本文為您介紹如何通過Log ServiceSLS(Log Service)查詢分析Smart Access Gateway流量。
前提條件
您已經建立了Log ServiceProject和Logstore。具體操作,請參見Log Service快速入門。
您的Smart Access Gateway裝置已經串連到阿里雲。具體操作,請參見單機旁掛靜態路由上雲。
請確保您的Smart Access Gateway裝置型號為SAG-1000。
背景資訊
Smart Access Gateway提供流日誌功能。流日誌可以幫您記錄Smart Access Gateway流量傳輸資訊到阿里雲Log Service或者您的Netflow伺服器上。本文以Log Service為例,為您介紹如何將Smart Access Gateway流量傳輸資訊儲存到阿里雲Log Service中,並指導您如何在Log Service平台上對Smart Access Gateway流量進行查詢分析,方便您瞭解您的流量分布。
步驟一:接入資料
在您查詢分析您的流量前,您需要先執行以下操作將您的Smart Access Gateway流量傳輸資訊記錄到指定的Project和Logstore中。
建立流日誌執行個體。
您需要在Smart Access Gateway管理控制建立流日誌執行個體,每一個流日誌執行個體會關聯一個Project和Logstore,用於儲存流量傳輸資訊。
在左側導覽列,單擊流日誌。
在流日誌頁面,單擊建立流日誌。
在建立流日誌面板,根據以下資訊進行配置,然後單擊確定。
名稱:輸入資料流日誌名稱。
活躍流輸出間隔:輸入保持活躍的網路連接流日誌輸出的時間間隔。預設值為300秒,取值範圍為60~6000秒。
非活躍流輸出間隔:輸入非活躍的網路連接流日誌輸出的間隔。預設值為15秒,取值範圍為10~600秒。
輸出目的類型:選擇日誌儲存類型。本教程選擇SLS。
如果您需要將日誌資訊儲存在阿里雲Log Service平台上,請選擇SLS。
如果您需要將日誌資訊儲存在您的Netflow伺服器上,請選擇Netflow。
如果您需要將日誌資訊同時儲存在阿里雲Log Service平台和您的Netflow伺服器上時,請選擇ALL。
SLS Region:選擇Log Service所屬的地區。
SLS Project:選擇儲存流日誌資訊的日誌庫所屬的專案。
SLS Logstore:選擇日誌庫。日誌庫用來儲存流日誌資訊。
更多參數說明資訊,請參見建立流日誌。
關聯Smart Access Gateway。
建立流日誌執行個體後,您需要將Smart Access Gateway執行個體關聯到流日誌執行個體上,關聯後,Smart Access Gateway執行個體的流量傳輸資訊將會被儲存到指定的Project和Logstore上,後續您可以在Log Service控制台,進行查詢分析。
在流日誌頁面,找到已建立的流日誌執行個體,單擊流日誌執行個體ID。
在流日誌執行個體詳情頁面,單擊添加執行個體。
在添加執行個體面板,選中目標Smart Access Gateway執行個體,然後單擊儲存。
步驟二:查詢分析流量
配置流日誌後,您可以在Log Service平台,查詢分析已搜集到Smart Access Gateway的流量資訊。
在Project列表地區,單擊目標Project。
在頁簽中,單擊目標Logstore。
開啟索引。具體操作,請參見開啟並配置索引。
索引是一種儲存結構,用於對日誌資料中的一列或多列進行排序。您只有配置索引後,才能進行查詢和分析操作。不同的索引配置,會產生不同的查詢和分析結果,請根據您的需求,合理配置索引。本教程開啟欄位索引並開啟統計功能。
說明在您配置欄位索引時,請您確保bytes欄位為TEXT類型,方便後續進行資料分析統計。
開啟索引後,您可以進行查詢分析操作。以下內容以查詢TOP 10的五元組資訊為例,為您展示如何查詢分析流量。
在搜尋方塊輸入查詢分析語句。
本教程要查詢的五元組流量對應的欄位為:srcaddr、srcport、dstaddr、dstport、protocol。
