Analyser vos flux de trafic

Flow Analyzer vous permet d'effectuer les tâches suivantes:

  • Créer et exécuter une requête simple sur les journaux de flux VPC
  • Construire un filtre SQL (à l'aide d'une instruction WHERE) pour la requête sur Journaux de flux VPC
  • Organisez les résultats à l'aide des champs sélectionnés et triez les résultats de la requête à l'aide de le trafic total et l'agrégation de paquets
  • Afficher le trafic à des intervalles de temps choisis
  • Afficher les cinq principaux flux de trafic au fil du temps dans un graphique par rapport au reste du trafic
  • Afficher les ressources agrégées avec le trafic le plus élevé sur la période sélectionnée durée sous forme de tableau
  • Afficher les détails du trafic entre une source spécifique et paire de destinations à partir des résultats de la requête
  • Afficher le détail des résultats de la requête à l'aide des champs restants disponibles dans les journaux de flux VPC

Avant de commencer

  1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  2. Activer les journaux de flux VPC lors de la création d'un sous-réseau ou activer les journaux de flux VPC pour un sous-réseau existant.

Rôles et autorisations requis

Comme Flow Analyzer lit les données pour le compte de l'utilisateur, assurez-vous que vous disposez des autorisations nécessaires pour lire le bucket contenant les journaux. Le bucket doit également être mis à niveau pour utiliser l'Analyse de journaux.

  • Pour permettre à un utilisateur de lire des journaux dans les buckets, utilisez la page "Explorateur de journaux". Utilisez la page "Analyse de journaux" pour attribuer l'un des rôles suivants:

    • Pour accéder à la vue _Default du bucket _Default, accordez le rôle Lecteur de journaux (roles/logging.viewer).
    • Pour accéder à tous les journaux du bucket de journaux _Default, y compris l'accès aux données les journaux, accordez le rôle de lecteur des journaux privés (roles/logging.privateLogViewer).

    Pour en savoir plus, consultez Rôles Logging

  • Pour permettre à un utilisateur de lire des journaux stockés dans un bucket défini par l'utilisateur, accordez le rôle le rôle Accesseur de vues de journaux (roles/logging.viewAccessor) ; Vous pouvez limiter une autorisation spécifique vue journal. Pour plus d'informations, consultez la section Contrôler l'accès à une vue de journal.

  • Vous pouvez aussi créer un rôle personnalisé les autorisations suivantes:

    • logging.buckets.get
    • logging.buckets.list
    • logging.logEntries.list
    • logging.logs.list
    • resourcemanager.projects.get

Créer et exécuter la requête

Pour créer et exécuter la requête, procédez comme suit:

Console

  1. Dans la console Google Cloud, accédez à la page Flow Analyzer.

    Accéder à Flow Analyzer

  2. Sélectionnez un bucket de journaux. Si vous prévoyez d'utiliser le bucket de journaux _Default, vous pouvez ignorer cette étape.

  3. Dans le menu Agrégation du trafic, sélectionnez l'une des options suivantes : options:

    • Source – Destination: regroupez le trafic entre la source et la vers votre destination.
    • Client - Serveur: regroupez le trafic dans les deux sens par avec les ressources dont les numéros de port sont les moins élevés les définitions de service ou le fait d'avoir des propriétés de service GKE en tant que serveurs.

    Pour en savoir plus, consultez Agrégation du trafic.

  4. Pour définir la période de votre requête, utilisez le sélecteur de période. La période par défaut est d'une heure, mais vous pouvez la sélectionner de planification et d'horaires. Vous pouvez spécifier des heures de début et de fin personnalisées, ou choisir l'option une période autour d'une heure spécifique.

  5. Cliquez sur Exécuter de nouveau la période sélectionnée dans le graphique.

  6. Dans les champs "Source" et "Destination" ou "Client et serveur", sélectionnez un dans la liste des champs.

  7. Ajoutez une ou plusieurs expressions de filtre pour filtrer les flux qui correspondent aux des paires clé-valeur sélectionnées en utilisant la clé comme champ sélectionné.

