Traffic-Flüsse analysieren

Mit Flow Analyzer können Sie die folgenden Aufgaben ausführen:

  • Einfache Abfrage für VPC-Flusslogs erstellen und ausführen
  • SQL-Filter (mit einer WHERE-Anweisung) für die Abfrage in VPC-Flusslogs erstellen
  • Organisieren Sie die Ergebnisse anhand ausgewählter Felder und sortieren Sie die Abfrageergebnisse anhand des gesamten Traffics und der aggregierten Pakete
  • Traffic zu ausgewählten Zeitintervallen ansehen
  • Die fünf stärksten Trafficflüsse im Zeitverlauf in einem grafischen Format im Vergleich zum Rest des Traffics darstellen
  • Ressourcen mit dem höchsten Traffic, aggregiert über die ausgewählte Dauer, in Tabellenform ansehen
  • Details zum Traffic zwischen einem bestimmten Quell- und Zielpaar aus den Abfrageergebnissen ansehen
  • Abfrageergebnisse mithilfe der verbleibenden in VPC-Flusslogs verfügbaren Felder aufschlüsseln

Hinweise

  1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  2. Aktivieren Sie VPC-Flusslogs beim Erstellen eines Subnetzes oder aktivieren Sie VPC-Flusslogs für ein vorhandenes Subnetz.

Erforderliche Rollen und Berechtigungen

Da Flow Analyzer Daten im Namen des Nutzers liest, müssen Sie dafür sorgen, dass Sie ausreichende Berechtigungen zum Lesen des Buckets mit den Logs haben. Der Bucket muss außerdem aktualisiert werden, um Loganalysen zu verwenden.

  • Verwenden Sie die Seite „Log-Explorer“, damit ein Nutzer Logs in den Buckets lesen kann. Auf der Seite „Loganalysen“ können Sie eine der folgenden Rollen zuweisen:

    • Gewähren Sie für den Zugriff auf die Ansicht _Default im Bucket _Default die Rolle „Loganzeige“ (roles/logging.viewer).
    • Weisen Sie für den Zugriff auf alle Logs im Log-Bucket _Default, einschließlich Datenzugriffslogs, die Rolle „Betrachter privater Logs“ (roles/logging.privateLogViewer) zu.

    Weitere Informationen finden Sie unter Logging-Rollen.

  • Damit ein Nutzer Logs lesen kann, die in einem benutzerdefinierten Bucket gespeichert sind, müssen Sie die Rolle „Zugriffsfunktion für Logaufrufe“ (roles/logging.viewAccessor) zuweisen. Sie können die Autorisierung auf eine bestimmte Logansicht beschränken. Weitere Informationen finden Sie unter Zugriff auf eine Logansicht steuern.

  • Alternativ können Sie eine benutzerdefinierte Rolle mit den folgenden Berechtigungen erstellen:

    • logging.buckets.get
    • logging.buckets.list
    • logging.logEntries.list
    • logging.logs.list
    • resourcemanager.projects.get

Abfrage erstellen und ausführen

So erstellen Sie die Abfrage und führen sie aus:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Flow Analyzer auf.

    Zu Flow Analyzer

  2. Wählen Sie einen Log-Bucket aus. Wenn Sie den Log-Bucket _Default verwenden möchten, können Sie diesen Schritt überspringen.

  3. Wählen Sie im Menü Traffic-Zusammenfassung eine der folgenden Optionen aus:

    • Quelle – Ziel: Traffic von der Quelle zum Ziel aggregieren
    • Client – Server: Der Traffic wird in beide Richtungen aggregiert. Dabei werden die Ressourcen mit niedrigeren Portnummern und Dienstdefinitionen oder GKE-Dienstattributen als Server berücksichtigt.

    Weitere Informationen finden Sie unter Trafficaggregation.

  4. Verwenden Sie die Zeitraumauswahl, um den Zeitraum für die Abfrage festzulegen. Der Standardzeitraum beträgt eine Stunde. Sie können jedoch auch eine der voreingestellten Zeitoptionen auswählen. Sie können eine benutzerdefinierte Start- und Endzeit angeben oder den Zeitraum zu einer bestimmten Zeit auswählen.

