Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica di Flow Analyzer

Flow Analyzer (anteprima) consente di comprendere in modo rapido ed efficiente i flussi di traffico VPC senza la necessità di scrivere query SQL complesse per l'analisi dei log di flusso VPC. Flow Analyzer consente di eseguire l'analisi del traffico di rete con livello di granularità a cinque tuple (IP di origine, IP di destinazione, porta di origine, porta di destinazione e protocollo).

Sviluppato con analisi dei log e basato su BigQuery, l'analizzatore di flusso consente un'analisi approfondita del traffico in entrata e in uscita delle istanze VM. Consente di monitorare, ottimizzare e risolvere i problemi del deployment di rete per migliorare le prestazioni e migliorare la sicurezza, garantendo così la conformità e risparmia sui costi.

Flow Analyzer analizza i dati dei log di flusso VPC archiviati in un bucket di log (formato record). Per utilizzare Flow Analyzer, devi selezionare un progetto con un bucket di log contenente i log di flusso VPC. Per ulteriori informazioni, consulta la panoramica dei log di flusso VPC. I log di flusso VPC possono essere utilizzati per monitoraggio della rete, analisi forense, analisi della sicurezza in tempo reale e ottimizzazione delle spese.

Flow Analyzer esegue query sui campi inclusi nei log di flusso VPC. Per ulteriori informazioni, consulta Proprietà chiave dei log di flusso VPC.

Con Flow Analyzer puoi eseguire le seguenti attività:

Crea ed esegui una semplice query sui log di flusso VPC
Crea un filtro SQL (utilizzando un'istruzione WHERE) per la query sui log di flusso VPC
Organizzare i risultati utilizzando i campi selezionati e ordinare i risultati della query utilizzando il traffico totale e i pacchetti aggregati
Visualizzare il traffico a intervalli di tempo scelti
Visualizza i cinque principali flussi di traffico nel tempo in formato grafico, rispetto al resto del traffico.
Visualizza le risorse con il traffico più elevato aggregate per la durata selezionata in formato tabulare
o visualizzare i dettagli del traffico tra una specifica coppia sorgente e destinazione dai risultati della query
Visualizza in dettaglio i risultati della query utilizzando i campi rimanenti disponibili nei log di flusso VPC

Come funziona

Log di flusso VPC registra un campione di flussi di rete inviati e ricevuti dalle risorse VPC, come istanze VM e nodi Google Kubernetes Engine.

I log di flusso possono essere visualizzati in Cloud Logging ed esportati in qualsiasi destinazione supportata dall'esportazione di Logging. Puoi utilizzare Analisi dei log per eseguire query che analizzano i dati di log e poi visualizzare i risultati delle query sotto forma di grafici e tabelle.

Flow Analyzer utilizza Analisi dei log per consentirti di eseguire query sui log di flusso VPC e scoprire di più sui flussi di traffico fornendo informazioni quali il grafico dei flussi di dati più alti e una tabella che fornisce i dettagli su tutti i flussi di dati.

Componenti delle query

Per analizzare e comprendere i flussi di traffico, devi eseguire una query sui log di flusso VPC. Flow Analyzer consente di creare la query, personalizzare le opzioni di visualizzazione e visualizzare in dettaglio i flussi di traffico.

Aggregazione del traffico

Per analizzare i flussi di traffico VPC, devi determinare l'approccio all'aggregazione per filtrare i flussi tra le risorse. Flow Analyzer organizza i log di flusso per l'aggregazione nei seguenti modi:

Origine e destinazione: questa opzione utilizza le informazioni SRC e DEST incluse nei log di flusso VPC. Questa vista aggrega il traffico dall'origine alla destinazione.
Client e server: questa opzione tenta di trovare l'iniziatore della connessione. Una risorsa con il numero di porta più basso viene considerata il server. Inoltre, prende in considerazione le risorse con definizione gke_service come server, perché i servizi non avviano richieste. Questa visualizzazione aggrega il traffico in entrambe le direzioni.

Selettore dell'intervallo di tempo

L'intervallo di tempo predefinito è di un'ora, ma puoi scegliere tra le opzioni di tempo preimpostate, specificare un'ora di inizio e di fine personalizzata o centrare l'intervallo di tempo attorno a un timestamp specifico utilizzando il selettore dell'intervallo di tempo. Ad esempio, per visualizzare i dati relativi all'ultima settimana, seleziona Ultima settimana dal selettore dell'intervallo di tempo.

Puoi anche impostare le preferenze di fuso orario utilizzando il selettore dell'intervallo di tempo.

Filtri di base

Puoi creare la query organizzando i flussi in base alle risorse in entrambe le direzioni.

Per utilizzare i filtri, seleziona i campi dall'elenco e specifica i relativi valori.

Puoi aggiungere più espressioni per filtrare i flussi che corrispondono alle coppie chiave-valore selezionate. Se selezioni più filtri per lo stesso campo, viene utilizzato un operatore OR. Se selezioni filtri per campi diversi, viene utilizzato un operatore AND.

