指標とアライメント期間

Flow Analyzer は、レコード形式で保存された VPC フローログのデータを分析します。ログレコードには、各ログレコードのコアフィールドであるベース フィールドと、詳細情報を提供するメタデータ フィールドが含まれています。トラフィック フローのモニタリング ログレコードは、次の 3 つの主要コンポーネントで構成されます。

  • リソースの情報
  • 指標タイプ
  • 時系列

リソースの情報

ログレコードには、リソースに関する次のデータが含まれます。

指標タイプ

ログレコードには、次の指標タイプのデータが含まれます。

  • 送信バイト数: ペイロード ボリュームに関する情報が含まれます。ヘッダーは含まれません。一部のパケットにはヘッダーのみがあり、ペイロードを含まないため、この指標値がゼロになる場合があります。
  • 送信されたパケット数: 送信元から宛先に送信されたパケット数を示します。

生の時系列データ

1 つの時系列の生の指標データは極めて大量になる可能性があり、通常は指標タイプに関連付けられた時系列が多数あります。共通項、傾向、外れ値のセット全体を分析するには、セット内の時系列に対してなんらかの処理を行う必要があります。そうしないと、考慮すべきデータが多すぎます。

このページの例のサンプリングと集計を導入するには、少数の仮の時系列を使用します。たとえば、次の図は、指標タイプが 1 秒あたりのバイト数の数分ぶんの元データを示しています。

生の時系列データ。
生の時系列データ(クリックして拡大)。

生の時系列データは、分析する前に操作する必要があります。分析では、データをサンプリングしたり、一部のデータを一緒に集計することがよくあります。このページでは、生データを絞り込むための 2 つの主な手法について説明します。

  • サンプリング: 一部のデータを対象から除外します。Google Cloud はサンプリングを行い、ログレコードから必要なデータを使用して、クエリに示されているオペレーションを実行します。
  • 集計: 指定した分割項目に基づいて、複数のデータを小さなセットに結合します。

サンプリングと集計は、他のものから、興味深いパターンを特定し、データの傾向や外れ値を強調するのに便利な強力なツールです。

アライメント期間について

時系列データを集計するための最初のステップは、アライメントです。アライメントにより、元データを時間で正規化した新しい時系列を生成することで、他のアライメントされた時系列との結合が可能になります。アライメントによって生成されるのは、一定間隔のデータからなる時系列です。

アライメントには 2 つのステップがあります。

  1. 時系列を定期的な時間間隔に分割する(データのバケット化とも呼ばれる)。この間隔はアライメント期間と呼ばれます。
  2. アライメント期間のポイントに対して単一のメトリック値を計算します。その単一ポイントの計算方法を選択します。すべての値を合計することも、平均を計算することも、最大値を使用することもできます。

次の図では、アライメント期間を使用して開始時刻と終了時刻の間でデータをバケット化する方法を示します。

アライメント期間。
アライメント期間(クリックして拡大)。

下の図では、次のステップで 5 分間のアライメント期間を使用した場合の結果を示します。

  1. 5 分間隔のアライメント期間を作成する。
  2. 元データの指標値の合計を使用して単一の指標値を計算します。
5 分間のアライメント期間。
5 分間のアライメント期間(クリックして拡大)。

粒度

2、3 分のスパン以内に何かが発生したことがわかっていて、さらに深掘りしたい場合は、アライメントに 1 分間を使用します。

これより長い期間の傾向を検討したい場合は、より大規模なアライメント期間の方が適切である可能性があります。通常、大規模なアライメント期間は、短時間の異常条件(トラフィックの短いスパイクなど)の確認には役立ちません。たとえば、数週間のアライメント期間を使用すると、その期間の異常の検出は可能ですが、アライメントされたデータはあまりにも大雑把で役に立ちません。

期間が長い場合、短いアライメント期間は役に立ちません。たとえば、30 日の期間で 1 分間のアライメントを選択すると、Flow Analyzer は 43,000 個を超えるデータポイントを生成します。43,000 データポイントは 4K ディスプレイのピクセルの 10 倍以上であるため、すべての詳細を表示することはできず、長期間の場合は一部のオプションが無効になります。

配置のオプション

アライメント オプションには、値の合計、値の最大値、最小値、平均値の検索、選択したパーセンタイル値の検索、値のカウントなどがあります。Flow Analyzer では、さまざまな指標の集計をアライメント オプションとして使用できます。

指標タイプとして [送信バイト数] を選択し、トラフィックの集計として [送信元と宛先] を選択した場合は、次のオプションを使用できます。

  • 総トラフィック
  • 平均トラフィック レート
  • トラフィック レートの中央値
  • P95 トラフィック レート
  • 最大トラフィック レート

指標タイプとして [送信パケット数] を選択し、トラフィックの集計として [送信元と送信先] を選択した場合は、次のオプションを使用できます。

  • パケットの集計
  • 平均パケットレート
  • パケット率の中央値
  • P95 パケット率
  • 最大パケットレート

次の図では、合計トラフィックと平均トラフィック レートの 2 つのアライメント オプションを使用した場合の結果を示します。

合計トラフィックと平均トラフィック。
合計トラフィックと平均トラフィック(クリックして拡大)。

アライメント期間の使用

[アライメント期間] オプションを使用すると、選択した期間の時間間隔にトラフィック フローを集計できます。必要に応じて、グラフをさらに拡大して詳細を確認できます。

次のステップ