Traffic-Flüsse analysieren

Mit Flow Analyzer können Sie die folgenden Aufgaben ausführen:

  • Einfache Abfrage für VPC-Flusslogs erstellen und ausführen
  • Erstellen Sie einen SQL-Filter (mit einer WHERE-Anweisung) für die Abfrage für VPC-Flusslogs
  • Organisieren Sie die Ergebnisse mithilfe ausgewählter Felder und sortieren Sie die Abfrageergebnisse mithilfe von den gesamten Traffic und aggregierte Pakete
  • Traffic zu ausgewählten Zeitintervallen ansehen
  • Sehen Sie sich die fünf Abläufe mit dem höchsten Traffic im Zeitverlauf in einer Grafik an im Vergleich zum restlichen Traffic
  • Sehen Sie sich die Ressourcen mit dem höchsten Traffic an, aggregiert über die ausgewählte Dauer in Tabellenformat
  • Zeigen Sie die Details des Traffics zwischen einer bestimmten Quelle und Zielpaar aus den Abfrageergebnissen
  • Abfrageergebnisse mithilfe der verbleibenden Felder aufschlüsseln verfügbar in VPC-Flusslogs

Hinweise

  1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  2. VPC-Flusslogs beim Erstellen eines Subnetzes aktivieren oder VPC-Flusslogs für ein vorhandenes Subnetz aktivieren

Erforderliche Rollen und Berechtigungen

Da Flow Analyzer Daten im Auftrag des Nutzers liest, ob Sie ausreichende Berechtigungen zum Lesen des Buckets mit den Logs haben. Der Bucket muss außerdem aktualisiert werden, um Loganalysen zu verwenden.

  • Verwenden Sie die Seite „Log-Explorer“, damit ein Nutzer Logs in den Buckets lesen kann. Verwenden Sie auf der Seite „Loganalysen“, um eine der folgenden Rollen zuzuweisen:

    • Gewähren Sie für den Zugriff auf die Ansicht _Default im Bucket _Default den Rolle „Loganzeige“ (roles/logging.viewer)
    • Für Zugriff auf alle Logs im Log-Bucket _Default, einschließlich Datenzugriff Logs die Rolle „Betrachter privater Logs“ (roles/logging.privateLogViewer) gewähren.

    Weitere Informationen finden Sie unter Logging-Rollen:

  • Damit ein Nutzer Logs lesen kann, die in einem benutzerdefinierten Bucket gespeichert sind, gewähren Sie den Rolle „Zugriffsfunktion für Logansicht“ (roles/logging.viewAccessor). Sie können die Autorisierung an eine bestimmte Logansicht. Weitere Informationen Siehe Zugriff auf eine Logansicht steuern.

  • Erstellen Sie alternativ eine benutzerdefinierte Rolle, die den folgenden Berechtigungen:

    • logging.buckets.get
    • logging.buckets.list
    • logging.logEntries.list
    • logging.logs.list
    • resourcemanager.projects.get

Abfrage erstellen und ausführen

So erstellen Sie die Abfrage und führen sie aus:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Flow Analyzer auf.

    Zu Flow Analyzer

  2. Wählen Sie einen Log-Bucket aus. Wenn Sie den Log-Bucket _Default verwenden möchten, können Sie diesen Schritt überspringen.

  3. Wählen Sie im Menü Zusammenfassung der Zugriffe eine der folgenden Optionen aus: Optionen:

    • Quelle – Ziel: In diesem Fall werden die Zugriffe von der Quelle bis zur Ziel.
    • Client – Server: Aggregiert den Traffic in beide Richtungen, indem wenn Sie die Ressourcen mit niedrigeren Portnummern und oder GKE-Dienstattribute als Server verwenden.

    Weitere Informationen finden Sie unter Traffic-Zusammenfassung:

  4. Verwenden Sie die Zeitraumauswahl, um den Zeitraum für die Abfrage festzulegen. Der Standardzeitraum beträgt eine Stunde. Sie können aber auch eine der Voreinstellungen auswählen. Zeitoptionen. Sie können eine eigene Start- und Endzeit angeben oder die um eine bestimmte Zeit herum.