    Si vous sélectionnez plusieurs filtres pour le même champ, un opérateur OR est utilisé. Si vous sélectionnez des filtres pour différents champs, un opérateur AND est utilisé. Pour exemple, si vous sélectionnez deux valeurs d'adresse IP: 1.2.3.4 et 10.20.10.30 et deux valeurs Country: US et France, les suivantes logique de filtrage est appliquée à la requête:

    (IP=1.2.3.4 OU IP=10.20.10.30) AND (Pays=US OU Pays=France)

  8. Organisez le flux à l'aide des champs. Sélectionnez un champ pour organiser les les détails du flux.

  9. Cliquez sur Exécuter une nouvelle requête.

    Le graphique Flux de données les plus élevés et le tableau Tous les flux de données sont mis à jour.

  10. Utilisez les options d'affichage pour personnaliser les résultats de la requête. Pour en savoir plus sur les différentes options d'affichage disponibles, consultez Options d'affichage : Pour sélectionner des options personnalisées, consultez Personnaliser les options d'affichage

  11. Lorsque vous avez terminé de modifier les options d'affichage, cliquez sur OK.

  12. Cliquez sur Relancer pour exécuter à nouveau la requête avec les options d'affichage sélectionnées.

Créer et exécuter une requête SQL

Pour créer et exécuter une requête dans Flow Analyzer à l'aide des options de filtre SQL, effectuer les opérations suivantes:

  1. Dans la console Google Cloud, accédez à la page Flow Analyzer.

    Accéder à Flow Analyzer

  2. Sélectionnez un bucket de journaux. Si vous prévoyez d'utiliser le bucket de journaux _Default, vous pouvez ignorer cette étape.

  3. Pour définir la période de votre requête, utilisez le sélecteur de période ou sélectionnez Exécuter de nouveau pour la période sélectionnée.

  4. Dans le menu Agrégation du trafic, sélectionnez l'une des options suivantes : options:

    • Source – Destination: regroupez le trafic entre la source et la vers votre destination.

    • Client - Serveur: regroupez le trafic dans les deux sens par avec les ressources dont les numéros de port sont les moins élevés en tant que serveurs.

      Pour en savoir plus, consultez Agrégation du trafic.

  5. Cliquez sur Filtres SQL.

  6. Saisissez la requête de filtre SQL en utilisant Syntaxe SQL BigQuery

  7. Pour afficher la syntaxe d'expression de filtre et des exemples, cliquez sur Syntaxe et exemples d'expressions de filtre.

  8. Organisez le flux à l'aide des champs. Sélectionnez un champ pour organiser les les détails du flux.

  9. Cliquez sur Exécuter une nouvelle requête.

    Le graphique Flux de données les plus élevés et le tableau Tous les flux de données sont mis à jour.

  10. Utilisez les options d'affichage pour personnaliser les résultats de la requête. Pour en savoir plus sur les différentes options d'affichage disponibles, consultez Options d'affichage : Pour sélectionner des options personnalisées, consultez Personnaliser les options d'affichage

  11. Lorsque vous avez terminé de modifier les options d'affichage, cliquez sur OK.

  12. Pour exécuter à nouveau la requête avec les options d'affichage sélectionnées, cliquez sur Réexécuter.

Personnaliser les options d'affichage

Pour afficher des détails spécifiques sur les flux de trafic, vous pouvez personnaliser l'affichage options. Pour en savoir plus sur les différentes options d'affichage disponibles, consultez Options d'affichage :

Console

  1. Créez la requête.
    1. Sélectionnez un bucket de journaux. Si vous prévoyez d'utiliser le journal _Default vous pouvez ignorer cette étape.
    2. Pour définir la période de votre requête, utilisez le sélecteur de période ou sélectionnez Exécuter de nouveau pour la période sélectionnée.
    3. Sélectionnez les filtres.
    4. Sélectionnez les champs pour organiser les résultats.
  2. Exécutez la requête.
  3. Sélectionnez le type de métrique: Bytes sent (Octets envoyés) ou Packets sent (Paquets envoyés).

  4. Sélectionnez une option d'agrégation de métriques.

    Si vous sélectionnez Octets envoyés comme métrique, choisissez l'une des métriques suivantes : options:

    1. Trafic total: trafic total pour la période choisie. Cette option est activée par défaut.
    2. Taux de trafic moyen: il s'agit du taux de trafic moyen pour le période. Elle est calculée uniquement pour les périodes d'alignement pendant lesquelles du trafic a été observé.
    3. Taux de trafic médian: taux de trafic médian pour le période. Elle est calculée uniquement pour les périodes d'alignement pendant lesquelles du trafic a été observé.
    4. Taux de trafic au 95e centile: taux de trafic au 95e centile pour le période choisie. Ils ne sont calculés que pour les périodes d'alignement pendant où le trafic a été observé.
    5. Maximum traffic rate (Taux de trafic maximal) : le taux de trafic maximal pour l'élément choisi période.

