阿里云Flowlog简介
阿里云VPC 为云上的用户提供了网络流日志的能力,基于这份数据用户可以分析vpc网络中流量(5元组)走向、分析流量的成分(比如nat出口流量大、vpc间)、网络安全分析(acl策略是否合理、是否异常ip访问等)。
SLS Flowlog日志中心简介
SLS App是为了特定业务场景定制的垂直功能,入口就在sls.console.aliyun.com 控制台首页。
阿里云VPC Flowlog 提供了这份数据是一个金矿,而SLS Flowlog App则为小白用户提供了一个掘金的能力,可以帮助用户在几个鼠标点击的情况下,轻松地完成流日志的流量走向、成分分析、安全策略、网络威胁等分析场景。
下面介绍如何开通Flowlog,以及一键启用SLS Flowlog App
启用SLS Flowlog日志中心
Step 1. 开通VPC Flowlog(流日志)
巧妇难为无米之炊,要使用SLS Flowlog日志中心,首先要开通VPC Flowlog,下面是开通步骤。
VPC控制台提供了一键投递VPC Flowlog 的功能,详细步骤参考 链接 。注意,目前VPC Flowlog 流日志处于公测阶段,开通需要加白名单。
在成功开通VPC Flowlog 后,将在对应的SLS Project下生成一个对应流日志的logstore。
我们来看一下这个logstore包含哪些信息。
从日志字段来看,主要包含了网络流的5元组信息:源地址、目标地址、源端口、目标端口、协议(tcp/udp/其他), 以及对应的vpc采样的节点信息(如ecs&对应的vpc信息)、对应的流量&是否被accpet or reject。 基于这些信息,可以进行大量的流量分析。
接下来我们介绍使用SLS的Flowlog应用,一键开启多种分析报表,降低流日志分析的时间成本。
Step 2. 开通SLS Flowlog App
进入SLS 控制台首页,找到 应用-> Flowlog日志中心,点击进入
进入Flowlog日志中心好,点击“添加”,然后将刚才的
在弹出框里,点击“添加”,将刚才创建出来的VPC Floglog添加到这里。
创建完成后,点击实例,即可进入Flowlog 分析页面
使用SLS Flowlog日志中心
场景1 - 总览VPC流量和策略
主要包括vpc 流日中中的ACL策略情况: Accept、Reject的时序曲线,IN和OUT方向的流量曲线,以及访问城市来源。
场景2 - 网络策略统计
通过策略统计,可以看到Accept、Reject时间曲线的情况,并且针对Accept和Reject的都支持查询Top 100的明细。
场景3 - 特定ENI网卡的流量分析
ENI流量分析,提供了指定ENI流量趋势和明细Top 100的展示。
场景4 - ECS间流量分析
ECS间流量分析,提供了源ECS到目标ECS的流量趋势和5元组明细
场景5 - 网段间的流量分析
针对NAT出口流量分析,需要针对源和目标网段进行打标,打标将使用SLS 数据加工的功能,针对ip网段进行标识。 Flowlog 流量日志分析App集成了数据加工的功能,只要在App中进行网段设置,即可开启网段打标的功能,并支持自定义添加网段信息。
在开启了网段设置->"域间分析"之后,,左侧会有域间流量的Tab,打开标签,即可分析网段之间的流量
场景6 - NAT流量高分析
NAT流量高同样需要开启网段设置,开启步骤如场景5。 在开启后,点击ECS到区间流量。 目标网段选择“其他”,源ECS选择对应的IP地址,即可看到网络流量的趋势和具体流量走向的Top10
场景7 - 威胁情报
基于阿里云威胁情报服务提供最近30天出现的威胁情报信息, 对ip地址进行全面扫描。 如果有安全风险的ip,会显示在威胁情报里。
总结
阿里云SLS Flowlog日志中心提供了一站式的流日志分析功能,可以方便地一键启用,对网络流日志进行多场景的分析。 目前已于7月初全网上线,欢迎各位使用,如有问题或建议,可以随时通过如下渠道联系我们。
