第 15 章网络流格式参考

这些是网络流格式的规格，在内部和将流导出到 Kafka 时使用。

15.1. 网络流格式参考

这是网络流格式的规格。在配置了 Kafka 导出器时，使用这种格式，用于 Prometheus 指标标签，以及 Loki 存储的内部。

"Filter ID"列显示定义 Quick Filters 时使用的相关名称（请参阅 FlowCollector 规格中的 spec.consolePlugin.quickFilters ）。

当直接查询 Loki 时，"Loki label"列很有用：需要使用流选择器来选择标签字段。

"Cardinality" 列提供有关在此字段用作带有 FlowMetrics API 的 Prometheus 标签时含义的指标卡inality 的信息。有关使用此 API 的更多信息，请参阅 FlowMetrics 文档。

Name	类型	描述	过滤 ID	Loki 标签	基准	OpenTelemetry
`Bytes`	number	字节数	不适用	否	avoid	bytes
`DnsErrno`	number	从 DNS tracker ebpf hook 功能返回的错误数	`dns_errno`	否	fine	dns.errno
`DnsFlags`	number	DNS 记录的 DNS 标记	不适用	否	fine	dns.flags
`DnsFlagsResponseCode`	string	解析的 DNS 标头 RCODE 名称	`dns_flag_response_code`	否	fine	dns.responsecode
`DnsId`	number	DNS 记录 ID	`dns_id`	否	avoid	dns.id
`DnsLatencyMs`	number	DNS 请求和响应之间的时间（以毫秒为单位）	`dns_latency`	否	avoid	dns.latency
`Dscp`	number	差异化服务代码点 (DSCP) 值	`dscp`	否	fine	dscp
`DstAddr`	string	目标 IP 地址 (ipv4 或 ipv6)	`dst_address`	否	avoid	destination.address
`DstK8S_HostIP`	string	目的地节点 IP	`dst_host_address`	否	fine	destination.k8s.host.address
`DstK8S_HostName`	string	目标节点名称	`dst_host_name`	否	fine	destination.k8s.host.name
`DstK8S_Name`	string	目标 Kubernetes 对象的名称，如 Pod 名称、服务名称或节点名称。	`dst_name`	否	careful	destination.k8s.name
`DstK8S_Namespace`	string	目标命名空间	`dst_namespace`	是	fine	destination.k8s.namespace.name
`DstK8S_NetworkName`	string	目标网络名称	`dst_network`	否	fine	不适用
`DstK8S_OwnerName`	string	目标所有者的名称，如 Deployment 名称、StatefulSet 名称等。	`dst_owner_name`	是	fine	destination.k8s.owner.name
`DstK8S_OwnerType`	string	目标所有者的类型，如 Deployment、StatefulSet 等。	`dst_kind`	否	fine	destination.k8s.owner.kind
`DstK8S_Type`	string	目标 Kubernetes 对象的类型，如 Pod、Service 或 Node。	`dst_kind`	是	fine	destination.k8s.kind
`DstK8S_Zone`	string	目标可用区	`dst_zone`	是	fine	destination.zone
`DstMac`	string	目标 MAC 地址	`dst_mac`	否	avoid	destination.mac
`DstPort`	number	目的地端口	`dst_port`	否	careful	destination.port
`DstSubnetLabel`	string	目的地子网标签	`dst_subnet_label`	否	fine	不适用
`Duplicate`	布尔值	指明此流是否也从同一主机上的另一个接口捕获	不适用	否	fine	不适用
`标记`	string[]	根据 RFC-9293 在流中组成的 TCP 标记列表，额外自定义标记代表以下每个数据包组合： - SYN_ACK - FIN_ACK - RST_ACK	`tcp_flags`	否	careful	tcp.flags
`FlowDirection`	number	来自节点观察点的流解释方向。可以是： - 0: Ingress （来自节点观察点的流量） - 1: Egress （从节点观察到流量，来自节点观察点） - 2: Inner （具有相同源和目标节点）	`node_direction`	是	fine	host.direction
`IcmpCode`	number	ICMP 代码	`icmp_code`	否	fine	icmp.code
`IcmpType`	number	ICMP 类型	`icmp_type`	否	fine	icmp.type
`IfDirections`	number[]	来自网络接口观察点的流方向。可以是： - 0: Ingress （接口传入的流量） - 1: Egress （接口传出流量）	`ifdirections`	否	fine	interface.directions
`接口`	string[]	网络接口	`interfaces`	否	careful	interface.names
`K8S_ClusterName`	string	集群名称或标识符	`cluster_name`	是	fine	k8s.cluster.name
`K8S_FlowLayer`	string	流层： 'app' 或 'infra'	`flow_layer`	是	fine	k8s.layer
