使用 Flow Analyzer,您可以执行以下任务:
- 构建并运行针对 VPC 流日志的简单查询
- 针对 VPC 流日志构建 SQL 过滤器(使用 WHERE 语句)
- 使用所选字段整理结果,并使用总流量和汇总数据包对查询结果进行排序
- 查看选定时间间隔内的流量
- 以图表形式查看随时间变化的流量前五名(与其他流量相比)
- 以表格形式查看在所选时段内流量总和最高的资源
- 查看查询结果中特定来源和目标对之间流量的详细信息
- 使用 VPC 流日志中提供的其他字段对查询结果进行深入分析
准备工作
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
所需的角色和权限
由于 Flow Analyzer 会代表用户读取数据,因此请确保您拥有足够的权限来读取包含日志的存储桶。存储桶也必须升级才能使用 Log Analytics。
如需让用户读取存储桶中的日志,请使用日志浏览器页面。使用 Log Analytics 页面授予以下角色之一:
- 如需访问
_Default存储桶上的_Default视图,请授予 Logs Viewer 角色 (roles/logging.viewer)。 - 如需访问
_Default日志存储桶中的所有日志(包括数据访问日志),请授予 Private Logs Viewer 角色 (roles/logging.privateLogViewer)。
如需了解详情,请参阅 Logging 角色。
- 如需访问
如需让用户读取存储在用户定义的存储桶中的日志,请授予 Logs View Accessor 角色 (
roles/logging.viewAccessor)。您可以将授权限制为特定日志视图。如需了解详情,请参阅控制对日志视图的访问权限。或者,您也可以创建一个自定义角色,并向其授予以下权限:
logging.buckets.getlogging.buckets.listlogging.logEntries.listlogging.logs.listresourcemanager.projects.get
构建和运行查询
如需使用基本过滤条件构建和运行查询,请执行以下操作:
控制台
在 Google Cloud 控制台中,前往 Flow Analyzer 页面。
点击来源存储桶,然后执行以下操作:
- 在日志存储桶字段中,选择包含您要查询的流日志的存储桶。默认情况下,流日志存储在 _Default 日志存储桶中。
- 在日志存储桶视图字段中,选择一个日志视图。
- 可选:如果您想要查询与特定 VPC 流日志配置关联的流日志,请执行以下操作:
- 选中选择特定配置复选框。
- 在日志配置列表中,选择一项或多项 VPC 流日志配置。为子网配置的流日志选项会为日志存储桶中的所有子网选择所有流日志。
在流量汇总菜单中,选择以下选项之一:
- 来源 - 目标:汇总从来源到目标的流量。
- 客户端 - 服务器:通过考虑端口号和服务定义较低的资源或将 GKE 服务属性作为服务器,汇总双向流量。
如需了解详情,请参阅流量汇总。
在时间范围选择器中,设置查询的时间范围。默认时间范围为 1 小时。您可以选择预设的时间范围、指定自定义的开始时间和结束时间,或者选择特定时间周围的时间范围。
在过滤条件列表中,选择一个或多个查询过滤条件。每个过滤条件都对应于一个 VPC 流日志字段。如需详细了解这些字段,请参阅记录格式。如果您未选择任何过滤条件,Flow Analyzer 会显示所选时间段内所有流量的查询结果。
如果您为同一过滤条件选择多个值,系统会使用
OR运算符。如果您在同一过滤条件列表中选择多个过滤条件,系统会使用AND运算符。例如,如果您选择两个 IP 地址值(10.10.0.10和10.10.0.20)以及两个国家/地区值(usa和fra),系统会将以下过滤逻辑应用于查询:(IP=10.10.0.10 OR IP=10.10.0.20) AND (Country=usa OR Country=fra)。使用按以下方式整理流列表选择查询结果的整理方式,或保留默认值。
点击运行新查询。
流量最高的数据流图表和所有数据流表格会更新。
构建和运行 SQL 查询
如需在 Flow Analyzer 中使用 SQL 过滤条件构建和运行查询,请执行以下操作:
控制台
在 Google Cloud 控制台中,前往 Flow Analyzer 页面。
