查看同一个VPC内ECS的流量
方案架构

约束与限制
关于流日志的使用限制,具体请查看VPC流日志的使用限制。
资源规划说明

以下资源规划详情仅为示例,您可以根据需要自行修改。
资源类型 |
资源数量 |
说明 |
---|---|---|
虚拟私有云VPC和子网 |
VPC:1 子网:2 |
|
弹性云服务器ECS |
2 |
本示例中,共需要2个ECS,配置说明如下:
|
VPC流日志 |
1 |
|
方向 |
策略 |
类型 |
协议端口 |
源地址/目的地址 |
描述 |
---|---|---|---|---|---|
入方向 |
允许 |
IPv4 |
TCP: 22 |
源地址:0.0.0.0/0 |
放通安全组内ECS的SSH(22)端口,用于远程登录Linux ECS。 |
入方向 |
允许 |
IPv4 |
TCP: 3389 |
源地址:0.0.0.0/0 |
放通安全组内ECS的RDP(3389)端口,用于远程登录Windows ECS。 |
入方向 |
允许 |
IPv4 |
全部 |
源地址:当前安全组Sg-X |
针对IPv4,用于安全组内ECS之间网络互通。 |
入方向 |
允许 |
IPv6 |
全部 |
源地址:当前安全组Sg-X |
针对IPv6,用于安全组内ECS之间网络互通。 |
出方向 |
允许 |
IPv4 |
全部 |
目的地址:0.0.0.0/0 |
针对IPv4,用于安全组内ECS访问外部,允许流量从安全组内ECS流出。 |
出方向 |
允许 |
IPv6 |
全部 |
目的地址:::/0 |
针对IPv6,用于安全组内ECS访问外部,允许流量从安全组内ECS流出。 |

本示例中,入方向源地址设置为0.0.0.0/0表示允许所有外部IP远程登录云服务器,如果将22或3389端口暴露到公网,可能存在网络安全风险,建议您将源IP设置为已知的IP地址,比如设置为您的本地PC地址。
步骤一:创建云服务资源
- 创建1个VPC和2个子网。
具体方法请参见创建虚拟私有云和子网。
- 创建2个ECS。
具体方法请参见自定义购买ECS。
步骤三:查看VPC流日志信息
本文中采集ECS-01的弹性网卡的流日志信息。
- 远程登录ECS-01。
ECS有多种登录方法,具体请参见登录弹性云服务器。
- 执行以下命令,采用ECS-01 ping ECS-02的方法来产生流量,从而采集流日志。
命令示例:
ping 192.168.1.31
回显类似如下信息,您需要等待大约10分钟,才能查看流日志记录详情。采集流日志期间请勿中断ping命令。[root@ecs-01 ~]# ping 192.168.1.31 PING 192.168.1.31 (192.168.1.31) 56(84) bytes of data. 64 bytes from 192.168.1.31: icmp_seq=1 ttl=64 time=0.292 ms 64 bytes from 192.168.1.31: icmp_seq=2 ttl=64 time=0.186 ms 64 bytes from 192.168.1.31: icmp_seq=3 ttl=64 time=0.162 ms ...
- 等待大约10分钟,参考查看VPC流日志,查看VPC流日志信息。
您可以在搜索框中输入ECS-02的IP地址(192.168.1.31),快速过滤出ECS-01和ECS-02通信的流日志。
图3 查看日志信息流日志格式:<version> <project-id> <interface-id> <srcaddr> <dstaddr> <srcport> <dstport> <protocol> <packets> <bytes> <start> <end> <action> <log-status>
- 流日志示例:1 f0512a6441dc47189f5e03a428f48267 ef676eb6-0a0a-4939-85c9-9f8db1d1937c 192.168.0.66 192.168.1.31 8 0 1 585 57330 1739877133 1739877733 ACCEPT OK
- 流日志含义:VPC流日志版本为1,在2025-02-18 19:12:13~2025-02-18 19:22:13这10分钟时间内,网卡(ef676eb6-0a0a-4939-85c9-9f8db1d1937c)允许(ACCEPT)流过的流量信息。由源端IP地址192.168.0.66通过ICMP协议(protocol=1)向目的端IP地址192.168.1.31传输了585个 echo request(type=8,code=0)数据包,所有数据包的大小为57330byte。
关于流日志数据的详细说明,请参见VPC流日志数据说明。
步骤四:对VPC流日志进行结构化配置及可视化分析
- 执行搜索与分析前,将上报的日志进行结构化配置。
本示例参数设置如表4所示,具体操作请参见云端结构化解析日志。
图4 设置云端结构化解析日志表4 结构化配置-参数说明 操作序号
操作指导
①
结构化方式选择“分隔符”
②
在文本框中,输入VPC流日志示例:
1 f0512a6441dc47189f5e03a428f48267 ef676eb6-0a0a-4939-85c9-9f8db1d1937c 192.168.0.66 192.168.1.31 8 0 1 585 57330 1739877133 1739877733 ACCEPT OK
③
分隔符选择“空格”
④
单击“智能提取”
⑤
在智能提取的字段列表中,依次将字段名字改为流日志的字段名称:
version、project-id、interface-id、srcaddr、dstaddr、srcport、dstport、protocol、packets、bytes、start、end、action、log-status
- 完成云端结构化解析配置后,可以进行日志分析。
本示例为您介绍以下两种可视化日志分析方法:
- 使用统计图表将日志可视化:统计图表是云日志服务根据SQL查询语法渲染出的结果,包括表格、柱状图、折线图等多种图表类型。
- 使用仪表盘将日志可视化:仪表盘是云日志服务提供的实时数据分析大盘。
- 将VPC服务接入LTS服务中,具体操作请参见虚拟私有云VPC接入LTS。
- VPC接入成功后,在云日志服务控制台,选择“仪表盘 > VPC仪表盘 > VPC流日志”。
进入VPC仪表盘详情页面,稍等几分钟,可查看流日志数据,更多仪表盘信息请参见VPC仪表盘模板。
图6 VPC流日志仪表盘