产品功能

最近更新时间:2019-08-19 14:05:31

流日志采集

您可以为弹性网卡创建流日志。流日志数据投递到日志服务中的主题,并且每个弹性网卡有唯一的日志流,日志流包含流日志记录。

流日志查询

您可在日志服务中实现查询,支持全文检索、多关键词检索、跨主题查询等功能,秒级返回查询结果,支持亿级日志数据检索。

流日志数据投递

  • 投递至 COS
    日志服务支持将流日志数据投递至您账户下的 COS 存储桶中,实现对日志数据的存储与管理。
  • 日志投递至 CAS (敬请期待)
    日志服务支持将流日志数据投递至您账户下的 CAS 归档存储中,实现日志数据的备份存储,满足日志审计的需求。

流日志记录

流日志记录代表您的流日志中的网络流。每个记录捕获特定捕获窗口中的特定5元组的网络流。

  • 5元组
    指源、目标和协议。
  • 捕获窗口
    指一段持续时间,在这段时间内流日志服务会聚合数据,然后再发布流日志记录。捕获窗口大约为5 - 10分钟,推送时间约为5分钟。流日志记录是以空格分隔的字符串,采用以下格式:
    version account-id interface-id srcaddr dstaddr srcport dstport protocol packets bytes start end action log-status
字段 说明
version 流日志版本。
account-id 流日志的账户 AppID。
interface-id 弹性网卡 ID。
srcaddr 源 IP。
dstaddr 目标 IP。
srcport 流量的源端口。
dstport 流量的目标端口。
protocol 流量的 IANA 协议编号。有关更多信息,请转到分配的 Internet 协议 编号。
packets 捕获窗口中传输的数据包的数量。
bytes 捕获窗口中传输的字节数。
start 捕获窗口启动的时间,采用 Unix 秒的格式。
end 捕获窗口结束的时间,采用 Unix 秒的格式。
action 与流量关联的操作:
ACCEPT:安全组或网络 ACL 允许记录的流量。
REJECT:安全组或网络 ACL 未允许记录的流量。
log-status 流日志的日志记录状态:OK。
NODATA:捕获窗口中没有传入或传出弹性网卡的网络流量。
SKIPDATA:捕获窗口中跳过了一些流日志记录。这可能是由于内部容量限制或内部错误。

示例:流日志记录

已接受流量流日志记录

下面是流日志记录的示例,其中允许指向账户1251762227中的弹性网卡 eni-lq6mkcis 的 SSH 流量(目标端口22,TCP 协议)。

2 1251762227 eni-lq6mkcis 172.31.16.139 172.31.16.21 20641 22 6 20 4249 1418530010 1418530070 ACCEPT OK

已拒绝流量流日志记录

下面是流日志记录的示例,其中拒绝了指向账户1251762227中的弹性网卡 eni-lq6mkcis 的 RDP 流量(目标端口3389,TCP 协议)。

2 1251762227 eni-lq6mkcis 172.31.9.69 172.31.9.12 49761 3389 6 20 4249 1418530010 1418530070 REJECT OK

无数据流日志记录

以下示例的流日志记录在捕获窗口中未记录数据。

V1 1251762227 eni-lq6mkcis - - - - - - - 1431280876 1431280934 - NODATA

跳过记录的记录

以下示例的流日志记录在捕获窗口中跳过了记录。

V1 1251762227 eni-lq6mkcis - - - - - - - 1431280876 1431280934 - SKIPDATA

安全组和网络 ACL 规则

安全组是有状态的,即对所允许流量的响应也会被允许。相反,网络 ACL 是无状态的,即对所允许流量的响应需要遵守网络 ACL 规则。

例如,您从家中的计算机(IP 地址为203.0.113.12)对您的实例(网络接口的私有 IP 地址为172.31.16.139)使用 ping 命令。您的安全组入站规则允许 ICMP 流量,出站规则不允许 ICMP 流量,但是,由于安全组是有状态的,因此允许从您的实例响应 ping。
您的网络 ACL 允许入站 ICMP 流量,但不允许出站 ICMP 流量。由于网络 ACL 是无状态的,响应 ping 将被丢弃,不会传输到您家中的计算机。在流日志中,它显示为2个流日志记录:

  • 网络 ACL 和安全组都允许(因此可到达您的实例)的发起 ping 的 ACCEPT 记录。
  • 网络 ACL 拒绝的响应 ping 的 REJECT 记录。
    V1 1251762227 eni-lq6mkcis 203.0.113.12 172.31.16.139 0 0 1 4 336 1432917027 1432917142 ACCEPT OK
    V1 1251762227 eni-lq6mkcis 172.31.16.139 203.0.113.12 0 0 1 4 336 1432917094 1432917142 REJECT OK

如果您的网络 ACL 允许出站 ICMP 流量,流日志会显示两个 ACCEPT 记录(一个针对发起 ping,一个针对响应 ping)。如果您的安全组拒绝入站 ICMP 流量,流日志会显示一个 REJECT 记录,因为流量未到达您的实例。