  5. Klicken Sie im Diagramm auf Ausgewählten Zeitraum noch einmal ausführen.

  6. Wählen Sie in den Feldern für Quelle und Ziel oder Client und Server ein Feld aus der Liste der Felder aus.

  7. Fügen Sie einen oder mehrere Filterausdrücke hinzu, um Datenflüsse zu filtern, die mit den ausgewählten Schlüssel/Wert-Paaren übereinstimmen. Dabei wird der Schlüssel als ausgewähltes Feld verwendet.

    Wenn Sie mehrere Filter für dasselbe Feld auswählen, wird ein OR-Operator verwendet. Wenn Sie Filter für verschiedene Felder auswählen, wird der Operator AND verwendet. Wenn Sie beispielsweise zwei IP-Adresswerte auswählen, 1.2.3.4 und 10.20.10.30 sowie zwei Country-Werte, US und France, wird die folgende Filterlogik auf die Abfrage angewendet:

    (IP=1.2.3.4 ODER IP=10.20.10.30) AND (Land=US ODER Land=France)

  8. Organisieren Sie den Ablauf mithilfe der Felder. Wählen Sie ein Feld aus, um die Ablaufdetails zu organisieren.

  9. Klicken Sie auf Neue Abfrage ausführen.

    Das Diagramm Höchste Datenflüsse und die Tabelle Alle Datenflüsse wurden aktualisiert.

  10. Verwenden Sie die Anzeigeoptionen, um die Abfrageergebnisse anzupassen. Weitere Informationen zu den verschiedenen verfügbaren Anzeigeoptionen finden Sie unter Anzeigeoptionen. Informationen zum Auswählen benutzerdefinierter Optionen finden Sie unter Anzeigeoptionen anpassen.

  11. Wenn Sie mit den Änderungen an den Anzeigeoptionen fertig sind, klicken Sie auf OK.

  12. Klicken Sie auf Erneut ausführen, um die Abfrage mit den ausgewählten Anzeigeoptionen erneut auszuführen.

SQL-Abfrage erstellen und ausführen

So erstellen Sie eine Abfrage in Flow Analyzer und führen sie mit SQL-Filteroptionen aus:

  1. Rufen Sie in der Google Cloud Console die Seite Flow Analyzer auf.

    Zu Flow Analyzer

  2. Wählen Sie einen Log-Bucket aus. Wenn Sie den Log-Bucket _Default verwenden möchten, können Sie diesen Schritt überspringen.

  3. Um den Zeitraum der Abfrage festzulegen, verwenden Sie die Zeitraumauswahl oder wählen Sie Ausgewählten Zeitraum erneut ausführen aus.

  4. Wählen Sie im Menü Traffic-Zusammenfassung eine der folgenden Optionen aus:

    • Quelle – Ziel: Traffic von der Quelle zum Ziel aggregieren.

    • Client – Server: Aggregieren Sie den Traffic in beide Richtungen, indem Sie die Ressourcen mit niedrigeren Portnummern und Dienstdefinitionen als Server betrachten.

      Weitere Informationen finden Sie unter Trafficaggregation.

  5. Klicken Sie auf SQL-Filter.

  6. Geben Sie die SQL-Filterabfrage mit der BigQuery-SQL-Syntax ein.

  7. Wenn Sie sich die Syntax und Beispiele für Filterausdrücke ansehen möchten, klicken Sie auf Syntax und Beispiele für Filterausdrücke.

  8. Organisieren Sie den Ablauf mithilfe der Felder. Wählen Sie ein Feld aus, um die Ablaufdetails zu organisieren.

  9. Klicken Sie auf Neue Abfrage ausführen.

    Das Diagramm Höchste Datenflüsse und die Tabelle Alle Datenflüsse wurden aktualisiert.

