使用 Flow Analyzer,您可以执行以下任务:
- 在 VPC 流日志上构建并运行简单查询
- 为以下查询构建一个 SQL 过滤器(使用 WHERE 语句) VPC 流日志
- 使用所选字段整理结果,并使用 总流量和汇总数据包数量
- 查看所选时间间隔内的流量
- 以图形方式查看一段时间内与其他流量相比,流量最多的前五个流量
- 查看在所选区域内汇总流量最高的资源 表格格式的时长
- 从查询结果中查看特定来源和目的地对之间的流量详细信息
- 使用其余字段深入了解查询结果 在 VPC 流日志中提供
准备工作
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
所需的角色和权限
由于流量分析器代表用户读取数据,因此请确保您拥有足够的权限来读取包含日志的存储桶。您还必须升级该存储桶才能使用 Log Analytics。
如需允许用户读取存储分区中的日志,请使用“日志浏览器”页面。使用“日志分析”页面授予以下角色之一:
- 如需访问
_Default存储桶中的_Default视图,请授予 Logs Viewer 角色 (roles/logging.viewer)。 - 用于访问
_Default日志存储桶中的所有日志(包括数据访问) 授予 Private Logs Viewer 角色 (roles/logging.privateLogViewer)。
如需了解详情,请参阅日志记录角色。
- 如需访问
如需允许用户读取存储在用户定义的存储桶中的日志,请授予 Logs View Accessor 角色 (
roles/logging.viewAccessor)。您可以将授权限制为特定的日志视图。如需更多信息 请参阅控制对日志视图的访问权限。或者,您也可以创建一个自定义角色,该自定义角色可授予以下权限:
logging.buckets.getlogging.buckets.listlogging.logEntries.listlogging.logs.listresourcemanager.projects.get
构建并运行查询
如需构建和运行查询,请执行以下操作:
控制台
在 Google Cloud 控制台中,前往 Flow Analyzer 页面。
选择日志存储桶。如果您打算使用 _Default 日志存储桶,则可以跳过此步骤。
在流量汇总菜单中,选择以下选项之一:
- 来源 - 目标:将来自来源的流量汇总到 目标。
- 客户端 - 服务器:按以下条件汇总双向流量: 考虑使用端口号和服务较少的资源 定义或将 GKE 服务属性用作服务器。
如需了解详情,请参阅 流量汇总。
如需设置查询的时间范围,请使用时间范围选择器。 默认时间范围是 1 小时,但您可以从预设的时间范围中进行选择 时间选项。您可以指定自定义开始时间和结束时间,也可以选择特定时间周围的时间范围。
点击图表中的重新运行所选时间段。
在“来源和目标”或“客户端和服务器”字段中,从字段列表中选择一个字段。
添加一个或多个过滤表达式,以使用键作为所选字段来过滤与所选键值对匹配的数据流。
如果您为同一字段选择多个过滤条件,系统会使用
OR运算符。如果您为不同的字段选择过滤条件,则使用AND运算符。对于 例如,如果你 选择两个 IP 地址值:1.2.3.4和10.20.10.30和两个 Country 值:US和France,以下是 过滤条件逻辑会应用于查询:(IP=
1.2.3.4OR IP=10.20.10.30)AND(Country=USOR Country=France)使用相关字段整理流程。选择一个字段来整理 数据流详情。
点击运行新查询。
数据流量最高图表和所有数据流表会更新。
使用显示选项可自定义查询结果。 如需详细了解可用的各种显示选项,请参阅显示选项。要选择自定义选项,请参阅 自定义显示选项。
更改完显示选项后,请点击 OK。
点击重新运行,使用所选的显示选项再次运行查询。
构建和运行 SQL 查询
如需使用 SQL 过滤条件选项在流分析器中构建和运行查询,请执行以下操作:
在 Google Cloud 控制台中,前往流量分析器页面。
选择日志存储桶。如果您打算使用 _Default 日志存储桶, 您可以跳过此步骤
如需设置查询的时间范围,请使用时间范围选择器,或选择重新运行所选时间段。
在流量汇总菜单中,选择以下选项之一:
