對應的ProjectLogstore,單擊確定

    3. 執行個體建立成功後,單擊Flowlog日誌中心列表的執行個體ID。Flowlog詳情頁面,可以查看並分析流日誌的資訊。

      監控中心提供以下儀錶盤和自訂查詢功能:

      • 概覽:展示流日誌的Accept和Reject趨勢、進出流量趨勢、每個VPC的總資料包數和總位元組數、每

        個ENI的總資料包數和總位元組數、來源IP和目標IP的地理分布。

      • 策略統計:展示Accept趨勢、Reject趨勢、Accept次數統計(由五元組構成)、Reject次數統計

        (由五元組構成)等資訊。五元組是由源IP、源連接埠、協議類型、目標IP和目標連接埠組成的集合。

        • Accept:安全性群組和網路ACL允許記錄的流量。

        • Reject:安全性群組和網路ACL拒絕記錄的流量。

      • ENI流量:展示彈性網卡入方向和出方向的流量資訊。

      • ECS間流量:展示ECS執行個體之間的流量情況。

      • 自訂查詢:可以自行查詢與分析快速指引

    4. 開啟域間分析(可選):Flowlog詳情頁面,單擊網段設定,在網段設定頁簽,開啟開啟“域間分析”開關。

      開啟域間分析功能後,系統將自動建立資料加工任務,產生具有網段資訊的VPC流日誌,用於分析不同網段之間的流量情況。資料加工功能會收取一定的費用

      域間分析提供以下儀錶盤和自訂查詢功能:

      • 域間流量:展示不同網段之間的流量情況。

      • ECS到區間流量:展示ECS執行個體到目標網段的流量情況。

      • 威脅情報:展示源IP地址與目標IP地址的威脅情報資訊。

      • 自訂查詢:可以自行查詢和分析具有網段資訊的VPC流日誌