  10. Verwenden Sie die Anzeigeoptionen, um die Abfrageergebnisse anzupassen. Weitere Informationen zu den verschiedenen verfügbaren Anzeigeoptionen finden Sie unter Anzeigeoptionen. Informationen zum Auswählen benutzerdefinierter Optionen findest du unter Anzeigeoptionen anpassen.

  11. Wenn Sie mit den Änderungen an den Anzeigeoptionen fertig sind, klicken Sie auf OK.

  12. Klicken Sie auf Re-run (Erneut ausführen), um die Abfrage mit den ausgewählten Anzeigeoptionen noch einmal auszuführen.

Anzeigeoptionen anpassen

Sie können die Anzeigeoptionen anpassen, um bestimmte Details des Trafficflusses anzusehen. Weitere Informationen zu den verschiedenen verfügbaren Anzeigeoptionen finden Sie unter Anzeigeoptionen.

Console

  1. Erstellen Sie die Abfrage.
    1. Wählen Sie einen Log-Bucket aus. Wenn Sie den Log-Bucket _Default verwenden möchten, können Sie diesen Schritt überspringen.
    2. Um den Zeitraum der Abfrage festzulegen, verwenden Sie die Zeitraumauswahl oder wählen Sie Ausgewählten Zeitraum erneut ausführen aus.
    3. Wählen Sie die gewünschten Filter aus.
    4. Wählen Sie die Felder aus, um die Ergebnisse zu organisieren.
  2. Führen Sie die Abfrage aus.
  3. Wählen Sie den Messwerttyp aus: Gesendete Bytes oder Gesendete Pakete.

  4. Wählen Sie eine Option für die Messwertaggregation aus.

    Wenn Sie als Messwert Gesendete Bytes auswählen, wählen Sie eine der folgenden Optionen aus:

    1. Traffic insgesamt: Die gesamten Zugriffe für den ausgewählten Zeitraum. Standardmäßig aktiviert.
    2. Durchschnittliche Traffic-Rate: Die durchschnittliche Traffic-Rate für den ausgewählten Zeitraum. Wird nur für die Ausrichtungszeiträume berechnet, in denen der Traffic erfasst wurde.
    3. Median-Traffic-Rate: Die mittlere Traffic-Rate für den ausgewählten Zeitraum. Wird nur für die Ausrichtungszeiträume berechnet, in denen der Traffic erfasst wurde.
    4. P95-Traffic-Rate: Die 95. Perzentil-Traffic-Rate für den ausgewählten Zeitraum. Wird nur für die Ausrichtungszeiträume berechnet, in denen der Traffic erfasst wurde.
    5. Maximale Traffic-Rate: Die maximale Traffic-Rate für den ausgewählten Zeitraum.

    Wenn Sie als Messwert Gesendete Pakete auswählen, wählen Sie eine der folgenden Optionen aus:

    1. Aggregierte Pakete: Die aggregierte Anzahl von Paketen für den ausgewählten Zeitraum. Standardmäßig aktiviert.
    2. Durchschnittliche Paketrate: Die durchschnittliche Paketrate für den ausgewählten Zeitraum. Wird nur für die Ausrichtungszeiträume berechnet, in denen der Traffic erfasst wurde.
    3. Median-Paketrate: die mittlere Paketrate für den ausgewählten Zeitraum. Wird nur für die Ausrichtungszeiträume berechnet, in denen der Traffic erfasst wurde.
    4. P95-Paketrate: Die Paketrate des 95. Perzentils für den ausgewählten Zeitraum. Wird nur für die Ausrichtungszeiträume berechnet, in denen der Traffic erfasst wurde.
    5. Maximale Paketrate: Die maximale Paketrate für den ausgewählten Zeitraum.

    Weitere Informationen zu den verschiedenen Optionen für die Messwertaggregation finden Sie unter Messwertaggregationen.

  5. Wählen Sie den Ausrichtungszeitraum aus. Weitere Informationen zum Ausrichtungszeitraum finden Sie unter Ausrichtungszeitraum.