  5. Klicken Sie im Diagramm auf Ausgewählten Zeitraum noch einmal ausführen.

  6. Wählen Sie in den Feldern „Quelle“ und „Ziel“ oder „Client und Server“ eine Feld aus der Liste der Felder.

  7. Fügen Sie einen oder mehrere Filterausdrücke hinzu, um Datenflüsse zu filtern, die den ausgewählte Schlüssel/Wert-Paare, wobei der Schlüssel als ausgewähltes Feld verwendet wird.

    Wenn Sie mehrere Filter für dasselbe Feld auswählen, wird ein OR-Operator verwendet. Wenn Sie Filter für verschiedene Felder auswählen, wird der Operator AND verwendet. Für Wenn Sie beispielsweise zwei Werte für die IP-Adresse aus: 1.2.3.4 und 10.20.10.30 und zwei Country-Werte: US und France, wie folgt Filterlogik auf die Abfrage angewendet:

    (IP=1.2.3.4 ODER IP=10.20.10.30) AND (Land=US ODER Land=France)

  8. Organisieren Sie den Ablauf mithilfe der Felder. Wählen Sie ein Feld aus, um die Ablaufdetails.

  9. Klicken Sie auf Neue Abfrage ausführen.

    Das Diagramm Höchste Datenflüsse und die Tabelle Alle Datenflüsse sind aktualisiert.

  10. Verwenden Sie die Anzeigeoptionen, um die Abfrageergebnisse anzupassen. Weitere Informationen zu den verschiedenen verfügbaren Anzeigeoptionen finden Sie unter Anzeigeoptionen: Informationen zum Auswählen benutzerdefinierter Optionen finden Sie unter Anzeigeoptionen anpassen

  11. Wenn du mit den Änderungen an den Anzeigeoptionen fertig bist, klicke auf OK.

  12. Klicken Sie auf Erneut ausführen, um die Abfrage mit den ausgewählten Anzeigeoptionen erneut auszuführen.

SQL-Abfrage erstellen und ausführen

So erstellen Sie eine Abfrage in Flow Analyzer und führen sie mit SQL-Filteroptionen aus: Gehen Sie so vor:

  1. Rufen Sie in der Google Cloud Console die Seite Flow Analyzer auf.

    Zu Flow Analyzer

  2. Wählen Sie einen Log-Bucket aus. Wenn Sie den Log-Bucket _Default verwenden möchten, können Sie diesen Schritt überspringen.

  3. Um den Zeitraum der Abfrage festzulegen, verwenden Sie die Zeitraumauswahl oder wählen Sie Ausgewählten Zeitraum erneut ausführen aus.

  4. Wählen Sie im Menü Zusammenfassung der Zugriffe eine der folgenden Optionen aus: Optionen:

    • Quelle – Ziel: In diesem Fall werden die Zugriffe von der Quelle bis zur Ziel.

    • Client – Server: Aggregiert den Traffic in beide Richtungen, indem wenn Sie die Ressourcen mit niedrigeren Portnummern und als Server.

      Weitere Informationen finden Sie unter Traffic-Zusammenfassung:

  5. Klicken Sie auf SQL-Filter.

  6. Geben Sie die SQL-Filterabfrage mithilfe von BigQuery-SQL-Syntax:

  7. Wenn Sie sich die Syntax und Beispiele für Filterausdrücke ansehen möchten, klicken Sie auf Syntax und Beispiele für Filterausdrücke.

  8. Organisieren Sie den Ablauf mithilfe der Felder. Wählen Sie ein Feld aus, um die Ablaufdetails.

  9. Klicken Sie auf Neue Abfrage ausführen.

    Das Diagramm Höchste Datenflüsse und die Tabelle Alle Datenflüsse sind aktualisiert.

