Zugriffsflüsse analysieren

Mit dem Flow Analyzer können Sie die folgenden Aufgaben ausführen:

  • Einfache Abfrage zu VPC-Flusslogs erstellen und ausführen
  • SQL-Filter (mit einer WHERE-Anweisung) für die Abfrage von VPC-Flusslogs erstellen
  • Ordnen Sie die Ergebnisse mithilfe ausgewählter Felder und sortieren Sie die Abfrageergebnisse anhand des Gesamttraffics und der aggregierten Pakete.
  • Traffic zu ausgewählten Zeitintervallen ansehen
  • Sehen Sie sich die fünf wichtigsten Traffic-Datenflüsse im Zeitverlauf im Vergleich zum Rest des Traffics in einer grafischen Darstellung an.
  • Sehen Sie sich die Ressourcen mit dem höchsten Traffic, aggregiert über die ausgewählte Dauer, in einem Tabellenformat an.
  • Sehen Sie sich die Details des Traffics zwischen einem bestimmten Paar aus Quelle und Ziel in den Abfrageergebnissen an.
  • Schlüsseln Sie die Abfrageergebnisse mithilfe der verbleibenden Felder auf, die in VPC-Flusslogs verfügbar sind.

Hinweise

  1. Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

    Zur Projektauswahl

  2. Aktivieren Sie VPC-Flusslogs beim Erstellen eines Subnetzes oder aktivieren Sie VPC-Flusslogs für ein vorhandenes Subnetz.

Erforderliche Rollen und Berechtigungen

Da Flow Analyzer Daten im Namen des Nutzers liest, sollten Sie dafür sorgen, dass Sie ausreichende Berechtigungen zum Lesen des Buckets mit den Logs haben. Außerdem muss der Bucket aktualisiert werden, um Loganalysen verwenden zu können.

  • Verwenden Sie die Seite „Log-Explorer“, um einem Nutzer das Lesen von Logs in den Buckets zu ermöglichen. Auf der Seite „Loganalysen“ können Sie eine der folgenden Rollen zuweisen:

    • Weisen Sie für den Zugriff auf die Ansicht _Default im Bucket _Default die Rolle „Loganzeige“ (roles/logging.viewer) zu.
    • Erteilen Sie die Rolle „Betrachter privater Logs“ (roles/logging.privateLogViewer), um auf alle Logs im Log-Bucket _Default, einschließlich Datenzugriffslogs, zuzugreifen.

    Weitere Informationen finden Sie unter Logging-Rollen.

  • Damit ein Nutzer Logs lesen kann, die in einem benutzerdefinierten Bucket gespeichert sind, müssen Sie die Rolle „Zugriffsfunktion für Logansicht“ (roles/logging.viewAccessor) zuweisen. Sie können die Autorisierung auf eine bestimmte Logansicht beschränken. Weitere Informationen finden Sie unter Zugriff auf eine Logansicht steuern.

  • Alternativ können Sie eine benutzerdefinierte Rolle erstellen, die die folgenden Berechtigungen gewährt:

    • logging.buckets.get
    • logging.buckets.list
    • logging.logEntries.list
    • logging.logs.list
    • resourcemanager.projects.get

Abfrage erstellen und ausführen

So erstellen Sie die Abfrage und führen sie aus:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Flow Analyzer auf.

    Zum Flow Analyzer

  2. Wählen Sie einen Log-Bucket aus. Wenn Sie den Log-Bucket _Default verwenden möchten, können Sie diesen Schritt überspringen.

  3. Wählen Sie im Menü Traffic-Aggregation eine der folgenden Optionen aus:

    • Quelle – Ziel: Aggregiert den Traffic von der Quelle zum Ziel.
    • Client – Server: Aggregieren Sie den Traffic in beide Richtungen. Dabei werden die Ressourcen mit niedrigeren Portnummern und Dienstdefinitionen berücksichtigt oder GKE-Dienstattribute als Server verwendet.

    Weitere Informationen finden Sie unter Traffic-Aggregation.

