概述
背景介绍
日志服务联合网络团队一起推出了包括VPC flowlog、CEN flowlog、VBR flowlog等在内的多种网络产品流日志,用于VPC的策略统计、弹性网卡流量统计以及网段间流量统计,帮助您快速、有效地监控和分析网络流日志,发现流量异常根源,实现网络流量的审计告警等功能。
虽然客户可以根据实际情况选择开通 VPC/CEN/VBR flowlog,但是由于CEN和VBR flowlog对所用的产品版本有严格要求,部分客户无法升级到合适版本的情况下,无法开启对应的CEN和VBR flowlog。由于VPC flowlog可以针对ENI/VSwitch/VPC 三个维度来采集,所以VPC flowlog是包含所有ECS通过 CEN 和 VBR 对外访问的所有流量的。针对客户无法直接使用CEN和VBR flowlog的情况,可以通过开启VPC flowlog后,对流日志进行过滤的方式来获得客户所需的 CEN 和 VBR 流量数据。
本文就通过一个客户的实际案例开介绍如何使用在无法直接开启CEN flowlog的情况下,使用SLS的数据加工能力,从VPC flowlog的数据中过滤出客户需要的流量日志出来。该客户由于使用了CEN 1.0版,并经过了大量定开,无法升级到CEN2.0版,所以无法直接开通CEN flowlog。经过研究讨论,可以通过对VPC flowlog数据进行过滤,就能获取客户需要的两个region之间不同网段ECS间相互访问的流量日志。
目标读者
无法直接使用CEN和VBR flowlog,但可以开通VPC flowlog的客户、和架构师们。
适用场景
本文介绍的最佳实践适合如下场景:
无法直接开通CEN 和 VBR flowlog
可以开通VPC flowlog
明确知道所需流量过滤规则的场景
方案介绍
方案说明
根据客户的需求,整个方案分为采集、过滤、拉取三个部分。
采集:在VPC 中开启流日志,将日志导入SLS中
过滤:根据客户提供的过滤规则,使用数据加工将日志过滤到一个新的logstore中
拉取:客户通过下载日志的方式将日志拉取到其线下安全平台中分析
架构图
前提条件
已经创建VPC、vSwitch、ENI
已经开通SLS
操作步骤
开通流日志
打开“专有网络”产品控制台,进入“运维与监控”-“流日志”页面,点击“创建流日志”按钮。
在“创建流日志”页面填写需要创建流日志的源和目标信息后,点击确定后就完成了流日志的创建
流日志来源配置:
资源类型:可为“专有网络”、“交换机”、“弹性网卡”三种网络资源类型创建流日志。
资源实例:根据选择的资源类型选择对应的资源实例
流量类型:“全部流量”表示记录所有的请求流量;“被访问控制允许的流量”表示正确接收的请求流量;“被访问控制拒绝的流量”表示拒绝接收的请求流量
流日志目标存放库配置:
Project和logstore:如果没有创建专门用于存放VPC flowlog的project和logstore的话,可以在本页面进行创建。
勾选“开启流日志分析报表功能”确保可以在SLS中看到采集到的VPC flowlog
可以在流日志页面看到新增加的流日志采集作业,可以停止和删除该作业。
日志过滤
登录日志服务控制台,进入上个步骤配置的Project和logstore,可以看到流日志已经发送到该logstore了。
在当前project下创建一个新logstore,比如取名叫:vpc-flowlog-vswitch-etl,并开启全文索引。
在logstore查询页面中,点击数据加工按钮,进入数据加工配置页面,根据客户的需求,编写数据加工语句。需求如下:
sourceIP和destIP都属于10.0.0.0/8网段
需要过滤sourceIP是10.200.0.0/16,destIP是10.200.0.0/16
需要过滤sourceIP是10.200.0.0/16,destIP是10.100.0.0/16
需要过滤sourceIP是10.100.0.0/16,destIP是10.200.0.0/16
需要过滤TCP端口(源端口或目的端口)8080和8081
只保留这些字段:dstaddr/dstport/action/bytes/__time__/srcaddr/protocol/packets/srcport
根据如上规则编写的数据加工语句如下:
e_keep(
ip_cidrmatch("10.0.0.0/8", v("srcaddr"))
and ip_cidrmatch("10.0.0.0/8", v("dstaddr"))
)
e_drop(
ip_cidrmatch("10.200.0.0/16", v("srcaddr"))
and ip_cidrmatch("10.200.0.0/16", v("dstaddr"))
)
e_drop(
ip_cidrmatch("10.200.0.0/16", v("srcaddr"))
and ip_cidrmatch("10.100.0.0/16", v("dstaddr"))
)
e_drop(
ip_cidrmatch("10.100.0.0/16", v("srcaddr"))
and ip_cidrmatch("10.200.0.0/16", v("dstaddr"))
)
e_drop(v("protocol") == "1")
e_drop((v("protocol") == "6") and (v("srcport") == "8080" or v("dstport") == "8080"))
e_drop((v("protocol") == "6") and (v("srcport") == "8081" or v("dstport") == "8081"))
e_keep_fields(
"dstaddr",
"dstport",
"action",
"bytes",
"__time__",
"srcaddr",
"protocol",
"packets",
"srcport",
regex=False,
)
点击“保存数据加工”按钮,进入创建数据加工作业的页面。选择加工后的数据存储目标,这里选择前面创建的logstore:vpc-flowlog-vswitch-etl,根据实际情况选择加工范围,这里选“所有”。点击确定就完成了数据加工作业的创建。可以根据需要选择是否在随后出现的对话框中“开启监控”。
在目标logstore中,可以看到客户所需的CEN流日志。
拉取日志
日志服务提供多种方法可以拉取日志,包括日志投递、消费、日志下载等方式获取过滤后的日志。本例中,客户使用页面下载的方式将日志下载到本地后使用。
查询到需要的日志后,点击下载日志按钮,进入下载日志页面。
根据需要选择下载日志的参数,点击确认后,后台会启动日志导出任务。
任务执行完毕后,就可以点击“下载”按钮下载日志到本地了。