    Si vous sélectionnez Packets envoyés comme métrique, choisissez l'une des métriques suivantes : options:

    1. paquets agrégés: le nombre total de paquets pour les période. Cette option est activée par défaut.
    2. Débit moyen de paquets: le débit de paquets moyen pour le période. Elle est calculée uniquement pour les périodes d'alignement pendant lesquelles du trafic a été observé.
    3. Débit médian de paquets: le débit médian de paquets pour le type de données choisi. période. Elle est calculée uniquement pour les périodes d'alignement pendant lesquelles du trafic a été observé.
    4. Taux de paquets au 95e centile: débit de paquets au 95e centile pour le taux de paquets choisi période. Ils ne sont calculés que pour les périodes d'alignement pendant la période où le trafic a été observé.
    5. Débit maximal de paquets: le débit de paquets maximal pour le paramètre choisi période.

    Pour en savoir plus sur les différentes options d'agrégation des métriques, consultez Agrégations de métriques.

  5. Sélectionnez la Durée de l'alignement. Pour en savoir plus sur la pour la période d'alignement, reportez-vous Durée de l'alignement.

  6. Choisissez un point d'échantillonnage.

    • Point de terminaison source: nombre d'octets envoyés ou de paquets envoyés tel qu'indiqué au point de terminaison source d'un flux.
    • Point de terminaison de destination: nombre d'octets envoyés ou de paquets envoyés. tel qu'indiqué au point de terminaison de destination d'un flux.
    • Somme du point de terminaison source et de destination: la somme des octets envoyés ou paquets envoyés comme indiqué par les deux points de terminaison d'un flux.
    • Moyenne des points de terminaison source et de destination: une moyenne de octets envoyés ou paquets envoyés comme indiqué par les deux points de terminaison d'un flux si les informations sur la source et la destination sont disponibles les journaux de flux VPC.

    Pour en savoir plus, consultez la section Point d'échantillonnage.

Afficher les détails du flux

Pour afficher les détails d'un flux sélectionné dans la table des flux de données, procédez comme suit : suivantes:

Console

  1. Créez la requête.
    1. Sélectionnez un bucket de journaux. Si vous prévoyez d'utiliser le journal _Default vous pouvez ignorer cette étape.
    2. Pour définir la période de votre requête, utilisez le sélecteur de période ou sélectionnez Exécuter de nouveau pour la période sélectionnée.
    3. Sélectionnez les filtres.
    4. Sélectionnez les champs pour organiser les résultats.
  2. Exécutez la requête.

  3. Dans la table Tous les flux de données, cliquez sur Afficher les détails pour le flux de votre choix.

    La page Détails du flux qui s'affiche indique toutes les ressources qui correspondent les filtres sélectionnés et le trafic de ces ressources.

Afficher le détail des flux de trafic

Vous pouvez affiner davantage le trafic des ressources sélectionnées. En utilisant Flow Analyzer vous permet d'afficher le détail des résultats de la requête à l'aide de la les champs restants disponibles dans les journaux de flux VPC. Pour plus pour en savoir plus, consultez Détails du flux de répartition ou d'analyse détaillée :

Pour afficher le détail des flux de trafic à l'aide d'autres champs, procédez comme suit:

Console

  1. Créez la requête.
    1. Sélectionnez un bucket de journaux. Si vous prévoyez d'utiliser le journal _Default vous pouvez ignorer cette étape.
    2. Pour définir la période de votre requête, utilisez le sélecteur de période ou sélectionnez Exécuter de nouveau pour la période sélectionnée.
    3. Sélectionnez les filtres.
    4. Sélectionnez les champs pour organiser les résultats.
  2. Exécutez la requête.

  3. Dans la table Tous les flux de données, cliquez sur Afficher les détails pour le flux de votre choix.

    La page Détails du flux qui s'affiche indique toutes les ressources correspondant à les filtres sélectionnés et le trafic de ces ressources.

  4. Dans la liste Afficher le détail par, sélectionnez un champ pour afficher le détail.

  5. Pour effectuer une comparaison avec le trafic passé, cliquez sur le bouton Comparer à une période antérieure. Ce permet d'afficher six lignes: les trois lignes du haut le trafic circule depuis la vue détaillée et trois lignes en pointillés dans les couleurs représentant le trafic passé.

Étape suivante