您可以使用 Flow Analyzer 执行以下任务:
- 针对 VPC 流日志构建并运行简单的查询
- 为 VPC 流日志上的查询构建 SQL 过滤条件(使用 WHERE 语句)
- 使用所选字段整理结果,并使用总流量和汇总数据包对查询结果进行排序
- 查看所选时间间隔的流量
- 以图表形式查看一段时间内排名前五位的流量(与其他流量相比)
- 以表格形式查看在所选时间段内汇总的流量最高的资源
- 从查询结果中查看特定来源和目标对之间的流量详细信息
- 使用 VPC 流日志中可用的剩余字段来深入查看查询结果
准备工作
-
在 Google Cloud Console 中的项目选择器页面上,选择或创建一个 Google Cloud 项目。
所需的角色和权限
由于 Flow Analyzer 会代表用户读取数据,请确保您有足够的权限来读取包含日志的存储桶。还必须升级该存储桶才能使用 Log Analytics。
如需允许用户读取存储分区中的日志,请使用“日志浏览器”页面。使用 Log Analytics 页面授予以下角色之一:
- 如需访问
_Default存储桶的_Default视图,请授予 Logs Viewer 角色 (roles/logging.viewer)。 - 如需访问
_Default日志存储桶中的所有日志(包括数据访问日志),请授予 Private Logs Viewer 角色 (roles/logging.privateLogViewer)。
如需了解详情,请参阅 Logging 角色。
- 如需访问
如需允许用户读取存储在用户定义的存储桶中的日志,请授予 Logs View Accessor 角色 (
roles/logging.viewAccessor)。您可以将授权范围限定为特定日志视图。如需了解详情,请参阅控制对日志视图的访问权限。或者,创建一个可授予以下权限的自定义角色:
logging.buckets.getlogging.buckets.listlogging.logEntries.listlogging.logs.listresourcemanager.projects.get
构建并运行查询
如需构建并运行查询,请执行以下操作:
控制台
在 Google Cloud 控制台中,前往流分析器页面。
选择日志存储桶。如果您打算使用 _Default 日志存储桶,则可以跳过此步骤。
在流量汇总菜单中,选择以下选项之一:
- 来源 - 目的地:聚合从来源到目的地的流量。
- 客户端 - 服务器:通过考虑端口号和服务定义较少的资源,或将 GKE 服务属性用作服务器,在两个方向上聚合流量。
如需了解详情,请参阅流量汇总。
如需设置查询的时间范围,请使用时间范围选择器。 默认时间范围为 1 小时,但您可以从预设时间选项中进行选择。您可以指定自定义开始时间和结束时间,也可以选择特定时间前后的时间范围。
点击图表中的重新运行所选时间段。
在来源和目标或者客户端和服务器字段中,从字段列表中选择一个字段。
添加一个或多个过滤条件表达式,以将该键用作所选字段,过滤与所选键值对匹配的流。
如果您为同一字段选择更多过滤条件,则系统会使用
OR运算符。 如果您针对不同的字段选择过滤条件,则系统会使用AND运算符。例如,如果您选择两个 IP 地址值:1.2.3.4和10.20.10.30,以及两个 Country 值:US和France,则会对查询应用以下过滤逻辑:(IP=
1.2.3.4OR IP=10.20.10.30)AND(国家/地区=USOR 国家/地区=France)使用字段整理流。选择一个字段来整理流详细信息。
点击运行新查询。
更新了最高数据流图表和所有数据流表。
使用显示选项自定义查询结果。 如需详细了解各种可用的显示选项,请参阅显示选项。 如需选择自定义选项,请参阅自定义显示选项。
更改好显示选项后,点击 OK。
点击重新运行,使用所选的显示选项再次运行查询。
构建并运行 SQL 查询
如需使用 SQL 过滤条件选项在 Flow Analyzer 中构建和运行查询,请执行以下操作:
在 Google Cloud 控制台中,前往流分析器页面。
选择日志存储桶。如果您打算使用 _Default 日志存储桶,则可以跳过此步骤。
如需设置查询的时间范围,请使用时间范围选择器或选择重新运行所选时间段。
在流量汇总菜单中,选择以下选项之一:
- 来源 - 目标:聚合从来源到目标的流量。
客户端 - 服务器:将端口号和服务定义较小的资源视为服务器,从两个方向聚合流量。
如需了解详情,请参阅流量汇总。
点击 SQL 过滤条件。
使用 BigQuery SQL 语法输入 SQL 过滤条件查询。
如需查看过滤条件表达式语法和示例,请点击过滤条件表达式语法和示例。
使用字段整理流。选择一个字段来整理流详细信息。
点击运行新查询。
更新了最高数据流图表和所有数据流表。
使用显示选项自定义查询结果。 如需详细了解各种可用的显示选项,请参阅显示选项。 要选择自定义选项,请参阅自定义显示选项。
完成对显示选项的更改后,点击 OK。
如需使用选定的显示选项再次运行查询,请点击重新运行。
自定义显示选项
如需查看流量的具体详细信息,您可以自定义显示选项。如需详细了解各种可用的显示选项,请参阅显示选项。
控制台
- 构建查询。
- 选择日志存储桶。如果您打算使用 _Default 日志存储桶,则可以跳过此步骤。
- 如需设置查询的时间范围,请使用时间范围选择器或选择重新运行所选时间段。
- 选择过滤条件。
- 选择字段以整理结果。
- 运行查询。
- 选择指标类型:发送的字节数或发送的数据包数量。
选择指标汇总选项。
如果您选择发送的字节数作为指标,请选择以下选项之一:
- 总流量:所选时间段内的总流量。 默认处于启用状态。
- 平均流量速率:所选时间段内的平均流量速率。仅针对观察到流量的校准时间段计算。
- 流量速率中位数:所选时间段内的流量速率中位数。仅针对观察到流量的校准时间段计算。
- P95 流量速率:所选时间段内第 95 百分位的流量速率。仅针对观察到流量的校准时间段计算得出。
- 最大流量速率:所选时间段内的最大流量速率。
如果选择发送的数据包数量作为指标,请选择以下选项之一:
- 汇总数据包:所选时间段内的数据包总数。默认处于启用状态。
- 平均数据包速率:所选时间段内的平均数据包速率。仅针对观察到流量的校准时间段计算。
- 数据包速率中位数:所选时间段内的数据包速率中位数。仅针对观察到流量的校准时间段计算。
- P95 数据包速率:所选时间段内第 95 百分位的数据包速率。仅针对观察到流量的校准时间段计算得出。
- 数据包速率上限:所选时间段内的最大数据包速率。
如需详细了解各种指标聚合选项,请参阅指标聚合。
选择校准时间段。如需详细了解校准时间段,请参阅校准时间段。
选择采样点。
- 来源端点:在流的源端点上报告的已发送字节数或数据包数。
- 目标端点:在流的目标端点上报告的已发送字节数或数据包数量。
- 来源和目标端点之和:流的两个端点发送的已发送字节数或数据包数量的总和。
- 来源和目标端点的平均值:如果在 VPC 流日志中同时提供了来源和目标详细信息,则流的两个端点所报告的已发送字节数或数据包数量平均值。
如需了解详情,请参阅采样点。
查看流详情
如需在数据流表中查看所选流的流详细信息,请执行以下操作:
控制台
- 构建查询。
- 选择日志存储桶。如果您打算使用 _Default 日志存储桶,则可以跳过此步骤。
- 如需设置查询的时间范围,请使用时间范围选择器或选择重新运行所选时间段。
- 选择过滤条件。
- 选择字段以整理结果。
- 运行查询。
在所有数据流表中,点击任意流的显示详细信息。
随即显示的流详情页面会显示与所选过滤条件匹配的所有资源以及这些资源的流量。
深入了解流量
您可以进一步优化所选资源的流量。借助流分析器,您可以使用 VPC 流日志中可用的其余字段来深入了解查询结果。如需了解详情,请参阅细分或深入分析流详细信息。
如需使用更多字段深入了解流量,请执行以下操作:
控制台
- 构建查询。
- 选择日志存储桶。如果您打算使用 _Default 日志存储桶,则可以跳过此步骤。
- 如需设置查询的时间范围,请使用时间范围选择器或选择重新运行所选时间段。
- 选择过滤条件。
- 选择字段以整理结果。
- 运行查询。
在所有数据流表中,点击任意流的显示详细信息。
随即出现的流详情页面会显示与所选过滤条件匹配的所有资源以及这些资源的流量。
在展开细目列表中,选择一个字段以展开细目。
若要与过去的流量进行比较,请点击与过去相比切换开关。通过此功能,您可以查看六条线:三条实线表示来自向下钻取的三个主要流量流,三条实线分别表示过去的流量,而这些虚线则以对应颜色标示。