Trafficflüsse analysieren

Mit Flow Analyzer können Sie die folgenden Aufgaben ausführen:

  • Einfache Abfrage zu VPC-Flusslogs erstellen und ausführen
  • Erstellen Sie einen SQL-Filter (mit einer WHERE-Anweisung) für die Abfrage für VPC-Flusslogs
  • Ergebnisse mithilfe ausgewählter Felder organisieren und die Abfrageergebnisse nach Gesamttraffic und aggregierten Paketen sortieren
  • Zugriffe in ausgewählten Zeitintervallen ansehen
  • Sehen Sie sich die fünf Abläufe mit dem höchsten Traffic im Zeitverlauf in einer Grafik an im Vergleich zum restlichen Traffic
  • Ressourcen mit dem höchsten Traffic im ausgewählten Zeitraum in tabellarischer Form ansehen
  • Zeigen Sie die Details des Traffics zwischen einer bestimmten Quelle und Zielpaar aus den Abfrageergebnissen
  • Abfrageergebnisse mithilfe der verbleibenden Felder aufschlüsseln verfügbar in VPC-Flusslogs

Hinweise

  1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  2. Aktivieren Sie VPC-Flusslogs beim Erstellen eines Subnetzes oder aktivieren Sie VPC-Flusslogs für ein vorhandenes Subnetz.

Erforderliche Rollen und Berechtigungen

Da Flow Analyzer Daten im Namen des Nutzers liest, müssen Sie über ausreichende Berechtigungen zum Lesen des Buckets mit den Protokollen verfügen. Der Bucket muss außerdem für die Verwendung von Log Analytics aktualisiert werden.

  • Verwenden Sie die Seite „Log-Explorer“, damit ein Nutzer Logs in den Buckets lesen kann. Weisen Sie auf der Seite „Log Analytics“ eine der folgenden Rollen zu:

    • Wenn Sie Zugriff auf die _Default-Ansicht im _Default-Bucket gewähren möchten, weisen Sie die Rolle „Log-Betrachter“ (roles/logging.viewer) zu.
    • Wenn Sie Zugriff auf alle Logs im _Default-Log-Bucket, einschließlich Logs zum Datenzugriff, gewähren möchten, weisen Sie die Rolle „Betrachter privater Logs“ (roles/logging.privateLogViewer) zu.

    Weitere Informationen finden Sie unter Logging-Rollen:

  • Damit ein Nutzer Logs lesen kann, die in einem benutzerdefinierten Bucket gespeichert sind, gewähren Sie den Rolle „Zugriffsfunktion für Logansicht“ (roles/logging.viewAccessor). Sie können die Autorisierung an eine bestimmte Logansicht. Weitere Informationen Siehe Zugriff auf eine Logansicht steuern.

  • Alternativ können Sie eine benutzerdefinierte Rolle mit den folgenden Berechtigungen erstellen:

    • logging.buckets.get
    • logging.buckets.list
    • logging.logEntries.list
    • logging.logs.list
    • resourcemanager.projects.get

Abfrage erstellen und ausführen

So erstellen und führen Sie die Abfrage aus:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Flow Analyzer auf.

    Flow Analyzer aufrufen

  2. Wählen Sie einen Log-Bucket aus. Wenn Sie den Log-Bucket _Default verwenden möchten, können Sie diesen Schritt überspringen.

  3. Wählen Sie im Menü Zusammenfassung der Zugriffe eine der folgenden Optionen aus: Optionen:

    • Quelle – Ziel: In diesem Fall werden die Zugriffe von der Quelle zum Ziel Ziel.
    • Client – Server: Hier wird der Traffic in beide Richtungen zusammengefasst, indem die Ressourcen mit niedrigeren Portnummern und Dienstdefinitionen berücksichtigt oder GKE-Diensteigenschaften als Server verwendet werden.

