Trafficflüsse analysieren

Mit Flow Analyzer können Sie die folgenden Aufgaben ausführen:

  • Einfache Abfrage zu VPC-Flusslogs erstellen und ausführen
  • SQL-Filter (mit WHERE-Anweisung) für die Abfrage in VPC-Flussprotokollen erstellen
  • Ergebnisse mithilfe ausgewählter Felder organisieren und die Abfrageergebnisse nach Gesamttraffic und aggregierten Paketen sortieren
  • Zugriffe in ausgewählten Zeitintervallen ansehen
  • Die fünf größten Besucherströme im Zeitverlauf im Vergleich zum Rest des Traffics in einem grafischen Format ansehen
  • Ressourcen mit dem höchsten Traffic im ausgewählten Zeitraum in tabellarischer Form ansehen
  • Details zum Traffic zwischen einem bestimmten Quell- und Zielpaar in den Abfrageergebnissen ansehen
  • Mit den übrigen in VPC-Flusslogs verfügbaren Feldern eine Aufschlüsselung der Abfrageergebnisse vornehmen

Hinweise

  1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  2. VPC-Flusslogs aktivieren

Erforderliche Rollen und Berechtigungen

Da Flow Analyzer Daten im Namen des Nutzers liest, müssen Sie über ausreichende Berechtigungen zum Lesen des Buckets mit den Protokollen verfügen. Der Bucket muss außerdem für die Verwendung von Log Analytics aktualisiert werden.

  • Wenn Sie einem Nutzer erlauben möchten, Logs in den Bucket zu lesen, verwenden Sie die Seite „Log-Explorer“. Weisen Sie auf der Seite „Log Analytics“ eine der folgenden Rollen zu:

    • Wenn Sie Zugriff auf die _Default-Ansicht im _Default-Bucket gewähren möchten, weisen Sie die Rolle „Log-Betrachter“ (roles/logging.viewer) zu.
    • Wenn Sie Zugriff auf alle Logs im _Default-Log-Bucket, einschließlich Logs zum Datenzugriff, gewähren möchten, weisen Sie die Rolle „Betrachter privater Logs“ (roles/logging.privateLogViewer) zu.

    Weitere Informationen finden Sie unter Logging-Rollen.

  • Wenn ein Nutzer Logs lesen soll, die in einem benutzerdefinierten Bucket gespeichert sind, gewähren Sie ihm die Rolle „Zugriffsberechtigter für Logbetrachtung“ (roles/logging.viewAccessor). Sie können die Autorisierung auf eine bestimmte Logansicht beschränken. Weitere Informationen finden Sie unter Zugriff auf eine Logansicht steuern.

  • Alternativ können Sie eine benutzerdefinierte Rolle mit den folgenden Berechtigungen erstellen:

    • logging.buckets.get
    • logging.buckets.list
    • logging.logEntries.list
    • logging.logs.list
    • resourcemanager.projects.get

Abfrage erstellen und ausführen

So erstellen und führen Sie eine Abfrage mithilfe von einfachen Filtern aus:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Flow Analyzer auf.

    Flow Analyzer aufrufen

  2. Klicken Sie auf Quell-Bucket und gehen Sie so vor:

    1. Wählen Sie im Feld Log-Bucket den Log-Bucket mit den Flussprotokollen aus, die Sie abfragen möchten. Standardmäßig werden Ablaufprotokolle im Log-Bucket _Default gespeichert.
    2. Wählen Sie im Feld Log-Bucket-Ansicht eine Log-Ansicht aus.
    3. Optional: Wenn Sie Flussprotokolle abfragen möchten, die mit einer bestimmten VPC-Flusslogkonfiguration verknüpft sind, gehen Sie so vor:
      1. Klicken Sie das Kästchen Bestimmte Konfiguration auswählen an.
      2. Wählen Sie in der Liste Logkonfigurationen eine oder mehrere VPC-Flusslogkonfigurationen aus. Mit der Option Für Subnetzwerke konfigurierte Flusslogs werden alle Flusslogs für alle Subnetze im Log-Bucket ausgewählt.

