产品功能

聚焦模式

字号

最后更新时间： 2024-01-10 16:10:45

流日志具有日志采集、查询、数据管理、数据记录与分析等功能，帮助您降低运维门槛，轻松定位业务问题。
流日志采集
创建流日志后，系统将自动采集指定范围（例如弹性网卡、NAT 网关、云联网跨地域流量）的日志流，并将日志数据投递并存储于 日志服务 CLS。在 CLS 的主题中，每个弹性网卡有唯一的日志流，其中包含流日志记录。
说明：
NAT 网关和云联网跨地域流量流日志目前处于内测中，如有需要，请提交 工单申请。
流日志查询
流日志在 日志服务 CLS 平台进行查询及消费。日志服务 CLS 支持亿级日志数据检索，您可以进行全文检索、多关键词检索、跨主题查询等操作，秒级返回查询结果。
流日志存储
流日志与 日志服务 CLS 深度结合，实现对日志数据的存储与管理。
创建仪表盘多维度展示日志数据
在流日志专用日志集“flowlog_logset”下，可针对弹性网卡类型流日志创建仪表盘，最终通过仪表盘来可视化观测、分析流日志数据。一个日志主题可创建一个仪表盘。
仪表盘数据展示如下图所示，具体配置请参见 高级分析。
流日志记录
流日志将记录特定捕获窗口中，按一定规则过滤的网络流。
云联网跨地域流量的网络流日志记录
其他类型的网络流日志记录
流日志将记录特定捕获窗口中，按“五元组 + 流量源地域 + 流量目的地域”规则过滤的网络流，即只有在捕获窗口中符合规则的网络流日志，才能记录为云联网跨地域流量的网络流日志记录。
五元组 + 流量源地域 + 流量目的地域
五元组即源 IP 地址、源端口、目的 IP 地址、目的端口和传输层协议这五个量组成的一个集合。
流量源地域指云联网跨地域流量发出的地域。
流量目的地域指云联网跨地域流量到达的地域。
捕获窗口
即一段持续时间，在这段时间内流日志服务会聚合数据，然后再发布流日志记录。捕获窗口大约为1分钟，推送时间约为5分钟。流日志记录是以空格分隔的字符串，采用以下格式：
srcaddr dstregionid dstport start dstaddr version packets ccnid protocol srcregionid bytes action region-id srcport end log-status
字段
数据类型
说明
srcaddr
text
源 IP。
dstregionid
text
流量目的地域。
dstport
long
流量的目标端口。该字段仅对 UDP/TCP 协议生效，当流量为其他协议时，该字段显示为“-”。
start
long
当前捕获窗口收到第一个报文的时间戳，如果在捕获窗口内没有报文，则显示为该捕获窗口的起始时间，采用 Unix 秒的格式。
dstaddr
text
目标 IP。
version
text
流日志版本。
packets
long
捕获窗口中传输的数据包的数量。当“log-status”为“NODATA”时，该字段显示为“-”。
ccn-id
text
云联网唯一标识，如需确定云联网的信息请 联系我们。
protocol
long
流量的 IANA 协议编号。有关更多信息，请转到分配的  Internet 协议 编号。
srcregionid
text
流量源地域。
bytes
long
捕获窗口中传输的字节数。当“log-status”为“NODATA”时，该字段显示为“-”。
action
text
与流量关联的操作：
ACCEPT：通过云联网正常转发的跨地域流量。
REJECT：因限速被阻止转发的跨地域流量。
region-id
text
记录日志的地域。
srcport
text
流量的源端口。该字段仅对 UDP/TCP 协议生效，当流量为其他协议时，该字段显示为“-”。
end
long
当前捕获窗口收到最后一个报文的时间戳，如果在捕获窗口内没有报文，则显示为该捕获窗口的结束时间，采用 Unix 秒的格式。
log-status
text
流日志的日志记录状态：
OK：表示数据正常记录到指定目标。
NODATA：表示捕获窗口中没有传入或传出网络流量，此时“packets”和“bytes”字段会显示为“-1”。
﻿
流日志将记录特定捕获窗口中，按五元组规则过滤的网络流。
五元组
即源 IP 地址，源端口，目的 IP 地址，目的端口和传输层协议这五个量组成的一个集合。
捕获窗口
即一段持续时间，在这段时间内流日志服务会聚合数据，然后再发布流日志记录。捕获窗口大约为5分钟，推送时间约为5分钟。流日志记录是以空格分隔的字符串，采用以下格式：
version account-id interface-id srcaddr dstaddr srcport dstport protocol packets bytes start end action log-status。
字段
说明
version
流日志版本。
account-id
流日志的账户 AppID。
interface-id
弹性网卡 ID。
srcaddr
源 IP。
dstaddr
目标 IP。
srcport
流量的源端口。当流量为 ICMP 协议时，该字段表示 ICMP 的 id。
dstport
流量的目标端口。当流量为 ICMP 协议时，该字段表示 ICMP 的 type（高8bit）+code（低8bit）组合。
protocol
流量的 IANA 协议编号。有关更多信息，请转到分配的  Internet 协议 编号。
packets
捕获窗口中传输的数据包的数量。
bytes
捕获窗口中传输的字节数。
start
捕获窗口启动的时间，采用 Unix 秒的格式。
end
捕获窗口结束的时间，采用 Unix 秒的格式。
action
与流量关联的操作：
ACCEPT：安全组或网络 ACL 允许记录的流量。
REJECT：安全组或网络 ACL 未允许记录的流量。
log-status
流日志的日志记录状态：
OK：表示数据正常记录到指定目标。
NODATA：表示捕获窗口中没有传入或传出网络流量，此时“packets”和“bytes”字段会显示为“-1”。
SKIPDATA：表示捕获窗口中跳过了一些流日志记录。可能是内部容量限制或内部错误引起的。
示例
若允许接受账户 1251762227 中的弹性网卡 eni-lq6mkcis 的 SSH 流量（目标端口 22，TCP 协议），流日志记录如下：
2 1251762227 eni-lq6mkcis 172.31.16.139 172.31.16.21 20641 22 6 20 4249 1418530010 1418530070 ACCEPT OK
若拒绝账户1251762227中的弹性网卡 eni-lq6mkcis 的 RDP 流量（目标端口3389，TCP 协议），流日志记录如下：
2 1251762227 eni-lq6mkcis 172.31.9.69 172.31.9.12 49761 3389 6 20 4249 1418530010 1418530070 REJECT OK
若在捕获窗口中未记录数据，流日志记录如下：
V1 1251762227 eni-lq6mkcis - - - - - - - 1431280876 1431280934 - NODATA
若在捕获窗口中跳过了记录，流日志记录如下：
V1 1251762227 eni-lq6mkcis - - - - - - - 1431280876 1431280934 - SKIPDATA
安全组和网络 ACL 规则的流日志记录
安全组为有状态，因此允许响应所有的流量。
网络 ACL 为无状态，因此对流量的响应需要遵守网络 ACL 规则。
例如，您从家中的计算机（IP 地址为203.0.113.12）对您的实例（网络接口的私有 IP 地址为172.31.16.139）使用 ping 命令。您的安全组入站规则允许 ICMP 流量，出站规则不允许 ICMP 流量，但是，由于安全组是有状态的，因此允许从您的实例响应 ping。
您的网络 ACL 允许入站 ICMP 流量，但不允许出站 ICMP 流量。由于网络 ACL 是无状态的，响应 ping 将被丢弃，不会传输到您家中的计算机。在流日志中，它显示为2个流日志记录：
网络 ACL 和安全组都允许（因此可到达您的实例）的发起 ping 的 ACCEPT 记录。
网络 ACL 拒绝的响应 ping 的 REJECT 记录。
V1 1251762227 eni-lq6mkcis 203.0.113.12 172.31.16.139 0 0 1 4 336 1432917027 1432917142 ACCEPT OK
V1 1251762227 eni-lq6mkcis 172.31.16.139 203.0.113.12 0 0 1 4 336 1432917094 1432917142 REJECT OK
如果您的网络 ACL 允许出站 ICMP 流量，流日志会显示两个 ACCEPT 记录（一个针对发起 ping，一个针对响应 ping）。如果您的安全组拒绝入站 ICMP 流量，流日志会显示一个 REJECT 记录，因为流量未到达您的实例。
﻿

