网络流日志

{"list":[{"id":75455,"title":"动态与公告","type":"directory","docType":"default","pdfUrl":"https://main.qcloudimg.com/raw/document/product/pdf/682_75455_cn.pdf","children":[{"id":75456,"title":"【2022年7月25日】流日志支持机型变更通知","type":"page","docType":"default","pdfUrl":"","link":"/document/product/682/75456"}],"link":"/document/product/682/75455"},{"id":18930,"title":"产品简介","type":"directory","docType":"default","pdfUrl":"https://main.qcloudimg.com/raw/document/product/pdf/682_18930_cn.pdf","children":[{"id":18931,"title":"产品概述","type":"page","docType":"default","pdfUrl":"","link":"/document/product/682/18931"},{"id":18932,"title":"产品优势","type":"page","docType":"default","pdfUrl":"","link":"/document/product/682/18932"},{"id":18933,"title":"产品功能","type":"page","docType":"default","pdfUrl":"","link":"/document/product/682/18933"},{"id":18957,"title":"应用场景","type":"page","docType":"default","pdfUrl":"","link":"/document/product/682/18957"},{"id":18934,"title":"使用限制","type":"page","docType":"default","pdfUrl":"","link":"/document/product/682/18934"},{"id":18956,"title":"相关产品","type":"page","docType":"default","pdfUrl":"","link":"/document/product/682/18956"}],"link":"/document/product/682/18930"},{"id":18963,"title":"购买指南","type":"page","docType":"price","pdfUrl":"https://main.qcloudimg.com/raw/document/product/pdf/682_18963_cn.pdf","link":"/document/product/682/18963"},{"id":18935,"title":"快速入门","type":"page","docType":"default","pdfUrl":"https://main.qcloudimg.com/raw/document/product/pdf/682_18935_cn.pdf","link":"/document/product/682/18935"},{"id":18965,"title":"操作指南","type":"directory","docType":"default","pdfUrl":"https://main.qcloudimg.com/raw/document/product/pdf/682_18965_cn.pdf","children":[{"id":18974,"title":"操作总览","type":"page","docType":"default","pdfUrl":"","link":"/document/product/682/18974"},{"id":63357,"title":"授权流日志访问 CLS 权限","type":"page","docType":"default","pdfUrl":"","link":"/document/product/682/63357"},{"id":18967,"title":"创建日志集和日志主题","type":"page","docType":"default","pdfUrl":"","link":"/document/product/682/18967"},{"id":68199,"title":"日志列表","type":"directory","docType":"default","pdfUrl":"","children":[{"id":18966,"title":"创建流日志","type":"page","docType":"default","pdfUrl":"","link":"/document/product/682/18966"},{"id":65748,"title":"修改流日志","type":"page","docType":"default","pdfUrl":"","link":"/document/product/682/65748"},{"id":18970,"title":"查看流日志记录","type":"page","docType":"default","pdfUrl":"","link":"/document/product/682/18970"},{"id":18968,"title":"删除流日志","type":"page","docType":"default","pdfUrl":"","link":"/document/product/682/18968"}],"link":"/document/product/682/68199"},{"id":65137,"title":"主题配置","type":"page","docType":"default","pdfUrl":"","link":"/document/product/682/65137"},{"id":65764,"title":"高级分析","type":"page","docType":"default","pdfUrl":"","link":"/document/product/682/65764"}],"link":"/document/product/682/18965"},{"id":18977,"title":"API 文档","type":"page","docType":"default","pdfUrl":"https://main.qcloudimg.com/raw/document/product/pdf/682_18977_cn.pdf","link":"/document/product/682/18977"},{"id":19260,"title":"常见问题","type":"page","docType":"faq","pdfUrl":"https://main.qcloudimg.com/raw/document/product/pdf/682_19260_cn.pdf","link":"/document/product/682/19260"},{"id":59705,"title":"联系我们","type":"page","docType":"default","pdfUrl":"https://main.qcloudimg.com/raw/document/product/pdf/682_59705_cn.pdf","link":"/document/product/682/59705"},{"id":30315,"title":"词汇表","type":"page","docType":"glossary","pdfUrl":"https://main.qcloudimg.com/raw/document/product/pdf/682_30315_cn.pdf","link":"/document/product/682/30315"}],"categoryId":682,"title":"网络流日志","lang":"zh"}

