指標とアライメント期間

Flow Analyzer は、レコード形式で保存された VPC フローログのデータを分析します。ログレコードには、各ログレコードのコアフィールドであるベース フィールドと、詳細情報を提供するメタデータ フィールドが含まれています。トラフィック フローのモニタリングのログレコードは、次の 3 つの主要コンポーネントで構成されます。

  • リソースの情報
  • 指標タイプ
  • 時系列

リソースの情報

ログレコードには、リソースに関する次のデータが含まれます。

指標タイプ

ログレコードには、次の指標タイプのデータが含まれます。

  • 送信バイト数: ペイロード ボリュームに関する情報が含まれます。ヘッダーは含まれません。一部のパケットにはヘッダーのみがあり、ペイロードが含まれていないため、この指標値がゼロになる場合があります。
  • 送信パケット数: 送信元から宛先に送信されたパケット数を示します。

生の時系列データ

1 つの時系列の生の指標データは極めて大量になる可能性があり、通常は指標タイプに関連付けられた時系列が多数あります。共通項、傾向、外れ値のセット全体を分析するには、セット内の時系列に対してなんらかの処理を行う必要があります。そうしないと、考慮すべきデータが多すぎます。

このページの例のサンプリングと集計を導入するために、少数の仮の時系列を使用します。たとえば、次の図は指標タイプの 1 秒あたりのバイト数に対する数分分の生データを示しています。

生の時系列データ。
生の時系列データ(クリックして拡大)。

生の時系列データは、分析する前に操作する必要があります。分析では、データのサンプリングと一部の集計を行うことがよくあります。このページでは、生データを絞り込むための 2 つの主な手法について説明します。

  • サンプリング: 一部のデータを対象から除外します。Google Cloud はサンプリングを行い、ログレコードの必要なデータを使用して、クエリに示されているオペレーションを実行します。
  • 集計: 指定した分割項目に基づいて、複数のデータを小さなセットに結合します。

サンプリングと集計は、他のものから、興味深いパターンを特定し、データの傾向や外れ値を強調するのに便利な強力なツールです。

アライメント期間について

時系列データを集計するための最初のステップは、アライメントです。アライメントにより、元データを時間で正規化した新しい時系列を生成することで、他のアライメントされた時系列との結合が可能になります。アライメントによって生成されるのは、一定間隔のデータからなる時系列です。

アライメントには 2 つのステップがあります。

  1. 時系列を定期的な時間間隔に分割する(データのバケット化とも呼ばれる)。この間隔はアライメント期間と呼ばれます。
  2. アライメント期間のポイントに対して単一のメトリック値を計算します。その単一ポイントの計算方法を選択します。すべての値を合計することも、平均を計算することも、最大値を使用することもできます。

次の図では、アライメント期間を使用して開始時刻と終了時刻の間でデータをバケット化する方法を示します。

アライメント期間。
アライメント期間(クリックして拡大)。

下の図では、次のステップで 5 分間のアライメント期間を使用した場合の結果を示します。

  1. 5 分間隔のアライメント期間を作成します。
  2. 元データの指標値の合計を使用して単一の指標値を計算します。
5 分間のアライメント期間。
5 分間のアライメント期間(クリックして拡大)。

粒度

数分以内に何かが発生したことがわかっていて、さらに深掘りしたい場合は、アライメントに 1 分の期間を使用します。

これより長い期間の傾向を検討したい場合は、より大規模なアライメント期間の方が適切である可能性があります。通常、大規模なアライメント期間は、トラフィックの短いスパイクなどの短期的な異常状態を調べるには役立ちません。たとえば、数週間のアライメント期間を使用すると、その期間の異常の検出は可能ですが、アライメントされたデータはあまりにも大雑把で役に立ちません。

期間が長い場合、短いアライメント期間は役に立ちません。たとえば、30 日間で 1 分のアライメントを選択した場合、Flow Analyzer は 43,000 を超えるデータポイントを生成します。43,000 データポイントは 4K ディスプレイのピクセルの 10 倍以上であるため、すべての詳細を表示することはできず、長期間の場合は一部のオプションが無効になります。

配置のオプション

アライメント オプションには、値の合計、値の最大値、最小値、平均値の検索、選択したパーセンタイル値の検索、値のカウントなどがあります。Flow Analyzer を使用すると、アライメント オプションとしてさまざまな指標の集計を使用できます。

指標タイプとして [送信バイト数] を選択し、トラフィック集計として [送信元と宛先] を選択した場合、次のオプションを使用できます。

  • 総トラフィック
  • 平均トラフィック レート
  • トラフィック レートの中央値
  • P95 トラフィック レート
  • 最大トラフィック レート

指標タイプとして [送信済みパケット] を選択し、トラフィック集計として [送信元と宛先] を選択した場合、次のオプションを使用できます。

  • パケットの集計
  • 平均パケットレート
  • パケット率の中央値
  • P95 パケット率
  • 最大パケットレート

次の図では、合計トラフィックと平均トラフィック レートの 2 つのアライメント オプションを使用した場合の結果を示します。

合計トラフィックと平均トラフィック。
合計トラフィックと平均トラフィック(クリックして拡大)。

アライメント期間を使用する

[アライメント期間] オプションを使用すると、トラフィック フローを選択した期間の時間間隔に集計できます。必要に応じて、グラフをさらにズームインし、具体的な詳細を確認できます。

次のステップ