Trafficflüsse analysieren

Mit Flow Analyzer können Sie die folgenden Aufgaben ausführen:

  • Einfache Abfrage zu VPC-Flusslogs erstellen und ausführen
  • SQL-Filter (mit WHERE-Anweisung) für die Abfrage in VPC-Flussprotokollen erstellen
  • Ergebnisse mithilfe ausgewählter Felder organisieren und die Abfrageergebnisse nach Gesamttraffic und aggregierten Paketen sortieren
  • Zugriffe in ausgewählten Zeitintervallen ansehen
  • Die fünf größten Besucherströme im Zeitverlauf im Vergleich zum Rest des Traffics in einem grafischen Format ansehen
  • Die Ressourcen mit dem höchsten Traffic im ausgewählten Zeitraum in tabellarischer Form ansehen
  • Details zum Traffic zwischen einem bestimmten Quell- und Zielpaar in den Abfrageergebnissen ansehen
  • Mit den übrigen in VPC-Flusslogs verfügbaren Feldern eine Aufschlüsselung der Abfrageergebnisse vornehmen

Hinweise

  1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  2. Aktivieren Sie VPC-Flusslogs beim Erstellen eines Subnetzes oder aktivieren Sie VPC-Flusslogs für ein vorhandenes Subnetz.

Erforderliche Rollen und Berechtigungen

Da Flow Analyzer Daten im Namen des Nutzers liest, müssen Sie über ausreichende Berechtigungen zum Lesen des Buckets mit den Protokollen verfügen. Außerdem muss der Bucket für die Verwendung von Log Analytics aktualisiert werden.

  • Wenn Sie einem Nutzer erlauben möchten, Logs in den Bucket zu lesen, verwenden Sie die Seite „Log-Explorer“. Weisen Sie auf der Seite „Log Analytics“ eine der folgenden Rollen zu:

    • Wenn Sie Zugriff auf die _Default-Ansicht im _Default-Bucket gewähren möchten, weisen Sie die Rolle „Log-Betrachter“ (roles/logging.viewer) zu.
    • Wenn Sie Zugriff auf alle Logs im _Default-Log-Bucket, einschließlich Logs zum Datenzugriff, gewähren möchten, weisen Sie die Rolle „Betrachter privater Logs“ (roles/logging.privateLogViewer) zu.

    Weitere Informationen finden Sie unter Logging-Rollen.

  • Wenn ein Nutzer Logs lesen soll, die in einem benutzerdefinierten Bucket gespeichert sind, gewähren Sie ihm die Rolle „Zugriffsberechtigter für Logbetrachtung“ (roles/logging.viewAccessor). Sie können die Autorisierung auf eine bestimmte Logansicht beschränken. Weitere Informationen finden Sie unter Zugriff auf eine Logansicht steuern.

  • Alternativ können Sie eine benutzerdefinierte Rolle mit den folgenden Berechtigungen erstellen:

    • logging.buckets.get
    • logging.buckets.list
    • logging.logEntries.list
    • logging.logs.list
    • resourcemanager.projects.get

Abfrage erstellen und ausführen

So erstellen und führen Sie die Abfrage aus:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Flow Analyzer auf.

    Flow Analyzer aufrufen

  2. Wählen Sie einen Log-Bucket aus. Wenn Sie den Log-Bucket _Default verwenden möchten, können Sie diesen Schritt überspringen.

  3. Wählen Sie im Menü Zugriffsaggregation eine der folgenden Optionen aus:

    • Quelle – Ziel: Hier wird der Traffic von der Quelle zum Ziel zusammengefasst.
    • Client – Server: Hier wird der Traffic in beide Richtungen zusammengefasst, indem die Ressourcen mit niedrigeren Portnummern und Dienstdefinitionen berücksichtigt oder GKE-Diensteigenschaften als Server verwendet werden.

    Weitere Informationen finden Sie unter Traffic-Aggregation.

