ER日志中心

前提条件

• 已采集ER流量日志，详情请参见VPC接入。
• 日志配置结构化，详情请参见结构化配置。

背景信息

企业路由器（Enterprise Router, ER）可以连接虚拟私有云（Virtual Private Cloud, VPC）或本地网络来构建中心辐射型组网，是云上大规格、高带宽、高性能的集中路由器。企业路由器使用边界网关协议（Border Gateway Protocol, BGP），支持路由学习、动态选路以及链路切换，极大的提升网络的可扩展性及运维效率，从而保证业务的连续性。

分析网站访问情况

1. 登录云日志服务控制台。
2. 在左侧导航栏中选择“仪表盘 ”。
3. 在仪表盘模板下方，选择“ER仪表盘模板>ER流量日志中心”仪表盘，查看图表详情。

ER流量日志中心仪表盘中的过滤器说明如下所示：

• 实例ID图展示不同的实例ID，所关联的查询分析语句如下所示：

  SELECT DISTINCT(instance_id)

• 连接ID图展示不同的连接ID，所关联的查询分析语句如下所示：

  SELECT DISTINCT(resource_id)

• 流量方向图展示为静态过滤器，可按照入方向和出方向的流量进行过滤，所关联的查询分析语句如下所示：
• 源IP图展示不同的源地址IP，所关联的查询分析语句如下所示：

  SELECT DISTINCT(srcaddr)

• 目的IP图展示不同的目的地址IP，所关联的查询分析语句如下所示：

  SELECT DISTINCT(dstaddr)

• 协议类型图展示不同的协议类型，所关联的查询分析语句如下所示：

  SELECT DISTINCT(protocol)

ER流量日志中心仪表盘中的重要图表说明如下所示：

• TOP20包数统计图展示按照包数排名，其中包括源地址，目的地址，包数，连接ID和实例ID详情前20，所关联的查询分析语句如下所示：

  SELECT "srcaddr" as "源地址", "dstaddr" as "目的地址",  sum("packets") as "包数", "resource_id" as "连接ID", "instance_id" as "实例ID" group by "instance_id", "resource_id", "srcaddr", "dstaddr" order by "包数" desc limit 20

• TOP20流量统计图展示按照字节数排名，其中包括源地址，目的地址，字节数，连接ID和实例ID详情前20，所关联的查询分析语句如下所示：

  SELECT "srcaddr" as "源地址", "dstaddr" as "目的地址",  sum("bytes") as "字节数", "resource_id" as "连接ID", "instance_id" as "实例ID" group by "instance_id", "resource_id", "srcaddr", "dstaddr" order by "字节数" desc limit 20

• 流日志条数图展示每小时流日志条数的数量，所关联的查询分析语句如下所示：

  select time_series(__time, 'PT1H', 'yyyy-MM-dd HH:mm:ss', '0', '+08:00') as "时间", count(*) as "流日志条数" group by "时间" order by "时间"

• 流日志详情图展示日志详情信息，所关联的查询分析语句如下所示：

  SELECT "instance_id" as "实例ID", "resource_id" as "连接ID", "project_id" as "项目ID", "srcaddr" as "源IP", "dstaddr" as "目的IP", "srcport" as "源端口",  "dstport" as "目的端口", "protocol" as "协议类型", "direct" as "流量方向", "packets" as "包数", "bytes" as "字节数",  TIME_FORMAT( MILLIS_TO_TIMESTAMP("start"*1000), 'yyyy-MM-dd HH:mm:ss', '+08:00') as "开始时间", TIME_FORMAT( MILLIS_TO_TIMESTAMP("end"*1000) , 'yyyy-MM-dd HH:mm:ss', '+08:00') as "结束时间"