Analyser vos flux de trafic

Flow Analyzer vous permet d'effectuer les tâches suivantes:

  • Créer et exécuter une requête simple sur les journaux de flux VPC
  • Créer un filtre SQL (à l'aide d'une instruction WHERE) pour la requête sur les journaux de flux VPC
  • Organisez les résultats à l'aide des champs sélectionnés et triez les résultats de la requête en fonction du trafic total et des paquets agrégés.
  • Afficher le trafic à des intervalles de temps choisis
  • afficher les cinq principaux flux de trafic au fil du temps dans un format graphique, par rapport au reste du trafic ;
  • Affichez sous forme de tableau les ressources ayant enregistré le plus de trafic sur la période sélectionnée
  • afficher les détails du trafic entre une paire source/destination spécifique à partir des résultats de la requête ;
  • Affichez le détail des résultats de la requête à l'aide des champs restants disponibles dans les journaux de flux VPC

Avant de commencer

  1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  2. Activez les journaux de flux VPC lorsque vous créez un sous-réseau ou activez les journaux de flux VPC pour un sous-réseau existant.

Rôles et autorisations requis

Étant donné que Flow Analyzer lit les données pour le compte de l'utilisateur, assurez-vous que vous disposez des autorisations nécessaires pour lire le bucket contenant les journaux. Le bucket doit également être mis à niveau pour utiliser l'Analyse de journaux.

  • Pour permettre à un utilisateur de lire des journaux dans les buckets, utilisez la page "Explorateur de journaux". Utilisez la page "Analyse de journaux" pour attribuer l'un des rôles suivants:

    • Pour accéder à la vue _Default du bucket _Default, accordez le rôle Lecteur de journaux (roles/logging.viewer).
    • Pour accéder à tous les journaux du bucket de journaux _Default, y compris aux journaux d'accès aux données, accordez le rôle Lecteur des journaux privés (roles/logging.privateLogViewer).

    Pour en savoir plus, consultez la page Rôles Logging.

  • Pour permettre à un utilisateur de lire les journaux stockés dans un bucket défini par l'utilisateur, accordez le rôle Accesseur de vue de journaux (roles/logging.viewAccessor). Vous pouvez limiter l'autorisation à une vue de journal spécifique. Pour en savoir plus, consultez la section Contrôler l'accès à une vue de journal.

  • Vous pouvez également créer un rôle personnalisé qui accorde les autorisations suivantes:

    • logging.buckets.get
    • logging.buckets.list
    • logging.logEntries.list
    • logging.logs.list
    • resourcemanager.projects.get

Créer et exécuter la requête

Pour créer et exécuter la requête, procédez comme suit:

Console

  1. Dans la console Google Cloud, accédez à la page Flow Analyzer.

    Accéder à Flow Analyzer

  2. Sélectionnez un bucket de journaux. Si vous prévoyez d'utiliser le bucket de journaux _Default, vous pouvez ignorer cette étape.

  3. Dans le menu Agrégation du trafic, sélectionnez l'une des options suivantes:

    • Source – Destination: agrégez le trafic depuis la source vers la destination.
    • Client - Serveur: agrégez le trafic dans les deux sens en prenant en compte les ressources ayant les numéros de port et les définitions de service les moins élevés, ou en ayant des propriétés de service GKE en tant que serveurs.

    Pour en savoir plus, consultez la section Agrégation du trafic.

  4. Pour définir la période de votre requête, utilisez le sélecteur de période. La période par défaut est d'une heure, mais vous pouvez faire votre choix parmi les options de temps prédéfinies. Vous pouvez spécifier une heure de début et de fin personnalisée, ou choisir une période autour d'une heure spécifique.

  5. Cliquez sur Exécuter de nouveau la période sélectionnée dans le graphique.

  6. Dans les champs "Source" et "Destination", ou "Client et serveur", sélectionnez un champ dans la liste.

  7. Ajoutez une ou plusieurs expressions de filtre pour filtrer les flux qui correspondent aux paires clé/valeur sélectionnées en utilisant la clé comme champ sélectionné.

    Si vous sélectionnez plusieurs filtres pour le même champ, un opérateur OR est utilisé. Si vous sélectionnez des filtres pour différents champs, un opérateur AND est utilisé. Par exemple, si vous sélectionnez deux valeurs d'adresse IP : 1.2.3.4 et 10.20.10.30, et deux valeurs Country, US et France, la logique de filtre suivante est appliquée à la requête :

    (IP=1.2.3.4 OU IP=10.20.10.30) AND (Pays=US OU Pays=France)

  8. Organisez le flux à l'aide des champs. Sélectionnez un champ pour organiser les détails du flux.

  9. Cliquez sur Exécuter une nouvelle requête.

    Le graphique Flux de données les plus élevés et la table Tous les flux de données sont mis à jour.