  4. Über die Zeitraumauswahl können Sie den Zeitraum der Abfrage festlegen. Der Standardzeitraum beträgt eine Stunde, aber Sie können aus den voreingestellten Zeitoptionen auswählen. Sie können eine benutzerdefinierte Start- und Endzeit angeben oder den Zeitraum um eine bestimmte Zeit herum auswählen.

  5. Klicken Sie im Diagramm auf Im ausgewählten Zeitraum noch einmal ausführen.

  6. Wählen Sie in den Feldern für die Quelle und das Ziel oder für den Client und Server ein Feld aus der Liste aus.

  7. Fügen Sie einen oder mehrere Filterausdrücke hinzu, um Abläufe zu filtern, die den ausgewählten Schlüssel/Wert-Paaren entsprechen. Verwenden Sie dabei den Schlüssel als ausgewähltes Feld.

    Wenn Sie mehrere Filter für dasselbe Feld auswählen, wird der Operator OR verwendet. Wenn Sie Filter für verschiedene Felder auswählen, wird der Operator AND verwendet. Wenn Sie beispielsweise zwei IP-Adresswerte (1.2.3.4 und 10.20.10.30) und zwei Country-Werte (US und France) auswählen, wird die folgende Filterlogik auf die Abfrage angewendet:

    (IP=1.2.3.4 ODER IP=10.20.10.30) AND (Land=US ODER Land=France)

  8. Den Ablauf mithilfe von Feldern organisieren. Wählen Sie ein Feld aus, um die Ablaufdetails zu organisieren.

  9. Klicken Sie auf Neue Abfrage ausführen.

    Das Diagramm Höchste Datenflüsse und die Tabelle Alle Datenflüsse wurden aktualisiert.

  10. Passen Sie die Abfrageergebnisse mithilfe der Anzeigeoptionen an. Weitere Informationen zu den verschiedenen verfügbaren Anzeigeoptionen finden Sie unter Anzeigeoptionen. Informationen zur Auswahl benutzerdefinierter Optionen finden Sie unter Anzeigeoptionen anpassen.

  11. Wenn Sie mit den Änderungen an den Anzeigeoptionen fertig sind, klicken Sie auf OK.

  12. Klicken Sie auf Noch einmal ausführen, um die Abfrage mit den ausgewählten Anzeigeoptionen noch einmal auszuführen.

SQL-Abfrage erstellen und ausführen

So erstellen Sie eine Abfrage in Flow Analyzer mit SQL-Filteroptionen und führen sie aus:

  1. Rufen Sie in der Google Cloud Console die Seite Flow Analyzer auf.

    Zum Flow Analyzer

  2. Wählen Sie einen Log-Bucket aus. Wenn Sie den Log-Bucket _Default verwenden möchten, können Sie diesen Schritt überspringen.

  3. Verwenden Sie die Zeitraumauswahl oder wählen Sie Ausgewählten Zeitraum noch einmal ausführen aus, um den Zeitraum der Abfrage festzulegen.

  4. Wählen Sie im Menü Traffic-Aggregation eine der folgenden Optionen aus:

    • Quelle – Ziel: Aggregiert den Traffic von der Quelle zum Ziel.

    • Client – Server: Aggregieren Sie den Traffic in beide Richtungen, indem Sie die Ressourcen mit niedrigeren Portnummern und Dienstdefinitionen als Server betrachten.

      Weitere Informationen finden Sie unter Traffic-Aggregation.

  5. Klicken Sie auf SQL-Filter.

  6. Geben Sie die SQL-Filterabfrage unter Verwendung der BigQuery-SQL-Syntax ein.

  7. Klicken Sie auf Syntax und Beispiele für Filterausdrücke, um die Syntax und Beispiele für Filterausdrücke zu sehen.

  8. Den Ablauf mithilfe von Feldern organisieren. Wählen Sie ein Feld aus, um die Ablaufdetails zu organisieren.

  9. Klicken Sie auf Neue Abfrage ausführen.

    Das Diagramm Höchste Datenflüsse und die Tabelle Alle Datenflüsse werden aktualisiert.