选择日志存储桶。如果您计划使用 _Default 日志存储桶,则可以跳过此步骤。
如需设置查询的时间范围,请使用时间范围选择器或选择重新运行所选时间段。
在流量汇总菜单中,选择以下选项之一:
- 来源 - 目标:汇总从来源到目标的流量。
- 客户端 - 服务器:将端口号和服务定义较低的资源视为服务器,以汇总双向流量。
如需了解详情,请参阅流量汇总。
点击 SQL 过滤条件。
使用 BigQuery SQL 语法输入 SQL 过滤条件查询
如需查看过滤表达式语法和示例,请点击过滤表达式语法和示例。
使用字段整理流。选择一个字段来整理详细流信息。
点击运行新查询。
流量最高的数据流图表和所有数据流表格会更新。
自定义显示选项
如需查看流量的具体详细信息,您可以自定义显示选项。如需详细了解可用的各种显示选项,请参阅显示选项。
控制台
- 构建查询。
- 选择日志存储桶。如果您计划使用 _Default 日志存储桶,则可以跳过此步骤。
- 如需设置查询的时间范围,请使用时间范围选择器或选择重新运行所选时间段。
- 选择过滤条件。
- 选择要作为结果整理依据的字段。
- 运行查询。
- 选择指标类型:发送的字节数或发送的数据包数。
选择指标汇总选项。
如果您选择发送的字节数作为指标,请选择以下任一选项:
- 总流量:所选时间段的总流量。默认处于启用状态。
- 平均流量速率:所选时间段的平均流量速率。仅针对观察到流量的校准时间段进行计算。
- 流量速率中位数:所选时间段的流量速率中位数。仅针对观察到流量的校准时间段进行计算。
- P95 流量速率:所选时间段内的第 95 百分位流量速率。仅针对观察到流量的校准时间段进行计算。
- 流量速率上限:所选时间段的流量速率上限。
如果您选择发送的数据包数作为指标,请选择以下选项之一:
- 汇总数据包数:所选时间段内的数据包总数。默认处于启用状态。
- 平均数据包速率:所选时间段的平均数据包速率。仅针对观察到流量的校准时间段进行计算。
- 数据包速率中位数:所选时间段的数据包速率中位数。仅针对观察到流量的校准时间段进行计算。
- P95 数据包速率:所选时间段内的数据包速率的第 95 百分位。仅针对观察到流量的校准时间段进行计算。
- 数据包速率上限:所选时间段的数据包速率上限。
如需详细了解各种指标汇总选项,请参阅指标汇总。
选择校准时间段。如需详细了解校准时间段,请参阅校准时间段。
选择采样点。
- 来源端点:在流的来源端点报告的已发送字节数或已发送数据包数。
- 目标端点:在流的目标端点报告的已发送字节数或已发送数据包数。
- 来源端点和目标端点的总和:流的两个端点报告的发送字节数或发送数据包数的总和。
- 来源端点和目标端点的平均值:如果 VPC 流日志中同时提供来源信息和目标详细信息,则为流的两个端点报告的已发送字节数或数据包数的平均值。
如需了解详情,请参阅采样点。
查看详细流信息
如需在数据流表中查看所选数据流的详细流信息,请执行以下操作:
控制台
- 构建查询。
- 选择日志存储桶。如果您计划使用 _Default 日志存储桶,则可以跳过此步骤。
- 如需设置查询的时间范围,请使用时间范围选择器或选择重新运行所选时间段。
- 选择过滤条件。
- 选择要作为结果整理依据的字段。
- 运行查询。
- 在所有数据流表格中,点击任意数据流的详细信息。随即显示的详细流信息页面会显示与所选过滤条件匹配的所有资源以及这些资源的流量。
深入分析流量
您可以进一步细化所选资源的流量。使用 Flow Analyzer,您可以通过使用 VPC 流日志中提供的其他字段,进一步深入分析查询结果。有关详情,请参阅查看详细流信息。
如需使用更多字段深入分析流量,请执行以下操作:
控制台
- 构建查询。
- 选择日志存储桶。如果您计划使用 _Default 日志存储桶,则可以跳过此步骤。
- 如需设置查询的时间范围,请使用时间范围选择器或选择重新运行所选时间段。
- 选择过滤条件。
- 选择要作为结果整理依据的字段。
- 运行查询。
在所有数据流表格中,点击任意数据流的详细信息。
随即显示的详细流信息页面会显示与所选过滤条件匹配的所有资源以及这些资源的流量。
在按以下字段细分列表中,选择一个字段以进行深入分析。
如需与过去的流量进行比较,请点击与过去相比切换开关。借助此功能,您可以查看六条线:三条实线代表深入分析数据中的前三名流量排行,三条虚线用相应颜色代表过去的流量。