  10. Verwenden Sie die Anzeigeoptionen, um die Abfrageergebnisse anzupassen. Weitere Informationen zu den verschiedenen verfügbaren Anzeigeoptionen finden Sie unter Anzeigeoptionen: Informationen zum Auswählen benutzerdefinierter Optionen finden Sie unter Anzeigeoptionen anpassen

  11. Wenn du mit den Änderungen an den Anzeigeoptionen fertig bist, klicke auf OK.

  12. Um die Abfrage mit den ausgewählten Anzeigeoptionen erneut auszuführen, klicken Sie auf Noch einmal ausführen:

Anzeigeoptionen anpassen

Wenn Sie bestimmte Details zu den Traffic-Flüssen sehen möchten, können Sie die Anzeige Optionen. Weitere Informationen zu den verschiedenen verfügbaren Anzeigeoptionen finden Sie unter Anzeigeoptionen:

Console

  1. Erstellen Sie die Abfrage.
    1. Wählen Sie einen Log-Bucket aus. Wenn Sie das _Default-Protokoll verwenden möchten Bucket handelt, können Sie diesen Schritt überspringen.
    2. Um den Zeitraum der Abfrage festzulegen, verwenden Sie die Zeitraumauswahl oder wählen Sie Ausgewählten Zeitraum erneut ausführen aus.
    3. Wählen Sie die gewünschten Filter aus.
    4. Wählen Sie die Felder aus, um die Ergebnisse zu organisieren.
  2. Führen Sie die Abfrage aus.
  3. Wählen Sie den Messwerttyp aus: Gesendete Bytes oder Gesendete Pakete.

  4. Wählen Sie eine Option für die Messwertaggregation aus.

    Wenn Sie Gesendete Bytes als Messwert auswählen, wählen Sie eine der folgenden Optionen aus: Optionen:

    1. Traffic insgesamt: Die gesamten Zugriffe für den ausgewählten Zeitraum. Standardmäßig aktiviert.
    2. Durchschnittliche Traffic-Rate: die durchschnittliche Traffic-Rate für die ausgewählte Zeitraum. Nur für die Ausrichtungszeiträume berechnet, in denen der Zugriffe erfasst wurden.
    3. Median-Traffic-Rate: die mittlere Traffic-Rate für die ausgewählte Zeitraum. Nur für die Ausrichtungszeiträume berechnet, in denen der Zugriffe erfasst wurden.
    4. P95-Traffic-Rate: Die 95. Perzentil-Traffic-Rate für die ausgewählten Zeitraum. Nur für die Ausrichtungszeiträume während des Zeitraums für die die Zugriffe erfasst wurden.
    5. Maximale Traffic-Rate: Die maximale Traffic-Rate für die ausgewählte Zeitraum.

    Wenn Sie als Messwert Gesendete Pakete auswählen, wählen Sie eine der folgenden Optionen aus: Optionen:

    1. Aggregierte Pakete: die aggregierte Anzahl von Paketen für die ausgewählte Zeitraum. Standardmäßig aktiviert.
    2. Durchschnittliche Paketrate: die durchschnittliche Paketrate für die ausgewählte Zeitraum. Nur für die Ausrichtungszeiträume berechnet, in denen der Zugriffe erfasst wurden.
    3. Median-Paketrate: die mittlere Paketrate für die ausgewählte Zeitraum. Nur für die Ausrichtungszeiträume berechnet, in denen der Zugriffe erfasst wurden.
    4. P95-Paketrate: Die Paketrate des 95. Perzentils für die ausgewählte Zeitraum. Nur für die Ausrichtungszeiträume während des Zeitraums für die die Zugriffe erfasst wurden.
    5. Maximale Paketrate: Die maximale Paketrate für die ausgewählte Zeitraum.

