分析ECS实例流量,监控VPC流量,高流量ECS_专有网络VPC(VPC)-阿里云帮助中心

VPC流日志支持记录弹性网卡ENI出入方向的流量信息。您可以选择为VPC内ECS实例的弹性网卡创建流日志，查看ECS实例的流量信息，包括ECS实例的IP访问记录、ECS实例与其他资源通信时的流量速率以及流量变化趋势等。本文介绍如何使用流日志查看VPC内ECS实例的流量信息。

场景示例

某企业在华东1（杭州）地域创建的VPC内部署了4台ECS实例，同一VPC内的实例私网互通。企业IT部门通过ECS实例监控图表观察到ECS02的内网带宽较高，计划通过VPC流日志查看ECS02的流量信息，了解ECS02与VPC内其他ECS实例通信时的流量速率以及流量变化趋势。

前提条件

您已经在华东1（杭州）地域创建了一个VPC，并在该VPC中创建了两个交换机，分别为交换机1和交换机2。具体操作，请参见创建专有网络和交换机。
您已经在交换机1内创建了ECS01和ECS02实例，在交换机2内创建了ECS03和ECS04实例，并在4台ECS实例中部署了应用服务。具体操作，请参见自定义购买实例。
您已经在日志服务产品页开通了日志服务。

操作步骤

步骤一：创建流日志

登录专有网络管理控制台。
在顶部菜单栏处，选择华东1（杭州）地域。
在左侧导航栏，选择运维与监控 > 流日志。
在流日志页面，单击创建流日志。

在创建流日志对话框，根据以下信息配置流日志，然后单击确定。

以下仅列举本文强相关的配置项，其余配置项保持默认状态。更多信息，请参见创建或删除流日志。创建流日志

重点参数说明如下：

配置	说明
资源类型	选择弹性网卡。
资源实例	选择ECS02的弹性网卡。说明本文示例中ECS02下仅存在一张弹性网卡，如果ECS实例下存在多张弹性网卡，需要为每个弹性网卡创建一个流日志，然后分别查看每张弹性网卡的流量信息。
流量类型	选择全部流量。
开启流日志分析报表功能	开启该功能。开启该功能后，所选的Logstore会开启索引并建立仪表盘，支持对数据进行SQL与可视化分析。

步骤二：查看流日志

在流日志页面，找到目标流日志，然后在日志服务列单击日志库（Logstore）名称的链接。

在日志库详情页面，通过查询日志了解ECS02的流量信息。

查看ECS02访问其他ECS时的流量速率和流量变化趋势

出方向1

序号	步骤描述
①	输入以下SQL语句对ECS02的流量日志进行筛选，并对筛选结果进行聚合和排列： `"eni-id": eni-rj97jk2o0kn68pjo**** and srcaddr: 172.16.10.225 and dstaddr: 172.16.* \| select date_format(from_unixtime(__time__ - __time__% 60), '%H:%i:%S') as time, dstaddr,sum(bytes8/("end"-start)) as bandwidth group by time,dstaddr order by time asc limit 1000` 该SQL语句定义了时间time、带宽bandwidth(bps)、目的地址dstaddr三个参数，并按time从小到大排序，取1000条日志。SQL语句过滤条件取值说明如下，其余字段请参照示例值输入。 `eni-id`：ECS02的弹性网卡实例ID。 `srcaddr`：ECS02的弹性网卡IP地址。 `dstaddr`：ECS02实例访问的地址或网段。单击查看SQL语句详细说明。过滤条件： `eni-rj97jk2o0kn68pjo**`：过滤包含此字段的日志。 `srcaddr`：172.16.10.225，过滤源地址包含172.16.10.225的日志。 `dstaddr`：172.16.，过滤目的地址以172.16.开头的日志。选择字段：使用date_format函数将Unix 时间戳（`__time__`字段）转换为可读的时间格式（%H:%i:%S）。获取`dstaddr`字段。计算`bandwidth`，使用公式`sum(bytes8/("end"-start+1))`将字节转换为比特，并除以日志采样时间间隔`("end"-start+1)`。内容分组：根据`time`和`dstaddr`进行分组。结果排序：按`time`升序排序结果。结果输出限制：输出前1000条日志。
②	选择要查看流日志的时间。
③	单击统计图表页签，然后单击选择流图格式。
④	在通用配置区域，设置以下参数信息： x轴字段：设置为time。 y轴字段：设置为bandwidth。聚合列：设置为dstaddr。格式化：设置为bps, Kbps, Mbps(SI)。本文其余参数保持默认值。
⑤	单击查询/分析，即可查看ECS02出方向流量信息。如上图可以观察到，在最近2小时内，ECS02访问ECS03时流量速率不高，且流量趋势相对平稳；ECS02访问ECS01、ECS04时流量速率在开始阶段相对较高，后续降低并维持平稳，流量趋势有阶段性变化。
⑥	（可选）单击添加到仪表盘，在弹出的对话框中设置以下参数信息：操作类型：本文以新建仪表盘为例进行说明。布局模式：本文以网格布局为例进行说明。仪表盘名称：填写仪表盘的名称，本文输入ECS02出方向流量信息。您可以在仪表盘查看流日志信息。

