创建流量分析器后,需要添加数据源,才能分析流量。当前流量分析器支持的数据源:VPC流日志、TR流日志。
添加已有数据源
对于已存在的数据源,可直接添加到流量分析器。
将流日志作为数据源接入到流量分析器后,会产生处理费和存储费,详见流量分析器计费说明。
前往目标流量分析器的详情页面,在基本信息 > 专有网络流日志页签下,单击添加数据源。
在添加数据源页面,单击对应的数据源页签:
专有网络流日志
勾选目标流日志后单击确定。
重要新添加的数据源日志的采样间隔,需小于或等于当前流量分析器的采样间隔。
转发路由器流日志
勾选目标流日志后单击确定。
重要新添加的数据源日志的采样间隔,需小于或等于当前流量分析器的采样间隔。
创建并添加新的数据源
若从未创建过VPC或TR流日志,可先直接在数据源界面进行创建,再添加至流量分析器。
创建VPC或TR流日志会产生费用,详见VPC流日志计费说明、TR流日志计费说明。
将流日志作为数据源接入到流量分析器后,会产生处理费和存储费,详见流量分析器计费说明。
前往目标流量分析器的详情页面,在基本信息 > 专有网络流日志页签下,单击添加数据源。
在添加数据源页面,单击对应的数据源页签:
专有网络流日志
单击创建流日志,在打开的对话框中设置采集配置:
重要新添加的数据源日志的采样间隔,需小于或等于当前流量分析器的采样间隔。
地域:选择目标采集对象所在的地域。
资源类型和资源实例:可选采集粒度为弹性网卡、交换机、专有网络。选择专有网络或交换机时,系统会监控其内所有弹性网卡的流量。
流量类型:可选被访问控制允许或拒绝的流量,此处的访问控制包括安全组和网络ACL。
流量采集版本:可选仅采集IPv4或采集IPv4+IPv6双栈。当前支持IPv6的地域包括:华东1(杭州)、华东2(上海)、华北1(青岛)、华北2(北京)、华北5(呼和浩特)、华南1(深圳)、新加坡、美国(硅谷)、美国(弗吉尼亚)。
采样间隔(分钟):聚合流量信息的采集窗口时间,可选1分钟、5分钟或10分钟。窗口越小,流日志生成越频繁和及时,有助于更快发现和定位问题。窗口越大时效性越低,但日志条目数也会下降从而节省费用成本。
例如1个保持长连接的TCP会话,窗口为1分钟时每小时产生60条日志;为10分钟时仅产生6条。
当VPC内存在多个流日志实例同时采集同一网卡流量时,将会以所有流日志实例中最小的采样间隔作为实际采集周期。
采样路径:可选择特定的采集场景来降低使用成本。选择前需要先取消默认的采集全部场景。
支持选择通过如下网元的流量:IPv4网关、NAT网关、VPN网关、转发路由器(TR)、网关终端节点、边界路由器(VBR)、专线网关(ECR)、网关型负载均衡节点(GWLB)。
勾选目标流日志后单击确定。
转发路由器流日志
单击创建流日志,在创建流日志对话框中:
先设置采集配置:
CEN:选择目标转发路由器所在的云企业网。
转发路由器:选择目标转发路由器。
实例:选择要采集的目标资源。
选择跨地域连接时,仅采集从转发路由器流出的单向流量信息。
选择VBR连接、VPC连接、VPN连接、ECR连接时,系统采集流入和流出转发路由器的双向流量信息。
选择TR时,系统会采集转发路由器上创建的所有网络实例连接,包括:跨地域连接、VBR连接、VPC连接、VPN连接、ECR连接。各个资源的流量采集方向,与前述一致。
采样间隔:聚合流量信息的采集窗口长度,可选1分钟、5分钟或10分钟。窗口越小,流日志生成越频繁和及时,有助于更快发现和定位问题。窗口越大时效性越低,但日志条目数也会下降从而节省费用成本。例如1个保持长连接的TCP会话,窗口为1分钟时每小时产生60条日志;为10分钟时仅产生6条。
重要新添加的数据源日志的采样间隔,需小于或等于当前流量分析器的采样间隔。
再设置分析和投递配置 > 日志格式:
默认格式:采集全部字段。
自定义格式:除必选字段(srcaddr、dstaddr、bytes)外,仅选择特定字段。选择较少的字段可简化日志信息,节省费用成本。
选择日志格式后,系统会自动生成字符串形式的日志格式,单击复制已选格式按钮,可在调用API时批量创建相同格式的流日志。
确认无误后,单击确定。
流日志创建成功后,在添加数据源页面的转发路由器流日志页签,勾选刚创建的流日志,单击确定。
移除数据源
在目标数据源的操作列单击移除。
该操作仅将数据源从流量分析器中移除,不会删除流量分析器中已存储的流量分析数据,也不会删除数据源对应的流日志采集任务。若需将采集任务删除,请参考:删除VPC流日志、删除TR流日志。