文档中心网络流日志产品简介产品功能

产品功能

最近更新时间：2024-04-19 16:45:21

我的收藏

本页目录：

流日志具有日志采集、查询、数据管理、数据记录与分析等功能，帮助您降低运维门槛，轻松定位业务问题。
流日志采集
创建流日志后，系统将自动采集指定范围（例如弹性网卡、NAT 网关、专线网关、云联网跨地域流量）的日志流，并将日志数据投递并存储于 日志服务 CLS。在 CLS 的主题中，每个弹性网卡有唯一的日志流，其中包含流日志记录。
说明
NAT 网关、专线网关、云联网跨地域流量目前处于内测中，如有需要，请提交 工单申请。
流日志查询
流日志在 日志服务 CLS 平台进行查询及消费。日志服务 CLS 支持亿级日志数据检索，您可以进行全文检索、多关键词检索、跨主题查询等操作，秒级返回查询结果。
流日志存储
流日志与 日志服务 CLS 深度结合，实现对日志数据的存储与管理。
创建仪表盘多维度展示日志数据
在流日志专用日志集“flowlog_logset”下，可针对弹性网卡类型流日志创建仪表盘，最终通过仪表盘来可视化观测、分析流日志数据。一个日志主题可创建一个仪表盘。
仪表盘数据展示如下图所示，具体配置请参见 高级分析。
﻿
﻿
流日志记录
流日志将记录特定捕获窗口中，按一定规则过滤的网络流。
云联网跨地域流量的网络流日志记录
其他类型的网络流日志记录
流日志将记录特定捕获窗口中，按“五元组 + 流量源地域 + 流量目的地域”规则过滤的网络流，即只有在捕获窗口中符合规则的网络流日志，才能记录为云联网跨地域流量的网络流日志记录。
五元组 + 流量源地域 + 流量目的地域
五元组即源 IP 地址、源端口、目的 IP 地址、目的端口和传输层协议这五个量组成的一个集合。
流量源地域指云联网跨地域流量发出的地域。
流量目的地域指云联网跨地域流量到达的地域。
捕获窗口
即一段持续时间，在这段时间内流日志服务会聚合数据，然后再发布流日志记录。捕获窗口大约为1分钟，推送时间约为5分钟。流日志记录是以空格分隔的字符串，采用以下格式，字段无固定顺序：
version region-id ccn-id srcaddr dstaddr srcport dstport protocol srcregionid dstregionid packets bytes start end action log-status
字段
数据类型
说明
version
text
流日志版本。
region-id
text
记录日志的地域。
ccn-id
text
云联网唯一标识，如需确定云联网的信息请 联系我们。
srcaddr
text
源 IP。
dstaddr
text
目标 IP。
srcport
text
流量的源端口。该字段仅对 UDP/TCP 协议生效，当流量为其他协议时，该字段显示为“-”。
dstport
long
流量的目标端口。该字段仅对 UDP/TCP 协议生效，当流量为其他协议时，该字段显示为“-”。
protocol
long
流量的 IANA 协议编号。更多信息，请转到分配的 Internet 协议 编号。
srcregionid
text
流量源地域。
dstregionid
text
流量目的地域。
packets
long
捕获窗口中传输的数据包的数量。当“log-status”为“NODATA”时，该字段显示为“-”。
bytes
long
捕获窗口中传输的字节数。当“log-status”为“NODATA”时，该字段显示为“-”。
start
long
当前捕获窗口收到第一个报文的时间戳，如果在捕获窗口内没有报文，则显示为该捕获窗口的起始时间，采用 Unix 秒的格式。
end
long
当前捕获窗口收到最后一个报文的时间戳，如果在捕获窗口内没有报文，则显示为该捕获窗口的结束时间，采用 Unix 秒的格式。
action
text
与流量关联的操作：
ACCEPT：通过云联网正常转发的跨地域流量。
REJECT：因限速被阻止转发的跨地域流量。
log-status
text
流日志的日志记录状态：
OK：表示数据正常记录到指定目标。
NODATA：表示捕获窗口中没有传入或传出网络流量，此时“packets”和“bytes”字段会显示为“-1”。
﻿
流日志将记录特定捕获窗口中，按五元组规则过滤的网络流。
五元组
即源 IP 地址，源端口，目的 IP 地址，目的端口和传输层协议这五个量组成的一个集合。
捕获窗口
即一段持续时间，在这段时间内流日志服务会聚合数据，然后再发布流日志记录。捕获窗口大约为5分钟，推送时间约为5分钟。流日志记录是以空格分隔的字符串，采用以下格式，字段无固定顺序：
version account-id interface-id srcaddr dstaddr srcport dstport protocol packets bytes start end action log-status
字段
说明
version
流日志版本。
account-id
流日志的账户 AppID。
region-id
地域 ID。
az-id
可用区 ID。
vpc-id
私有网络 ID。
subnet-id
子网 ID。
instance-id
弹性网卡所属实例 ID。
interface-id
弹性网卡 ID。
direction
流量访问方向（云服务器访问外部为 out，外部访问云服务器为 in）。
cross-region
若为跨地域上报，此处为实际采集地域，非跨地域上报，显示为0。
srcaddr
源 IP。
dstaddr
目标 IP。
srcport
流量的源端口。当流量为 ICMP 协议时，该字段表示 ICMP 的 id。
dstport
流量的目标端口。当流量为 ICMP 协议时，该字段表示 ICMP 的 type（高8bit）+code（低8bit）组合。
protocol
流量的 IANA 协议编号。更多信息，请转到分配的 Internet 协议 编号。
packets
捕获窗口中传输的数据包的数量。
bytes
捕获窗口中传输的字节数。
start
捕获窗口启动的时间，采用 Unix 秒的格式。
end
捕获窗口结束的时间，采用 Unix 秒的格式。
action
与流量关联的操作：
ACCEPT：安全组或网络 ACL 允许记录的流量。
REJECT：安全组或网络 ACL 未允许记录的流量。
log-status
流日志的日志记录状态：
OK：表示数据正常记录到指定目标。
NODATA：表示捕获窗口中没有传入或传出网络流量，此时“packets”和“bytes”字段会显示为“-1”。
SKIPDATA：表示捕获窗口中跳过了一些流日志记录。可能是内部容量限制或内部错误引起的。
示例
若允许接受账户1251762227中的弹性网卡 eni-lq6mkcis 的 SSH 流量（目标端口 22，TCP 协议），流日志记录如下：
srcaddr:192.63.197.94 dstport:22 account-id:1251762227 start:1655104384 dstaddr:10.0.3.4 version:0001_0001 packets:2 protocol:6 bytes:108 action:ACCEPT srcport:58188 end:1655104384 log-status:OK interface-id:eni-lq6mkcis
若拒绝账户1251762227中的弹性网卡 eni-lq6mkcis 的 RDP 流量（目标端口3389，TCP 协议），流日志记录如下：
srcaddr:192.63.197.94 dstport:3389 account-id:1251762227 start:1655104384 dstaddr:10.0.3.4 version:0001_0001 packets:2 protocol:6 bytes:108 action:REJECT srcport:58188 end:1655104384 log-status:OK interface-id:eni-lq6mkcis
安全组和网络 ACL 规则的流日志记录
安全组为有状态，因此允许响应所有的流量。
网络 ACL 为无状态，因此对流量的响应需要遵守网络 ACL 规则。
例如，您从家中的计算机（IP 地址为203.0.113.12）对您的实例（网络接口的私有 IP 地址为172.31.16.139）使用 ping 命令。您的安全组入站规则允许 ICMP 流量，出站规则不允许 ICMP 流量，但是，由于安全组是有状态的，因此允许从您的实例响应 ping。
您的网络 ACL 允许入站 ICMP 流量，但不允许出站 ICMP 流量。由于网络 ACL 是无状态的，响应 ping 将被丢弃，不会传输到您家中的计算机。在流日志中，它显示为2个流日志记录：
网络 ACL 和安全组都允许（因此可到达您的实例）的发起 ping 的 ACCEPT 记录。
网络 ACL 拒绝的响应 ping 的 REJECT 记录。
srcaddr:203.0.113.12 dstport:0 account-id:1251762227 start:1432917027 dstaddr:172.31.16.139 version:0001_0001 packets:4 protocol:1 bytes:336 action:ACCEPT srcport:0 end:1432917142 log-status:OK interface-id:eni-lq6mkcis
srcaddr:172.31.16.139 dstport:0 account-id:1251762227 start:1432917094 dstaddr:203.0.113.12 version:0001_0001 packets:4 protocol:1 bytes:336 action:REJECT srcport:0 end:1432917142 log-status:OK interface-id:eni-lq6mkcis
如果您的网络 ACL 允许出站 ICMP 流量，流日志会显示两个 ACCEPT 记录（一个针对发起 ping，一个针对响应 ping）。如果您的安全组拒绝入站 ICMP 流量，流日志会显示一个 REJECT 记录，因为流量未到达您的实例。
﻿