    Weitere Informationen finden Sie unter Traffic-Zusammenfassung:

  4. Mit der Zeitraumauswahl können Sie den Zeitraum für Ihre Abfrage festlegen. Der Standardzeitraum ist eine Stunde. Sie können aber auch eine der voreingestellten Zeitoptionen auswählen. Sie können eine eigene Start- und Endzeit angeben oder die um eine bestimmte Zeit herum.

  5. Klicken Sie im Diagramm auf Ausgewählten Zeitraum noch einmal ausführen.

  6. Wählen Sie in den Feldern „Quell-“ und „Ziel“ oder „Client“ und „Server“ ein Feld aus der Liste aus.

  7. Fügen Sie einen oder mehrere Filterausdrücke hinzu, um Datenflüsse zu filtern, die den ausgewählte Schlüssel/Wert-Paare, wobei der Schlüssel als ausgewähltes Feld verwendet wird.

    Wenn Sie mehrere Filter für dasselbe Feld auswählen, wird ein OR-Operator verwendet. Wenn Sie Filter für verschiedene Felder auswählen, wird der Operator AND verwendet. Für Wenn Sie beispielsweise zwei Werte für die IP-Adresse aus: 1.2.3.4 und 10.20.10.30 und zwei Country-Werte: US und France, wie folgt Filterlogik auf die Abfrage angewendet:

    (IP=1.2.3.4 OR IP=10.20.10.30) AND (Country=US OR Country=France)

  8. Organisieren Sie den Ablauf mithilfe der Felder. Wählen Sie ein Feld aus, um die Ablaufdetails.

  9. Klicken Sie auf Neue Abfrage ausführen.

    Das Diagramm Höchste Datenflüsse und die Tabelle Alle Datenflüsse sind aktualisiert.

  10. Verwenden Sie die Anzeigeoptionen, um die Abfrageergebnisse anzupassen. Weitere Informationen zu den verschiedenen verfügbaren Anzeigeoptionen finden Sie unter Anzeigeoptionen: Informationen zum Auswählen benutzerdefinierter Optionen finden Sie unter Anzeigeoptionen anpassen

  11. Wenn Sie alle Änderungen an den Anzeigeoptionen vorgenommen haben, klicken Sie auf OK.

  12. Klicken Sie auf Noch einmal ausführen, um die Abfrage mit den ausgewählten Anzeigeoptionen noch einmal auszuführen.

SQL-Abfrage erstellen und ausführen

So erstellen und führen Sie eine Abfrage im Flow Analyzer mit SQL-Filteroptionen aus:

  1. Rufen Sie in der Google Cloud Console die Seite Flow Analyzer auf.

    Flow Analyzer aufrufen

  2. Wählen Sie einen Log-Bucket aus. Wenn Sie den Log-Bucket _Default verwenden möchten, können Sie diesen Schritt überspringen.

  3. Um den Zeitraum der Abfrage festzulegen, verwenden Sie die Zeitraumauswahl oder wählen Sie Ausgewählten Zeitraum erneut ausführen aus.

  4. Wählen Sie im Menü Zugriffe aggregieren eine der folgenden Optionen aus:

    • Quelle – Ziel: In diesem Fall werden die Zugriffe von der Quelle bis zur Ziel.
    • Client – Server: Der Traffic wird in beide Richtungen zusammengefasst, indem die Ressourcen mit niedrigeren Portnummern und Dienstdefinitionen als Server betrachtet werden.

      Weitere Informationen finden Sie unter Traffic-Aggregation.

  5. Klicken Sie auf SQL-Filter.

  6. Geben Sie die SQL-Filterabfrage mithilfe von BigQuery-SQL-Syntax:

  7. Wenn Sie sich die Syntax und Beispiele für Filterausdrücke ansehen möchten, klicken Sie auf Syntax und Beispiele für Filterausdrücke.

  8. Organisieren Sie den Fluss mithilfe der Felder. Wählen Sie ein Feld aus, um die Ablaufdetails.

  9. Klicken Sie auf Neue Abfrage ausführen.

    Das Diagramm Höchste Datenflüsse und die Tabelle Alle Datenflüsse sind aktualisiert.

