什麼是NAT Gateway會話日誌 - NAT Gateway

NAT Gateway提供會話日誌功能，當您為NAT Gateway建立SNAT條目，有流量經過NAT Gateway時，SNAT會話將以日誌的形式進行記錄，便於您進行溯源和監控。

功能介紹

會話日誌捕獲的SNAT會話以日誌形式寫入Log Service（Log Service，簡稱SLS）。每條會話日誌記錄會捕獲特定時間視窗內的特定五元組網路流，捕獲周期約為10分鐘。在該時間段內，會話Log Service首先對資料進行彙總，然後將其投遞至已建立的SLS中，此過程中的資料投遞延遲在5分鐘之內。由於會話Log Service依據最大能力交付原則，您的會話日誌記錄可能會超出預定的交付時間，並可能因網路傳輸延遲或SLS投遞處理延遲而無法確保100%交付所有會話。

說明

會話日誌資料的收集在您網路流量路徑之外，因此不會影響NAT Gateway的網路輸送量或延遲。

會話日誌的格式如下表所示。

欄位	說明
instance	NAT Gateway執行個體ID。
vpc_id	NAT Gateway執行個體所屬的專用網路ID。
protocol	流量的IANA協議編號中，1表示ICMP協議，6表示TCP協議，17表示UDP協議。
pri_ip	源地址。
pri_port	源連接埠。說明當為ICMP報文時，pri_port對應ICMP ID欄位。
pub_ip	目的地址。
pub_port	目的連接埠。
nat_ip	公網NAT Gateway執行個體，NAT Gateway的EIP繫結模式為： EIP普通模式時，表示公網NAT Gateway執行個體綁定的Elastic IP Address對應的私網IP地址。多EIP網卡可見度模式時，表示公網NAT Gateway執行個體綁定的Elastic IP Address。說明您可以通過調用DescribeNatGateways介面，查詢`EipBindMode`欄位。您可以通過調用ModifyNatGatewayAttribute介面，修改`EipBindMode`欄位。 VPC NAT Gateway執行個體，表示VPC NAT Gateway執行個體綁定的NAT IP。
nat_port	公網NAT Gateway執行個體時，表示公網NAT Gateway執行個體綁定的Elastic IP Address連接埠。 VPC NAT Gateway執行個體時，表示VPC NAT Gateway執行個體綁定的NAT IP連接埠。
bytes_from_pub	公網NAT Gateway執行個體時，表示來自公網的資料包大小。 VPC NAT Gateway執行個體時，表示來自其他VPC或IDC網路的資料包大小。
pkts_from_pub	公網NAT Gateway執行個體時，表示來自公網的資料包流量。 VPC NAT Gateway執行個體時，表示來自其他VPC或IDC網路的資料包流量。
bytes_from_vpc	來自VPC的資料包大小。
pkts_from_vpc	來自VPC的資料包數量。
start_time	會話日誌建立時間。
end_time	會話日誌停止時間。

功能計費

會話日誌不收取日誌產生費用，但會話日誌所捕獲的SNAT會話將儲存於阿里雲Log Service中，Log Service將收取相應的儲存和檢索等費用。更多資訊，請參見Log Service計費。

使用限制

按固定規格計費（停止新購）的NAT Gateway執行個體不支援開啟會話Log Service。
NAT Gateway執行個體需要與建立的Log Service在同一地區。
會話日誌不支援捕獲DNAT會話。

配置流程

建立Project
您需要為Log Service建立一個Project。具體操作，請參見建立專案Project。
建立Logstore
Logstore是Project的資源集合，Logstore中的所有資料都來自於同一個資料來源。建立Project後，您需要建立Logstore。具體操作，請參見建立Logstore。
啟動會話日誌
啟動會話日誌功能，捕獲SNAT會話，並將SNAT會話投遞至目標Log Service。具體操作，請參見啟動會話日誌。

啟動會話日誌

登入NAT Gateway管理主控台，在頂部功能表列處，選擇NAT Gateway所屬的地區。
在左側導覽列選擇公網NAT Gateway或VPC NAT Gateway，並找到目標NAT Gateway執行個體，單擊NAT Gateway執行個體ID。
在基本資料頁面，選擇監控和日誌 > 會話日誌頁簽，單擊啟用會話日誌。

查看會話日誌

登入NAT Gateway管理主控台，在頂部功能表列處，選擇NAT Gateway所屬的地區。
在左側導覽列選擇公網NAT Gateway或VPC NAT Gateway，並找到目標NAT Gateway執行個體，單擊NAT Gateway執行個體ID。

在基本資料頁面，選擇監控和日誌 > 會話日誌頁簽，單擊目標資訊列的名稱，查看會話日誌相關資訊。

清單項目	說明
會話日誌狀態	會話日誌的啟動狀態，啟動會話日誌後顯示為已啟動。當您啟動會話日誌後，系統會自動為您建立`AliyunServiceRolePolicyForNatgwLogDelivery`服務關聯角色，向您建立的LogStore進行授權，從而完成資料的投遞。更多資訊，請參見AliyunServiceRolePolicyForNatgwLogDelivery。
投遞狀態	會話日誌的投遞狀態。取值：成功：會話日誌成功投遞至Log Service。修改中：中間狀態，表示會話日誌正在修改或啟動中。失敗：會話日誌無法投遞至Log Service。相關錯誤資訊，請參見投遞錯誤碼。
投遞類型	會話日誌投遞的目標類型，取值：sls。
目標資訊	在目標資訊列單擊日誌庫連結，跳轉至Log Service控制台，在查看和分析日誌之前，您需要為會話日誌投遞的Logstore中手動建立索引。更多操作，請參見建立索引和查詢與分析快速指引。

停止會話日誌

登入NAT Gateway管理主控台，在頂部功能表列處，選擇NAT Gateway所屬的地區。
在左側導覽列選擇公網NAT Gateway或VPC NAT Gateway，並找到目標NAT Gateway執行個體，單擊NAT Gateway執行個體ID。
在基本資料頁面，選擇監控和日誌 > 會話日誌頁簽，找到目標會話日誌，然後在操作列，單擊停止。

投遞錯誤碼

錯誤碼	說明
ProjectNotExist	會話日誌投遞的目標Project不存在。
LogStoreNotExist	會話日誌投遞的目標LogStore不存在。
ProjectForbidden	您建立的Project被禁用，可能是由於欠費導致。
InvalidAccessKeyId	啟動會話日誌時，未建立服務關聯角色向LogStore授權。
Unauthorized	啟動會話日誌時，未建立服務關聯角色向LogStore授權。
UnavaliableTarget	遇到Unauthorized、ProjectNotExist、LogStoreNotExist、ProjectForbidden錯誤時，分發會禁止投遞至目標5分鐘。在5分鐘禁用到期後，如果有新的資料需要投遞，會投遞一次至LogStore做探測，如果投遞不成功，則繼續禁用下一個5分鐘，如果投遞成功則恢複對LogStore的正常投遞。
WriteQuotaExceed	您的Project寫入流量配額超過限制，預設一個Project下所有LogStore的寫入限制為30 GB/min。
ShardWriteQuotaExceed	分發的日誌流量較大，而您LogStore的Shard不足，建議您分裂更多Shard支撐更大寫入流量。具體操作，請參見管理Shard。