Analizza i flussi di traffico

Con Flow Analyzer, puoi eseguire le seguenti attività:

  • Crea ed esegui una semplice query sui log di flusso VPC
  • Crea un filtro SQL (utilizzando un'istruzione WHERE) per la query nei log di flusso VPC
  • Organizza i risultati utilizzando i campi selezionati e ordina i risultati della query utilizzando il traffico totale e i pacchetti aggregati
  • Visualizzare il traffico a intervalli di tempo selezionati
  • Visualizza i cinque flussi di traffico più elevati nel tempo in un formato grafico rispetto al resto del traffico
  • Visualizza le risorse con il traffico più elevato aggregate per la durata selezionata in formato tabulare
  • Visualizza i dettagli del traffico tra una determinata coppia di origine e destinazione dai risultati della query
  • Visualizza in dettaglio i risultati delle query utilizzando i campi rimanenti disponibili nei log di flusso VPC

Prima di iniziare

  1. Nella pagina del selettore di progetti della console Google Cloud, seleziona o crea un progetto Google Cloud.

    Vai al selettore progetti

  2. Abilita i log di flusso VPC quando crei una subnet o abilita i log di flusso VPC per una subnet esistente.

Autorizzazioni e ruoli richiesti

Poiché Flow Analyzer legge i dati per conto dell'utente, assicurati di disporre di autorizzazioni sufficienti per leggere il bucket che contiene i log. Per utilizzare Analisi dei log, è necessario anche eseguire l'upgrade del bucket.

  • Per consentire a un utente di leggere i log nei bucket, utilizza la pagina Esplora log. Utilizza la pagina Analisi dei log per concedere uno dei seguenti ruoli:

    • Per l'accesso alla vista _Default nel bucket _Default, concedi il ruolo Visualizzatore log (roles/logging.viewer).
    • Per accedere a tutti i log nel bucket di log _Default, inclusi i log di accesso ai dati, concedi il ruolo Visualizzatore log privati (roles/logging.privateLogViewer).

    Per maggiori informazioni, consulta Ruoli di Logging.

  • Per consentire a un utente di leggere i log archiviati in un bucket definito dall'utente, concedi il ruolo Funzione di accesso Visualizzazione log (roles/logging.viewAccessor). Puoi limitare l'autorizzazione a una visualizzazione log specifica. Per ulteriori informazioni, consulta Controllare l'accesso a una visualizzazione log.

  • In alternativa, crea un ruolo personalizzato che conceda le seguenti autorizzazioni:

    • logging.buckets.get
    • logging.buckets.list
    • logging.logEntries.list
    • logging.logs.list
    • resourcemanager.projects.get

Crea ed esegui la query

Per creare ed eseguire la query, segui questi passaggi:

Console

  1. Nella console Google Cloud, vai alla pagina Analizzatore di flusso.

    Vai a Flow Analyzer

  2. Seleziona un bucket di log. Se prevedi di utilizzare il bucket di log _Default, puoi saltare questo passaggio.

  3. Nel menu Aggregazione traffico, seleziona una delle seguenti opzioni:

    • Sorgente - Destinazione: aggrega il traffico dall'origine alla destinazione.
    • Client - Server: aggrega il traffico in entrambe le direzioni prendendo in considerazione le risorse con numeri di porta e definizioni di servizio inferiori oppure impostando le proprietà del servizio GKE come server.

    Per maggiori informazioni, consulta Aggregazione del traffico.

  4. Per impostare l'intervallo di tempo della query, utilizza il selettore dell'intervallo di tempo. L'intervallo di tempo predefinito è di un'ora, ma puoi scegliere tra le opzioni preimpostate. Puoi specificare un'ora di inizio e di fine personalizzate oppure scegliere l'intervallo di tempo intorno a un'ora specifica.

  5. Fai clic su Esegui di nuovo il periodo selezionato nel grafico.

  6. Nei campi origine e destinazione o client e server, seleziona un campo dall'elenco di campi.

  7. Aggiungi una o più espressioni di filtro per filtrare i flussi che corrispondono alle coppie chiave-valore selezionate utilizzando la chiave come campo selezionato.