  10. Mit den Anzeigeoptionen können Sie die Abfrageergebnisse anpassen. Weitere Informationen zu den verschiedenen Anzeigeoptionen finden Sie unter Anzeigeoptionen. Informationen zum Auswählen benutzerdefinierter Optionen finden Sie unter Anzeigeoptionen anpassen

  11. Wenn Sie alle Änderungen an den Anzeigeoptionen vorgenommen haben, klicken Sie auf OK.

  12. Um die Abfrage mit den ausgewählten Anzeigeoptionen erneut auszuführen, klicken Sie auf Noch einmal ausführen:

Anzeigeoptionen anpassen

Um bestimmte Details zu den Traffic-Flüssen anzuzeigen, können Sie die Anzeige Optionen. Weitere Informationen zu den verschiedenen verfügbaren Anzeigeoptionen finden Sie unter Anzeigeoptionen:

Console

  1. Erstellen Sie die Abfrage.
    1. Wählen Sie einen Log-Bucket aus. Wenn Sie den Log-Bucket _Default verwenden möchten, können Sie diesen Schritt überspringen.
    2. Verwenden Sie die Zeitraumauswahl, um den Zeitraum für die Abfrage festzulegen, oder wählen Sie Im ausgewählten Zeitraum noch einmal ausführen aus.
    3. Wählen Sie die Filter aus.
    4. Wählen Sie die Felder aus, nach denen die Ergebnisse sortiert werden sollen.
  2. Führen Sie die Abfrage aus.
  3. Wählen Sie den Messwerttyp aus: Gesendete Bytes oder Gesendete Pakete.
  4. Wählen Sie eine Option für die Messwertaggregation aus.

    Wenn Sie Gesendete Bytes als Messwert auswählen, haben Sie folgende Möglichkeiten:

    1. Traffic insgesamt: Die gesamten Zugriffe für den ausgewählten Zeitraum. Standardmäßig aktiviert.
    2. Durchschnittliche Zugriffsrate: Die durchschnittliche Zugriffsrate für den ausgewählten Zeitraum. Nur für die Ausrichtungszeiträume berechnet, in denen der Zugriffe erfasst wurden.
    3. Median-Traffic-Rate: die mittlere Traffic-Rate für die ausgewählte Zeitraum. Wird nur für die Ausrichtungszeiträume berechnet, in denen der Traffic beobachtet wurde.
    4. P95-Traffic-Rate: Die 95. Perzentil-Traffic-Rate für die ausgewählten Zeitraum. Wird nur für die Ausrichtungszeiträume berechnet, in denen der Traffic beobachtet wurde.
    5. Maximale Traffic-Rate: Die maximale Traffic-Rate für die ausgewählte Zeitraum.

    Wenn Sie als Messwert Gesendete Pakete auswählen, wählen Sie eine der folgenden Optionen aus: Optionen:

    1. Gesamtzahl der Pakete: Die Gesamtzahl der Pakete für den ausgewählten Zeitraum. Standardmäßig aktiviert.
    2. Durchschnittliche Paketrate: Die durchschnittliche Paketrate für den ausgewählten Zeitraum. Wird nur für die Ausrichtungszeiträume berechnet, in denen der Traffic beobachtet wurde.
    3. Median-Paketsenderate: Die Median-Paketsenderate für den ausgewählten Zeitraum. Wird nur für die Ausrichtungszeiträume berechnet, in denen der Traffic beobachtet wurde.
    4. P95-Paketrate: Die Paketrate des 95. Perzentils für die ausgewählte Zeitraum. Nur für die Ausrichtungszeiträume während des Zeitraums für die die Zugriffe erfasst wurden.
    5. Maximale Paketrate: Die maximale Paketrate für die ausgewählte Zeitraum.

    Weitere Informationen zu den verschiedenen Optionen für die Messwertaggregation finden Sie unter Messwertaggregationen.

  5. Wählen Sie den Ausrichtungszeitraum aus. Weitere Informationen zum Ausrichtungszeitraum finden Sie unter Ausrichtungszeitraum.