  4. Mit der Zeitraumauswahl können Sie den Zeitraum für Ihre Abfrage festlegen. Der Standardzeitraum ist eine Stunde. Sie können aber auch eine der voreingestellten Zeitoptionen auswählen. Sie können einen benutzerdefinierten Start- und Endzeitpunkt angeben oder den Zeitraum um eine bestimmte Uhrzeit herum auswählen.

  5. Klicken Sie im Diagramm auf Im ausgewählten Zeitraum noch einmal ausführen.

  6. Wählen Sie in den Feldern „Quell-“ und „Ziel“ oder „Client“ und „Server“ ein Feld aus der Liste aus.

  7. Fügen Sie einen oder mehrere Filterausdrücke hinzu, um Datenflüsse zu filtern, die mit den ausgewählten Schlüssel/Wert-Paaren übereinstimmen. Verwenden Sie dabei den Schlüssel als ausgewähltes Feld.

    Wenn Sie mehrere Filter für dasselbe Feld auswählen, wird ein OR-Operator verwendet. Wenn Sie Filter für verschiedene Felder auswählen, wird der Operator AND verwendet. Wenn Sie beispielsweise die beiden IP-Adresswerte 1.2.3.4 und 10.20.10.30 sowie die beiden Länderwerte US und France auswählen, wird die folgende Filterlogik auf die Abfrage angewendet:

    (IP=1.2.3.4 OR IP=10.20.10.30) AND (Country=US OR Country=France)

  8. Organisieren Sie den Ablauf mithilfe der Felder. Wählen Sie ein Feld aus, um die Details des Traffic-Flows zu organisieren.

  9. Klicken Sie auf Neue Abfrage ausführen.

    Das Diagramm Höchste Datenflüsse und die Tabelle Alle Datenflüsse werden aktualisiert.

  10. Mit den Anzeigeoptionen können Sie die Abfrageergebnisse anpassen. Weitere Informationen zu den verschiedenen Anzeigeoptionen finden Sie unter Anzeigeoptionen. Informationen zum Auswählen benutzerdefinierter Optionen finden Sie unter Anzeigeoptionen anpassen.

  11. Wenn Sie alle Änderungen an den Anzeigeoptionen vorgenommen haben, klicken Sie auf OK.

  12. Klicken Sie auf Noch einmal ausführen, um die Abfrage mit den ausgewählten Anzeigeoptionen noch einmal auszuführen.

SQL-Abfrage erstellen und ausführen

So erstellen und führen Sie eine Abfrage im Flow Analyzer mit SQL-Filteroptionen aus:

  1. Rufen Sie in der Google Cloud Console die Seite Flow Analyzer auf.

    Flow Analyzer aufrufen

  2. Wählen Sie einen Log-Bucket aus. Wenn Sie den Log-Bucket _Default verwenden möchten, können Sie diesen Schritt überspringen.

  3. Verwenden Sie die Zeitraumauswahl, um den Zeitraum für die Abfrage festzulegen, oder wählen Sie Im ausgewählten Zeitraum noch einmal ausführen aus.

  4. Wählen Sie im Menü Zugriffe aggregieren eine der folgenden Optionen aus:

    • Quelle – Ziel: Hier wird der Traffic von der Quelle zum Ziel zusammengefasst.

    • Client – Server: Der Traffic wird in beide Richtungen zusammengefasst, indem die Ressourcen mit niedrigeren Portnummern und Dienstdefinitionen als Server betrachtet werden.

      Weitere Informationen finden Sie unter Traffic-Aggregation.

  5. Klicken Sie auf SQL-Filter.

  6. Geben Sie die SQL-Filterabfrage in BigQuery-SQL-Syntax ein.

  7. Informationen zur Syntax und zu Beispielen für Filterausdrücke finden Sie unter Syntax und Beispiele für Filterausdrücke.

  8. Organisieren Sie den Ablauf mithilfe der Felder. Wählen Sie ein Feld aus, um die Ablaufdetails zu organisieren.

  9. Klicken Sie auf Neue Abfrage ausführen.

    Das Diagramm Höchste Datenflüsse und die Tabelle Alle Datenflüsse werden aktualisiert.

