使用雙隧道模式的VPN網關實例實現網絡通信時,系統會在VPC實例的交換機下創建ENI,作為與VPC之間流量互通的接口。您可以使用VPC的流日志功能記錄VPN網關ENI的流量傳輸信息,然后通過查詢分析VPN網關ENI的流日志了解VPN網關實例的流量傳輸情況。例如,您可以通過查詢分析ENI的流日志了解哪些主機通過VPN網關實例進行通信、哪些主機訪問了VPC下的資源、哪些ECS實例的流量較高等。
場景示例
本文將以下圖場景為例,介紹如何使用VPC流日志功能記錄VPN網關ENI的流量傳輸信息,以及如何查詢分析VPN網關ENI流日志了解VPN網關實例的流量傳輸情況。
如下圖所示,兩個VPC實例已通過IPsec-VPN實現了網絡互通。本文將為VPN網關實例1下的ENI創建流日志,記錄VPN網關實例1傳輸的流量信息。
兩個VPC實例如何通過IPsec-VPN實現網絡互通,請參見建立VPC到VPC的IPsec-VPN連接(雙隧道模式)。
步驟一:查看VPN網關ENI信息
創建雙隧道模式的VPN網關實例后,您可以在VPN網關實例詳情頁面查看系統創建的ENI的信息。
- 登錄VPN網關管理控制臺。
在頂部菜單欄,選擇VPN網關實例的地域。
在VPN網關頁面,單擊目標VPN網關實例ID。
在VPN網關實例詳情頁面的基本信息區域,查看系統創建的ENI ID及名稱。
說明如果VPN網關僅開啟了IPsec-VPN功能或僅開啟了SSL-VPN功能,則系統會在VPC實例的交換機下創建2個ENI,如果VPN網關同時開啟了IPsec-VPN功能和SSL-VPN功能,則系統會在VPC實例的交換機下創建4個ENI。
本文的VPN網關實例僅開通了IPsec-VPN功能。
步驟二:創建流日志
前提條件:創建流日志前,請確保您已經開通日志服務。
根據以下信息,為VPN網關實例1下的每個ENI均創建一個流日志。創建流日志后,流日志默認為啟動狀態,會自動開始記錄ENI的流量信息。流日志記錄的字段信息,請參見流日志功能介紹。
- 登錄專有網絡管理控制臺。
- 在左側導航欄,選擇。
首次使用流日志功能時,單擊立即開通完成流日志功能的開通。
說明如果您之前創建過流日志實例,單擊立即開通后,已創建的流日志實例會重新展示在流日志頁面。
在頂部菜單欄處,選擇VPN網關實例所屬的地域。
在流日志頁面,單擊創建流日志。
在創建流日志對話框,根據以下信息配置流日志,然后單擊確定。
下表僅列舉本文強相關的配置,其余配置項保持默認值或為空。更多信息,請參見創建流日志。
配置
說明
資源類型
選擇要記錄日志的資源類型。
本文選擇彈性網卡。
資源實例
選擇VPN網關實例下的ENI。
流量類型
選擇要記錄日志的流量類型:
全部流量:捕獲指定資源的全部流量。
被訪問控制允許的流量:捕獲指定資源被安全組規則和網絡ACL規則允許的流量。
被訪問控制拒絕的流量:捕獲指定資源被安全組規則和網絡ACL規則拒絕的流量。
本文以全部流量為例,您可以根據實際查詢需求選擇對應的流量類型。
項目(Project)
選擇管理流日志的項目(Project):
選擇現有Project:從已有的項目中選擇管理流日志的項目。
新建Project:新建一個項目。
本文選擇新建Project。
日志庫(Logstore)
選擇存儲流日志的日志庫(Logstore):
選擇現有 Logstore:從已有的項目中選擇存儲流日志的日志庫。
新建 Logstore:新建一個日志庫。
本文選擇新建 Logstore。本文場景中將VPN網關實例1所有ENI的日志均投遞到同一個日志庫中,以便后續查詢分析日志。
開啟流日志分析報表功能
選擇該功能后,所選的LogStore會開啟索引并建立儀表盤,支持對數據進行SQL與可視化分析。
日志服務索引功能按流量收費,儀表盤不收費。更多信息,請參見日志服務計費說明。
本文選擇開啟本功能,以便后續查詢分析流日志。
采樣間隔(分鐘)
選擇流日志采樣的時間間隔。
本文選擇1分鐘采樣間隔。
步驟三:查詢分析流日志
流日志記錄的流量信息會以流日志形式被自動投遞至阿里云日志服務產品,您需要前往日志服務管理控制臺查詢分析VPN網關ENI日志信息。
登錄專有網絡管理控制臺。
在左側導航欄,選擇。
在頂部菜單欄處,選擇流日志所屬的地域。
在流日志頁面,找到目標流日志,然后在日志服務列單擊日志庫(Logstore)名稱的鏈接,系統將自動跳轉到日志服務管理控制臺。
在日志庫詳情頁面,您可以通過查詢分析ENI日志了解VPN網關實例1的流量傳輸情況。
本文將以下述查詢場景為例,介紹如何查詢分析ENI流日志。您也可以根據實際需求自定義查詢場景。
查詢場景
本文查詢VPN網關實例1每個ENI下通信的主機信息,以及每對主機傳輸的字節數。
查詢語句
* | select "eni-id",srcaddr,dstaddr,direction,sum(bytes) as byte from log GROUP BY "eni-id",srcaddr,dstaddr,direction ORDER BY "eni-id" DESC limit 10執行查詢步驟
序號
步驟描述
①
選擇要查詢哪個時間段內的流日志。
②
輸入SQL語句。
③
單擊查詢/分析。
④
通用配置頁簽中所有模塊配置均使用默認值。
您可以根據實際需求自定義統計圖表展示效果。更多信息,請參見統計圖表(Pro版本)概述。
⑤
在預覽圖表區域查看、篩選或排序查詢結果,通過查詢結果了解VPN網關實例流量傳輸情況。例如:
VPN網關實例1當前使用eni-7xv1sg8m****39傳輸流量。
VPC1下的ECS2在最近1小時內沒有進行通信。
ECS1和ECS3在最近1小時內通信時占用帶寬較多。
說明流量傳輸方向說明:
in:指流量從VPC去往ENI的方向。
out:指流量從ENI去往VPC的方向。
⑥
(可選)本文將該查詢場景添加到儀表盤,以便隨時可以查看該場景的查詢結果。
單擊添加到儀表盤,在彈出的對話框中設置以下參數信息:
操作類型:本文以新建儀表盤為例進行說明。
布局模式:本文以網格布局為例進行說明。
儀表盤名稱:填寫儀表盤的名稱,本文輸入VPN網關1。
關于儀表盤的更多信息,請參見儀表盤。
相關文檔
關于您想要了解查詢分析日志的更多功能,請參見通過索引模式查詢和分析日志。