流日志使用示例--私有网络-火山引擎

文档中心

立即注册

导航

流日志使用示例

最近更新时间：2024.11.15 09:39:38首次发布时间：2024.01.09 07:24:42

本文为您介绍流日志的使用示例。

云上公网

查看ECS实例通过公网IP与公网互访的流量

查看公网NAT网关的高流量ECS实例

查看公网通过CLB访问云服务器的流量

您可通过流日志，查看ECS实例与公网互通的流量，如下图所示：

操作步骤如下：

参考上图创建网卡类型的流日志，并配置索引。

以ECS访问公网地址14.XX.XX.40为例，输入以下SQL检索分析语句。

srcaddr:"192.168.1.22" and dstaddr: "14.XX.XX.40" | SELECT DATE_FORMAT(t, '%H:%i:%S') AS time, dstaddr, SUM((bytes * 8) / (`end` - start)) AS bandwidth FROM (SELECT `end`, start, dstaddr, bytes, (__time__ - (__time__ % 3600)) AS t limit 1000) GROUP BY time, dstaddr ORDER BY time ASC limit 1000

输入分析语句时，请您将源IP地址（ECS的地址）192.168.1.22 和目的IP地址（公网地址）"14.XX.XX.40"替换为实际的IP地址。

查看分析结果。

由上图可知，近15分钟内，ECS（192.168.1.22）访问公网IP地址（14.XX.XX.40）的流量呈波浪形变化。

您可通过流日志，查看公网NAT网关的高流量ECS实例，如下图所示：

操作步骤如下：

参考上图创建子网类型的流日志，并配置索引。

以查看ECS访问101.XX.XX.146的流量为例，输入以下SQL检索分析语句。

dstaddr: "101.XX.XX.146" and action: ACCEPT  | select DATE_FORMAT(t, '%H:%i:%S') AS time,srcaddr,SUM((bytes * 8) / (`end` - start)) AS bandwidth FROM (SELECT `end`, start, srcaddr, bytes, (__time__ - (__time__ % 3600)) AS t limit 1000) GROUP BY time, srcaddr ORDER BY time ASC limit 1000

输入分析语句时，请您将目的IP地址"101.XX.XX.146"替换为实际的IP地址。

查看分析结果。

由上图可知，近15分钟内，ECS-A（192.168.1.11）和ECS-B（192.168.1.22）为公网NAT网关中的高流量ECS实例。

您可通过流日志，查看公网通过CLB访问云服务器的流量，如下图所示：

操作步骤如下：

参考上图创建VPC类型的流日志，并配置索引。
以查看后端服务器服务的被访问数为例，输入以下SQL检索分析语句。

dstport:80  | SELECT COUNT(*) as PV,dstaddr WHERE dstaddr LIKE '192.168.%'  GROUP BY dstaddr

输入分析语句时，请您将目标端口80替换为实际的目标端口，并根据实际VPC的地址段修改模糊匹配的'192.168.%'字段。

查看分析结果。

由上图可知，CLB不同后端服务器的服务被访问次数，以及不同后端服务器被访问次数占总次数的百分比。

云上私网

查看同一私有网络内云服务器之间的互访流量

查看私有网络之间互访的流量

查看通过私网连接终端节点的流量

您可通过流日志，查看同一私有网络内云服务器之间的互访流量，如下图所示：

操作步骤如下：

参考上图创建网卡类型的流日志，并配置索引。

以查看ECS-B被ECS-A访问的流量，输入以下SQL检索分析语句。

srcaddr:"192.168.1.11" and dstaddr: "192.168.1.22" | SELECT DATE_FORMAT(t, '%H:%i:%S') AS time, dstaddr, SUM((bytes * 8) / (`end` - start)) AS bandwidth FROM (SELECT `end`, start, dstaddr, bytes, (__time__ - (__time__ % 36000)) AS t limit 1000) GROUP BY time, dstaddr ORDER BY time ASC limit 1000

输入分析语句时，请您将源IP地址（ECS-A的地址）192.168.1.11 和目的IP地址（ECS-B的地址）192.168.1.22替换为实际的IP地址。

查看分析结果。

由上图可知，近10分钟内，ECS-A（192.168.1.11）访问ECS-B（192.168.1.22）的流量呈阶梯式增长。

您可通过流日志，查看私有网络之间互访的流量，如下图所示：

操作步骤如下：

参考上图创建VPC类型的流日志，并配置索引。

以查看VPC-B（192.16.1.0/16）访问VPC-A（172.16.1.0/16）的流量为例，输入以下SQL检索分析语句。

srcaddr:192.168.1.* and dstaddr: 172.16.1.* | SELECT DATE_FORMAT(t, '%H:%i:%S') AS time, dstaddr, SUM((bytes * 8) / (`end` - start)) AS bandwidth FROM (SELECT `end`, start, dstaddr, bytes, (__time__ - (__time__ % 3600)) AS t limit 1000) GROUP BY time, dstaddr ORDER BY time ASC limit 1000