    Se selezioni più filtri per lo stesso campo, viene utilizzato un operatore OR. Se selezioni filtri per campi diversi, viene utilizzato un operatore AND. Ad esempio, se selezioni due valori dell'indirizzo IP 1.2.3.4 e 10.20.10.30 e due valori di Paese: US e France, alla query viene applicata la seguente logica di filtro:

    (IP=1.2.3.4 OR IP=10.20.10.30) AND (Paese=US OR Paese=France)

  8. Organizza il flusso utilizzando i campi. Seleziona un campo per organizzare i dettagli del flusso.

  9. Fai clic su Esegui nuova query.

    Il grafico Flussi di dati più elevati e la tabella Tutti i flussi di dati sono stati aggiornati.

  10. Utilizza le opzioni di visualizzazione per personalizzare i risultati della query. Per ulteriori informazioni sulle varie opzioni di visualizzazione disponibili, consulta Opzioni di visualizzazione. Per selezionare le opzioni personalizzate, consulta Personalizzare le opzioni di visualizzazione.

  11. Una volta apportate tutte le modifiche alle opzioni di visualizzazione, fai clic su OK.

  12. Fai clic su Esegui di nuovo per eseguire nuovamente la query con le opzioni di visualizzazione selezionate.

Crea ed esegui una query SQL

Per creare ed eseguire una query in Flow Analyzer utilizzando le opzioni di filtro SQL:

  1. Nella console Google Cloud, vai alla pagina Analizzatore di flusso.

    Vai a Flow Analyzer

  2. Seleziona un bucket di log. Se prevedi di utilizzare il bucket di log _Default, puoi saltare questo passaggio.

  3. Per impostare l'intervallo di tempo della query, utilizza il selettore dell'intervallo di tempo o seleziona Esegui di nuovo il periodo selezionato.

  4. Nel menu Aggregazione traffico, seleziona una delle seguenti opzioni:

    • Sorgente - Destinazione: aggrega il traffico dall'origine alla destinazione.

    • Client - Server: aggrega il traffico in entrambe le direzioni considerando come server le risorse con numeri di porta e definizioni di servizi più bassi.

      Per maggiori informazioni, consulta Aggregazione del traffico.

  5. Fai clic su Filtri SQL.

  6. Inserisci la query di filtro SQL utilizzando la sintassi SQL di BigQuery.

  7. Per visualizzare la sintassi e gli esempi di espressioni di filtro, fai clic su Sintassi ed esempi delle espressioni di filtro.

  8. Organizza il flusso utilizzando i campi. Seleziona un campo per organizzare i dettagli del flusso.

  9. Fai clic su Esegui nuova query.

    Il grafico Flussi di dati più elevati e la tabella Tutti i flussi di dati sono aggiornati.

  10. Utilizza le opzioni di visualizzazione per personalizzare i risultati della query. Per maggiori informazioni sulle varie opzioni di visualizzazione disponibili, consulta la sezione Opzioni di visualizzazione. Per selezionare le opzioni personalizzate, consulta Personalizzare le opzioni di visualizzazione.

  11. Una volta apportate le modifiche alle opzioni di visualizzazione, fai clic su OK.

  12. Per eseguire di nuovo la query con le opzioni di visualizzazione selezionate, fai clic su Esegui di nuovo.

Personalizza le opzioni di visualizzazione

Per visualizzare dettagli specifici dei flussi di traffico, puoi personalizzare le opzioni di visualizzazione. Per ulteriori informazioni sulle varie opzioni di visualizzazione disponibili, consulta Opzioni di visualizzazione.

Console

  1. Crea la query.
    1. Seleziona un bucket di log. Se prevedi di utilizzare il bucket di log _Default, puoi saltare questo passaggio.
    2. Per impostare l'intervallo di tempo della query, utilizza il selettore dell'intervallo di tempo o seleziona Esegui di nuovo il periodo selezionato.
    3. Seleziona i filtri.
    4. Seleziona i campi per organizzare i risultati.
  2. Esegui la query.
  3. Seleziona il tipo di metrica: Byte inviati o Pacchetti inviati.

  4. Seleziona un'opzione di aggregazione delle metriche.

    Se selezioni Byte inviati come metrica, scegli una delle seguenti opzioni:

    1. Traffico totale: il traffico totale per il periodo di tempo scelto. Questa opzione è abilitata per impostazione predefinita.
    2. Frequenza media di traffico: la frequenza media di traffico per il periodo di tempo scelto. Viene calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico.
    3. Frequenza mediana di traffico: la frequenza mediana di traffico per il periodo di tempo scelto. Viene calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico.
    4. Frequenza di traffico P95: la frequenza di traffico del 95° percentile per il periodo di tempo scelto. Viene calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico.
    5. Frequenza massima di traffico: la frequenza massima di traffico per il periodo di tempo scelto.