  10. Passen Sie die Abfrageergebnisse mithilfe der Anzeigeoptionen an. Weitere Informationen zu den verschiedenen verfügbaren Anzeigeoptionen finden Sie unter Anzeigeoptionen. Informationen zur Auswahl benutzerdefinierter Optionen finden Sie unter Anzeigeoptionen anpassen.

  11. Wenn Sie mit den Änderungen an den Anzeigeoptionen fertig sind, klicken Sie auf OK.

  12. Klicken Sie auf Noch einmal ausführen, um die Abfrage mit den ausgewählten Anzeigeoptionen noch einmal auszuführen.

Anzeigeoptionen anpassen

Sie können die Anzeigeoptionen anpassen, um bestimmte Details zu Trafficflüssen zu sehen. Weitere Informationen zu den verschiedenen verfügbaren Anzeigeoptionen finden Sie unter Anzeigeoptionen.

Console

  1. Erstellen Sie die Abfrage.
    1. Wählen Sie einen Log-Bucket aus. Wenn Sie den Log-Bucket _Default verwenden möchten, können Sie diesen Schritt überspringen.
    2. Verwenden Sie die Zeitraumauswahl oder wählen Sie Ausgewählten Zeitraum noch einmal ausführen aus, um den Zeitraum der Abfrage festzulegen.
    3. Wählen Sie die gewünschten Filter aus.
    4. Wählen Sie die Felder aus, um die Ergebnisse zu organisieren.
  2. Führen Sie die Abfrage aus.
  3. Wählen Sie den Messwerttyp aus: Gesendete Byte oder Gesendete Pakete.

  4. Wählen Sie eine Option zur Messwertaggregation aus.

    Wenn Sie Gesendete Byte als Messwert auswählen, wählen Sie eine der folgenden Optionen aus:

    1. Traffic insgesamt: Die Gesamtzahl der Zugriffe für den ausgewählten Zeitraum. Standardmäßig aktiviert.
    2. Durchschnittliche Traffic-Rate: Die durchschnittliche Traffic-Rate für den ausgewählten Zeitraum. Wird nur für die Ausrichtungszeiträume berechnet, in denen der Traffic beobachtet wurde.
    3. Medianwert für den Traffic: Der Medianwert für die Traffic-Rate für den ausgewählten Zeitraum. Wird nur für die Ausrichtungszeiträume berechnet, in denen der Traffic beobachtet wurde.
    4. P95-Traffic-Rate: Die Traffic-Rate des 95. Perzentils für den ausgewählten Zeitraum. Wird nur für die Ausrichtungszeiträume berechnet, in denen der Traffic beobachtet wurde.
    5. Maximale Traffic-Rate: Die maximale Traffic-Rate für den ausgewählten Zeitraum.

    Wenn Sie Gesendete Pakete als Messwert auswählen, wählen Sie eine der folgenden Optionen aus:

    1. Aggregierte Pakete: Die aggregierte Anzahl von Paketen für den ausgewählten Zeitraum. Standardmäßig aktiviert.
    2. Durchschnittliche Paketrate: die durchschnittliche Paketrate für den ausgewählten Zeitraum. Wird nur für die Ausrichtungszeiträume berechnet, in denen der Traffic beobachtet wurde.
    3. Medianpaketrate: Die Medianpaketrate für den ausgewählten Zeitraum. Wird nur für die Ausrichtungszeiträume berechnet, in denen der Traffic beobachtet wurde.
    4. P95-Paketrate: die Paketrate des 95. Perzentils für den ausgewählten Zeitraum. Wird nur für die Ausrichtungszeiträume berechnet, in denen der Traffic beobachtet wurde.
    5. Maximale Paketrate: Die maximale Paketrate für den ausgewählten Zeitraum.

    Weitere Informationen zu den verschiedenen Optionen für die Messwertaggregation finden Sie unter Messwertaggregationen.

  5. Wählen Sie den Ausrichtungszeitraum aus. Weitere Informationen zum Ausrichtungszeitraum finden Sie unter Ausrichtungszeitraum.

