Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica di Flow Analyzer

Flow Analyzer (anteprima) consente di comprendere in modo rapido ed efficiente il tuo VPC flussi di traffico senza la necessità di scrivere query SQL complesse per l'analisi Log di flusso VPC. Flow Analyzer consente di eseguire analisi del traffico di rete mirata con granularità a 5 tuple (IP di origine, IP di destinazione, porta di origine, porta di destinazione e protocollo).

Sviluppato con Analisi dei log e basato su BigQuery, Flow Analyzer consente un'analisi approfondita dei flussi di dati in entrata e in uscita del traffico delle tue istanze VM. Ti permette di monitorare, risolvere i problemi e ottimizzare il deployment della rete per migliorare le prestazioni e la sicurezza, aiuta a garantire la conformità e a risparmiare sui costi.

Flow Analyzer analizza i dati dei log di flusso VPC archiviati in un log (formato record). Per utilizzare Flow Analyzer, devi selezionare un progetto con un bucket di log che contiene i log di flusso VPC. Per ulteriori informazioni, consulta Panoramica dei log di flusso VPC. I log di flusso VPC possono da utilizzare per il monitoraggio della rete, le indagini forensi, l'analisi della sicurezza in tempo reale e e ottimizzare le spese.

Flow Analyzer esegue query sui campi inclusi in Log di flusso VPC. Per ulteriori informazioni, vedi Proprietà chiave dei log di flusso VPC.

Con Flow Analyzer puoi eseguire le seguenti attività:

Crea ed esegui una semplice query sui log di flusso VPC
Crea un filtro SQL (utilizzando un'istruzione WHERE) per la query su Log di flusso VPC
Organizzare i risultati utilizzando i campi selezionati e ordinare i risultati della query utilizzando il traffico totale e i pacchetti aggregati
Visualizzare il traffico a intervalli di tempo scelti
Visualizza i cinque principali flussi di traffico nel tempo sotto forma di grafico dei dati, rispetto al resto del traffico
Visualizza le risorse con il traffico più elevato aggregate negli elementi selezionati durata in formato tabulare
Visualizzare i dettagli del traffico tra una sorgente specifica e coppia di destinazione dai risultati della query
Visualizza in dettaglio i risultati della query utilizzando i campi rimanenti disponibili nei log di flusso VPC

Come funziona

I log di flusso VPC registrano un campione di flussi di rete inviati e ricevuti di risorse VPC, ad esempio istanze VM e nodi Google Kubernetes Engine.

I log di flusso possono essere visualizzati in Cloud Logging, e può essere esportato in qualsiasi destinazione esportata da Logging Google Cloud. Puoi utilizzare Analisi dei log per eseguire query che analizzano i log di dati, dopodiché potrai visualizzare i risultati della query sotto forma di grafici tabelle.

Flow Analyzer utilizza l'analisi dei log per consentirti di eseguire query log di flusso VPC e scopri di più sui flussi di traffico fornendo informazioni quali il grafico dei flussi di dati più alti e una tabella che fornisce i dettagli di tutti i flussi di dati.

Componenti delle query

Per analizzare e comprendere i flussi di traffico, devi eseguire una query Log di flusso VPC. Flow Analyzer aiuta a creare query, a personalizzare le opzioni di visualizzazione e visualizzare in dettaglio per visualizzare e monitorare il traffico dei flussi.

Aggregazione del traffico

Per analizzare i flussi di traffico VPC, devi determinare l'approccio all'aggregazione per filtrare i flussi tra le risorse. Flow Analyzer organizza log di flusso per l'aggregazione nei seguenti modi:

Origine e destinazione: questa opzione utilizza SRC e DEST. incluse nei log di flusso VPC. Questa visualizzazione aggrega del traffico dall'origine alla destinazione.
Cliente e server: questa opzione tenta di trovare l'iniziatore del connessione. Viene considerata una risorsa con il numero di porta più basso il server. Prende inoltre in considerazione le risorse con Definizione di gke_service come server perché i servizi non vengono avviati richieste. Questa visualizzazione aggrega il traffico in entrambe le direzioni.