帮助和支持

本页内容是否解决了您的问题？

您也可以联系销售或提交工单以寻求帮助。

填写满意度调查问卷，共创更好文档体验。

文档反馈

字段	数据类型	说明
srcaddr	text	源 IP。
dstregionid	text	流量目的地域。
dstport	long	流量的目标端口。该字段仅对 UDP/TCP 协议生效，当流量为其他协议时，该字段显示为“-”。
start	long	当前捕获窗口收到第一个报文的时间戳，如果在捕获窗口内没有报文，则显示为该捕获窗口的起始时间，采用 Unix 秒的格式。
dstaddr	text	目标 IP。
version	text	流日志版本。
packets	long	捕获窗口中传输的数据包的数量。当“log-status”为“NODATA”时，该字段显示为“-”。
ccn-id	text	云联网唯一标识，如需确定云联网的信息请联系我们。
protocol	long	流量的 IANA 协议编号。有关更多信息，请转到分配的 Internet 协议编号。
srcregionid	text	流量源地域。
bytes	long	捕获窗口中传输的字节数。当“log-status”为“NODATA”时，该字段显示为“-”。
action	text	与流量关联的操作： ACCEPT：通过云联网正常转发的跨地域流量。 REJECT：因限速被阻止转发的跨地域流量。
region-id	text	记录日志的地域。
srcport	text	流量的源端口。该字段仅对 UDP/TCP 协议生效，当流量为其他协议时，该字段显示为“-”。
end	long	当前捕获窗口收到最后一个报文的时间戳，如果在捕获窗口内没有报文，则显示为该捕获窗口的结束时间，采用 Unix 秒的格式。
log-status	text	流日志的日志记录状态： OK：表示数据正常记录到指定目标。 NODATA：表示捕获窗口中没有传入或传出网络流量，此时“packets”和“bytes”字段会显示为“-1”。

tencent cloud

网络流日志

产品功能

流日志采集

流日志查询

流日志存储

创建仪表盘多维度展示日志数据

流日志记录

示例

帮助和支持