借助 Flow Analyzer,您可以执行以下任务:
- 构建并运行针对 VPC 流日志的简单查询
- 为对 VPC 流日志的查询构建 SQL 过滤条件(使用 WHERE 语句)
- 使用所选字段整理结果,并使用总流量和汇总数据包对查询结果进行排序
- 查看所选时间间隔内的流量
- 以图形方式查看一段时间内与其他流量相比,流量最多的前五个流量流
- 以表格形式查看在所选时段内流量最高的资源
- 从查询结果中查看特定来源和目的地对之间的流量详细信息
- 使用 VPC 流日志中提供的其余字段对查询结果进行展开
准备工作
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
所需的角色和权限
由于流分析器代表用户读取数据,因此请确保您拥有足够的权限来读取包含日志的存储桶。您还必须升级该存储桶才能使用 Log Analytics。
如需允许用户读取存储分区中的日志,请使用“日志浏览器”页面。使用“日志分析”页面授予以下角色之一:
- 如需访问
_Default存储桶中的_Default视图,请授予 Logs Viewer 角色 (roles/logging.viewer)。 - 如需访问
_Default日志存储桶中的所有日志(包括数据访问日志),请授予 Private Logs Viewer 角色 (roles/logging.privateLogViewer)。
如需了解详情,请参阅日志记录角色。
- 如需访问
如需允许用户读取存储在用户定义的存储桶中的日志,请授予 Logs View Accessor 角色 (
roles/logging.viewAccessor)。您可以将授权限制为特定的日志视图。如需了解详情,请参阅控制对日志视图的访问权限。或者,您也可以创建一个自定义角色,并向其授予以下权限:
logging.buckets.getlogging.buckets.listlogging.logEntries.listlogging.logs.listresourcemanager.projects.get
构建并运行查询
如需构建和运行查询,请执行以下操作:
控制台
在 Google Cloud 控制台中,前往流量分析器页面。
选择日志存储桶。如果您打算使用 _Default 日志存储桶,则可以跳过此步骤。
在流量汇总菜单中,选择以下选项之一:
- 来源 - 目标:汇总从来源到目标的流量。
- 客户端 - 服务器:通过将端口号和服务定义较低或具有 GKE 服务属性的资源视为服务器,汇总两个方向的流量。
如需了解详情,请参阅流量汇总。
如需设置查询的时间范围,请使用时间范围选择器。默认时间范围为 1 小时,但您也可以从预设时间选项中进行选择。您可以指定自定义开始时间和结束时间,也可以选择特定时间周围的时间范围。
点击图表中的重新运行所选时间段。
在“来源和目标”或“客户端和服务器”字段中,从字段列表中选择一个字段。
添加一个或多个过滤表达式,以使用键作为所选字段来过滤与所选键值对匹配的数据流。
如果您为同一字段选择多个过滤条件,系统会使用
OR运算符。如果您为不同的字段选择过滤条件,系统会使用AND运算符。例如,如果您选择“1.2.3.4”和“10.20.10.30”这两个 IP 地址值,以及“US”和“France”这两个国家/地区值,系统会将以下过滤逻辑应用于查询:(IP=
1.2.3.4OR IP=10.20.10.30)AND(Country=USOR Country=France)使用相关字段整理流程。选择一个字段来整理流程详情。
点击运行新查询。
数据流量最高图表和所有数据流表会更新。
使用显示选项来自定义查询结果。 如需详细了解可用的各种显示选项,请参阅显示选项。如需选择自定义选项,请参阅自定义显示选项。
完成对显示选项的更改后,点击确定。
点击重新运行,使用所选的显示选项再次运行查询。
构建和运行 SQL 查询
如需使用 SQL 过滤条件选项在流分析器中构建和运行查询,请执行以下操作:
在 Google Cloud 控制台中,前往流量分析器页面。
选择日志存储桶。如果您打算使用 _Default 日志存储桶,则可以跳过此步骤。
如需设置查询的时间范围,请使用时间范围选择器,或选择重新运行所选时间段。
在流量汇总菜单中,选择以下选项之一:
- 来源 - 目标:汇总从来源到目标的流量。