Selettore dell'intervallo di tempo

L'intervallo di tempo predefinito è un'ora, ma puoi scegliere tra diverse opzioni di tempo predefinite, specifica ora di inizio e di fine personalizzate o centra l'intervallo di tempo intorno a una specifica il timestamp usando il selettore dell'intervallo di tempo. Ad esempio, se vuoi visualizzare il dei dati della settimana precedente, poi seleziona Ultima settimana dall'intervallo di tempo selettore.

Puoi anche impostare le preferenze di fuso orario utilizzando il selettore dell'intervallo di tempo.

Filtri di base

Puoi creare la query organizzando i flussi in base alle risorse in in entrambe le direzioni.

Per utilizzare i filtri, seleziona i campi dall'elenco e specifica i relativi valori campi.

Puoi aggiungere più espressioni per filtrare i flussi che corrispondono ai criteri selezionati coppie chiave-valore. Se selezioni più filtri per lo stesso campo, viene usato un operatore OR . Se selezioni filtri per campi diversi, viene utilizzato un operatore AND.

Ad esempio, se selezioni due valori di indirizzi IP: 1.2.3.4 e 10.20.10.30 e due valori Paese: US e France, la seguente logica del filtro è applicati alla query:

(IP=1.2.3.4 OR IP=10.20.10.30) AND (Paese=US OR Paese=France)

Se provi a modificare i filtri degli endpoint o il traffico possibili, i risultati possono variare. Devi eseguire nuovamente la query per visualizzare risultati aggiornati.

Per creare ed eseguire la query utilizzando i filtri di base, consulta Crea ed esegui la query.

Filtri SQL

Per creare query complesse, puoi utilizzare i filtri SQL. Utilizzando query complesse, possono eseguire attività quali:

Confronto tra i valori dei campi
Creazione di una logica booleana complessa utilizzando AND/OR e operazioni OR nidificate
Esecuzione di operazioni complesse sugli indirizzi IP utilizzando BigQuery funzioni

Le query di filtro SQL utilizzano la sintassi SQL di BigQuery. Per ulteriori informazioni, consulta la sintassi SQL di BigQuery.

Per visualizzare la sintassi e gli esempi delle espressioni di filtro, fai clic su Sintassi ed esempi delle espressioni di filtro.

Per creare ed eseguire la query utilizzando i filtri SQL, consulta Crea ed esegui una query SQL.

Risultati delle query

I risultati della query includono i seguenti componenti:

Grafico dei flussi di dati più alti: mostra i primi cinque il traffico scorre nel tempo insieme al resto del traffico. Tu è in grado di individuare tendenze come i picchi di traffico utilizzando questo grafico.
Tabella Tutti i flussi di dati: mostra i flussi di traffico principali fino a 10.000 righe. aggregati per la durata selezionata. Questa tabella mostra i campi selezionato per organizzare i flussi mentre definisci i filtri per la query.

Opzioni di visualizzazione

Dopo aver eseguito la query, puoi perfezionare ulteriormente i risultati utilizzando i vari opzioni di visualizzazione. Sia il grafico che la tabella vengono aggiornati per riflettere le opzioni selezionate. Per selezionare le opzioni personalizzate ed eseguire la query, consulta Personalizza le opzioni di visualizzazione.

Tipi di metriche

Puoi scegliere di visualizzare uno dei seguenti tipi di metriche.

Byte inviati: contiene informazioni sui volumi del payload e non include intestazioni. Il valore di questa metrica può essere zero perché alcuni pacchetti hanno solo intestazioni e non includono payload.

Nota: non puoi utilizzare questa metrica per stimare i costi perché i dati sono campionato e non include intestazioni.
Pacchetti inviati: indica il numero di pacchetti inviati dall'origine a la destinazione.

Per entrambi i tipi di metriche, puoi scegliere altre aggregazioni di metriche.

