Simple Log Service：VPC

欄位

說明

__topic__

日誌主題，固定為flow_log。

version

流日誌版本，當前所有的日誌條目版本為1。

vswitch-id

彈性網卡所在交換器ID。

vm-id

彈性網卡綁定的雲端服務器ID。

vpc-id

彈性網卡所在專用網路ID。

account-id

阿里雲帳號ID。

eni-id

彈性網卡ID。

region

VPC地區。

srcaddr

源IP地址。

srcport

源連接埠。

dstaddr

目的IP地址。

dstport

目的連接埠。

protocol

流量的IANA協議編號。 常見協議號舉例：ICMP為1，TCP為6，UDP為17。

direction

流量方向：

• in：流入彈性網卡的流量。

• out：流出彈性網卡流量。

packets

資料包個數。

bytes

位元組數。

start

在採集視窗內，收到第1個包的時間。格式為Unix時間戳記。

end

對於長串連，是採集視窗結束的時間；對於短串連，是串連關閉的時間。格式為Unix時間戳記。

log-status

流日誌的日誌選項組：

• OK：資料記錄正常。

• NODATA：採集視窗中沒有傳入或傳出網路介面的網路流量，常見於備用系統、非業務高峰期或配置問題導致沒有流量的情境。

• SKIPDATA：採集視窗中跳過了一些流日誌記錄，常見於高流量環境或突發性流量高峰，導致內部系統過載，從而無法採集流量並跳過記錄的情境。

action

安全性群組或網路ACL是否允許該訪問：

• ACCEPT：安全性群組允許記錄的流量。

• REJECT：安全性群組未允許記錄的流量。

tcp-flags

TCP標誌位，以十進位表示，反映了 TCP 協議中的 SYN、ACK、FIN 等標誌的組合。

採集視窗內1個流日誌條目可能會對應多個TCP資料包，該值是所有相關資料包的標誌位欄位進行按位或（bitwise OR）運算後的結果。

例如，1個TCP會話在某採集視窗內有兩個資料包，分別帶有SYN（2）和SYN-ACK（18）標誌，則日誌中記錄的TCP標誌位欄位為18（2 | 18 = 18）。

部分TCP標誌位對應的十進位：

• FIN: 1

• SYN: 2

• RST: 4

• PSH: 8

• SYN-ACK: 18

• URG: 32

關於TCP標誌通用資訊（例如SYN、FIN、ACK、RST等標誌的含義），請參見RFC: 793。

traffic_path

流量發生的情境：

• 0 - 除下述情境外，採集到的流量。

• 1 - 通過同一VPC中其他資源的流量。

• 2 - 訪問同VPC內ECS執行個體的私網流量。

• 3 - 通過彈性網卡的流量。

• 4 - 通過高可用虛擬IP（HaVip）的流量。

• 5 - 訪問同地區阿里雲雲端服務的流量。

• 6 - 通過網關終端節點訪問雲端服務的流量。

• 7 - 通過NAT Gateway的流量。

• 8 - 通過轉寄路由器（TR）的流量。

• 9 - 通過VPN網關的流量。

• 10 - 通過邊界路由器（VBR）訪問專線的流量。

• 11 - 通過CEN基礎版訪問同地區VPC的流量。

• 12 - 除11、18、19、20所列出情境外通過CEN基礎版的流量，如通過CEN基礎版訪問跨地區雲端服務、通過CEN基礎版訪問雲串連網CCN等情境的流量。

• 13 - 通過IPv4網關訪問公網的流量。

• 14 - 通過IPv6網關訪問公網的流量。

• 15 - 通過公網IP訪問公網的流量。

• 17 - 通過VPC對等串連的流量。

• 18 - 通過CEN基礎版訪問跨地區VPC的流量。

• 19 - 通過CEN基礎版訪問同地區VBR的流量。

• 20 - 通過CEN基礎版訪問跨地區VBR的流量。

• 21 - 通過專線網關（ECR）的流量。

• 22 - 通過網關型負載平衡終端節點的流量。

srctype

開啟域間分析後，源IP地址所對應的網段資訊。

dsttype

開啟域間分析後，目標IP地址所對應的網段資訊。