字段	数据类型	说明
version	text	流日志版本。
region-id	text	记录日志的地域。
ccn-id	text	云联网唯一标识，如需确定云联网的信息请联系我们。
srcaddr	text	源 IP。
dstaddr	text	目标 IP。
srcport	text	流量的源端口。该字段仅对 UDP/TCP 协议生效，当流量为其他协议时，该字段显示为“-”。
dstport	long	流量的目标端口。该字段仅对 UDP/TCP 协议生效，当流量为其他协议时，该字段显示为“-”。
protocol	long	流量的 IANA 协议编号。更多信息，请转到分配的 Internet 协议编号。
srcregionid	text	流量源地域。
dstregionid	text	流量目的地域。
packets	long	捕获窗口中传输的数据包的数量。当“log-status”为“NODATA”时，该字段显示为“-”。
bytes	long	捕获窗口中传输的字节数。当“log-status”为“NODATA”时，该字段显示为“-”。
start	long	当前捕获窗口收到第一个报文的时间戳，如果在捕获窗口内没有报文，则显示为该捕获窗口的起始时间，采用 Unix 秒的格式。
end	long	当前捕获窗口收到最后一个报文的时间戳，如果在捕获窗口内没有报文，则显示为该捕获窗口的结束时间，采用 Unix 秒的格式。
action	text	与流量关联的操作： ACCEPT：通过云联网正常转发的跨地域流量。 REJECT：因限速被阻止转发的跨地域流量。
log-status	text	流日志的日志记录状态： OK：表示数据正常记录到指定目标。 NODATA：表示捕获窗口中没有传入或传出网络流量，此时“packets”和“bytes”字段会显示为“-1”。