    Se selezioni Pacchetti inviati come metrica, scegli una delle seguenti opzioni:

    1. Pacchetti aggregati: il numero aggregato di pacchetti per il periodo di tempo scelto. Questa opzione è abilitata per impostazione predefinita.
    2. Velocità media di pacchetti: la velocità media di pacchetti per il periodo di tempo scelto. Viene calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico.
    3. Frequenza mediana di pacchetti: la frequenza mediana di pacchetti per il periodo di tempo scelto. Viene calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico.
    4. Frequenza di pacchetti P95: la frequenza di pacchetti del 95° percentile per il periodo di tempo scelto. Viene calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico.
    5. Frequenza massima di pacchetti: la quantità massima di pacchetti per il periodo di tempo scelto.

    Per saperne di più sulle varie opzioni di aggregazione delle metriche, consulta Aggregazioni delle metriche.

  5. Seleziona il Periodo di allineamento. Per ulteriori informazioni sul periodo di allineamento, consulta Periodo di allineamento.

  6. Scegli un punto di campionamento.

    • Endpoint di origine: il numero di byte inviati o di pacchetti inviati come riportato all'endpoint di origine di un flusso.
    • Endpoint di destinazione: il numero di byte inviati o di pacchetti inviati come riportato all'endpoint di destinazione di un flusso.
    • Somma dell'endpoint di origine e di destinazione: la somma dei byte inviati o dei pacchetti inviati come riportato da entrambi gli endpoint di un flusso.
    • Media degli endpoint di origine e di destinazione: una media dei byte inviati o dei pacchetti inviati come riportato da entrambi gli endpoint di un flusso, se i dettagli dell'origine e della destinazione sono disponibili nei log di flusso VPC.

    Per ulteriori informazioni, consulta la sezione Punto di campionamento.

Visualizza dettagli flusso

Per visualizzare i dettagli del flusso per un flusso selezionato nella tabella dei flussi di dati:

Console

  1. Crea la query.
    1. Seleziona un bucket di log. Se prevedi di utilizzare il bucket di log _Default, puoi saltare questo passaggio.
    2. Per impostare l'intervallo di tempo della query, utilizza il selettore dell'intervallo di tempo o seleziona Esegui di nuovo il periodo selezionato.
    3. Seleziona i filtri.
    4. Seleziona i campi per organizzare i risultati.
  2. Esegui la query.

  3. Nella tabella Tutti i flussi di dati, fai clic su Mostra dettagli per qualsiasi flusso.

    La pagina Dettagli flusso visualizzata mostra tutte le risorse corrispondenti ai filtri selezionati e al traffico di queste risorse.

Visualizza in dettaglio i flussi di traffico

Puoi perfezionare ulteriormente il traffico delle risorse selezionate. Con Flow Analyzer, puoi visualizzare in dettaglio i risultati delle query utilizzando i campi rimanenti disponibili nei log di flusso VPC. Per ulteriori informazioni, consulta Dettagli del flusso di suddivisione o visualizzazione in dettaglio.

Per visualizzare in dettaglio i flussi di traffico utilizzando più campi:

Console

  1. Crea la query.
    1. Seleziona un bucket di log. Se prevedi di utilizzare il bucket di log _Default, puoi saltare questo passaggio.
    2. Per impostare l'intervallo di tempo della query, utilizza il selettore dell'intervallo di tempo o seleziona Esegui di nuovo il periodo selezionato.
    3. Seleziona i filtri.
    4. Seleziona i campi per organizzare i risultati.
  2. Esegui la query.

  3. Nella tabella Tutti i flussi di dati, fai clic su Mostra dettagli per qualsiasi flusso.

    La pagina Dettagli flusso visualizzata mostra tutte le risorse corrispondenti ai filtri selezionati e al traffico di queste risorse.

  4. Nell'elenco Visualizza in dettaglio per, seleziona un campo per eseguire una visualizzazione in dettaglio.

  5. Per effettuare un confronto con il traffico passato, fai clic sul pulsante di attivazione/disattivazione Confronta con i dati precedenti. Questa funzionalità consente di visualizzare sei linee: tre linee continue per i tre flussi di traffico principali dal dettaglio e tre linee tratteggiate nei colori corrispondenti che rappresentano il traffico passato.

Passaggi successivi