  3. Wählen Sie im Menü Zugriffsaggregation eine der folgenden Optionen aus:

    • Quelle – Ziel: Hier wird der Traffic von der Quelle zum Ziel zusammengefasst.
    • Client – Server: Hier wird der Traffic in beide Richtungen zusammengefasst, indem die Ressourcen mit niedrigeren Portnummern und Dienstdefinitionen berücksichtigt oder GKE-Diensteigenschaften als Server verwendet werden.

    Weitere Informationen finden Sie unter Traffic-Aggregation.

  4. Legen Sie in der Auswahl für den Zeitraum den Zeitraum für die Abfrage fest. Standardmäßig beträgt der Zeitraum eine Stunde. Sie können einen voreingestellten Zeitraum auswählen, einen benutzerdefinierten Beginn und ein benutzerdefiniertes Ende angeben oder einen Zeitraum um eine bestimmte Uhrzeit auswählen.

  5. Wählen Sie in den Listen Filter einen oder mehrere Suchfilter aus. Jeder Filter entspricht einem Feld in VPC-Flusslogs. Weitere Informationen zu diesen Feldern finden Sie unter Datensatzformat. Wenn Sie keine Filter auswählen, werden im Flussanalysetool die Abfrageergebnisse für alle Aufrufe im ausgewählten Zeitraum angezeigt.

    Wenn Sie mehrere Werte für denselben Filter auswählen, wird der Operator OR verwendet. Wenn Sie in derselben Filter-Liste mehrere Filter auswählen, wird ein AND-Operator verwendet. Wenn Sie beispielsweise die beiden IP-Adresswerte 10.10.0.10 und 10.10.0.20 sowie die beiden Länderwerte usa und fra auswählen, wird die folgende Filterlogik auf die Abfrage angewendet: (IP=10.10.0.10 OR IP=10.10.0.20) AND (Country=usa OR Country=fra).

  6. Wählen Sie mithilfe der Listen Abläufe nach aus, wie die Abfrageergebnisse organisiert werden sollen, oder lassen Sie die Standardwerte unverändert.

  7. Klicken Sie auf Neue Abfrage ausführen.

    Das Diagramm Höchste Datenflüsse und die Tabelle Alle Datenflüsse werden aktualisiert.

    Im Bereich Anzeigeoptionen können Sie die Abfrageergebnisse anpassen. Weitere Informationen finden Sie unter Anzeigeoptionen. Informationen zum Auswählen benutzerdefinierter Optionen finden Sie unter Anzeigeoptionen anpassen.

SQL-Abfrage erstellen und ausführen

So erstellen und führen Sie eine Abfrage mit SQL-Filtern im Flow Analyzer aus:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Flow Analyzer auf.

    Flow Analyzer aufrufen

  2. Wählen Sie einen Log-Bucket aus. Wenn Sie den Log-Bucket _Default verwenden möchten, können Sie diesen Schritt überspringen.

  3. Verwenden Sie die Zeitraumauswahl, um den Zeitraum für die Abfrage festzulegen, oder wählen Sie Im ausgewählten Zeitraum noch einmal ausführen aus.

  4. Wählen Sie im Menü Zugriffsaggregation eine der folgenden Optionen aus:

    • Quelle – Ziel: Hier wird der Traffic von der Quelle zum Ziel zusammengefasst.
    • Client – Server: Hier wird der Traffic in beide Richtungen zusammengefasst, indem die Ressourcen mit niedrigeren Portnummern und Dienstdefinitionen als Server betrachtet werden.

    Weitere Informationen finden Sie unter Traffic-Aggregation.

  5. Klicken Sie auf SQL-Filter.

  6. Geben Sie die SQL-Filterabfrage in BigQuery-SQL-Syntax ein.

  7. Informationen zur Syntax und zu Beispielen für Filterausdrücke finden Sie unter Syntax und Beispiele für Filterausdrücke.