- 来源 - 目标:将来自来源的流量汇总到 目标。
客户端 - 服务器:通过将端口号和服务定义较低的资源视为服务器,汇总双向流量。
如需了解详情,请参阅 流量汇总。
点击 SQL 过滤器。
输入以下内容的 SQL 过滤条件查询: BigQuery SQL 语法。
如需查看过滤条件表达式语法和示例,请点击过滤表达式语法和示例。
使用相关字段整理流程。选择一个字段来整理 数据流详情。
点击运行新查询。
数据流量最高图表和所有数据流表会更新。
使用显示选项可自定义查询结果。 如需详细了解可用的各种显示选项,请参阅显示选项。 如需选择自定义选项,请参阅自定义显示选项。
更改完显示选项后,请点击 OK。
如需使用所选的显示选项再次运行查询,请点击重新运行。
自定义显示选项
如需查看流量的具体详情,您可以自定义显示 选项。如需详细了解可用的各种显示选项,请参阅显示选项。
控制台
- 构建查询。
- 选择日志存储桶。如果您打算使用 _Default 日志存储桶,则可以跳过此步骤。
- 要设置查询的时间范围,请使用时间范围选择器或 选择重新运行所选时间段。
- 选择过滤条件。
- 选择要用于整理结果的字段。
- 运行查询。
- 选择指标类型:发送的字节数或发送的数据包数。
选择指标汇总选项。
如果您选择发送的字节数作为指标,请选择以下选项之一 选项:
- 总流量:所选时间段内的总流量。 默认处于启用状态。
- 平均流量速率:所选流量的平均流量速率 。仅针对 检测到流量
- 流量速率中位数:所选流量的中位数流量速率 。仅针对观察到流量的校准时间段进行计算。
- P95 流量速率:所选时间段内的第 95 百分位流量速率。仅针对观察到流量的校准时间段计算。
- 流量速率上限:所选流量的最大流量速率 。
如果您选择发送的数据包数量作为指标,请选择以下选项之一 选项:
- 汇总数据包数量:所选数据包的汇总数量。 。默认处于启用状态。
- 平均数据包速率:所选消息的平均数据包速率 。仅针对 检测到流量
- 数据包速率中位数:所选数据包速率的中位数 。仅针对观察到流量的校准时间段进行计算。
- P95 数据包速率:所选时间段内第 95 百分位的数据包速率。仅针对观察到流量的校准时间段计算。
- 数据包速率上限:所选数据包的速率上限 。
有关各种指标汇总选项的详细信息,请参阅 指标汇总。
选择校准时间段。如需详细了解校准时间段,请参阅校准时间段。
选择采样点。
- 来源端点:流的来源端点中报告的已发送字节数或已发送数据包数。
- 目的地端点:流的目的地端点报告的已发送字节数或已发送数据包数。
- 来源端点和目标端点的总和:已发送的字节数或 流的两个端点所报告的发送数据包的数量。
- 来源和目标端点的平均值:如果 VPC 流日志中同时包含来源和目标详细信息,则为流的两个端点报告的已发送字节数或已发送数据包数的平均值。
如需了解详情,请参阅采样点。
查看流程详情
如需在数据流表中查看所选数据流的流详情,请执行以下操作:
控制台
- 构建查询。
- 选择日志存储桶。如果您打算使用 _Default 日志 您可以跳过此步骤。
- 要设置查询的时间范围,请使用时间范围选择器或 选择重新运行所选时间段。
- 选择过滤条件。
- 选择要用于整理结果的字段。
- 运行查询。
在所有数据流表中,点击任意流的显示详细信息。
随即显示的流详情页面会显示所有匹配的资源。 所选过滤条件以及这些资源的流量。
深入了解流量
您可以进一步细化所选资源的流量。使用 使用 Flow Analyzer,您可以使用 VPC 流日志中可用的剩余字段。如需了解详情,请参阅细分或展开流程详情。
如需使用更多字段深入分析流量,请执行以下操作:
控制台
- 构建查询。
- 选择日志存储桶。如果您打算使用 _Default 日志 您可以跳过此步骤。
- 要设置查询的时间范围,请使用时间范围选择器或 选择重新运行所选时间段。
- 选择过滤条件。
- 选择要用于整理结果的字段。
- 运行查询。
在所有数据流表中,点击任意流的显示详细信息。
随即显示的流详情页面会显示与以下内容匹配的所有资源: 所选过滤条件以及这些资源的流量。
在按列表中,选择要展开细目分析的字段。
如需与过往流量进行比较,请点击与过往值对比切换开关。借助此功能,您可以查看六条线:三条实线代表展开细目后显示的三大流量,三条虚线代表相应颜色的过往流量。