Ad esempio, se selezioni due valori di indirizzo IP: 1.2.3.4 e 10.20.10.30 e due valori Paese: US e France, alla query viene applicata la seguente logica di filtro:

(IP=1.2.3.4 OR IP=10.20.10.30) AND (Paese=US OR Paese=France)

Se provi a modificare i filtri degli endpoint o le opzioni di traffico, i risultati potrebbero variare. Per visualizzare i risultati aggiornati, devi eseguire nuovamente la query.

Per creare ed eseguire la query utilizzando i filtri di base, consulta Creare ed eseguire la query.

Filtri SQL

Per creare query complesse, puoi utilizzare i filtri SQL. Utilizzando query complesse, puoi eseguire attività come le seguenti:

Confronto tra i valori dei campi
Creazione di una logica booleana complessa utilizzando AND/OR e operazioni OR nidificate
Eseguire operazioni complesse sugli indirizzi IP usando le funzioni BigQuery

Le query di filtro SQL utilizzano la sintassi SQL di BigQuery. Per ulteriori informazioni, consulta la sintassi SQL di BigQuery.

Per vedere la sintassi e gli esempi delle espressioni di filtro, fai clic su Sintassi ed esempi delle espressioni di filtro.

Per creare ed eseguire la query utilizzando i filtri SQL, consulta Creare ed eseguire una query SQL.

Risultati delle query

I risultati della query includono i seguenti componenti:

Grafico dei flussi di dati più alti: mostra i primi cinque flussi di traffico più elevati nel tempo insieme al resto del traffico. Utilizzando questo grafico puoi identificare tendenze come i picchi di traffico.
Tabella Tutti i flussi di dati: mostra i flussi di traffico principali fino a 10.000 righe aggregati per la durata selezionata. Questa tabella mostra i campi selezionati per organizzare i flussi durante la definizione dei filtri per la query.

Opzioni di visualizzazione

Dopo aver eseguito la query, puoi perfezionare ulteriormente i risultati utilizzando le varie opzioni di visualizzazione. Sia il grafico che la tabella vengono aggiornati per riflettere le nuove opzioni selezionate. Per selezionare le opzioni personalizzate ed eseguire la query, consulta Personalizzare le opzioni di visualizzazione.

Tipi di metriche

Puoi scegliere di visualizzare uno dei seguenti tipi di metriche.

Byte inviati: contiene informazioni sui volumi del payload e non include le intestazioni. Il valore della metrica può essere zero, perché alcuni pacchetti hanno solo intestazioni e non includono payload.

Nota: non puoi utilizzare questa metrica per stimare i costi perché i dati sono campionati e non includono intestazioni.
Pacchetti inviati: indica il numero di pacchetti inviati dall'origine alla destinazione.

Per entrambi i tipi di metriche, puoi scegliere altre aggregazioni di metriche.

Aggregazione delle metriche

Puoi visualizzare l'aggregazione delle metriche nei seguenti modi.

Se selezioni Byte inviati come metrica e Origine e destinazione come aggregazione del traffico, sono disponibili le seguenti opzioni:

Traffico totale: questa opzione è sempre attiva per impostazione predefinita e mostra il traffico totale per il periodo di tempo scelto.
Frequenza media di traffico: mostra la frequenza media di traffico (in byte al secondo) per il periodo di tempo scelto, calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico. Per maggiori informazioni, vedi Periodo di allineamento.
Frequenza di traffico mediana: mostra la frequenza di traffico mediana (in byte al secondo) per il periodo di tempo scelto, calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico. Per maggiori informazioni, vedi Periodo di allineamento.
Percentuale di traffico P95: mostra la frequenza di traffico al 95° percentile in byte al secondo per il periodo di tempo scelto, calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico. Per maggiori informazioni, vedi Periodo di allineamento.
Frequenza massima di traffico: mostra la frequenza massima di traffico in byte al secondo per il periodo di tempo scelto.

Se selezioni Pacchetti inviati come metrica e Origine e destinazione come aggregazione del traffico, sono disponibili le seguenti opzioni:

Pacchetti aggregati: mostra il conteggio dei pacchetti inviati per il periodo di tempo scelto. Questa opzione è abilitata per impostazione predefinita.
Frequenza media di pacchetti: mostra la frequenza media di pacchetti per il periodo di tempo selezionato, calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico. Per maggiori informazioni, vedi Periodo di allineamento.
Frequenza mediana di pacchetti: mostra la frequenza mediana di pacchetti per il periodo di tempo selezionato, calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico. Per maggiori informazioni, vedi Periodo di allineamento.
Frequenza di pacchetti P95: mostra la frequenza di pacchetti al 95° percentile per il periodo di tempo scelto, calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico. Per maggiori informazioni, vedi Periodo di allineamento.
Frequenza massima di pacchetti: mostra la frequenza massima di pacchetti per il periodo di tempo selezionato.

Periodo allineamento

Puoi scegliere da 5 secondi a 1 giorno per l'intervallo di tempo dei dettagli nel grafico. La modalità automatica seleziona il periodo di allineamento ottimale in base alla lunghezza del periodo selezionato.

Ciascun punto sulla sequenza temporale rappresenta i dati aggregati per un periodo di tempo specifico. La durata di questo periodo è denominata periodo di allineamento.