输入分析语句时，请您将源IP地址（VPC-B的地址段）192.168.1.*和目的IP地址（VPC-A的地址段）172.16.1.*替换为实际的IP地址段。

查看分析结果。

由上图可知，近20分钟内，VPC-A内有三台云服务器（IP地址分别为172.16.1.2、172.16.1.11、172.16.1.3）被VPC-A内的服务器访问，且IP地址为172.16.1.3的服务器的流量很稳定。

您可通过流日志，查看通过私网连接终端节点的流量，如下图所示：

操作步骤如下：

为VPC-A创建VPC类型的流日志，并配置索引。
输入以下SQL检索分析语句。
```
dstport:80 and dstaddr: 172.16.1.3 | SELECT    COUNT(*) as PV,srcaddr  WHERE srcaddr LIKE '172.16.%'  GROUP BY srcaddr
```
输入分析语句时，请您将目标端口80和目的IP地址172.16.1.3替换为实际的终端节点端口及IP地址，并根据实际VPC的地址段修改模糊匹配的'172.16.%'字段。
查看分析结果。

由上图可知，VPC-A的云服务器访问私网连接的次数，以及不同云服务器访问次数占总次数的百分比。
说明
同理，可为终端节点服务的VPC创建流日志，查看终端节点服务的流量。

混合云

您可通过流日志，查看云上私有网络与本地IDC的互访流量，如下图所示：

操作步骤如下：

参考上图分别为VPC-A和VPC-B创建VPC类型的流日志，且两个流日志共用同一个日志主题。同时为日志主题配置索引。

以查看VPC-A和VPC-B访问本地IDC的流量占比为例，输入以下SQL检索分析语句：

action: ACCEPT  |SELECT COALESCE(vpc_A_traffic.minute, vpc_B_traffic.minute) AS minute,
	COALESCE(vpc_A_traffic.total_vpc_A_traffic, 0) * 100 / NULLIF(COALESCE(vpc_A_traffic.total_vpc_A_traffic, 0) + COALESCE(vpc_B_traffic.total_vpc_B_traffic, 0), 0) AS vpc_A_percentage, 
	COALESCE(vpc_B_traffic.total_vpc_B_traffic, 0) * 100 / NULLIF(COALESCE(vpc_A_traffic.total_vpc_A_traffic, 0) + COALESCE(vpc_B_traffic.total_vpc_B_traffic, 0), 0) AS vpc_B_percentage
FROM (
	SELECT date_trunc('minute', __time__) AS minute,
  SUM (bytes * 8 / CASE
    WHEN "end" - start = 0 THEN 1
    ELSE "end" - start
    END) AS total_vpc_A_traffic
  WHERE srcaddr LIKE '192.168.%'
	GROUP BY date_trunc('minute', __time__)) as vpc_A_traffic
FULL JOIN (
	SELECT date_trunc('minute', __time__) AS minute,
	SUM (bytes * 8 / CASE
    WHEN "end" - start = 0 THEN 1
    ELSE "end" - start
    END) AS total_vpc_B_traffic
		WHERE srcaddr LIKE '172.16.%'
		GROUP BY date_trunc('minute', __time__)) as vpc_B_traffic
ON vpc_A_traffic.minute = vpc_B_traffic.minute
ORDER BY minute

输入分析语句时，请您根据实际VPC的地址段修改模糊匹配的'192.168.%'和'172.16.%'字段。

查看分析结果。

由上图可知，近30分钟内，VPC-A和VPC-B访问本地IDC的流量占比。

拒绝的流量

您可通过流日志，查看被安全组、网络ACL拒绝的流量，如下图所示：

操作步骤如下：

参考上图创建网卡类型的流日志，并配置索引。
以ECS-B拒绝的访问流量为例，输入以下SQL检索分析语句。
```
dstaddr: 172.16.1.4 and action: "REJECT"   | SELECT  dstaddr,srcaddr, action ORDER BY dstaddr
```
输入分析语句时，请您将目的IP地址172.16.1.4替换为实际的IP地址。
查看分析结果。

由上图可知，您可以查看ECS-B（172.16.1.4）拒绝的流量的信息。