  6. Wählen Sie einen Stichprobenpunkt aus.

    • Quellendpunkt: die Anzahl der gesendeten Byte oder Pakete, die am Quellendpunkt eines Datenflusses gemeldet wurden.
    • Zielendpunkt: die Anzahl der gesendeten Byte oder Pakete, die am Zielendpunkt eines Datenflusses gemeldet wurden.
    • Summe von Quell- und Zielendpunkt: Die Summe der gesendeten Byte oder gesendeten Pakete, wie von beiden Endpunkten eines Datenflusses gemeldet.
    • Durchschnitt des Quell- und Zielendpunkts: ein Durchschnitt der gesendeten Byte oder Pakete, die von beiden Endpunkten eines Datenflusses gemeldet wurden, wenn sowohl Quell- als auch Zieldetails in VPC-Flusslogs verfügbar sind.

    Weitere Informationen finden Sie unter Stichprobenpunkt.

Ablaufdetails ansehen

So rufen Sie die Ablaufdetails für einen ausgewählten Ablauf in der Datenflusstabelle auf:

Console

  1. Erstellen Sie die Abfrage.
    1. Wählen Sie einen Log-Bucket aus. Wenn Sie den Log-Bucket _Default verwenden möchten, können Sie diesen Schritt überspringen.
    2. Verwenden Sie die Zeitraumauswahl oder wählen Sie Ausgewählten Zeitraum noch einmal ausführen aus, um den Zeitraum der Abfrage festzulegen.
    3. Wählen Sie die gewünschten Filter aus.
    4. Wählen Sie die Felder aus, um die Ergebnisse zu organisieren.
  2. Führen Sie die Abfrage aus.

  3. Klicken Sie in der Tabelle Alle Datenflüsse für einen beliebigen Ablauf auf Details anzeigen.

    Auf der Seite Ablaufdetails werden alle Ressourcen, die den ausgewählten Filtern entsprechen, sowie der Traffic dieser Ressourcen angezeigt.

Trafficflüsse aufschlüsseln

Sie können den Traffic der ausgewählten Ressourcen weiter optimieren. Mit der Flussanalyse können Sie die Abfrageergebnisse mithilfe der verbleibenden Felder, die in VPC-Flusslogs verfügbar sind, aufschlüsseln. Weitere Informationen finden Sie unter Ablaufdetails aufschlüsseln.

So schlüsseln Sie Trafficflüsse mithilfe von mehr Feldern auf:

Console

  1. Erstellen Sie die Abfrage.
    1. Wählen Sie einen Log-Bucket aus. Wenn Sie den Log-Bucket _Default verwenden möchten, können Sie diesen Schritt überspringen.
    2. Verwenden Sie die Zeitraumauswahl oder wählen Sie Ausgewählten Zeitraum noch einmal ausführen aus, um den Zeitraum der Abfrage festzulegen.
    3. Wählen Sie die gewünschten Filter aus.
    4. Wählen Sie die Felder aus, um die Ergebnisse zu organisieren.
  2. Führen Sie die Abfrage aus.

  3. Klicken Sie in der Tabelle Alle Datenflüsse für einen beliebigen Ablauf auf Details anzeigen.

    Auf der Seite Ablaufdetails werden alle Ressourcen, die den ausgewählten Filtern entsprechen, und der Traffic dieser Ressourcen angezeigt.

  4. Wählen Sie in der Liste Aufschlüsseln nach ein Feld aus, um die Daten aufzuschlüsseln.

  5. Wenn Sie sie mit früheren Zugriffen vergleichen möchten, klicken Sie auf die Ein/Aus-Schaltfläche Mit bisherigen Daten vergleichen. Mit dieser Funktion können Sie sechs Linien anzeigen: drei durchgezogene Linien für die drei wichtigsten Verkehrsflüsse aus der Aufschlüsselung und drei gestrichelte Linien in entsprechenden Farben, die den bisherigen Traffic darstellen.

Nächste Schritte