    Weitere Informationen zu den verschiedenen Optionen für die Messwertaggregation finden Sie unter Messwertaggregationen:

  5. Wählen Sie den Ausrichtungszeitraum aus. Weitere Informationen zur Ausrichtungszeitraum finden Sie unter Ausrichtungszeitraum:

  6. Wählen Sie einen Stichprobenpunkt aus.

    • Quellendpunkt: die Anzahl der gesendeten Byte oder gesendeten Pakete wie am Quellendpunkt eines Datenflusses gemeldet wird.
    • Zielendpunkt: die Anzahl der gesendeten Byte oder gesendeten Pakete wie am Zielendpunkt eines Datenflusses gemeldet wird.
    • Summe des Quell- und Zielendpunkts: die Summe der gesendeten oder Pakete, die von beiden Endpunkten eines Datenflusses gemeldet wurden.
    • Durchschnitt des Quell- und Zielendpunkts: ein Durchschnitt von Von beiden Endpunkten eines Datenflusses gemeldete gesendete Byte oder gesendete Pakete wenn sowohl Quell- als auch Zieldetails in VPC-Flusslogs

    Weitere Informationen finden Sie unter Stichprobenpunkt.

Ablaufdetails ansehen

Führen Sie die folgenden Schritte aus, um Ablaufdetails für einen ausgewählten Ablauf in der Tabelle mit Datenflüssen aufzurufen: Folgendes:

Console

  1. Erstellen Sie die Abfrage.
    1. Wählen Sie einen Log-Bucket aus. Wenn Sie das _Default-Protokoll verwenden möchten Bucket handelt, können Sie diesen Schritt überspringen.
    2. Um den Zeitraum der Abfrage festzulegen, verwenden Sie die Zeitraumauswahl oder wählen Sie Ausgewählten Zeitraum erneut ausführen aus.
    3. Wählen Sie die gewünschten Filter aus.
    4. Wählen Sie die Felder aus, um die Ergebnisse zu organisieren.
  2. Führen Sie die Abfrage aus.

  3. Klicken Sie in der Tabelle Alle Datenflüsse für einen beliebigen Ablauf auf Details anzeigen.

    Auf der Seite Ablaufdetails werden alle übereinstimmenden Ressourcen die ausgewählten Filter und den Traffic dieser Ressourcen.

Trafficflüsse aufschlüsseln

Sie können den Traffic der ausgewählten Ressourcen weiter optimieren. Mit Flow Analyzer können Sie die Abfrageergebnisse mithilfe der Methode verbleibenden Felder, die in VPC-Flusslogs verfügbar sind. Weitere Informationen finden Sie unter Ablaufdetails aufschlüsseln oder aufschlüsseln:

So schlüsseln Sie Trafficflüsse mithilfe weiterer Felder auf:

Console

  1. Erstellen Sie die Abfrage.
    1. Wählen Sie einen Log-Bucket aus. Wenn Sie das _Default-Protokoll verwenden möchten Bucket handelt, können Sie diesen Schritt überspringen.
    2. Um den Zeitraum der Abfrage festzulegen, verwenden Sie die Zeitraumauswahl oder wählen Sie Ausgewählten Zeitraum erneut ausführen aus.
    3. Wählen Sie die gewünschten Filter aus.
    4. Wählen Sie die Felder aus, um die Ergebnisse zu organisieren.
  2. Führen Sie die Abfrage aus.

  3. Klicken Sie in der Tabelle Alle Datenflüsse für einen beliebigen Ablauf auf Details anzeigen.

    Auf der Seite Ablaufdetails werden alle Ressourcen angezeigt, die ausgewählten Filter und den Traffic dieser Ressourcen.

  4. Wählen Sie in der Liste Aufschlüsseln nach ein Feld aus, um eine Aufschlüsselung durchzuführen.

  5. Um einen Vergleich mit früheren Zugriffen zu erstellen, klicken Sie auf die Ein/Aus-Schaltfläche Mit bisherigen Daten vergleichen. Dieses können Sie sechs Linien anzeigen: drei durchgehende Linien für die drei und drei gestrichelte Linien in den entsprechenden den vergangenen Verkehr dargestellt.

Nächste Schritte