Analyser vos flux de trafic

Avec Flow Analyzer, vous pouvez effectuer les tâches suivantes :

  • Créer et exécuter une requête simple sur les journaux de flux VPC
  • Construire un filtre SQL (à l'aide d'une instruction WHERE) pour la requête sur Journaux de flux VPC
  • Organisez les résultats à l'aide des champs sélectionnés et triez les résultats de la requête à l'aide de le trafic total et l'agrégation de paquets
  • Afficher le trafic à des intervalles de temps choisis
  • Afficher les cinq principaux flux de trafic au fil du temps sous forme graphique, par rapport au reste du trafic
  • Afficher les ressources agrégées avec le trafic le plus élevé sur la période sélectionnée durée sous forme de tableau
  • Afficher les détails du trafic entre une paire de source et de destination spécifique à partir des résultats de la requête
  • Afficher le détail des résultats de la requête à l'aide des champs restants disponibles dans les journaux de flux VPC

Avant de commencer

  1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  2. Activez les journaux de flux VPC lorsque vous créez un sous-réseau ou activez les journaux de flux VPC pour un sous-réseau existant.

Rôles et autorisations requis

Comme Flow Analyzer lit les données pour le compte de l'utilisateur, assurez-vous que vous disposez des autorisations nécessaires pour lire le bucket contenant les journaux. Le bucket doit également être mis à niveau pour utiliser l'Analyse de journaux.

  • Pour permettre à un utilisateur de lire des journaux dans les buckets, utilisez la page "Explorateur de journaux". Utilisez la page Log Analytics pour accorder l'un des rôles suivants :

    • Pour accéder à la vue _Default sur le bucket _Default, attribuez le rôle Lecteur de journaux (roles/logging.viewer).
    • Pour accéder à tous les journaux du bucket de journaux _Default, y compris aux journaux d'accès aux données, attribuez le rôle Lecteur de journaux privés (roles/logging.privateLogViewer).

    Pour en savoir plus, consultez la section Rôles de journalisation.

  • Pour autoriser un utilisateur à lire les journaux stockés dans un bucket défini par l'utilisateur, attribuez-lui le rôle "Accesseur de vues de journaux" (roles/logging.viewAccessor). Vous pouvez limiter l'autorisation à une vue de journaux spécifique. Pour plus d'informations, consultez la section Contrôler l'accès à une vue de journal.

  • Vous pouvez également créer un rôle personnalisé qui accorde les autorisations suivantes :

    • logging.buckets.get
    • logging.buckets.list
    • logging.logEntries.list
    • logging.logs.list
    • resourcemanager.projects.get

Créer et exécuter la requête

Pour créer et exécuter la requête, procédez comme suit:

Console

  1. Dans la console Google Cloud, accédez à la page Flow Analyzer.

    Accéder à Flow Analyzer

  2. Sélectionnez un bucket de journaux. Si vous prévoyez d'utiliser le bucket de journaux _Default, vous pouvez ignorer cette étape.

  3. Dans le menu Agrégation du trafic, sélectionnez l'une des options suivantes : options:

    • Source - Destination : agrégation du trafic de la source vers la destination.
    • Client-Serveur : agrégation du trafic dans les deux sens en tenant compte des ressources avec des numéros de port et des définitions de service inférieurs ou des propriétés de service GKE en tant que serveurs.

    Pour en savoir plus, consultez Agrégation du trafic.

  4. Pour définir la période de votre requête, utilisez le sélecteur de période. La période par défaut est d'une heure, mais vous pouvez choisir parmi les options de période prédéfinies. Vous pouvez spécifier une heure de début et de fin personnalisées, ou choisir la plage de temps autour d'une heure spécifique.

  5. Cliquez sur Exécuter de nouveau pour la période sélectionnée dans le graphique.

  6. Dans les champs "Source" et "Destination" ou "Client et serveur", sélectionnez un dans la liste des champs.

  7. Ajoutez une ou plusieurs expressions de filtre pour filtrer les flux qui correspondent aux paires clé/valeur sélectionnées en utilisant la clé comme champ sélectionné.

