In Flow Analyzer werden VPC-Flusslogdaten analysiert, die in einem Eintragsformat gespeichert sind. Logdatensätze umfassen Basisfelder – die wichtigsten Felder jedes Logdatensatzes – sowie Metadatenfelder, die zusätzliche Informationen enthalten. Die Protokolleinträge zum Überwachen von Trafficflüssen bestehen aus drei Hauptkomponenten:
- Ressourceninformationen
- Messwerttypen
- Zeitreihe
Ressourceninformationen
Die Protokolleinträge enthalten die folgenden Daten zu den Ressourcen:
Messwerttypen
Die Protokolleinträge enthalten Daten für die folgenden Messwerttypen:
- Gesendete Bytes: Enthält Informationen zum Nutzlastvolumen, ohne Header. Dieser Messwert kann null sein, da einige Pakete nur Header und keine Nutzlasten enthalten.
- Gesendete Pakete:Gibt die Anzahl der Pakete an, die von der Quelle an das Ziel gesendet wurden.
Unformatierte Zeitachsendaten
Die Menge der Messwert-Rohdaten in einer einzelnen Zeitachse kann enorm sein und einem Messwerttyp sind in der Regel viele Zeitachsen zugeordnet. Um den gesamten Datensatz auf Gemeinsamkeiten, Trends oder Ausreißer zu analysieren, müssen die Zeitreihen im Satz verarbeitet werden. Andernfalls sind zu viele Daten zu berücksichtigen.
Zur Einführung in die Stichprobenerhebung und Aggregation wird in den Beispielen auf dieser Seite eine kleine Anzahl von Zeitreihen verwendet. Das folgende Diagramm zeigt beispielsweise einige Minuten Rohdaten für den Messwerttyp Byte pro Sekunde:
Unformatierte Zeitreihendaten müssen bearbeitet werden, bevor sie analysiert werden können. Bei der Analyse werden häufig Stichproben aus den Daten gezogen und zusammengefasst. Auf dieser Seite werden zwei primäre Techniken zum Verfeinern von Rohdaten beschrieben:
- Stichprobenerhebung, wodurch einige Daten nicht berücksichtigt werden. Google Cloud führt die Stichprobenerhebung durch und verwendet die erforderlichen Daten aus den Protokolleinträgen, um die in den Abfragen angegebenen Vorgänge auszuführen.
- Aggregation: Kombiniert mehrere Daten in einem kleineren Satz zusammen mit den von Ihnen angegebenen Dimensionen.
Stichprobenerhebung und Aggregation sind leistungsstarke Tools, mit denen Sie unter anderem interessante Muster erkennen und Trends oder Ausreißer in den Daten hervorheben können.
Ausrichtungszeitraum
Der erste Schritt beim Aggregieren von Zeitachsendaten ist die Ausrichtung. Mit der Ausrichtung wird eine neue Zeitreihe erstellt, in der die Rohdaten zeitlich reguliert wurden, damit sie mit anderen ausgerichteten Zeitreihen kombiniert werden können. Bei der Ausrichtung werden Zeitachsen mit regelmäßig verteilten Daten erstellt.
Die Ausrichtung umfasst zwei Schritte:
- Unterteilen der Zeitachsen in regelmäßige Zeitintervalle, auch Daten-Bucketing genannt. Das Intervall wird als Ausrichtungszeitraum bezeichnet.
- Einen einzelnen Messwert für die Punkte im Ausrichtungszeitraum berechnen Sie können wählen, wie dieser einzelne Punkt berechnet werden soll. Sie können alle Werte summieren, ihren Durchschnitt berechnen oder das Maximum verwenden.
Das folgende Diagramm zeigt, wie die Daten im Intervall zwischen Start- und Endzeit mithilfe des Intervalls für die Zeitsynchronisierung in Gruppen zusammengefasst werden.
Das folgende Diagramm zeigt das Ergebnis der Verwendung eines Kalibrierungszeitraums von fünf Minuten mit den folgenden Schritten:
- Erstellen Sie einen Ausrichtungszeitraum von fünf Minuten.
- Der einzelne Messwert wird anhand der Summe der Messwerte aus den Rohdaten berechnet.
Detaillierungsgrad
Wenn Sie wissen, dass etwas innerhalb weniger Minuten passiert ist, und Sie sich eingehender damit befassen möchten, sollten Sie für die Ausrichtung einen Zeitraum von einer Minute verwenden.
Wenn Sie Trends über einen längeren Zeitraum untersuchen möchten, ist ein längerer Ausrichtungszeitraum möglicherweise besser geeignet. Große Ausrichtungszeiträume sind in der Regel nicht geeignet, um kurzfristige anomale Bedingungen zu betrachten, z. B. kurze Zugriffsspitzen. Wenn Sie beispielsweise einen mehrwöchigen Ausrichtungszeitraum verwenden, ist das Vorhandensein einer Anomalie in diesem Zeitraum vielleicht noch erkennbar, aber die ausgerichteten Daten sind möglicherweise zu allgemein, um viel zu helfen.
Bei großen Zeiträumen ist ein kürzerer Ausrichtungszeitraum nicht hilfreich. Wenn Sie beispielsweise eine Ausrichtung von 1 Minute für einen Zeitraum von 30 Tagen auswählen, generiert der Flussanalysetool mehr als 43.000 Datenpunkte. Da 43.000 Datenpunkte zehnmal so viele sind wie die Pixel des 4K-Displays, können Sie nicht alle Details sehen und einige Optionen sind für lange Zeiträume deaktiviert.
Ausrichtungsoptionen
Zu den Ausrichtungsoptionen gehören das Addieren der Werte oder das Ermitteln des Maximal-, Minimal- oder Mittelwerts der Werte, das Suchen eines ausgewählten Perzentilwerts, das Zählen der Werte usw. In Flow Analyzer können Sie verschiedene Messwertaggregationen als Ausrichtungsoptionen verwenden.
Wenn Sie Gesendete Bytes als Messwerttyp und Quelle und Ziel als Traffic-Aggregation auswählen, sind die folgenden Optionen verfügbar.
- Traffic insgesamt
- Durchschnittliche Traffic-Rate
- Median-Traffic-Rate
- P95-Traffic-Rate
- Maximale Traffic-Rate
Wenn Sie Gesendete Pakete als Messwerttyp und Quelle und Ziel als Traffic-Aggregation auswählen, sind die folgenden Optionen verfügbar.
- Aggregierte Pakete
- Durchschnittliche Paketsenderate
- Median-Paketsenderate
- P95-Paketsenderate
- Maximale Paketrate
Das folgende Diagramm zeigt das Ergebnis der Verwendung der beiden Ausrichtungsoptionen Gesamttraffic und durchschnittliche Zugriffsrate.
Ausrichtungszeitraum verwenden
Mit der Option Abgleichszeitraum können Sie die Besucherströme in Zeitintervalle der ausgewählten Dauer zusammenfassen. Sie können die Grafik bei Bedarf weiter heranzoomen und sich die Details ansehen.
Nächste Schritte
- Trafficflüsse analysieren
- Log Analytics aktivieren
- Zentralen Bucket konfigurieren
- Konnektivitätstests über den Flow Analyzer ausführen
- Trafficflüsse überwachen
- Probleme mit Daten in Flow Analyzer beheben