  8. Organisieren Sie den Ablauf mithilfe der Felder. Wählen Sie ein Feld aus, um die Details des Traffic-Flows zu organisieren.

  9. Klicken Sie auf Neue Abfrage ausführen.

    Das Diagramm Höchste Datenflüsse und die Tabelle Alle Datenflüsse werden aktualisiert.

    Im Bereich Anzeigeoptionen können Sie die Abfrageergebnisse anpassen. Weitere Informationen finden Sie unter Anzeigeoptionen. Informationen zum Auswählen benutzerdefinierter Optionen finden Sie unter Anzeigeoptionen anpassen.

Anzeigeoptionen anpassen

Wenn Sie bestimmte Details zu den Traffic-Flüssen sehen möchten, können Sie die Anzeigeoptionen anpassen. Weitere Informationen zu den verschiedenen Anzeigeoptionen finden Sie unter Anzeigeoptionen.

Console
  1. Erstellen Sie die Abfrage.
    1. Wählen Sie einen Log-Bucket aus. Wenn Sie den Log-Bucket _Default verwenden möchten, können Sie diesen Schritt überspringen.
    2. Verwenden Sie die Zeitraumauswahl, um den Zeitraum für die Abfrage festzulegen, oder wählen Sie Im ausgewählten Zeitraum noch einmal ausführen aus.
    3. Wählen Sie die Filter aus.
    4. Wählen Sie die Felder aus, nach denen die Ergebnisse sortiert werden sollen.
  2. Führe die Abfrage aus.
  3. Wählen Sie den Messwerttyp aus: Gesendete Bytes oder Gesendete Pakete.

  4. Wählen Sie eine Option für die Messwertaggregation aus.

    Wenn Sie Gesendete Bytes als Messwert auswählen, haben Sie folgende Möglichkeiten:

    1. Traffic insgesamt: Der Traffic insgesamt für den ausgewählten Zeitraum. Standardmäßig aktiviert.
    2. Durchschnittliche Zugriffsrate: Die durchschnittliche Zugriffsrate für den ausgewählten Zeitraum. Wird nur für die Ausrichtungszeiträume berechnet, in denen der Traffic beobachtet wurde.
    3. Median-Traffic-Rate: Die Median-Traffic-Rate für den ausgewählten Zeitraum. Wird nur für die Ausrichtungszeiträume berechnet, in denen der Traffic beobachtet wurde.
    4. P95-Traffic-Rate: Die Traffic-Rate des 95. Perzentils für den ausgewählten Zeitraum. Wird nur für die Ausrichtungszeiträume berechnet, in denen der Traffic beobachtet wurde.
    5. Maximale Traffic-Rate: Die maximale Traffic-Rate für den ausgewählten Zeitraum.

    Wenn Sie Gesendete Pakete als Messwert auswählen, haben Sie folgende Möglichkeiten:

    1. Gesamtzahl der Pakete: Die Gesamtzahl der Pakete für den ausgewählten Zeitraum. Standardmäßig aktiviert.
    2. Durchschnittliche Paketrate: Die durchschnittliche Paketrate für den ausgewählten Zeitraum. Wird nur für die Ausrichtungszeiträume berechnet, in denen der Traffic beobachtet wurde.
    3. Median-Paketsenderate: Die Median-Paketsenderate für den ausgewählten Zeitraum. Wird nur für die Ausrichtungszeiträume berechnet, in denen der Traffic beobachtet wurde.
    4. P95-Paketsenderate: Die Paketrate des 95. Perzentils für den ausgewählten Zeitraum. Wird nur für die Ausrichtungszeiträume berechnet, in denen der Traffic beobachtet wurde.
    5. Maximale Paketrate: Die maximale Paketrate für den ausgewählten Zeitraum.

    Weitere Informationen zu den verschiedenen Optionen für die Messwertaggregation finden Sie unter Messwertaggregationen.