`NetworkEvents`	object[]	网络事件，如网络策略操作，包括嵌套字段： - 功能（如用于网络策略的"acl"） - 类型（如 "AdminNetworkPolicy"） - 命名空间（事件适用的命名空间，如果有命名空间） - 触发事件的资源的名称。 - Action （如 "allow" 或 "drop"） - Direction (Ingress 或 Egress)	`network_events`	否	avoid	不适用
`Packets`	number	数据包数	`pkt_drop_cause`	否	avoid	packets
`PktDropBytes`	number	内核丢弃的字节数	不适用	否	avoid	drops.bytes
`PktDropLatestDropCause`	string	最新丢弃原因	`pkt_drop_cause`	否	fine	drops.latestcause
`PktDropLatestFlags`	number	最后丢弃的数据包上的 TCP 标志	不适用	否	fine	drops.latestflags
`PktDropLatestState`	string	最后丢弃的数据包上的 TCP 状态	`pkt_drop_state`	否	fine	drops.lateststate
`PktDropPackets`	number	内核丢弃的数据包数	不适用	否	avoid	drops.packets
`Proto`	number	L4 协议	`protocol`	否	fine	protocol
`Sampling`	number	用于此流的抽样率	不适用	否	fine	不适用
`SrcAddr`	string	源 IP 地址 (ipv4 或 ipv6)	`src_address`	否	avoid	source.address
`SrcK8S_HostIP`	string	源节点 IP	`src_host_address`	否	fine	source.k8s.host.address
`SrcK8S_HostName`	string	源节点名称	`src_host_name`	否	fine	source.k8s.host.name
`SrcK8S_Name`	string	源 Kubernetes 对象的名称，如 Pod 名称、服务名称或节点名称。	`src_name`	否	careful	source.k8s.name
`SrcK8S_Namespace`	string	源命名空间	`src_namespace`	是	fine	source.k8s.namespace.name
`SrcK8S_NetworkName`	string	源网络名称	`src_network`	否	fine	不适用
`SrcK8S_OwnerName`	string	源所有者的名称，如 Deployment 名称、StatefulSet 名称等。	`src_owner_name`	是	fine	source.k8s.owner.name
`SrcK8S_OwnerType`	string	源所有者的类型，如 Deployment、StatefulSet 等。	`src_kind`	否	fine	source.k8s.owner.kind
`SrcK8S_Type`	string	源 Kubernetes 对象的类型，如 Pod、Service 或 Node。	`src_kind`	是	fine	source.k8s.kind
`SrcK8S_Zone`	string	源可用区	`src_zone`	是	fine	source.zone
`SrcMac`	string	源 MAC 地址	`src_mac`	否	avoid	source.mac
`SrcPort`	number	源端口	`src_port`	否	careful	source.port
`SrcSubnetLabel`	string	源子网标签	`src_subnet_label`	否	fine	不适用
`TimeFlowEndMs`	number	此流的结束时间戳，以毫秒为单位	不适用	否	avoid	timeflowend
`TimeFlowRttNs`	number	TCP Smoothed Round Trip Time (SRTT)，单位为纳秒	`time_flow_rtt`	否	avoid	tcp.rtt
`TimeFlowStartMs`	number	开始此流的时间戳，以毫秒为单位	不适用	否	avoid	timeflowstart
`TimeReceived`	number	由流被流收集器接收并处理时的时间戳，以秒为单位	不适用	否	avoid	timereceived
`Udns`	string[]	用户定义的网络列表	`udns`	否	careful	不适用
`XlatDstAddr`	string	数据包转换目的地地址	`xlat_dst_address`	否	avoid	不适用
`XlatDstPort`	number	数据包转换目的地端口	`xlat_dst_port`	否	careful	不适用
`XlatSrcAddr`	string	数据包翻译源地址	`xlat_src_address`	否	avoid	不适用
`XlatSrcPort`	number	数据包转换源端口	`xlat_src_port`	否	careful	不适用
`ZoneId`	number	数据包翻译区 ID	`xlat_zone_id`	否	avoid	不适用
`_HashId`	string	在对话跟踪中，对话标识符	`id`	否	avoid	不适用
`_RecordType`	string	记录类型： `flowLog` 用于常规流日志，或 `newConnection`,`heartbeat`,`endConnection` 用于对话跟踪	`type`	是	fine	不适用

第 15 章网络流格式参考

15.1. 网络流格式参考

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Red Hat legal and privacy links

Red Hat legal and privacy links

第 15 章 网络流格式参考

15.1. 网络流格式参考

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Red Hat legal and privacy links

Red Hat legal and privacy links

第 15 章网络流格式参考