Analyser vos flux de trafic

À l'aide de l'analyseur de flux, vous pouvez effectuer les tâches suivantes:

  • Créer et exécuter une requête simple sur des journaux de flux VPC
  • Créer un filtre SQL (à l'aide d'une instruction WHERE) pour la requête sur les journaux de flux VPC
  • Organiser les résultats à l'aide des champs sélectionnés, et trier les résultats de la requête à l'aide du trafic total et des paquets agrégés
  • Afficher le trafic à des intervalles de temps choisis
  • Affichez les cinq meilleurs flux de trafic au fil du temps sous forme graphique, par rapport au reste du trafic
  • Afficher sous forme de tableau les ressources générant le trafic le plus élevé pour la durée sélectionnée
  • Afficher les détails du trafic entre une paire source/destination spécifique à partir des résultats de la requête
  • afficher le détail des résultats de la requête à l'aide des champs restants disponibles dans les journaux

Avant de commencer

  1. Dans Google Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.

    Accéder au sélecteur de projet

  2. Activez les journaux de flux VPC lorsque vous créez un sous-réseau ou activez les journaux de flux VPC pour un sous-réseau existant.

Rôles et autorisations requis

Étant donné que l'analyseur de flux lit les données pour le compte de l'utilisateur, assurez-vous de disposer des autorisations suffisantes pour lire le bucket contenant les journaux. Le bucket doit également être mis à niveau pour utiliser l'Analyse de journaux.

  • Pour autoriser un utilisateur à lire des journaux dans les buckets, accédez à la page "Explorateur de journaux". Utilisez la page "Analyse de journaux" pour attribuer l'un des rôles suivants:

    • Pour accéder à la vue _Default du bucket _Default, accordez le rôle Lecteur de journaux (roles/logging.viewer).
    • Pour accéder à tous les journaux du bucket de journaux _Default, y compris les journaux d'accès aux données, accordez le rôle Lecteur de journaux privés (roles/logging.privateLogViewer).

    Pour en savoir plus, consultez la section Rôles Logging.

  • Pour permettre à un utilisateur de lire les journaux stockés dans un bucket défini par l'utilisateur, attribuez-lui le rôle "Accesseur de vue des journaux" (roles/logging.viewAccessor). Vous pouvez limiter l'autorisation à une vue de journal spécifique. Pour en savoir plus, consultez la section Contrôler l'accès à une vue de journal.

  • Vous pouvez également créer un rôle personnalisé qui accorde les autorisations suivantes:

    • logging.buckets.get
    • logging.buckets.list
    • logging.logEntries.list
    • logging.logs.list
    • resourcemanager.projects.get

Créer et exécuter la requête

Pour créer et exécuter la requête, procédez comme suit:

Console

  1. Dans la console Google Cloud, accédez à la page Flow Analyzer.

    Accéder à l'analyseur de flux

  2. Sélectionnez un bucket de journaux. Si vous prévoyez d'utiliser le bucket de journaux _Default, vous pouvez ignorer cette étape.

  3. Dans le menu Agrégation du trafic, sélectionnez l'une des options suivantes:

    • Source – Destination: agrégez le trafic de la source vers la destination.
    • Client – Serveur: agrégez le trafic dans les deux sens en tenant compte des ressources ayant des numéros de port et des définitions de service inférieurs, ou ayant des propriétés de service GKE en tant que serveurs.

    Pour en savoir plus, consultez la section Agrégation du trafic.

  4. Pour définir la période de votre requête, utilisez le sélecteur de période. La période par défaut est d'une heure, mais vous pouvez choisir l'une des options de durée prédéfinies. Vous pouvez spécifier des heures de début et de fin personnalisées, ou choisir une période autour d'une heure spécifique.

  5. Cliquez sur Réexécuter la période sélectionnée dans le graphique.

  6. Dans les champs source et destination ou client et serveur, sélectionnez un champ dans la liste.

  7. Ajoutez une ou plusieurs expressions de filtre pour filtrer les flux correspondant aux paires clé/valeur sélectionnées en utilisant la clé comme champ sélectionné.