Aggregazione delle metriche

Puoi visualizzare l'aggregazione delle metriche nei seguenti modi.

Se selezioni Byte inviati come metrica e Origine e destinazione come aggregazione del traffico, sono disponibili le seguenti opzioni:

Traffico totale: è sempre attiva per impostazione predefinita e mostra la traffico totale per il periodo di tempo selezionato.
Frequenza media di traffico: mostra la frequenza media di traffico (in byte per al secondo) per il periodo di tempo scelto, calcolato solo per l'allineamento periodi durante i quali è stato osservato il traffico. Per ulteriori informazioni, vedi Periodo di allineamento.
Frequenza mediana di traffico: mostra la frequenza di traffico mediana (in byte per al secondo) per il periodo di tempo scelto, calcolato solo per l'allineamento periodi durante i quali è stato osservato il traffico. Per ulteriori informazioni, vedi Periodo di allineamento.
Frequenza di traffico P95: mostra la frequenza di traffico al 95° percentile in byte per secondo per il periodo di tempo scelto, calcolato solo per l'allineamento periodi durante i quali è stato osservato il traffico. Per ulteriori informazioni, vedi Periodo di allineamento.
Frequenza massima di traffico: mostra la frequenza massima di traffico in byte per secondo per il periodo di tempo scelto.

Se selezioni Pacchetti inviati come metrica e Origine e destinazione come l'aggregazione del traffico, sono disponibili le seguenti opzioni:

Pacchetti aggregati: mostra il conteggio dei pacchetti inviati nel periodo selezionato. punto. Questa opzione è abilitata per impostazione predefinita.
Frequenza media di pacchetti: mostra la velocità media di pacchetti per l'oggetto selezionato. di tempo, calcolato solo per i periodi allineamento durante i quali è stato osservato il traffico. Per ulteriori informazioni, vedi Periodo di allineamento.
Frequenza mediana di pacchetti: mostra la frequenza mediana di pacchetti per l'oggetto selezionato di tempo, calcolato solo per i periodi allineamento durante i quali è stato osservato il traffico. Per ulteriori informazioni, vedi Periodo di allineamento.
Frequenza di pacchetti P95: mostra la percentuale di pacchetti al 95° percentile per l'intervallo di pacchetti prescelto di tempo, calcolato solo per i periodi allineamento durante i quali è stato osservato il traffico. Per ulteriori informazioni, vedi Periodo di allineamento.
Frequenza massima di pacchetti: mostra la frequenza massima di pacchetti per l'oggetto selezionato periodo di tempo.

Periodo allineamento

Puoi scegliere da 5 secondi a 1 giorno come intervallo di tempo dei dettagli nel grafico. La modalità automatica seleziona il periodo di allineamento ottimale in base al durata del periodo selezionato.

Ogni punto sulla cronologia rappresenta dati aggregati per un periodo di tempo specifico punto. La durata di questo periodo è denominata periodo di allineamento.

Il rendimento diminuisce con la diminuzione del valore dell'allineamento punto. Per valori più alti del periodo allineamento, il grafico diventa meno granulare. Potresti non essere in grado di visualizzare i brevi picchi con valori più elevati.

Per periodi di tempo elevati, un periodo di allineamento più breve non è utile. Per Ad esempio, se selezioni un allineamento di 1 minuto per un periodo di 30 giorni, Flow Analyzer genera più di 43.000 punti dati. Perché è 10 volte superiore alla display Pixel, non potrai vedere tutti i dettagli. Inoltre, alcune opzioni sono disattivata per periodi di tempo elevati.

Per ulteriori informazioni su come viene effettuato il campionamento e sul periodo di allineamento, determinati a mostrare i risultati della query, consulta Metriche e periodo di allineamento.