  10. Utilisez les options d'affichage pour personnaliser les résultats de la requête. Pour en savoir plus sur les différentes options d'affichage disponibles, consultez la section Options d'affichage. Pour sélectionner des options personnalisées, consultez la section Personnaliser les options d'affichage.

  11. Lorsque vous avez terminé de modifier les options d'affichage, cliquez sur OK.

  12. Cliquez sur Relancer pour exécuter à nouveau la requête avec les options d'affichage sélectionnées.

Créer et exécuter une requête SQL

Pour créer et exécuter une requête dans Flow Analyzer à l'aide des options de filtre SQL, procédez comme suit:

  1. Dans la console Google Cloud, accédez à la page Flow Analyzer.

    Accéder à Flow Analyzer

  2. Sélectionnez un bucket de journaux. Si vous prévoyez d'utiliser le bucket de journaux _Default, vous pouvez ignorer cette étape.

  3. Pour définir la période de votre requête, utilisez le sélecteur de période ou sélectionnez Relancer la période sélectionnée.

  4. Dans le menu Agrégation du trafic, sélectionnez l'une des options suivantes:

    • Source – Destination: regroupez le trafic entre la source et la destination.

    • Client - Serveur: agrégez le trafic dans les deux sens en considérant les ressources ayant les numéros de ports les moins élevés et les définitions de service les moins élevées comme des serveurs.

      Pour en savoir plus, consultez la section Agrégation du trafic.

  5. Cliquez sur Filtres SQL.

  6. Saisissez la requête de filtre SQL à l'aide de la syntaxe SQL BigQuery.

  7. Pour afficher la syntaxe d'expression de filtre et des exemples, cliquez sur Syntaxe et exemples d'expressions de filtre.

  8. Organisez le flux à l'aide des champs. Sélectionnez un champ pour organiser les détails du flux.

  9. Cliquez sur Exécuter une nouvelle requête.

    Le graphique Flux de données les plus élevés et la table Tous les flux de données sont mis à jour.

  10. Utilisez les options d'affichage pour personnaliser les résultats de la requête. Pour en savoir plus sur les différentes options d'affichage disponibles, consultez la section Options d'affichage. Pour sélectionner des options personnalisées, consultez Personnaliser les options d'affichage.

  11. Lorsque vous avez terminé de modifier les options d'affichage, cliquez sur OK.

  12. Pour exécuter à nouveau la requête avec les options d'affichage sélectionnées, cliquez sur Relancer.

Personnaliser les options d'affichage

Pour afficher des détails spécifiques sur les flux de trafic, vous pouvez personnaliser les options d'affichage. Pour en savoir plus sur les différentes options d'affichage disponibles, consultez la section Options d'affichage.

Console

  1. Créez la requête.
    1. Sélectionnez un bucket de journaux. Si vous prévoyez d'utiliser le bucket de journaux _Default, vous pouvez ignorer cette étape.
    2. Pour définir la période de votre requête, utilisez le sélecteur de période ou sélectionnez Relancer la période sélectionnée.
    3. Sélectionnez les filtres.
    4. Sélectionnez les champs pour organiser les résultats.
  2. Exécutez la requête.
  3. Sélectionnez le type de métrique: Bytes sent (Octets envoyés) ou Packets sent (Paquets envoyés).

  4. Sélectionnez une option d'agrégation de métriques.

    Si vous sélectionnez Bytes sent (Octets envoyés) comme métrique, choisissez l'une des options suivantes:

    1. Trafic total: trafic total pour la période choisie. Cette option est activée par défaut.
    2. Taux de trafic moyen: taux de trafic moyen pour la période choisie. Calculé uniquement pour les périodes d'alignement pendant lesquelles le trafic a été observé.
    3. Taux de trafic médian: taux de trafic médian pour la période choisie. Calculé uniquement pour les périodes d'alignement pendant lesquelles le trafic a été observé.
    4. Taux de trafic au 95e centile: taux de trafic au 95e centile pour la période choisie. Elle est calculée uniquement pour les périodes d'alignement pendant lesquelles le trafic a été observé.
    5. Maximum traffic rate (Taux de trafic maximal) : taux de trafic maximal pour la période choisie