    Si vous sélectionnez plusieurs filtres pour le même champ, un opérateur OR est utilisé. Si vous sélectionnez des filtres pour différents champs, un opérateur AND est utilisé. Par exemple, si vous sélectionnez deux valeurs d'adresse IP (1.2.3.4 et 10.20.10.30) et deux valeurs de pays (US et France), la logique de filtrage suivante est appliquée à la requête :

    (Adresse IP=1.2.3.4 OU Adresse IP=10.20.10.30) AND (Pays=US OU Pays=France)

  8. Organisez le flux à l'aide des champs. Sélectionnez un champ pour organiser les les détails du flux.

  9. Cliquez sur Exécuter une nouvelle requête.

    Le graphique Flux de données les plus importants et le tableau Tous les flux de données sont mis à jour.

  10. Utilisez les options d'affichage pour personnaliser les résultats de la requête. Pour en savoir plus sur les différentes options d'affichage disponibles, consultez Options d'affichage : Pour sélectionner des options personnalisées, consultez la section Personnaliser les options d'affichage.

  11. Lorsque vous avez terminé de modifier les options d'affichage, cliquez sur OK.

  12. Cliquez sur Exécuter de nouveau pour exécuter à nouveau la requête avec les options d'affichage sélectionnées.

Créer et exécuter une requête SQL

Pour créer et exécuter une requête dans Flow Analyzer à l'aide d'options de filtrage SQL, procédez comme suit :

  1. Dans la console Google Cloud, accédez à la page Analyseur de flux.

    Accéder à Flow Analyzer

  2. Sélectionnez un bucket de journaux. Si vous prévoyez d'utiliser le bucket de journaux _Default, vous pouvez ignorer cette étape.

  3. Pour définir la période de votre requête, utilisez le sélecteur de période ou sélectionnez Exécuter de nouveau pour la période sélectionnée.

  4. Dans le menu Agrégation du trafic, sélectionnez l'une des options suivantes : options:

    • Source - Destination : agrégation du trafic de la source vers la destination.

    • Client-Serveur : agrégation du trafic dans les deux sens en considérant les ressources avec des numéros de port et des définitions de service inférieurs comme des serveurs.

      Pour en savoir plus, consultez Agrégation du trafic.

  5. Cliquez sur Filtres SQL.

  6. Saisissez la requête de filtre SQL en utilisant Syntaxe SQL BigQuery

  7. Pour afficher la syntaxe d'expression de filtre et des exemples, cliquez sur Syntaxe et exemples d'expressions de filtre.

  8. Organisez le flux à l'aide des champs. Sélectionnez un champ pour organiser les détails du flux.

  9. Cliquez sur Exécuter une nouvelle requête.

    Le graphique Flux de données les plus élevés et le tableau Tous les flux de données sont mis à jour.

  10. Utilisez les options d'affichage pour personnaliser les résultats de la requête. Pour en savoir plus sur les différentes options d'affichage disponibles, consultez Options d'affichage : Pour sélectionner des options personnalisées, consultez Personnaliser les options d'affichage

  11. Lorsque vous avez terminé de modifier les options d'affichage, cliquez sur OK.

  12. Pour exécuter à nouveau la requête avec les options d'affichage sélectionnées, cliquez sur Réexécuter.

Personnaliser les options d'affichage

Pour afficher des détails spécifiques sur les flux de trafic, vous pouvez personnaliser l'affichage options. Pour en savoir plus sur les différentes options d'affichage disponibles, consultez Options d'affichage :

Console

  1. Créez la requête.
    1. Sélectionnez un bucket de journaux. Si vous prévoyez d'utiliser le journal _Default vous pouvez ignorer cette étape.
    2. Pour définir la période de votre requête, utilisez le sélecteur de période ou sélectionnez Exécuter de nouveau pour la période sélectionnée.
    3. Sélectionnez les filtres.
    4. Sélectionnez les champs pour organiser les résultats.
  2. Exécutez la requête.
  3. Sélectionnez le type de métrique : Octets envoyés ou Paquets envoyés.

  4. Sélectionnez une option d'agrégation de métriques.

    Si vous sélectionnez Octets envoyés comme métrique, choisissez l'une des options suivantes :

    1. Trafic total: trafic total pour la période choisie. Cette option est activée par défaut.
    2. Taux de trafic moyen : taux de trafic moyen pour la période sélectionnée. Calculé uniquement pour les périodes d'alignement pendant lesquelles le trafic a été observé.
    3. Taux de trafic médian: taux de trafic médian pour le période. Elle est calculée uniquement pour les périodes d'alignement pendant lesquelles du trafic a été observé.
    4. Taux de trafic au 95e centile: taux de trafic au 95e centile pour le période choisie. Calculé uniquement pour les périodes d'alignement pendant lesquelles le trafic a été observé.
    5. Taux de trafic maximal : taux de trafic maximal pour la période choisie.

