本文為您介紹如何通過日志服務SLS(Log Service)查詢分析智能接入網關流量。
前提條件
您已經創建了日志服務Project和Logstore。具體操作,請參見日志服務快速入門。
您的智能接入網關設備已經連接到阿里云。具體操作,請參見單機旁掛靜態路由上云。
請確保您的智能接入網關設備型號為SAG-1000。
背景信息
智能接入網關提供流日志功能。流日志可以幫您記錄智能接入網關流量傳輸信息到阿里云日志服務或者您的Netflow服務器上。本文以日志服務為例,為您介紹如何將智能接入網關流量傳輸信息保存到阿里云日志服務中,并指導您如何在日志服務平臺上對智能接入網關流量進行查詢分析,方便您了解您的流量分布。
步驟一:接入數據
在您查詢分析您的流量前,您需要先執行以下操作將您的智能接入網關流量傳輸信息記錄到指定的Project和Logstore中。
創建流日志實例。
您需要在智能接入網關管理控制創建流日志實例,每一個流日志實例會關聯一個Project和Logstore,用于存儲流量傳輸信息。
登錄智能接入網關管理控制臺。
在左側導航欄,單擊流日志。
在流日志頁面,單擊創建流日志。
在創建流日志面板,根據以下信息進行配置,然后單擊確定。
名稱:輸入流日志名稱。
活躍流輸出間隔:輸入保持活躍的網絡連接流日志輸出的時間間隔。默認值為300秒,取值范圍為60~6000秒。
非活躍流輸出間隔:輸入非活躍的網絡連接流日志輸出的間隔。默認值為15秒,取值范圍為10~600秒。
輸出目的類型:選擇日志存儲類型。本教程選擇SLS。
如果您需要將日志信息存儲在阿里云日志服務平臺上,請選擇SLS。
如果您需要將日志信息存儲在您的Netflow服務器上,請選擇Netflow。
如果您需要將日志信息同時存儲在阿里云日志服務平臺和您的Netflow服務器上時,請選擇ALL。
SLS Region:選擇日志服務所屬的地域。
SLS Project:選擇存儲流日志信息的日志庫所屬的項目。
SLS Logstore:選擇日志庫。日志庫用來存儲流日志信息。
更多參數說明信息,請參見創建流日志。
關聯智能接入網關。
創建流日志實例后,您需要將智能接入網關實例關聯到流日志實例上,關聯后,智能接入網關實例的流量傳輸信息將會被存儲到指定的Project和Logstore上,后續您可以在日志服務控制臺,進行查詢分析。
在流日志頁面,找到已創建的流日志實例,單擊流日志實例ID。
在流日志實例詳情頁面,單擊添加實例。
在添加實例面板,選中目標智能接入網關實例,然后單擊保存。
步驟二:查詢分析流量
配置流日志后,您可以在日志服務平臺,查詢分析已搜集到智能接入網關的流量信息。
登錄日志服務控制臺。
在Project列表區域,單擊目標Project。
在頁簽中,單擊目標Logstore。
開啟索引。具體操作,請參見開啟并配置索引。
索引是一種存儲結構,用于對日志數據中的一列或多列進行排序。您只有配置索引后,才能進行查詢和分析操作。不同的索引配置,會產生不同的查詢和分析結果,請根據您的需求,合理配置索引。本教程開啟字段索引并打開統計功能。
說明在您配置字段索引時,請您確保bytes字段為TEXT類型,方便后續進行數據分析統計。
開啟索引后,您可以進行查詢分析操作。以下內容以查詢TOP 10的五元組信息為例,為您展示如何查詢分析流量。
在搜索框輸入查詢分析語句。
本教程要查詢的五元組流量對應的字段為:srcaddr、srcport、dstaddr、dstport、protocol。
* | select srcaddr,srcport,dstaddr,dstport,protocol,count(*) as num,sum(bytes) as bytes from (select CASE WHEN strpos(bytes, 'M') != 0 then (CAST(replace(bytes,'M') AS double)*1024*1024) WHEN strpos(bytes, 'K') != 0 then (CAST(replace(bytes,'K') AS double)*1024) else CAST(bytes AS double) end as bytes,srcaddr,srcport,dstaddr,dstport,protocol from log limit 100000) GROUP BY srcaddr,dstaddr,srcport,dstport,protocol ORDER BY bytes DESC limit 10系統默認為您搜索最近15分鐘內的數據。在您進行查詢分析時,您可以自定義時間段。
說明在您制定查詢分析語句時,請以您日志中的字段為準,本教程中的字段僅作參考。關于查詢分析語句的更多信息,請參見查詢概述。
單擊查詢/分析。
系統自動為您跳轉到統計圖表頁面以表格形式為您展示TOP 10五元組流量的統計數據。您可以選擇其他數據展現方式,更多信息,請參見統計圖表概述。
本教程采用餅圖展現統計數據。
在統計圖表的餅圖頁面下,調整餅圖屬性,自定義餅圖展示結構。
本教程調整以下兩個屬性,其余屬性保持默認值。更多信息,請參見餅圖。
分類:數據分類。
本教程以srcaddr、srcport、dstaddr、dstport、protocol字段對數據進行分類。只有流量的五個字段全部一致,才會進行計數。
數值列:分類數據對應的數值。
本教程以bytes字段為數值列。
可選:您可以參見以上的操作,查詢TOP 10三元組信息和TOP 10源目IP地址信息。
查詢TOP 10三元組信息
查詢字段:srcaddr、dstaddr、protocol。
查詢語句:
* | select srcaddr,dstaddr,protocol,count(*) as num,sum(bytes) as bytes from (select CASE WHEN strpos(bytes, 'M') != 0 then (CAST(replace(bytes,'M') AS double)*1024*1024) WHEN strpos(bytes, 'K') != 0 then (CAST(replace(bytes,'K') AS double)*1024) else CAST(bytes AS double) end as bytes, srcaddr,dstaddr,protocol from log limit 100000) GROUP BY srcaddr,dstaddr,protocol ORDER BY bytes DESC limit 10查詢結果:
查詢TOP 10源目IP地址信息
查詢字段:srcaddr、dstaddr。
查詢語句:
* | select srcaddr,dstaddr,count(*) as num,sum(bytes) as bytes from (select CASE WHEN strpos(bytes, 'M') != 0 then (CAST(replace(bytes,'M') AS double)*1024*1024) WHEN strpos(bytes, 'K') != 0 then (CAST(replace(bytes,'K') AS double)*1024) else CAST(bytes AS double) end as bytes, srcaddr,dstaddr from log limit 100000) GROUP BY srcaddr,dstaddr ORDER BY bytes DESC limit 10查詢結果:
步驟三:(可選)添加統計圖表到儀表盤
日志服務支持將查詢分析結果通過圖表形式保存到儀表盤中,為您后續重復查看提供便利。
在餅圖的右上方,單擊添加到儀表盤。
在添加儀表盤對話框,配置以下信息,然后單擊確認。
操作類型:本教程選擇新建儀表盤。
儀表盤名稱:輸入儀表盤名稱。本教程輸入五元組統計。
圖表名稱:輸入圖表名稱。本教程輸入五元組餅圖統計。
更多信息,請參見添加統計圖表到儀表盤。
在左側導航欄,單擊儀表盤。
單擊剛剛創建的儀表盤名稱,查看儀表盤信息。
在儀表盤頁面,單擊時間選擇,您可以查看任意時間段內的查詢分析結果。更多信息,請參見顯示模式。