  5. Wählen Sie den Ausrichtungszeitraum aus. Weitere Informationen zum Ausrichtungszeitraum finden Sie unter Ausrichtungszeitraum.

  6. Wählen Sie einen Stichprobenpunkt aus.

    • Quellendpunkt: Die Anzahl der gesendeten Byte oder Pakete, die am Quellendpunkt eines Flusses erfasst wurden.
    • Zielendpunkt: Die Anzahl der gesendeten Bytes oder Pakete, die am Zielendpunkt eines Flusses erfasst wurden.
    • Summe von Quell- und Zielendpunkt: Die Summe der gesendeten Bytes oder Pakete, wie von beiden Endpunkten eines Flusses angegeben.
    • Durchschnitt von Quell- und Zielendpunkt: Durchschnitt der gesendeten Bytes oder Pakete, wie von beiden Endpunkten eines Flusses gemeldet, sofern sowohl Quell- als auch Zieldetails in VPC-Flusslogs verfügbar sind.

    Weitere Informationen finden Sie unter Stichprobenpunkt.

Ablaufdetails ansehen

So rufen Sie Ablaufdetails für einen ausgewählten Ablauf in der Tabelle „Datenflüsse“ auf:

Console
  1. Erstellen Sie die Abfrage.
    1. Wählen Sie einen Log-Bucket aus. Wenn Sie den Log-Bucket _Default verwenden möchten, können Sie diesen Schritt überspringen.
    2. Verwenden Sie die Zeitraumauswahl, um den Zeitraum für die Abfrage festzulegen, oder wählen Sie Im ausgewählten Zeitraum noch einmal ausführen aus.
    3. Wählen Sie die Filter aus.
    4. Wählen Sie die Felder aus, nach denen die Ergebnisse sortiert werden sollen.
  2. Führe die Abfrage aus.
  3. Klicken Sie in der Tabelle Alle Datenflüsse bei einem beliebigen Datenfluss auf Details. Auf der Seite Details zum Traffic werden alle Ressourcen angezeigt, die den ausgewählten Filtern entsprechen, sowie der Traffic dieser Ressourcen.

Trafficflüsse aufschlüsseln

Sie können den Traffic der ausgewählten Ressourcen weiter eingrenzen. Mit Flow Analyzer können Sie die Abfrageergebnisse mithilfe der übrigen Felder in VPC-Flusslogs aufschlüsseln. Weitere Informationen finden Sie unter Ablaufdetails ansehen.

So können Sie Trafficflüsse mithilfe weiterer Felder aufschlüsseln:

Console
  1. Erstellen Sie die Abfrage.
    1. Wählen Sie einen Log-Bucket aus. Wenn Sie den Log-Bucket _Default verwenden möchten, können Sie diesen Schritt überspringen.
    2. Verwenden Sie die Zeitraumauswahl, um den Zeitraum für die Abfrage festzulegen, oder wählen Sie Im ausgewählten Zeitraum noch einmal ausführen aus.
    3. Wählen Sie die Filter aus.
    4. Wählen Sie die Felder aus, nach denen die Ergebnisse sortiert werden sollen.
  2. Führe die Abfrage aus.

  3. Klicken Sie in der Tabelle Alle Datenflüsse bei einem beliebigen Datenfluss auf Details.

    Auf der Seite Details zum Traffic werden alle Ressourcen angezeigt, die den ausgewählten Filtern entsprechen, sowie der Traffic dieser Ressourcen.

  4. Wählen Sie in der Liste Aufschlüsseln nach ein Feld aus, um eine Aufschlüsselung durchzuführen.

  5. Wenn Sie die Zugriffe mit früheren Daten vergleichen möchten, klicken Sie auf die Ein/Aus-Schaltfläche Mit früheren Daten vergleichen. Mit dieser Funktion können Sie sich sechs Linien ansehen: drei durchgezogene Linien für die drei größten Besucherströme aus dem Drilldown und drei gestrichelte Linien in den entsprechenden Farben, die den bisherigen Traffic darstellen.

Nächste Schritte