Punto di campionamento

Per la comunicazione di rete da VM a VM, log di flusso sono disponibili (con campionamento applicato) sia sulle VM che inviano ricevono traffico. Se entrambe le VM dell'endpoint si trovano in subnet Log di flusso VPC abilitati, lo stesso flusso viene registrato due volte. Puoi scegliere uno dei quattro approcci seguenti per determinare quali log di flusso VPC contribuiscono alle metriche calcolate e al modo in cui vengono valutate:

Endpoint di origine: numero di byte inviati o pacchetti inviati segnalati l'endpoint di origine di un flusso
Endpoint di destinazione: il numero di byte inviati o di pacchetti inviati segnalati nell'endpoint di destinazione di un flusso
Somma dell'endpoint di origine e di destinazione: la somma dei byte inviati o dei pacchetti inviato e segnalato da entrambi gli endpoint di un flusso
Media degli endpoint di origine e di destinazione: una media di byte. o pacchetti inviati segnalati da entrambi gli endpoint di un flusso se sia l'origine e le informazioni sulla destinazione sono disponibili nei log di flusso VPC

Deduplicazione del traffico

Per evitare che il traffico segnalato nelle VM di origine e di destinazione venga contata due volte, puoi scegliere la Media degli endpoint di origine e di destinazione l'opzione di campionamento. Flow Analyzer identifica i flussi equivalenti all'interno di ogni allineamento periodo e calcola le medie dei valori delle metriche riportate (conteggio byte e il numero di pacchetti).

Per i periodi di allineamento in cui i flussi equivalenti sono riportati sia a SRC che a DEST, tutto il traffico attribuito a un determinato periodo allineamento viene diviso per due.

Visualizza dettagli flusso

Nella tabella Tutti i flussi di dati, fai clic su Mostra dettagli per qualsiasi flusso. Il flusso dei dettagli. Questo riquadro fornisce informazioni quali fonte, destinazione, traffico e possibili opzioni di visualizzazione in dettaglio.

Puoi visualizzare in dettaglio suddividendo un flusso di traffico selezionato utilizzando una . Ad esempio, se un flusso include dettagli generici sul traffico di 1000 GiB dalla zona X alla zona Y di Google Cloud, puoi visualizzare in dettaglio utilizzando un altro ad esempio l'indirizzo IP di origine. I risultati includono diversi che compongono il flusso originale.

I campi che vengono visualizzati nel componente di visualizzazione in dettaglio sono selezionati come segue:

Quando accedi ai dettagli del flusso, Flow Analyzer esegue diverse query. Ogni query cerca di visualizzare in dettaglio il flusso selezionato utilizzando i campi disponibili nei log di flusso VPC e non ancora utilizzati nella query originale. Ad esempio, se la query eseguita include già i dettagli dell'indirizzo IP, non è necessario eseguire nuovamente la query con questo campo e non puoi visualizzare i dati in dettaglio utilizzando questo campo.
Se una delle query aggiuntive restituisce un singolo valore di campo, verrà aggiunto alla sezione dei dettagli di origine e destinazione anche se non recuperate in precedenza.
Se uno dei risultati della query include più di un valore di campo, il campo corrispondente viene visualizzato nell'elenco di visualizzazione in dettaglio.

Quando selezioni un campo nell'elenco in dettaglio, la tabella visualizzazione in dettaglio e il grafico vengono aggiornati in modo da visualizzare i primi tre flussi di traffico.

Puoi anche utilizzare il pulsante di attivazione/disattivazione Confronta con i dati precedenti. Seleziona questa caratteristica per visualizzare sei linee: tre linee continue per i tre talker principali dalla visualizzazione in dettaglio e tre linee tratteggiate nei colori corrispondenti che rappresentano il traffico passato.

Per visualizzare in dettaglio i flussi di traffico utilizzando più campi, consulta Visualizzare in dettaglio i flussi di traffico.

Esplora in Analisi dei log

Puoi visualizzare la query SQL non elaborata in Analisi dei log.

Per un'analisi avanzata, puoi modificare direttamente il codice SQL utilizzato per visualizzare per via del traffico. La funzionalità Esplora in Analisi dei log ti indirizza alla Analisi dei log con una query precompilata.