客户端 - 服务器:通过将端口号和服务定义较低的资源视为服务器,汇总双向流量。
如需了解详情,请参阅流量汇总。
点击 SQL 过滤器。
使用 BigQuery SQL 语法输入 SQL 过滤条件查询。
如需查看过滤表达式语法和示例,请点击过滤表达式语法和示例。
使用相关字段整理流程。选择一个字段来整理流程详细信息。
点击运行新查询。
数据流量最高图表和所有数据流表会更新。
使用显示选项来自定义查询结果。 如需详细了解可用的各种显示选项,请参阅显示选项。 如需选择自定义选项,请参阅自定义显示选项。
完成对显示选项的更改后,点击确定。
如需使用所选的显示选项再次运行查询,请点击重新运行。
自定义显示选项
如需查看流量的具体详细信息,您可以自定义显示选项。如需详细了解可用的各种显示选项,请参阅显示选项。
控制台
- 构建查询。
- 选择日志存储桶。如果您打算使用 _Default 日志存储桶,则可以跳过此步骤。
- 如需设置查询的时间范围,请使用时间范围选择器或选择重新运行所选时间段。
- 选择过滤条件。
- 选择要用于整理结果的字段。
- 运行该查询
- 选择指标类型:发送的字节数或发送的数据包数。
选择指标汇总选项。
如果您选择发送的字节数作为指标,请选择以下选项之一:
- 总流量:所选时间段内的总流量。默认处于启用状态。
- 平均流量率:所选时间段内的平均流量率。仅针对观察到流量的校准时间段进行计算。
- 流量速率中位数:所选时间段内的流量速率中位数。仅针对观察到流量的校准时间段进行计算。
- P95 流量速率:所选时间段内的第 95 百分位流量速率。仅针对观察到流量的校准时间段计算。
- 流量速率上限:所选时间段内的流量速率上限。
如果您选择发送的数据包数作为指标,请选择以下选项之一:
- 汇总数据包数:所选时间段内的数据包总数。默认处于启用状态。
- 平均数据包速率:所选时间段内的平均数据包速率。仅针对观察到流量的校准时间段进行计算。
- 数据包速率中位数:所选时间段内的数据包速率中位数。仅针对观察到流量的校准时间段进行计算。
- P95 数据包速率:所选时间段内第 95 百分位的数据包速率。仅针对观察到流量的校准时间段计算。
- 数据包速率上限:所选时间段内的数据包速率上限。
如需详细了解各种指标汇总选项,请参阅指标汇总。
选择校准时间段。如需详细了解校准时间段,请参阅校准时间段。
选择一个采样点。
- 来源端点:流的来源端点中报告的已发送字节数或已发送数据包数。
- 目的地端点:流的目的地端点报告的已发送字节数或已发送数据包数。
- 来源端点和目标端点的总和:流的两个端点报告的发送字节数或发送数据包数的总和。
- 来源和目标端点的平均值:如果 VPC 流日志中同时包含来源和目标详细信息,则为流的两个端点报告的已发送字节数或已发送数据包数的平均值。
如需了解详情,请参阅采样点。
查看流程详情
如需在数据流表中查看所选数据流的流详情,请执行以下操作:
控制台
- 构建查询。
- 选择日志存储桶。如果您打算使用 _Default 日志存储桶,则可以跳过此步骤。
- 如需设置查询的时间范围,请使用时间范围选择器或选择重新运行所选时间段。
- 选择过滤条件。
- 选择要用于整理结果的字段。
- 运行该查询
在所有数据流表格中,点击任何数据流的显示详细信息。
随即显示的数据流详情页面会显示与所选过滤条件匹配的所有资源以及这些资源的流量。
深入了解流量
您可以进一步细化所选资源的流量。使用 Flow Analyzer,您可以使用 VPC 流日志中提供的其余字段来深入钻研查询结果。如需了解详情,请参阅细分或展开流程详情。
如需使用更多字段来展开流量数据,请执行以下操作:
控制台
- 构建查询。
- 选择日志存储桶。如果您打算使用 _Default 日志存储桶,则可以跳过此步骤。
- 如需设置查询的时间范围,请使用时间范围选择器或选择重新运行所选时间段。
- 选择过滤条件。
- 选择要用于整理结果的字段。
- 运行该查询
在所有数据流表格中,点击任何数据流的显示详细信息。
随即显示的流量详情页面会显示与所选过滤条件匹配的所有资源以及这些资源的流量。
在按以下维度展开列表中,选择要展开的字段。
如需与过往流量进行比较,请点击与过往值对比切换开关。借助此功能,您可以查看六条线:三条实线代表展开细目后显示的三大流量,三条虚线代表相应颜色的过往流量。