    Si vous sélectionnez Packets sent (Paquets envoyés) comme métrique, choisissez l'une des options suivantes:

    1. Paquets agrégés: le nombre total de paquets pour la période choisie. Cette option est activée par défaut.
    2. Débit moyen de paquets: débit moyen de paquets pour la période choisie. Calculé uniquement pour les périodes d'alignement pendant lesquelles le trafic a été observé.
    3. Débit médian de paquets: débit médian de paquets pour la période choisie. Calculé uniquement pour les périodes d'alignement pendant lesquelles le trafic a été observé.
    4. Taux de paquets au 95e centile: débit de paquets au 95e centile pour la période choisie. Elle est calculée uniquement pour les périodes d'alignement pendant lesquelles le trafic a été observé.
    5. Débit maximal de paquets: débit maximal de paquets pour la période choisie.

    Pour en savoir plus sur les différentes options d'agrégation de métriques, consultez la section Agrégations de métriques.

  5. Sélectionnez la Durée de l'alignement. Pour en savoir plus sur la durée de l'alignement, consultez la section Durée de l'alignement.

  6. Choisissez un point d'échantillonnage.

    • Point de terminaison source: nombre d'octets envoyés ou de paquets envoyés, tel qu'indiqué au point de terminaison source d'un flux.
    • Point de terminaison de destination: nombre d'octets envoyés ou de paquets envoyés, tel qu'indiqué au point de terminaison de destination d'un flux.
    • Somme du point de terminaison source et de destination: somme des octets envoyés ou des paquets envoyés, telle que signalée par les deux points de terminaison d'un flux.
    • Moyenne du point de terminaison source et de destination: moyenne des octets envoyés ou des paquets envoyés tel qu'indiqué par les deux points de terminaison d'un flux si les informations sur la source et la destination sont disponibles dans les journaux de flux VPC.

    Pour en savoir plus, consultez la section Point d'échantillonnage.

Afficher les détails du flux

Pour afficher les détails d'un flux sélectionné dans la table des flux de données, procédez comme suit:

Console

  1. Créez la requête.
    1. Sélectionnez un bucket de journaux. Si vous prévoyez d'utiliser le bucket de journaux _Default, vous pouvez ignorer cette étape.
    2. Pour définir la période de votre requête, utilisez le sélecteur de période ou sélectionnez Relancer la période sélectionnée.
    3. Sélectionnez les filtres.
    4. Sélectionnez les champs pour organiser les résultats.
  2. Exécutez la requête.

  3. Dans la table Tous les flux de données, cliquez sur Afficher les détails pour le flux de votre choix.

    La page Détails du flux qui s'affiche indique toutes les ressources correspondant aux filtres sélectionnés et le trafic de ces ressources.

Afficher le détail des flux de trafic

Vous pouvez affiner davantage le trafic des ressources sélectionnées. Flow Analyzer vous permet d'afficher le détail des résultats de la requête en utilisant les champs restants disponibles dans les journaux de flux VPC. Pour en savoir plus, consultez la section Détails du flux de répartition ou d'analyse détaillée.

Pour afficher le détail des flux de trafic à l'aide d'autres champs, procédez comme suit:

Console

  1. Créez la requête.
    1. Sélectionnez un bucket de journaux. Si vous prévoyez d'utiliser le bucket de journaux _Default, vous pouvez ignorer cette étape.
    2. Pour définir la période de votre requête, utilisez le sélecteur de période ou sélectionnez Relancer la période sélectionnée.
    3. Sélectionnez les filtres.
    4. Sélectionnez les champs pour organiser les résultats.
  2. Exécutez la requête.

  3. Dans la table Tous les flux de données, cliquez sur Afficher les détails pour le flux de votre choix.

    La page Détails du flux qui s'affiche indique toutes les ressources correspondant aux filtres sélectionnés, ainsi que le trafic de ces ressources.

  4. Dans la liste Afficher le détail par, sélectionnez un champ pour afficher le détail.

  5. Pour effectuer une comparaison avec le trafic passé, cliquez sur le bouton Comparer à une période antérieure. Cette fonctionnalité vous permet d'afficher six lignes: trois lignes continues pour les trois flux de trafic principaux à partir de la vue détaillée et trois lignes en pointillés aux couleurs correspondantes représentant le trafic passé.

Étapes suivantes