  6. Wählen Sie einen Stichprobenpunkt aus.

    • Quellendpunkt: Die Anzahl der gesendeten Byte oder Pakete, die am Quellendpunkt eines Flusses erfasst wurden.
    • Zielendpunkt: die Anzahl der gesendeten Byte oder gesendeten Pakete wie am Zielendpunkt eines Datenflusses gemeldet wird.
    • Summe des Quell- und Zielendpunkts: die Summe der gesendeten oder Pakete, die von beiden Endpunkten eines Datenflusses gemeldet wurden.
    • Durchschnitt von Quell- und Zielendpunkt: Durchschnitt der gesendeten Bytes oder Pakete, wie von beiden Endpunkten eines Flusses gemeldet, wenn sowohl Quell- als auch Zieldetails in VPC-Flusslogs verfügbar sind.

    Weitere Informationen finden Sie unter Stichprobenpunkt.

Ablaufdetails ansehen

Führen Sie die folgenden Schritte aus, um Ablaufdetails für einen ausgewählten Ablauf in der Tabelle mit Datenflüssen aufzurufen: Folgendes:

Console

  1. Erstellen Sie die Abfrage.
    1. Wählen Sie einen Log-Bucket aus. Wenn Sie das _Default-Protokoll verwenden möchten Bucket handelt, können Sie diesen Schritt überspringen.
    2. Verwenden Sie die Zeitraumauswahl, um den Zeitraum für die Abfrage festzulegen, oder wählen Sie Im ausgewählten Zeitraum noch einmal ausführen aus.
    3. Wählen Sie die Filter aus.
    4. Wählen Sie die Felder aus, nach denen die Ergebnisse sortiert werden sollen.
  2. Führen Sie die Abfrage aus.
  3. Klicken Sie in der Tabelle Alle Datenflüsse für einen beliebigen Ablauf auf Details anzeigen.

    Auf der Seite Ablaufdetails werden alle übereinstimmenden Ressourcen die ausgewählten Filter und den Traffic dieser Ressourcen.

Trafficflüsse aufschlüsseln

Sie können den Traffic der ausgewählten Ressourcen weiter eingrenzen. Mit Flow Analyzer können Sie die Abfrageergebnisse mithilfe der übrigen Felder in VPC-Flusslogs aufschlüsseln. Weitere Informationen finden Sie unter Ablaufdetails aufschlüsseln oder aufschlüsseln:

So schlüsseln Sie Trafficflüsse mithilfe weiterer Felder auf:

Console

  1. Erstellen Sie die Abfrage.
    1. Wählen Sie einen Log-Bucket aus. Wenn Sie das _Default-Protokoll verwenden möchten Bucket handelt, können Sie diesen Schritt überspringen.
    2. Verwenden Sie die Zeitraumauswahl, um den Zeitraum für die Abfrage festzulegen, oder wählen Sie Im ausgewählten Zeitraum noch einmal ausführen aus.
    3. Wählen Sie die Filter aus.
    4. Wählen Sie die Felder aus, nach denen die Ergebnisse sortiert werden sollen.
  2. Führen Sie die Abfrage aus.
  3. Klicken Sie in der Tabelle Alle Datenflüsse für einen beliebigen Ablauf auf Details anzeigen.

    Auf der Seite Details zum Traffic werden alle Ressourcen angezeigt, die den ausgewählten Filtern entsprechen, sowie der Traffic dieser Ressourcen.

  4. Wählen Sie in der Liste Aufschlüsseln nach ein Feld aus, um eine Aufschlüsselung durchzuführen.

  5. Wenn Sie die Zugriffe mit früheren Daten vergleichen möchten, klicken Sie auf die Ein/Aus-Schaltfläche Mit früheren Daten vergleichen. Dieses können Sie sechs Linien anzeigen: drei durchgehende Linien für die drei und drei gestrichelte Linien in den entsprechenden den vergangenen Verkehr dargestellt.

Nächste Schritte