👉点击这里申请火山引擎VIP帐号,立即体验火山引擎产品>>>
本文为您介绍流日志的使用示例。
云上公网
查看ECS实例通过公网IP与公网互访的流量
您可通过流日志,查看ECS实例与公网互通的流量,如下图所示:
操作步骤如下:
参考上图创建网卡类型的流日志,并配置索引。
以ECS访问公网地址14.XX.XX.40为例,输入以下SQL检索分析语句。
srcaddr:"192.168.1.22" and dstaddr: "14.XX.XX.40" | SELECT DATE_FORMAT(t, '%H:%i:%S') AS time, dstaddr, SUM((bytes * 8) / (`end` - start)) AS bandwidth FROM (SELECT `end`, start, dstaddr, bytes, (__time__ - (__time__ % 3600)) AS t limit 1000) GROUP BY time, dstaddr ORDER BY time ASC limit 1000
输入分析语句时,请您将源IP地址(ECS的地址)192.168.1.22 和目的IP地址(公网地址)"14.XX.XX.40"替换为实际的IP地址。
查看分析结果。
由上图可知,近15分钟内,ECS(192.168.1.22)访问公网IP地址(14.XX.XX.40)的流量呈波浪形变化。
查看公网NAT网关的高流量ECS实例
您可通过流日志,查看公网NAT网关的高流量ECS实例,如下图所示:
操作步骤如下:
参考上图创建子网类型的流日志,并配置索引。
以查看ECS访问101.XX.XX.146的流量为例,输入以下SQL检索分析语句。
dstaddr: "101.XX.XX.146" and action: ACCEPT | select DATE_FORMAT(t, '%H:%i:%S') AS time,srcaddr,SUM((bytes * 8) / (`end` - start)) AS bandwidth FROM (SELECT `end`, start, srcaddr, bytes, (__time__ - (__time__ % 3600)) AS t limit 1000) GROUP BY time, srcaddr ORDER BY time ASC limit 1000
输入分析语句时,请您将目的IP地址"101.XX.XX.146"替换为实际的IP地址。
查看分析结果。
由上图可知,近15分钟内,ECS-A(192.168.1.11)和ECS-B(192.168.1.22)为公网NAT网关中的高流量ECS实例。
查看公网通过CLB访问云服务器的流量
您可通过流日志,查看公网通过CLB访问云服务器的流量,如下图所示:
操作步骤如下:
参考上图创建VPC类型的流日志,并配置索引。
以查看后端服务器服务的被访问数为例,输入以下SQL检索分析语句。
dstport:80 | SELECT COUNT(*) as PV,dstaddr WHERE dstaddr LIKE '192.168.%' GROUP BY dstaddr
输入分析语句时,请您将目标端口80替换为实际的目标端口,并根据实际VPC的地址段修改模糊匹配的'192.168.%'字段。
查看分析结果。
由上图可知,CLB不同后端服务器的服务被访问次数,以及不同后端服务器被访问次数占总次数的百分比。
云上私网
查看同一私有网络内云服务器之间的互访流量
您可通过流日志,查看同一私有网络内云服务器之间的互访流量,如下图所示:
操作步骤如下:
参考上图创建网卡类型的流日志,并配置索引。
以查看ECS-B被ECS-A访问的流量,输入以下SQL检索分析语句。
srcaddr:"192.168.1.11" and dstaddr: "192.168.1.22" | SELECT DATE_FORMAT(t, '%H:%i:%S') AS time, dstaddr, SUM((bytes * 8) / (`end` - start)) AS bandwidth FROM (SELECT `end`, start, dstaddr, bytes, (__time__ - (__time__ % 36000)) AS t limit 1000) GROUP BY time, dstaddr ORDER BY time ASC limit 1000
输入分析语句时,请您将源IP地址(ECS-A的地址)192.168.1.11 和目的IP地址(ECS-B的地址)192.168.1.22替换为实际的IP地址。
查看分析结果。
由上图可知,近10分钟内,ECS-A(192.168.1.11)访问ECS-B(192.168.1.22)的流量呈阶梯式增长。
查看私有网络之间互访的流量
您可通过流日志,查看私有网络之间互访的流量,如下图所示:
操作步骤如下:
参考上图创建VPC类型的流日志,并配置索引。
以查看VPC-B(192.16.1.0/16)访问VPC-A(172.16.1.0/16)的流量为例,输入以下SQL检索分析语句。