* | select srcaddr,srcport,dstaddr,dstport,protocol,count(*) as num,sum(bytes) as bytes from (select CASE WHEN strpos(bytes, 'M') != 0 then (CAST(replace(bytes,'M') AS double)*1024*1024) WHEN strpos(bytes, 'K') != 0 then (CAST(replace(bytes,'K') AS double)*1024) else CAST(bytes AS double) end as bytes,srcaddr,srcport,dstaddr,dstport,protocol from log limit 100000) GROUP BY srcaddr,dstaddr,srcport,dstport,protocol ORDER BY bytes DESC limit 10系統預設為您搜尋最近15分鐘內的資料。在您進行查詢分析時,您可以自訂時間段。
說明在您制定查詢分析語句時,請以您日誌中的欄位為準,本教程中的欄位僅作參考。關於查詢分析語句的更多資訊,請參見查詢概述。
單擊查詢/分析。
系統自動為您跳轉到統計圖表頁面以表格形式為您展示TOP 10五元組流量的統計資料。您可以選擇其他資料展現方式,更多資訊,請參見統計圖表概述。
本教程採用餅圖展現統計資料。
在統計圖表的餅圖頁面下,調整餅圖屬性,自訂餅圖展示結構。
本教程調整以下兩個屬性,其餘屬性保持預設值。更多資訊,請參見餅圖。
分類:資料分類。
本教程以srcaddr、srcport、dstaddr、dstport、protocol欄位對資料進行分類。只有流量的五個欄位全部一致,才會進行計數。
數值列:分類資料對應的數值。
本教程以bytes欄位為數值列。
可選:您可以參見以上的操作,查詢TOP 10三元組資訊和TOP 10源目IP地址資訊。
查詢TOP 10三元組資訊
查詢欄位:srcaddr、dstaddr、protocol。
查詢語句:
* | select srcaddr,dstaddr,protocol,count(*) as num,sum(bytes) as bytes from (select CASE WHEN strpos(bytes, 'M') != 0 then (CAST(replace(bytes,'M') AS double)*1024*1024) WHEN strpos(bytes, 'K') != 0 then (CAST(replace(bytes,'K') AS double)*1024) else CAST(bytes AS double) end as bytes, srcaddr,dstaddr,protocol from log limit 100000) GROUP BY srcaddr,dstaddr,protocol ORDER BY bytes DESC limit 10查詢結果:
查詢TOP 10源目IP地址資訊
查詢欄位:srcaddr、dstaddr。
查詢語句:
* | select srcaddr,dstaddr,count(*) as num,sum(bytes) as bytes from (select CASE WHEN strpos(bytes, 'M') != 0 then (CAST(replace(bytes,'M') AS double)*1024*1024) WHEN strpos(bytes, 'K') != 0 then (CAST(replace(bytes,'K') AS double)*1024) else CAST(bytes AS double) end as bytes, srcaddr,dstaddr from log limit 100000) GROUP BY srcaddr,dstaddr ORDER BY bytes DESC limit 10查詢結果:
步驟三:(可選)添加統計圖表到儀錶盤
Log Service支援將查詢分析結果通過圖表形式儲存到儀錶盤中,為您後續重複查看提供便利。
在餅圖的右上方,單擊添加到儀錶盤。
在添加儀錶盤對話方塊,配置以下資訊,然後單擊確認。
操作類型:本教程選擇建立儀錶盤。
儀錶盤名稱:輸入儀錶盤名稱。本教程輸入五元組統計。
圖表名稱:輸入圖表名稱。本教程輸入五元組餅圖統計。
更多資訊,請參見添加統計圖表到儀錶盤。
在左側導覽列,單擊儀錶盤。
單擊剛剛建立的儀錶盤名稱,查看儀錶盤資訊。
在儀錶盤頁面,單擊時間選擇,您可以查看任意時間段內的查詢分析結果。更多資訊,請參見顯示模式。