  10. Mit den Anzeigeoptionen können Sie die Abfrageergebnisse anpassen. Weitere Informationen zu den verschiedenen Anzeigeoptionen finden Sie unter Anzeigeoptionen. Informationen zum Auswählen benutzerdefinierter Optionen finden Sie unter Anzeigeoptionen anpassen.

  11. Wenn Sie alle Änderungen an den Anzeigeoptionen vorgenommen haben, klicken Sie auf OK.

  12. Wenn Sie die Abfrage mit den ausgewählten Anzeigeoptionen noch einmal ausführen möchten, klicken Sie auf Noch einmal ausführen.

Anzeigeoptionen anpassen

Wenn Sie bestimmte Details zu den Traffic-Flüssen sehen möchten, können Sie die Anzeigeoptionen anpassen. Weitere Informationen zu den verschiedenen Anzeigeoptionen finden Sie unter Anzeigeoptionen.

Console

  1. Erstellen Sie die Abfrage.
    1. Wählen Sie einen Log-Bucket aus. Wenn Sie den Log-Bucket _Default verwenden möchten, können Sie diesen Schritt überspringen.
    2. Verwenden Sie die Zeitraumauswahl, um den Zeitraum für die Abfrage festzulegen, oder wählen Sie Im ausgewählten Zeitraum noch einmal ausführen aus.
    3. Wählen Sie die Filter aus.
    4. Wählen Sie die Felder aus, nach denen die Ergebnisse sortiert werden sollen.
  2. Führe die Abfrage aus.
  3. Wählen Sie den Messwerttyp aus: Gesendete Bytes oder Gesendete Pakete.

  4. Wählen Sie eine Option für die Messwertaggregation aus.

    Wenn Sie Gesendete Bytes als Messwert auswählen, haben Sie folgende Möglichkeiten:

    1. Traffic insgesamt: Der Traffic insgesamt für den ausgewählten Zeitraum. Standardmäßig aktiviert.
    2. Durchschnittliche Zugriffsrate: Die durchschnittliche Zugriffsrate für den ausgewählten Zeitraum. Wird nur für die Ausrichtungszeiträume berechnet, in denen der Traffic beobachtet wurde.
    3. Median-Traffic-Rate: Die Median-Traffic-Rate für den ausgewählten Zeitraum. Wird nur für die Ausrichtungszeiträume berechnet, in denen der Traffic beobachtet wurde.
    4. P95-Traffic-Rate: Die Traffic-Rate des 95. Perzentils für den ausgewählten Zeitraum. Wird nur für die Ausrichtungszeiträume berechnet, in denen der Traffic beobachtet wurde.
    5. Maximale Traffic-Rate: Die maximale Traffic-Rate für den ausgewählten Zeitraum.

    Wenn Sie Gesendete Pakete als Messwert auswählen, haben Sie folgende Möglichkeiten:

    1. Gesamtzahl der Pakete: Die Gesamtzahl der Pakete für den ausgewählten Zeitraum. Standardmäßig aktiviert.
    2. Durchschnittliche Paketrate: Die durchschnittliche Paketrate für den ausgewählten Zeitraum. Wird nur für die Ausrichtungszeiträume berechnet, in denen der Traffic beobachtet wurde.
    3. Median-Paketsenderate: Die Median-Paketsenderate für den ausgewählten Zeitraum. Wird nur für die Ausrichtungszeiträume berechnet, in denen der Traffic beobachtet wurde.
    4. P95-Paketsenderate: Die Paketrate des 95. Perzentils für den ausgewählten Zeitraum. Wird nur für die Ausrichtungszeiträume berechnet, in denen der Traffic beobachtet wurde.
    5. Maximale Paketrate: Die maximale Paketrate für den ausgewählten Zeitraum.

    Weitere Informationen zu den verschiedenen Optionen für die Messwertaggregation finden Sie unter Messwertaggregationen.