    Si vous sélectionnez Packets envoyés comme métrique, choisissez l'une des métriques suivantes : options:

    1. paquets agrégés: le nombre total de paquets pour les période. Cette option est activée par défaut.
    2. Débit moyen de paquets: le débit de paquets moyen pour le période. Calculé uniquement pour les périodes d'alignement pendant lesquelles le trafic a été observé.
    3. Débit médian de paquets: le débit médian de paquets pour le type de données choisi. période. Calculé uniquement pour les périodes d'alignement pendant lesquelles le trafic a été observé.
    4. Taux de paquets au 95e centile: débit de paquets au 95e centile pour le taux de paquets choisi période. Ils ne sont calculés que pour les périodes d'alignement pendant la période où le trafic a été observé.
    5. Débit maximal de paquets: le débit de paquets maximal pour le paramètre choisi période.

    Pour en savoir plus sur les différentes options d'agrégation des métriques, consultez la section Agrégations de métriques.

  5. Sélectionnez la durée de l'alignement. Pour en savoir plus sur la période d'alignement, consultez la section Durée de l'alignement.

  6. Choisissez un point d'échantillonnage.

    • Point de terminaison source : nombre d'octets ou de paquets envoyés, comme indiqué au point de terminaison source d'un flux.
    • Point de terminaison de destination: nombre d'octets envoyés ou de paquets envoyés. tel qu'indiqué au point de terminaison de destination d'un flux.
    • Somme du point de terminaison source et de destination: la somme des octets envoyés ou paquets envoyés comme indiqué par les deux points de terminaison d'un flux.
    • Moyenne du point de terminaison source et de destination : moyenne des octets ou des paquets envoyés, comme indiqué par les deux points de terminaison d'un flux si les informations sur la source et la destination sont disponibles dans les journaux de flux VPC.

    Pour en savoir plus, consultez Point d'échantillonnage.

Afficher les détails du flux

Pour afficher les détails d'un flux sélectionné dans le tableau des flux de données, procédez comme suit :

Console

  1. Créez la requête.
    1. Sélectionnez un bucket de journaux. Si vous prévoyez d'utiliser le journal _Default vous pouvez ignorer cette étape.
    2. Pour définir la période de votre requête, utilisez le sélecteur de période ou sélectionnez Exécuter de nouveau pour la période sélectionnée.
    3. Sélectionnez les filtres.
    4. Sélectionnez les champs pour organiser les résultats.
  2. Exécutez la requête.

  3. Dans la table Tous les flux de données, cliquez sur Afficher les détails pour le flux de votre choix.

    La page Détails du flux qui s'affiche indique toutes les ressources qui correspondent les filtres sélectionnés et le trafic de ces ressources.

Analyser les flux de trafic

Vous pouvez affiner davantage le trafic des ressources sélectionnées. En utilisant Flow Analyzer vous permet d'afficher le détail des résultats de la requête à l'aide de la les champs restants disponibles dans les journaux de flux VPC. Pour en savoir plus, consultez la section Détail du flux de répartition ou d'analyse.

Pour afficher le détail des flux de trafic à l'aide d'autres champs, procédez comme suit:

Console

  1. Créez la requête.
    1. Sélectionnez un bucket de journaux. Si vous prévoyez d'utiliser le bucket de journaux _Default, vous pouvez ignorer cette étape.
    2. Pour définir la période de votre requête, utilisez le sélecteur de période ou sélectionnez Exécuter de nouveau pour la période sélectionnée.
    3. Sélectionnez les filtres.
    4. Sélectionnez les champs pour organiser les résultats.
  2. Exécutez la requête.

  3. Dans la table Tous les flux de données, cliquez sur Afficher les détails pour le flux de votre choix.

    La page Détails du flux qui s'affiche affiche toutes les ressources correspondant aux filtres sélectionnés et le trafic de ces ressources.

  4. Dans la liste Afficher le détail par, sélectionnez un champ pour afficher le détail.

  5. Pour effectuer une comparaison avec le trafic passé, cliquez sur le bouton Comparer à une période antérieure. Cette fonctionnalité vous permet d'afficher six lignes : trois lignes continues pour les trois principaux flux de trafic issus de l'analyse détaillée et trois lignes en pointillés dans les couleurs correspondantes représentant le trafic passé.

Étape suivante