创建流量分析器后,需要添加数据源,才能分析流量。当前流量分析器支持的数据源:VPC流日志、TR流日志。
添加已有数据源
对于已存在的数据源(例如您已经创建过VPC流日志或TR流日志),可直接添加到流量分析器。
将流日志作为数据源接入到流量分析器后,会产生处理费和存储费,详见流量分析器计费说明。
前往目标流量分析器的详情页面,在基本信息 > 专有网络流日志页签下,单击添加数据源。
在添加数据源页面,单击专有网络流日志或转发路由器流日志页签,选择流日志所在的地域,勾选目标流日志后单击确定。
新添加的数据源日志的采样间隔,需小于或等于当前流量分析器的采样间隔。
后续步骤
创建并添加新的数据源
若从未创建过VPC或TR流日志,可先直接在数据源界面进行创建,再添加至流量分析器。
创建VPC或TR流日志会产生费用,详见VPC流日志计费说明、TR流日志计费说明。
将流日志作为数据源接入到流量分析器后,会产生处理费和存储费,详见流量分析器计费说明。
前往目标流量分析器的详情页面,在基本信息 > 专有网络流日志页签下,单击添加数据源。
在添加数据源页面,单击对应的数据源页签:
专有网络流日志
单击创建流日志,在打开的对话框中设置采集配置:
重要新添加的数据源日志的采样间隔,需小于或等于当前流量分析器的采样间隔。
配置项
示意图
地域:选择目标采集对象所在的地域。
资源类型和资源实例:可选采集粒度为弹性网卡、交换机、专有网络。选择专有网络或交换机时,系统会监控其内所有弹性网卡的流量。
流量类型:可选被访问控制允许或拒绝的流量,此处的访问控制包括安全组和网络ACL。
流量采集版本:可选仅采集IPv4或采集IPv4+IPv6双栈。当前支持IPv6的地域包括:华东1(杭州)、华东2(上海)、华北1(青岛)、华北2(北京)、华北5(呼和浩特)、华南1(深圳)、新加坡、美国(硅谷)、美国(弗吉尼亚)。
采样间隔(分钟):聚合流量信息的采集窗口时间,可选1分钟、5分钟或10分钟。窗口越小,流日志生成越频繁和及时,有助于更快发现和定位问题。窗口越大时效性越低,但日志条目数也会下降从而节省费用成本。
例如1个保持长连接的TCP会话,窗口为1分钟时每小时产生60条日志;为10分钟时仅产生6条。
当VPC内存在多个流日志实例同时采集同一网卡流量时,将会以所有流日志实例中最小的采样间隔作为实际采集周期。
采样路径:可选择特定的采集场景来降低使用成本。选择前需要先取消默认的采集全部场景。
支持选择通过如下网元的流量:IPv4网关、NAT网关、VPN网关、转发路由器(TR)、网关终端节点、边界路由器(VBR)、专线网关(ECR)、网关型负载均衡节点(GWLB),以及访问公网的流量。
创建成功后,系统会自动将VPC流日志投递至流量分析器。
转发路由器流日志
单击创建流日志,在创建流日志对话框中:
配置项
示意图
先设置采集配置:
云企业网:选择目标转发路由器所在的云企业网。
转发路由器:选择目标转发路由器。
实例:选择要采集的目标资源。
选择跨地域连接时,仅采集从转发路由器流出的单向流量信息。
选择VBR连接、VPC连接、VPN连接、ECR连接时,系统采集流入和流出转发路由器的双向流量信息。
选择TR时,系统会采集转发路由器上创建的所有网络实例连接,包括:跨地域连接、VBR连接、VPC连接、VPN连接、ECR连接。各个资源的流量采集方向,与前述一致。
采样间隔:聚合流量信息的采集窗口长度,可选1分钟、5分钟或10分钟。窗口越小,流日志生成越频繁和及时,有助于更快发现和定位问题。窗口越大时效性越低,但日志条目数也会下降从而节省费用成本。
重要新添加的数据源日志的采样间隔,需小于或等于当前流量分析器的采样间隔。
再设置分析和投递配置 > 日志格式:
默认格式:使用系统默认选择的字段。
自定义格式:自定义选择字段,支持的字段比默认格式更多。选择较少的字段可简化日志信息,从而节省费用成本。
srcaddr、dstaddr、bytes三个字段为必选。选择日志格式后,系统会自动生成字符串形式的日志格式,单击复制已选格式按钮,可在调用API时批量创建相同格式的流日志。
确认无误后,单击确定。
创建成功后,需单击投递至流量分析器,才能开始分析TR流量。
后续步骤
移除数据源
在目标数据源的操作列单击移除数据源。
该操作仅将数据源从流量分析器中移除,不会删除流量分析器中已存储的流量分析数据,也不会删除数据源对应的流日志采集任务。若需将采集任务删除,请参考:删除VPC流日志、删除TR流日志。