  5. Wählen Sie den Ausrichtungszeitraum aus. Weitere Informationen zum Ausrichtungszeitraum finden Sie unter Ausrichtungszeitraum.

  6. Wählen Sie einen Stichprobenpunkt aus.

    • Quellendpunkt: Die Anzahl der gesendeten Byte oder Pakete, die am Quellendpunkt eines Flusses erfasst wurden.
    • Zielendpunkt: Die Anzahl der gesendeten Bytes oder Pakete, die am Zielendpunkt eines Flusses erfasst wurden.
    • Summe von Quell- und Zielendpunkt: Die Summe der gesendeten Bytes oder Pakete, wie von beiden Endpunkten eines Flusses angegeben.
    • Durchschnitt von Quell- und Zielendpunkt: Durchschnitt der gesendeten Bytes oder Pakete, wie von beiden Endpunkten eines Flusses gemeldet, wenn sowohl Quell- als auch Zieldetails in VPC-Flusslogs verfügbar sind.

    Weitere Informationen finden Sie unter Stichprobenpunkt.

Ablaufdetails ansehen

So rufen Sie Ablaufdetails für einen ausgewählten Ablauf in der Tabelle „Datenflüsse“ auf:

Console

  1. Erstellen Sie die Abfrage.
    1. Wählen Sie einen Log-Bucket aus. Wenn Sie den Log-Bucket _Default verwenden möchten, können Sie diesen Schritt überspringen.
    2. Verwenden Sie die Zeitraumauswahl, um den Zeitraum für die Abfrage festzulegen, oder wählen Sie Im ausgewählten Zeitraum noch einmal ausführen aus.
    3. Wählen Sie die Filter aus.
    4. Wählen Sie die Felder aus, nach denen die Ergebnisse sortiert werden sollen.
  2. Führe die Abfrage aus.

  3. Klicken Sie in der Tabelle Alle Datenflüsse für jeden Datenfluss auf Details anzeigen.

    Auf der Seite Details zum Traffic werden alle Ressourcen angezeigt, die den ausgewählten Filtern entsprechen, sowie der Traffic dieser Ressourcen.

Trafficflüsse aufschlüsseln

Sie können den Traffic der ausgewählten Ressourcen weiter eingrenzen. Mit Flow Analyzer können Sie die Abfrageergebnisse mithilfe der übrigen Felder in VPC-Flusslogs aufschlüsseln. Weitere Informationen finden Sie unter Details zum Ablauf aufschlüsseln oder aufschlüsseln.

So können Sie Trafficflüsse mithilfe weiterer Felder aufschlüsseln:

Console

  1. Erstellen Sie die Abfrage.
    1. Wählen Sie einen Log-Bucket aus. Wenn Sie den Log-Bucket _Default verwenden möchten, können Sie diesen Schritt überspringen.
    2. Verwenden Sie die Zeitraumauswahl, um den Zeitraum für die Abfrage festzulegen, oder wählen Sie Im ausgewählten Zeitraum noch einmal ausführen aus.
    3. Wählen Sie die Filter aus.
    4. Wählen Sie die Felder aus, nach denen die Ergebnisse sortiert werden sollen.
  2. Führe die Abfrage aus.

  3. Klicken Sie in der Tabelle Alle Datenflüsse für jeden Datenfluss auf Details anzeigen.

    Auf der Seite Details zum Traffic werden alle Ressourcen angezeigt, die den ausgewählten Filtern entsprechen, sowie der Traffic dieser Ressourcen.

  4. Wählen Sie in der Liste Aufschlüsseln nach ein Feld aus, um eine Aufschlüsselung durchzuführen.

  5. Wenn Sie die Zugriffe mit früheren Daten vergleichen möchten, klicken Sie auf die Ein/Aus-Schaltfläche Mit früheren Daten vergleichen. Mit dieser Funktion können Sie sich sechs Linien ansehen: drei durchgezogene Linien für die drei größten Besucherströme aus dem Drilldown und drei gestrichelte Linien in den entsprechenden Farben, die den bisherigen Traffic darstellen.

Nächste Schritte