查看其他ECS访问ECS02时的流量速率和流量变化趋势

入方向1

序号	步骤描述
①	输入以下SQL语句对ECS02的流量日志进行筛选，并对筛选结果进行聚合和排列： `"eni-id": eni-rj97jk2o0kn68pjo**** and dstaddr: 172.16.10.225 and srcaddr: 172.16.* \| select date_format(from_unixtime(__time__ - __time__% 60), '%H:%i:%S') as time, srcaddr,sum(bytes8/("end"-start)) as bandwidth group by time,srcaddr order by time asc limit 1000` 该SQL语句定义了时间time、带宽bandwidth(bps)、源地址srcaddr三个参数，并按time从小到大排序，取1000条日志。SQL语句过滤条件取值说明如下，其余字段请参照示例值输入。 `eni-id`：ECS02的弹性网卡实例ID。 `dstaddr`：ECS02的弹性网卡IP地址。 `srcaddr`：访问ECS02实例的地址或网段。单击查看SQL语句详细说明。过滤条件： `eni-rj97jk2o0kn68pjo**`：过滤包含此字段的日志。 `dstaddr`：172.16.10.225，过滤目的地址包含172.16.10.225的日志。 `srcaddr`：172.16.，过滤源地址以172.16.开头的日志。选择字段：使用date_format函数将Unix 时间戳（`__time__`字段）转换为可读的时间格式（%H:%i:%S）。获取`srcaddr`字段。计算`bandwidth`，使用公式`sum(bytes8/("end"-start+1))`将字节转换为比特，并除以日志采样时间间隔`("end"-start+1)`。内容分组：根据`time`和`srcaddr`进行分组。结果排序：按`time`升序排序结果。结果输出限制：输出前1000条日志。
②	选择要查看流日志的时间。
③	单击统计图表页签，然后单击选择流图格式。
④	在通用配置区域，设置以下参数信息： x轴字段：设置为time。 y轴字段：设置为bandwidth。聚合列：设置为srcaddr。格式化：设置为bps, Kbps, Mbps(SI)。本文其余参数保持默认值。
⑤	单击查询/分析，即可查看ECS02入方向流量信息。如上图可以观察到，在最近2小时内，ECS03访问ECS02时流量速率不高，且流量趋势相对平稳；ECS01、ECS04访问ECS02时流量速率在开始阶段相对较高，后续降低并维持平稳，流量趋势有阶段性变化。
⑥	（可选）单击添加到仪表盘，在弹出的对话框中设置以下参数信息：操作类型：本文以新建仪表盘为例进行说明。布局模式：本文以网格布局为例进行说明。仪表盘名称：填写仪表盘的名称，本文输入ECS02入方向流量信息。您可以在仪表盘查看流日志信息。