srcaddr:192.168.1.* and dstaddr: 172.16.1.* | SELECT DATE_FORMAT(t, '%H:%i:%S') AS time, dstaddr, SUM((bytes * 8) / (`end` - start)) AS bandwidth FROM (SELECT `end`, start, dstaddr, bytes, (__time__ - (__time__ % 3600)) AS t limit 1000) GROUP BY time, dstaddr ORDER BY time ASC limit 1000
输入分析语句时,请您将源IP地址(VPC-B的地址段)192.168.1.*和目的IP地址(VPC-A的地址段)172.16.1.*替换为实际的IP地址段。
查看分析结果。
由上图可知,近20分钟内,VPC-A内有三台云服务器(IP地址分别为172.16.1.2、172.16.1.11、172.16.1.3)被VPC-A内的服务器访问,且IP地址为172.16.1.3的服务器的流量很稳定。
查看通过私网连接终端节点的流量
您可通过流日志,查看通过私网连接终端节点的流量,如下图所示:
操作步骤如下:
为VPC-A创建VPC类型的流日志,并配置索引。
输入以下SQL检索分析语句。
dstport:80 and dstaddr: 172.16.1.3 | SELECT COUNT(*) as PV,srcaddr WHERE srcaddr LIKE '172.16.%' GROUP BY srcaddr
输入分析语句时,请您将目标端口80和目的IP地址172.16.1.3替换为实际的终端节点端口及IP地址,并根据实际VPC的地址段修改模糊匹配的'172.16.%'字段。
查看分析结果。
由上图可知,VPC-A的云服务器访问私网连接的次数,以及不同云服务器访问次数占总次数的百分比。
说明
同理,可为终端节点服务的VPC创建流日志,查看终端节点服务的流量。
混合云
您可通过流日志,查看云上私有网络与本地IDC的互访流量,如下图所示:
操作步骤如下:
参考上图分别为VPC-A和VPC-B创建VPC类型的流日志,且两个流日志共用同一个日志主题。同时为日志主题配置索引。
以查看VPC-A和VPC-B访问本地IDC的流量占比为例,输入以下SQL检索分析语句:
action: ACCEPT |SELECT COALESCE(vpc_A_traffic.minute, vpc_B_traffic.minute) AS minute,
COALESCE(vpc_A_traffic.total_vpc_A_traffic, 0) * 100 / NULLIF(COALESCE(vpc_A_traffic.total_vpc_A_traffic, 0) + COALESCE(vpc_B_traffic.total_vpc_B_traffic, 0), 0) AS vpc_A_percentage,
COALESCE(vpc_B_traffic.total_vpc_B_traffic, 0) * 100 / NULLIF(COALESCE(vpc_A_traffic.total_vpc_A_traffic, 0) + COALESCE(vpc_B_traffic.total_vpc_B_traffic, 0), 0) AS vpc_B_percentage
FROM (
SELECT date_trunc('minute', __time__) AS minute,
SUM (bytes * 8 / CASE
WHEN "end" - start = 0 THEN 1
ELSE "end" - start
END) AS total_vpc_A_traffic
WHERE srcaddr LIKE '192.168.%'
GROUP BY date_trunc('minute', __time__)) as vpc_A_traffic
FULL JOIN (
SELECT date_trunc('minute', __time__) AS minute,
SUM (bytes * 8 / CASE
WHEN "end" - start = 0 THEN 1
ELSE "end" - start
END) AS total_vpc_B_traffic
WHERE srcaddr LIKE '172.16.%'
GROUP BY date_trunc('minute', __time__)) as vpc_B_traffic
ON vpc_A_traffic.minute = vpc_B_traffic.minute
ORDER BY minute输入分析语句时,请您根据实际VPC的地址段修改模糊匹配的'192.168.%'和'172.16.%'字段。
查看分析结果。
由上图可知,近30分钟内,VPC-A和VPC-B访问本地IDC的流量占比。
拒绝的流量
您可通过流日志,查看被安全组、网络ACL拒绝的流量,如下图所示:
操作步骤如下:
参考上图创建网卡类型的流日志,并配置索引。
以ECS-B拒绝的访问流量为例,输入以下SQL检索分析语句。
dstaddr: 172.16.1.4 and action: "REJECT" | SELECT dstaddr,srcaddr, action ORDER BY dstaddr
输入分析语句时,请您将目的IP地址172.16.1.4替换为实际的IP地址。
查看分析结果。
由上图可知,您可以查看ECS-B(172.16.1.4)拒绝的流量的信息。