    Si vous sélectionnez plusieurs filtres pour le même champ, l'opérateur OR est utilisé. Si vous sélectionnez des filtres pour différents champs, un opérateur AND est utilisé. Par exemple, si vous sélectionnez deux valeurs d'adresse IP (1.2.3.4 et 10.20.10.30) et deux valeurs de Country (US et France), la logique de filtre suivante est appliquée à la requête :

    (IP=1.2.3.4 OU IP=10.20.10.30) AND (Pays=US OU Pays=France)

  8. Organisez le flux en utilisant les champs. Sélectionnez un champ pour organiser les détails du flux.

  9. Cliquez sur Exécuter une nouvelle requête.

    Le graphique Flux de données les plus élevés et la table Tous les flux de données sont mis à jour.

  10. Utilisez les options d'affichage pour personnaliser les résultats de la requête. Pour en savoir plus sur les différentes options d'affichage disponibles, consultez la section Options d'affichage. Pour sélectionner des options personnalisées, consultez Personnaliser les options d'affichage.

  11. Lorsque vous avez terminé de modifier les options d'affichage, cliquez sur OK.

  12. Cliquez sur Relancer pour exécuter à nouveau la requête avec les options d'affichage sélectionnées.

Créer et exécuter une requête SQL

Pour créer et exécuter une requête dans l'analyseur de flux à l'aide des options de filtre SQL, procédez comme suit:

  1. Dans la console Google Cloud, accédez à la page Flow Analyzer.

    Accéder à l'analyseur de flux

  2. Sélectionnez un bucket de journaux. Si vous prévoyez d'utiliser le bucket de journaux _Default, vous pouvez ignorer cette étape.

  3. Pour définir la période de votre requête, utilisez le sélecteur de période ou sélectionnez Réexécuter la période sélectionnée.

  4. Dans le menu Agrégation du trafic, sélectionnez l'une des options suivantes:

    • Source – Destination: agrégez le trafic de la source vers la destination.

    • Client - Serveur: agrégez le trafic dans les deux sens en considérant les ressources ayant les numéros de port les moins élevés et les définitions de service comme des serveurs.

      Pour en savoir plus, consultez la section Agrégation du trafic.

  5. Cliquez sur Filtres SQL.

  6. Saisissez la requête de filtre SQL à l'aide de la syntaxe SQL BigQuery.

  7. Pour afficher la syntaxe d'expression de filtre et des exemples, cliquez sur Filtrer la syntaxe d'expression et les exemples.

  8. Organisez le flux en utilisant les champs. Sélectionnez un champ pour organiser les détails du flux.

  9. Cliquez sur Exécuter une nouvelle requête.

    Le graphique Flux de données les plus élevés et le tableau Tous les flux de données sont mis à jour.

  10. Utilisez les options d'affichage pour personnaliser les résultats de la requête. Pour en savoir plus sur les différentes options d'affichage disponibles, consultez Options d'affichage. Pour sélectionner des options personnalisées, consultez Personnaliser les options d'affichage.

  11. Lorsque vous avez terminé de modifier les options d'affichage, cliquez sur OK.

  12. Pour réexécuter la requête avec les options d'affichage sélectionnées, cliquez sur Réexécuter.

Personnaliser les options d'affichage

Pour afficher des détails spécifiques sur les flux de trafic, vous pouvez personnaliser les options d'affichage. Pour en savoir plus sur les différentes options d'affichage disponibles, consultez la section Options d'affichage.

Console

  1. Créez la requête.
    1. Sélectionnez un bucket de journaux. Si vous prévoyez d'utiliser le bucket de journaux _Default, vous pouvez ignorer cette étape.
    2. Pour définir la période de votre requête, utilisez le sélecteur de période ou sélectionnez Réexécuter la période sélectionnée.
    3. Sélectionnez les filtres.
    4. Sélectionnez les champs pour organiser les résultats.
  2. Exécutez la requête.
  3. Sélectionnez le type de métrique: Bytes sent (Octets envoyés) ou Packets sent (Paquets envoyés).

  4. Sélectionnez une option d'agrégation de métriques.

    Si vous sélectionnez Bytes sent (Octets envoyés) comme métrique, choisissez l'une des options suivantes:

    1. Trafic total: le trafic total pour la période choisie. Cette option est activée par défaut.
    2. Taux de trafic moyen: taux moyen de trafic pour la période choisie. Calculé uniquement pour les périodes d'alignement pendant lesquelles le trafic a été observé.
    3. Taux de trafic médian: taux de trafic médian pour la période choisie. Calculé uniquement pour les périodes d'alignement pendant lesquelles le trafic a été observé.
    4. Taux de trafic au 95e centile: taux de trafic au 95e centile pour la période choisie. Calculé uniquement pour les périodes d'alignement pendant lesquelles le trafic a été observé.
    5. Taux de trafic maximal: taux de trafic maximal pour la période choisie.

    Si vous sélectionnez Packets sent (Paquets envoyés) comme métrique, choisissez l'une des options suivantes:

    1. Paquets agrégés: nombre total de paquets pour la période choisie. Cette option est activée par défaut.
    2. Taux moyen de paquets: débit moyen de paquets pour la période choisie. Calculé uniquement pour les périodes d'alignement pendant lesquelles le trafic a été observé.
    3. Taux médian de paquets: débit médian de paquets pour la période choisie. Calculé uniquement pour les périodes d'alignement pendant lesquelles le trafic a été observé.
    4. Taux de paquets au 95e centile: taux de paquets au 95e centile pour la période choisie. Calculé uniquement pour les périodes d'alignement pendant lesquelles le trafic a été observé.
    5. Débit maximal de paquets: débit maximal de paquets pour la période choisie.

    Pour en savoir plus sur les différentes options d'agrégation de métriques, consultez Agrégations de métriques.

  5. Sélectionnez la durée de l'alignement. Pour en savoir plus sur la durée de l'alignement, consultez la section Durée de l'alignement.

  6. Choisissez un point d'échantillonnage.

    • Point de terminaison source: nombre d'octets envoyés ou de paquets envoyés tels qu'indiqués au point de terminaison source d'un flux.
    • Point de terminaison de destination: nombre d'octets envoyés ou de paquets envoyés tels qu'indiqués au point de terminaison de destination d'un flux.
    • Somme des points de terminaison source et de destination: somme des octets envoyés ou des paquets envoyés, tel qu'indiqué par les deux points de terminaison d'un flux.
    • Moyenne des points de terminaison source et de destination: moyenne des octets envoyés ou des paquets envoyés tels qu'indiqués par les deux points de terminaison d'un flux si les détails de la source et de la destination sont disponibles dans les journaux de flux VPC.

    Pour en savoir plus, consultez la section Point d'échantillonnage.

Afficher les détails du flux

Pour afficher les détails d'un flux sélectionné dans la table des flux de données, procédez comme suit:

Console

  1. Créez la requête.
    1. Sélectionnez un bucket de journaux. Si vous prévoyez d'utiliser le bucket de journaux _Default, vous pouvez ignorer cette étape.
    2. Pour définir la période de votre requête, utilisez le sélecteur de période ou sélectionnez Réexécuter la période sélectionnée.
    3. Sélectionnez les filtres.
    4. Sélectionnez les champs pour organiser les résultats.
  2. Exécutez la requête.

  3. Dans le tableau Tous les flux de données, cliquez sur Afficher les détails pour le flux de votre choix.

    La page Détails du flux qui s'affiche affiche toutes les ressources correspondant aux filtres sélectionnés et le trafic de ces ressources.

Afficher le détail des flux de trafic

Vous pouvez affiner le trafic des ressources sélectionnées. L'analyseur de flux vous permet d'afficher le détail des résultats de la requête à l'aide des champs restants disponibles dans les journaux de flux VPC. Pour en savoir plus, consultez la section Détails du flux de répartition ou d'analyse détaillée.

Pour analyser les flux de trafic à l'aide de champs supplémentaires, procédez comme suit:

Console

  1. Créez la requête.
    1. Sélectionnez un bucket de journaux. Si vous prévoyez d'utiliser le bucket de journaux _Default, vous pouvez ignorer cette étape.
    2. Pour définir la période de votre requête, utilisez le sélecteur de période ou sélectionnez Réexécuter la période sélectionnée.
    3. Sélectionnez les filtres.
    4. Sélectionnez les champs pour organiser les résultats.
  2. Exécutez la requête.

  3. Dans le tableau Tous les flux de données, cliquez sur Afficher les détails pour le flux de votre choix.

    La page Détails du flux qui s'affiche affiche toutes les ressources correspondant aux filtres sélectionnés et le trafic de ces ressources.

  4. Dans la liste Afficher le détail par, sélectionnez un champ pour afficher le détail.

  5. Pour effectuer une comparaison avec le trafic antérieur, cliquez sur le bouton Comparer à une période antérieure. Cette fonctionnalité vous permet d'afficher six lignes: trois lignes continues pour les trois principaux flux de trafic à partir de la vue détaillée et trois lignes en pointillés de couleurs correspondantes représentant le trafic passé.

Étapes suivantes