Il rendimento diminuisce con la diminuzione del valore del periodo di allineamento. Per valori più alti del periodo di allineamento, il grafico diventa meno granulare. Potresti non essere in grado di visualizzare i brevi picchi con valori più elevati.

Per periodi di tempo elevati, un periodo di allineamento più breve non è utile. Ad esempio, se selezioni un allineamento di 1 minuto per un periodo di 30 giorni, Flow Analyzer genera più di 43.000 punti dati. Poiché si tratta di 10 volte di più rispetto ai pixel di visualizzazione in 4K, non potrai visualizzare tutti i dettagli e alcune opzioni saranno disattivate per periodi di tempo elevati.

Per ulteriori informazioni su come viene eseguito il campionamento e viene determinato il periodo di allineamento per visualizzare i risultati della query, consulta Metriche e periodo di allineamento.

Punto di campionamento

Per la comunicazione di rete da VM a VM, sono disponibili log di flusso (con il campionamento applicato) su entrambe le VM che inviano e ricevono traffico. Se entrambe le VM dell'endpoint si trovano in subnet in cui sono abilitati i log di flusso VPC, lo stesso flusso viene segnalato due volte. Puoi scegliere uno dei quattro approcci seguenti per determinare quali log di flusso VPC contribuiscono alle metriche calcolate e come vengono valutate:

Endpoint di origine: il numero di byte inviati o di pacchetti inviati segnalati all'endpoint di origine di un flusso
Endpoint di destinazione: il numero di byte inviati o di pacchetti inviati segnalati all'endpoint di destinazione di un flusso
Somma dell'endpoint di origine e di destinazione: la somma dei byte inviati o dei pacchetti inviati segnalati da entrambi gli endpoint di un flusso
Media degli endpoint di origine e di destinazione: una media dei byte inviati o di pacchetti inviati e riportati da entrambi gli endpoint di un flusso se sia le informazioni di origine che di destinazione sono disponibili nei log di flusso VPC.

Deduplicazione del traffico

Per evitare che il traffico segnalato nelle VM di origine e di destinazione venga conteggiato due volte, puoi scegliere l'opzione di campionamento Media degli endpoint di origine e di destinazione. Flow Analyzer identifica i flussi equivalenti in ciascun periodo di allineamento e calcola le medie dei valori delle metriche riportate (conteggio di byte e conteggio di pacchetti).

Per i periodi di allineamento in cui i flussi equivalenti sono riportati sia a SRC che a DEST, tutto il traffico attribuito a un determinato periodo di allineamento viene diviso per due.

Visualizza dettagli flusso

Nella tabella Tutti i flussi di dati, fai clic su Mostra dettagli per qualsiasi flusso. Viene visualizzato il riquadro Dettagli flusso. Questo riquadro fornisce informazioni quali sorgente, destinazione, traffico e possibili opzioni di visualizzazione in dettaglio.

Puoi visualizzare in dettaglio suddividendo un flusso di traffico selezionato utilizzando un campo aggiuntivo. Ad esempio, se un flusso include dettagli generici sul traffico di 1000 GiB dalla zona X di Google Cloud alla zona Y,puoi visualizzare in dettaglio utilizzando un altro campo, ad esempio l'indirizzo IP di origine. I risultati includono diversi indirizzi IP che compongono il flusso originale.

I campi che vengono visualizzati nel componente di visualizzazione in dettaglio sono selezionati come segue:

Quando accedi ai dettagli del flusso, Flow Analyzer esegue diverse query. Ogni query cerca di visualizzare in dettaglio il flusso selezionato utilizzando i campi disponibili nei log di flusso VPC e non ancora utilizzati nella query originale. Ad esempio, se la query eseguita include già i dettagli dell'indirizzo IP, non è necessario eseguirla di nuovo con questo campo e non puoi utilizzare questo campo per visualizzare i dettagli.
Se una delle query aggiuntive restituisce un singolo valore di campo, questo viene aggiunto alla sezione dei dettagli di origine e destinazione anche se non viene recuperato prima.
Se uno dei risultati della query include più di un valore di campo, il campo corrispondente viene visualizzato nell'elenco in dettaglio.

Quando selezioni un campo nell'elenco in dettaglio, la tabella e il grafico vengono aggiornati in modo da mostrare i primi tre flussi di traffico.

Puoi anche utilizzare il pulsante di attivazione/disattivazione Confronta con i dati precedenti. Seleziona questa funzionalità per visualizzare sei righe: tre linee continue per i tre talker principali dalla visualizzazione in dettaglio e tre linee tratteggiate nei colori corrispondenti che rappresentano il traffico passato.

Per visualizzare in dettaglio i flussi di traffico utilizzando più campi, consulta Visualizzare in dettaglio i flussi di traffico.

Esplora in Analisi dei log

Puoi visualizzare la query SQL non elaborata in Analisi dei log.

Per un'analisi avanzata, puoi modificare direttamente il codice SQL utilizzato per visualizzare il traffico. La funzionalità Esplora in Analisi dei log ti indirizza alla pagina Analisi dei log con una query precompilata.