阿裡雲Flowlog簡介
阿裡雲VPC 為雲上的使用者提供了網絡流日志的能力,基于這份資料使用者可以分析vpc網絡中流量(5元組)走向、分析流量的成分(比如nat出口流量大、vpc間)、網絡安全分析(acl政策是否合理、是否異常ip通路等)。
SLS Flowlog日志中心簡介
SLS App是為了特定業務場景定制的垂直功能,入口就在sls.console.aliyun.com 控制台首頁。
阿裡雲VPC Flowlog 提供了這份資料是一個金礦,而SLS Flowlog App則為小白使用者提供了一個掘金的能力,可以幫助使用者在幾個滑鼠點選的情況下,輕松地完成流日志的流量走向、成分分析、安全政策、網絡威脅等分析場景。
下面介紹如何開通Flowlog,以及一鍵啟用SLS Flowlog App
啟用SLS Flowlog日志中心
Step 1. 開通VPC Flowlog(流日志)
巧婦難為無米之炊,要使用SLS Flowlog日志中心,首先要開通VPC Flowlog,下面是開通步驟。
VPC控制台提供了一鍵投遞VPC Flowlog 的功能,詳細步驟參考 連結 。注意,目前VPC Flowlog 流日志處于公測階段,開通需要加白名單。
在成功開通VPC Flowlog 後,将在對應的SLS Project下生成一個對應流日志的logstore。
我們來看一下這個logstore包含哪些資訊。
從日志字段來看,主要包含了網絡流的5元組資訊:源位址、目标位址、源端口、目标端口、協定(tcp/udp/其他), 以及對應的vpc采樣的節點資訊(如ecs&對應的vpc資訊)、對應的流量&是否被accpet or reject。 基于這些資訊,可以進行大量的流量分析。
接下來我們介紹使用SLS的Flowlog應用,一鍵開啟多種分析報表,降低流日志分析的時間成本。
Step 2. 開通SLS Flowlog App
進入SLS 控制台首頁,找到 應用-> Flowlog日志中心,點選進入
進入Flowlog日志中心好,點選“添加”,然後将剛才的
在彈出框裡,點選“添加”,将剛才建立出來的VPC Floglog添加到這裡。
建立完成後,點選執行個體,即可進入Flowlog 分析頁面
使用SLS Flowlog日志中心
場景1 - 總覽VPC流量和政策
主要包括vpc 流日中中的ACL政策情況: Accept、Reject的時序曲線,IN和OUT方向的流量曲線,以及通路城市來源。
場景2 - 網絡政策統計
通過政策統計,可以看到Accept、Reject時間曲線的情況,并且針對Accept和Reject的都支援查詢Top 100的明細。
場景3 - 特定ENI網卡的流量分析
ENI流量分析,提供了指定ENI流量趨勢和明細Top 100的展示。
場景4 - ECS間流量分析
ECS間流量分析,提供了源ECS到目标ECS的流量趨勢和5元組明細
場景5 - 網段間的流量分析
針對NAT出口流量分析,需要針對源和目标網段進行打标,打标将使用SLS 資料加工的功能,針對ip網段進行辨別。 Flowlog 流量日志分析App內建了資料加工的功能,隻要在App中進行網段設定,即可開啟網段打标的功能,并支援自定義添加網段資訊。
在開啟了網段設定->"域間分析"之後,,左側會有域間流量的Tab,打開标簽,即可分析網段之間的流量
場景6 - NAT流量高分析
NAT流量高同樣需要開啟網段設定,開啟步驟如場景5。 在開啟後,點選ECS到區間流量。 目标網段選擇“其他”,源ECS選擇對應的IP位址,即可看到網絡流量的趨勢和具體流量走向的Top10
場景7 - 威脅情報
基于阿裡雲威脅情報服務提供最近30天出現的威脅情報資訊, 對ip位址進行全面掃描。 如果有安全風險的ip,會顯示在威脅情報裡。
總結
阿裡雲SLS Flowlog日志中心提供了一站式的流日志分析功能,可以友善地一鍵啟用,對網絡流日志進行多場景的分析。 目前已于7月初全網上線,歡迎各位使用,如有問題或建議,可以随時通過如下管道聯系我們。