使用SLS一键分析VPC流日志-阿里云开发者社区

开发者社区> 大数据> 正文
登录阅读全文

使用SLS一键分析VPC流日志

简介: ## 阿里云Flowlog简介 阿里云VPC 为云上的用户提供了网络流日志的能力,基于这份数据用户可以分析vpc网络中流量(5元组)走向、分析流量的成分(比如nat出口流量大、vpc间)、网络安全分析(acl策略是否合理、是否异常ip访问等)。 ## SLS Flowlog日志中心简介 SLS App是为了特定业务场景定制的垂直功能,入口就在sls.console.aliyun.com 控制


阿里云Flowlog简介


阿里云VPC 为云上的用户提供了网络流日志的能力,基于这份数据用户可以分析vpc网络中流量(5元组)走向、分析流量的成分(比如nat出口流量大、vpc间)、网络安全分析(acl策略是否合理、是否异常ip访问等)。


SLS Flowlog日志中心简介


SLS App是为了特定业务场景定制的垂直功能,入口就在sls.console.aliyun.com 控制台首页。

image.png


阿里云VPC Flowlog 提供了这份数据是一个金矿,而SLS Flowlog App则为小白用户提供了一个掘金的能力,可以帮助用户在几个鼠标点击的情况下,轻松地完成流日志的流量走向、成分分析、安全策略、网络威胁等分析场景。


下面介绍如何开通Flowlog,以及一键启用SLS Flowlog App


启用SLS Flowlog日志中心


Step 1. 开通VPC Flowlog(流日志)


巧妇难为无米之炊,要使用SLS Flowlog日志中心,首先要开通VPC Flowlog,下面是开通步骤。


VPC控制台提供了一键投递VPC Flowlog 的功能,详细步骤参考 链接 。注意,目前VPC Flowlog 流日志处于公测阶段,开通需要加白名单。


在成功开通VPC Flowlog 后,将在对应的SLS Project下生成一个对应流日志的logstore。


我们来看一下这个logstore包含哪些信息。

image.png


从日志字段来看,主要包含了网络流的5元组信息:源地址、目标地址、源端口、目标端口、协议(tcp/udp/其他), 以及对应的vpc采样的节点信息(如ecs&对应的vpc信息)、对应的流量&是否被accpet or reject。 基于这些信息,可以进行大量的流量分析。


接下来我们介绍使用SLS的Flowlog应用,一键开启多种分析报表,降低流日志分析的时间成本。


Step 2. 开通SLS Flowlog App


进入SLS 控制台首页,找到 应用->  Flowlog日志中心,点击进入

image.png


进入Flowlog日志中心好,点击“添加”,然后将刚才的


image.png


在弹出框里,点击“添加”,将刚才创建出来的VPC Floglog添加到这里。


image.png


创建完成后,点击实例,即可进入Flowlog 分析页面


使用SLS Flowlog日志中心


场景1 - 总览VPC流量和策略


主要包括vpc 流日中中的ACL策略情况: Accept、Reject的时序曲线,IN和OUT方向的流量曲线,以及访问城市来源。


image.png


场景2 - 网络策略统计


通过策略统计,可以看到Accept、Reject时间曲线的情况,并且针对Accept和Reject的都支持查询Top 100的明细。


image.png


场景3 - 特定ENI网卡的流量分析


ENI流量分析,提供了指定ENI流量趋势和明细Top 100的展示。


image.png


场景4 - ECS间流量分析


ECS间流量分析,提供了源ECS到目标ECS的流量趋势和5元组明细


image.png


场景5 - 网段间的流量分析


针对NAT出口流量分析,需要针对源和目标网段进行打标,打标将使用SLS 数据加工的功能,针对ip网段进行标识。 Flowlog 流量日志分析App集成了数据加工的功能,只要在App中进行网段设置,即可开启网段打标的功能,并支持自定义添加网段信息。

image.png


在开启了网段设置->"域间分析"之后,,左侧会有域间流量的Tab,打开标签,即可分析网段之间的流量


image.png


场景6 - NAT流量高分析


NAT流量高同样需要开启网段设置,开启步骤如场景5。 在开启后,点击ECS到区间流量。  目标网段选择“其他”,源ECS选择对应的IP地址,即可看到网络流量的趋势和具体流量走向的Top10

image.png


场景7 - 威胁情报


基于阿里云威胁情报服务提供最近30天出现的威胁情报信息,  对ip地址进行全面扫描。 如果有安全风险的ip,会显示在威胁情报里。


image.png


总结


阿里云SLS  Flowlog日志中心提供了一站式的流日志分析功能,可以方便地一键启用,对网络流日志进行多场景的分析。 目前已于7月初全网上线,欢迎各位使用,如有问题或建议,可以随时通过如下渠道联系我们。


image.png

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享: