借助 Flow Analyzer,您可以执行以下任务:
- 构建并运行针对 VPC 流日志的简单查询
- 为对 VPC 流日志的查询构建 SQL 过滤条件(使用 WHERE 语句)
- 使用所选字段整理结果,并使用总流量和汇总数据包对查询结果进行排序
- 查看所选时间间隔内的流量
- 以图形方式查看一段时间内与其他流量相比,流量排名前 5 的流量
- 以表格形式查看在所选时段内流量最高的资源
- 从查询结果中查看特定来源和目的地对之间的流量详情
- 使用 VPC 流日志中提供的其余字段对查询结果进行展开
准备工作
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
所需的角色和权限
由于流分析器会代表用户读取数据,因此请确保您拥有足够的权限来读取包含日志的存储分区。您还必须升级该存储分区才能使用 Log Analytics。
如需允许用户读取存储分区中的日志,请使用“日志浏览器”页面。使用“日志分析”页面授予以下角色之一:
- 如需访问
_Default存储分区中的_Default视图,请授予 Logs Viewer 角色 (roles/logging.viewer)。 - 如需访问
_Default日志分桶中的所有日志(包括数据访问日志),请授予 Private Logs Viewer 角色 (roles/logging.privateLogViewer)。
如需了解详情,请参阅日志记录角色。
- 如需访问
如需允许用户读取存储在用户定义的存储分区中的日志,请授予 Logs View Accessor 角色 (
roles/logging.viewAccessor)。您可以将授权限制为特定的日志视图。如需了解详情,请参阅控制对日志视图的访问权限。或者,您也可以创建一个自定义角色,并向其授予以下权限:
logging.buckets.getlogging.buckets.listlogging.logEntries.listlogging.logs.listresourcemanager.projects.get
构建和运行查询
如需使用基本过滤条件构建和运行查询,请执行以下操作:
控制台
在 Google Cloud 控制台中,前往流量分析器页面。
点击 来源存储分区,然后执行以下操作:
- 在日志存储分区字段中,选择包含要查询的流日志的日志存储分区。默认情况下,流日志存储在 _Default 日志存储分区中。
- 在日志存储分区视图字段中,选择一个日志视图。
- 可选:如果您想查询与特定 VPC 流日志配置关联的流日志,请执行以下操作:
- 选中选择特定配置复选框。
- 在日志配置列表中,选择一个或多个 VPC 流日志配置。为子网配置的流日志选项会选择日志分桶中所有子网的所有流日志。
在流量汇总菜单中,选择以下选项之一:
- 来源 - 目标:汇总从来源到目标的流量。
- 客户端 - 服务器:通过将端口号和服务定义较低或具有 GKE 服务属性的资源视为服务器,汇总两个方向的流量。
如需了解详情,请参阅流量汇总。
在时间范围选择器中,设置查询的时间范围。默认时间范围为 1 小时。您可以选择预设的时间范围、指定自定义的开始时间和结束时间,也可以选择特定时间周围的时间范围。
在过滤条件列表中,选择一个或多个查询过滤条件。每个过滤条件都对应于一个 VPC 流日志字段。如需详细了解这些字段,请参阅记录格式。如果您未选择任何过滤条件,流程分析器会显示所选时间段内所有流程的查询结果。
如果您为同一过滤条件选择多个值,系统会使用
OR运算符。如果您在同一过滤条件列表中选择多个过滤条件,系统会使用AND运算符。例如,如果您选择两个 IP 地址值(10.10.0.10和10.10.0.20)以及两个国家/地区值(usa和fra),系统会将以下过滤逻辑应用于查询:(IP=10.10.0.10 OR IP=10.10.0.20) AND (Country=usa OR Country=fra)。使用按以下方式整理流程列表选择查询结果的整理方式,或保留默认值。
点击运行新查询。
数据流量最高图表和所有数据流表会更新。
构建和运行 SQL 查询
如需在流分析器中使用 SQL 过滤器构建和运行查询,请执行以下操作:
控制台
在 Google Cloud 控制台中,前往流量分析器页面。
选择日志存储分区。如果您打算使用 _Default 日志存储分区,则可以跳过此步骤。
如需设置查询的时间范围,请使用时间范围选择器或选择重新运行所选时间段。
在流量汇总菜单中,选择以下选项之一:
- 来源 - 目标:汇总从来源到目标的流量。
- 客户端 - 服务器:通过将端口号和服务定义较低的资源视为服务器,汇总双向流量。
如需了解详情,请参阅流量汇总。
点击 SQL 过滤器。
使用 BigQuery SQL 语法输入 SQL 过滤条件查询。
如需查看过滤表达式语法和示例,请点击过滤表达式语法和示例。
使用相关字段整理流程。选择一个字段来整理流程详细信息。
点击运行新查询。
数据流量最高图表和所有数据流表会更新。
自定义显示选项
如需查看流量的具体详细信息,您可以自定义显示选项。如需详细了解可用的各种显示选项,请参阅显示选项。
控制台
- 构建查询。
- 选择日志存储分区。如果您打算使用 _Default 日志存储分区,则可以跳过此步骤。
- 如需设置查询的时间范围,请使用时间范围选择器或选择重新运行所选时间段。
- 选择过滤条件。
- 选择要用于整理结果的字段。
- 运行该查询
- 选择指标类型:发送的字节数或发送的数据包数。
选择指标汇总选项。
如果您选择发送的字节数作为指标,请选择以下选项之一:
- 总流量:所选时间段内的总流量。默认处于启用状态。
- 平均流量率:所选时间段内的平均流量率。仅针对观察到流量的校准时间段进行计算。
- 流量速率中位数:所选时间段内的流量速率中位数。仅针对观察到流量的校准时间段进行计算。
- P95 流量速率:所选时间段内的第 95 百分位流量速率。仅针对观察到流量的校准时间段计算。
- 流量速率上限:所选时间段内的流量速率上限。
如果您选择发送的数据包数作为指标,请选择以下选项之一:
- 汇总数据包:所选时间段内的数据包总数。默认处于启用状态。
- 平均数据包速率:所选时间段内的平均数据包速率。仅针对观察到流量的校准时间段进行计算。
- 数据包速率中位数:所选时间段内的数据包速率中位数。仅针对观察到流量的校准时间段进行计算。
- P95 数据包速率:所选时间段内第 95 百分位的数据包速率。仅针对观察到流量的校准时间段进行计算。
- 数据包速率上限:所选时间段内的数据包速率上限。
如需详细了解各种指标汇总选项,请参阅指标汇总。
选择校准时间段。如需详细了解校准时间段,请参阅校准时间段。
选择一个采样点。
- 来源端点:流的来源端点中报告的已发送字节数或已发送数据包数。
- 目的地端点:流的目的地端点报告的已发送字节数或已发送数据包数。
- 来源端点和目标端点的总和:流的两个端点报告的发送字节数或发送数据包数的总和。
- 来源和目标端点的平均值:如果 VPC 流日志中同时包含来源和目标详细信息,则为流的两个端点报告的已发送字节数或已发送数据包数的平均值。
如需了解详情,请参阅采样点。
查看流程详情
如需在数据流表中查看所选数据流的流详情,请执行以下操作:
控制台
- 构建查询。
- 选择日志存储分区。如果您打算使用 _Default 日志存储分区,则可以跳过此步骤。
- 如需设置查询的时间范围,请使用时间范围选择器或选择重新运行所选时间段。
- 选择过滤条件。
- 选择要用于整理结果的字段。
- 运行该查询
- 在所有数据流表格中,点击任意数据流的详细信息。随即显示的数据流详情页面会显示与所选过滤条件匹配的所有资源以及这些资源的流量。
深入了解流量
您可以进一步细化所选资源的流量。使用 Flow Analyzer,您可以使用 VPC 流日志中提供的其余字段来深入钻研查询结果。如需了解详情,请参阅查看流程详情。
如需使用更多字段来展开流量数据,请执行以下操作:
控制台
- 构建查询。
- 选择日志存储分区。如果您打算使用 _Default 日志存储分区,则可以跳过此步骤。
- 如需设置查询的时间范围,请使用时间范围选择器或选择重新运行所选时间段。
- 选择过滤条件。
- 选择要用于整理结果的字段。
- 运行该查询
在所有数据流表格中,点击任意数据流的详细信息。
随即显示的流量详情页面会显示与所选过滤条件匹配的所有资源以及这些资源的流量。
在按以下维度展开列表中,选择要展开的字段。
如需与过往流量进行比较,请点击与过往值对比切换开关。借助此功能,您可以查看六条线:三条实线代表展开细目后显示的三个主要流量,三条虚线代表相应颜色的过往流量。