第 14 章 网络流格式参考

Bytes

number

字节数

不适用

否

avoid

DnsErrno

number

从 DNS tracker ebpf hook 功能返回的错误数

dns_errno

否

fine

DnsFlags

number

DNS 记录的 DNS 标记

不适用

否

fine

DnsFlagsResponseCode

string

解析的 DNS 标头 RCODE 名称

dns_flag_response_code

否

fine

DnsId

number

DNS 记录 ID

dns_id

否

avoid

DnsLatencyMs

number

DNS 请求和响应之间的时间（以毫秒为单位）

dns_latency

否

avoid

Dscp

number

差异化服务代码点 (DSCP) 值

dscp

否

fine

DstAddr

string

目标 IP 地址 (ipv4 或 ipv6)

dst_address

否

avoid

DstK8S_HostIP

string

目的地节点 IP

dst_host_address

否

fine

DstK8S_HostName

string

目标节点名称

dst_host_name

否

fine

DstK8S_Name

string

目标 Kubernetes 对象的名称，如 Pod 名称、服务名称或节点名称。

dst_name

否

careful

DstK8S_Namespace

string

目标命名空间

dst_namespace

是

fine

DstK8S_OwnerName

string

目标所有者的名称，如 Deployment 名称、StatefulSet 名称等。

dst_owner_name

是

fine

DstK8S_OwnerType

string

目标所有者的类型，如 Deployment、StatefulSet 等。

dst_kind

否

fine

DstK8S_Type

string

目标 Kubernetes 对象的类型，如 Pod、Service 或 Node。

dst_kind

是

fine

DstK8S_Zone

string

目标可用区

dst_zone

是

fine

DstMac

string

目标 MAC 地址

dst_mac

否

avoid

DstPort

number

目的地端口

dst_port

否

careful

DstSubnetLabel

string

目的地子网标签

dst_subnet_label

否

fine

Duplicate

布尔值

指明此流是否也从同一主机上的另一个接口捕获

不适用

是

fine

标记

number

在流中包括唯一 TCP 标志的逻辑 OR 组合，根据 RFC-9293，带有额外的自定义标志来代表每个数据包的组合：
- SYN+ACK (0x100)
- FIN+ACK (0x200)
- RST+ACK (0x400)

不适用

否

fine

FlowDirection

number

来自节点观察点的流解释方向。可以是：
- 0: Ingress （来自节点观察点的流量）
- 1: Egress （从节点观察到流量，来自节点观察点）
- 2: Inner （具有相同源和目标节点）

node_direction

是

fine

IcmpCode

number

ICMP 代码

icmp_code

否

fine

IcmpType

number

ICMP 类型

icmp_type

否

fine

IfDirections

number

来自网络接口观察点的流方向。可以是：
- 0: Ingress （接口传入的流量）
- 1: Egress （接口传出流量）

ifdirections

否

fine

接口

string

网络接口

interfaces

否

careful

K8S_ClusterName

string

集群名称或标识符

cluster_name

是

fine

K8S_FlowLayer

string

流层： 'app' 或 'infra'

flow_layer

否

fine

Packets

number

数据包数

不适用

否

avoid

PktDropBytes

number

内核丢弃的字节数

不适用

否

avoid

PktDropLatestDropCause

string

最新丢弃原因

pkt_drop_cause

否

fine

PktDropLatestFlags

number

最后丢弃的数据包上的 TCP 标志

不适用

否

fine

PktDropLatestState

string

最后丢弃的数据包上的 TCP 状态

pkt_drop_state

否

fine

PktDropPackets

number

内核丢弃的数据包数

不适用

否

avoid

Proto

number

L4 协议

protocol

否

fine

SrcAddr

string

源 IP 地址 (ipv4 或 ipv6)

src_address

否

avoid

SrcK8S_HostIP

string

源节点 IP

src_host_address

否

fine

SrcK8S_HostName

string

源节点名称

src_host_name

否

fine

SrcK8S_Name

string

源 Kubernetes 对象的名称，如 Pod 名称、服务名称或节点名称。

src_name

否

careful

SrcK8S_Namespace

string

源命名空间

src_namespace

是

fine

SrcK8S_OwnerName

string

源所有者的名称，如 Deployment 名称、StatefulSet 名称等。

src_owner_name

是

fine

SrcK8S_OwnerType

string

源所有者的类型，如 Deployment、StatefulSet 等。

src_kind

否

fine

SrcK8S_Type

string

源 Kubernetes 对象的类型，如 Pod、Service 或 Node。

src_kind

是

fine

SrcK8S_Zone

string

源可用区

src_zone

是

fine

SrcMac

string

源 MAC 地址

src_mac

否

avoid

SrcPort

number

源端口

src_port

否

careful

SrcSubnetLabel

string

源子网标签

src_subnet_label

否

fine

TimeFlowEndMs

number

此流的结束时间戳，以毫秒为单位

不适用

否

avoid

TimeFlowRttNs

number

TCP Smoothed Round Trip Time (SRTT)，单位为纳秒

time_flow_rtt

否

avoid

TimeFlowStartMs

number

开始此流的时间戳，以毫秒为单位

不适用

否

avoid

TimeReceived

number

由流被流收集器接收并处理时的时间戳，以秒为单位

不适用

否

avoid

_HashId

string

在对话跟踪中，对话标识符

id

否

avoid

_RecordType

string

记录类型：'flowLog' 用于常规流日志，或 'newConnection', 'heartbeat', 'endConnection' 用于对话跟踪

type

是

fine