  6. Wählen Sie einen Stichprobenpunkt aus.

    • Quellendpunkt: Die Anzahl der gesendeten Byte oder gesendeten Pakete, wie am Quellendpunkt eines Datenflusses gemeldet.
    • Zielendpunkt: Die Anzahl der gesendeten Byte oder gesendeten Pakete, wie am Zielendpunkt eines Datenflusses gemeldet wird.
    • Summe des Quell- und Zielendpunkts: Die Summe der gesendeten Byte oder Pakete, die von beiden Endpunkte eines Datenflusses gemeldet wurden.
    • Durchschnitt des Quell- und Zielendpunkts: Durchschnittswert der gesendeten Byte oder Pakete, die von beiden Endpunkten eines Datenflusses gemeldet wurden, wenn sowohl Quell- als auch Zieldetails in VPC-Flusslogs verfügbar sind.

    Weitere Informationen finden Sie unter Stichprobenpunkt.

Ablaufdetails ansehen

So rufen Sie Ablaufdetails für einen ausgewählten Ablauf in der Tabelle mit den Datenflüssen auf:

Console

  1. Erstellen Sie die Abfrage.
    1. Wählen Sie einen Log-Bucket aus. Wenn Sie den Log-Bucket _Default verwenden möchten, können Sie diesen Schritt überspringen.
    2. Um den Zeitraum der Abfrage festzulegen, verwenden Sie die Zeitraumauswahl oder wählen Sie Ausgewählten Zeitraum erneut ausführen aus.
    3. Wählen Sie die gewünschten Filter aus.
    4. Wählen Sie die Felder aus, um die Ergebnisse zu organisieren.
  2. Führen Sie die Abfrage aus.

  3. Klicken Sie in der Tabelle Alle Datenflüsse für einen beliebigen Ablauf auf Details anzeigen.

    Die angezeigte Seite Ablaufdetails zeigt alle Ressourcen, die den ausgewählten Filtern entsprechen, sowie den Traffic dieser Ressourcen.

Trafficflüsse aufschlüsseln

Sie können den Traffic der ausgewählten Ressourcen weiter optimieren. Mit Flow Analyzer können Sie die Abfrageergebnisse anhand der verbleibenden Felder aufschlüsseln, die in VPC-Flusslogs verfügbar sind. Weitere Informationen finden Sie unter Ablaufdetails aufschlüsseln oder aufschlüsseln.

So schlüsseln Sie Trafficflüsse mithilfe weiterer Felder auf:

Console

  1. Erstellen Sie die Abfrage.
    1. Wählen Sie einen Log-Bucket aus. Wenn Sie den Log-Bucket _Default verwenden möchten, können Sie diesen Schritt überspringen.
    2. Um den Zeitraum der Abfrage festzulegen, verwenden Sie die Zeitraumauswahl oder wählen Sie Ausgewählten Zeitraum erneut ausführen aus.
    3. Wählen Sie die gewünschten Filter aus.
    4. Wählen Sie die Felder aus, um die Ergebnisse zu organisieren.
  2. Führen Sie die Abfrage aus.

  3. Klicken Sie in der Tabelle Alle Datenflüsse für einen beliebigen Ablauf auf Details anzeigen.

    Die Seite Ablaufdetails wird angezeigt. Sie enthält alle Ressourcen, die den ausgewählten Filtern entsprechen, sowie den Traffic dieser Ressourcen.

  4. Wählen Sie in der Liste Aufschlüsseln nach ein Feld aus, um eine Aufschlüsselung durchzuführen.

  5. Um einen Vergleich mit früheren Zugriffen zu erstellen, klicken Sie auf die Ein/Aus-Schaltfläche Mit bisherigen Daten vergleichen. Mit dieser Funktion lassen sich sechs Linien darstellen: drei durchgezogene Linien für die drei wichtigsten Verkehrsflüsse aus der Aufschlüsselung und drei gestrichelte Linien in den entsprechenden Farben, die den bisherigen Verkehr darstellen.

Nächste Schritte