本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
查询 Network Load Balancer 日志
使用 Athena 分析和处理来自 Network Load Balancer 的日志。这些日志将接收有关发送到 Network Load Balancer 的传输层安全性 (TLS) 请求的详细信息。您可以使用这些访问日志分析流量模式并解决问题。
在分析 Network Load Balancer 访问日志之前,请启用并配置它们以保存在目标 Amazon S3 存储桶中。有关更多信息,请参阅 。Network Load Balancer 的访问日志.
为 Network Load Balancer 日志创建表
-
将以下 DDL 语句复制并粘贴到 Athena 控制台中。检查语法的 Network Load Balancer 日志记录。您可能需要更新以下查询以包含列和最新版本的记录的 Regex 语法。
CREATE EXTERNAL TABLE IF NOT EXISTS nlb_tls_logs ( type string, version string, time string, elb string, listener_id string, client_ip string, client_port int, target_ip string, target_port int, tcp_connection_time_ms double, tls_handshake_time_ms double, received_bytes bigint, sent_bytes bigint, incoming_tls_alert int, cert_arn string, certificate_serial string, tls_cipher_suite string, tls_protocol_version string, tls_named_group string, domain_name string, alpn_fe_protocol string, alpn_be_protocol string, alpn_client_preference_list string ) ROW FORMAT SERDE 'org.apache.hadoop.hive.serde2.RegexSerDe' WITH SERDEPROPERTIES ( 'serialization.format' = '1', 'input.regex' = '([^ ]*) ([^ ]*) ([^ ]*) ([^ ]*) ([^ ]*) ([^ ]*):([0-9]*) ([^ ]*):([0-9]*) ([-.0-9]*) ([-.0-9]*) ([-0-9]*) ([-0-9]*) ([-0-9]*) ([^ ]*) ([^ ]*) ([^ ]*) ([^ ]*) ([^ ]*) ([^ ]*) ([^ ]*) ([^ ]*) ([^ ]*)$') LOCATION 's3://your_log_bucket/prefix/AWSLogs/AWS_account_ID/elasticloadbalancing/region'; -
修改
LOCATIONAmazon S3 存储桶用于指定 Network Load Balancer 日志的目标。 -
在 Athena 控制台中运行查询。在查询完成后,Athena 会注册
nlb_tls_logs表,使其中的数据可供发出查询。
Network Load Balancer 示例查询
要查看证书的使用次数,请使用与以下示例类似的查询:
SELECT count(*) AS ct, cert_arn FROM "nlb_tls_logs" GROUP BY cert_arn;
以下查询显示了使用旧版 TLS 的用户数:
SELECT tls_protocol_version, COUNT(tls_protocol_version) AS num_connections, client_ip FROM "nlb_tls_logs" WHERE tls_protocol_version < 'tlsv12' GROUP BY tls_protocol_version, client_ip;
使用以下查询可确定需要较长的 TLS 握手时间的连接:
SELECT * FROM "nlb_tls_logs" ORDER BY tls_handshake_time_ms DESC LIMIT 10;