Flow Analyzer 概览

Flow Analyzer(预览版) 可让您快速高效地了解您的 VPC 而无需编写复杂的 SQL 查询来进行分析, VPC 流日志。借助 Flow Analyzer, 以 5 元组粒度进行专业的网络流量分析 (来源 IP、目标 IP、来源端口、目标端口和协议)。

开发方式 日志分析BigQuery 提供支持, 流分析器支持对入站和出站进行深入分析 虚拟机实例的流量它可以帮助您进行监控、问题排查和优化 从而获得更好的性能和安全性 有助于确保合规性并节省费用。

Flow Analyzer 可分析日志中存储的 VPC 流日志数据 存储桶(记录格式)。要使用 Flow Analyzer,您必须选择一个具有 包含 VPC 流日志的日志存储桶。有关详情,请参阅 VPC 流日志概览。VPC 流日志 用于网络监控、取证、实时安全分析和 费用优化。

Flow Analyzer 对 VPC 流日志。如需了解详情,请参阅 VPC 流日志的关键属性

使用 Flow Analyzer,您可以执行以下任务:

  • 在 VPC 流日志上构建并运行简单查询
  • 为以下查询构建一个 SQL 过滤器(使用 WHERE 语句) VPC 流日志
  • 使用所选字段整理结果,并使用 总流量和汇总数据包数量
  • 查看所选时间间隔的流量
  • 以图表形式查看指定时间段内排名前五的流量 与其他流量相比
  • 查看在所选日期范围内汇总流量最高的资源 表格格式的时长
  • 查看特定来源与 查询结果中的目的地对
  • 使用其余字段深入分析查询结果 在 VPC 流日志中提供

工作原理

VPC 流日志记录了通过 VPC 网络发送和接收的网络流样本 VPC 资源,例如虚拟机实例和 Google Kubernetes Engine 节点。

您可以在 Cloud Logging 中查看流日志, 并且可以导出到 Logging 导出功能的任何目标 支持。您可以使用 Log Analytics 来运行分析日志的查询 然后,您可以使用图表和表格的形式来显示查询结果, 表格。

Flow Analyzer 使用 Log Analytics,让您可以对 提供 VPC 流日志以及 例如最高数据流图表和 关于所有数据流的详细信息

查询组件

要分析和了解您的流量,您必须在 VPC 流日志。Flow Analyzer 可帮助您构建查询、自定义 选择显示选项,然后展开细目查看和监控流量 流量。

流量汇总

如需分析 VPC 流量,您必须确定汇总方法 过滤资源之间的流Flow Analyzer 组织 流日志以进行汇总:

  • 来源和目标:此选项使用 SRCDEST 信息。该视图汇总了 从来源到目标的流量。
  • 客户端和服务器:此选项会尝试查找 连接。系统会将端口号较小的资源视为 服务器还会考虑 gke_service 定义为服务器,因为服务不会启动 请求。此视图会汇总双向路况。

时间范围选择器

默认时间范围是 1 小时,但您可以从预设的时间选项中进行选择 您可以自行指定开始和结束时间,也可以将时间范围设为 时间戳。例如,如果您想查看 过去一周的数据,然后从时间范围中选择过去 1 周 选择器。

您还可以使用时间范围选择器设定时区偏好设置。

基础过滤器

您可以根据 Cloud SQL 中的资源来组织流, 两个方向。

要使用过滤器,请从列表中选择字段并为这些字段指定值 字段。

您可以添加多个过滤表达式,对符合所选过滤条件的流进行过滤 键值对。如果您为同一字段选择多个过滤条件,则使用 OR 运算符 。如果您为不同的字段选择过滤器,系统会使用 AND 运算符。

例如,如果您选择两个 IP 地址值:1.2.3.410.20.10.30 和两个 Country 值(USFrance),则以下过滤器逻辑为 应用于以下查询:

(IP=1.2.3.4 OR IP=10.20.10.30) AND(国家/地区=US OR 国家/地区=France

如果您尝试修改端点过滤条件或更改流量 则结果可能会有所不同您必须再次运行查询才能查看 已更新结果。

如需使用基本过滤条件构建和运行查询,请参阅 构建和运行查询

SQL 过滤器

如需构建复杂查询,您可以使用 SQL 过滤条件。使用复杂查询 可以执行诸如以下任务:

  1. 将字段值相互比较
  2. 使用 AND/OR 和嵌套 OR 运算构建复杂的布尔值逻辑
  3. 使用 BigQuery 对 IP 地址执行复杂的操作 函数

SQL 过滤条件查询使用 BigQuery SQL 语法。如需更多信息 请参阅 BigQuery SQL 语法

要查看过滤器表达式语法和示例,请点击 过滤表达式语法和示例

如需使用 SQL 过滤器构建和运行查询,请参阅 构建并运行 SQL 查询

查询结果

查询结果包括以下组成部分:

  • 最高数据流图表:显示前五个最高数据流 流量会与其他流量一起随时间变化您 可以使用此图表发现流量峰值等趋势。
  • “所有数据流”表:显示最多 10,000 行的最高流量 所选持续时间内的汇总数据下表显示了 用于在定义查询过滤条件的同时组织流。

显示选项

运行查询后,您可以使用各种 显示选项。图表和表格都会更新,以反映 选中的选项要选择自定义选项并运行查询,请参阅 自定义显示选项

指标类型

您可以选择查看以下指标类型之一。

  • 发送的字节数:包含载荷量和 不包含标题。此指标值可以为零,因为某些数据包 只包含标头,不包含任何载荷。

  • 发送的数据包数量:表示从来源发送到 目标位置

对于这两种指标类型,您都可以选择其他指标汇总。

指标聚合

您可以通过以下方式查看指标汇总。

如果您选择发送的字节数作为指标,并选择来源和目标作为 流量汇总时,可以使用以下选项:

  • 总流量:默认情况下始终处于启用状态,并显示 所选时间段内的总流量
  • 平均流量速率:显示平均流量速率(以字节/秒为单位) 秒)针对所选时间段,仅针对校准计算 观察到的流量的时段。如需了解详情,请参阅 校准时间段
  • 流量速率中间值:显示流量速率中间值(以字节/秒为单位) 秒)针对所选时间段,仅针对校准计算 观察到的流量的时段。如需了解详情,请参阅 校准时间段
  • P95 流量速率:显示第 95 百分位的流量速率(以字节/ 所选时间段的秒数,仅针对校准计算 观察到的流量的时段。如需了解详情,请参阅 校准时间段
  • 最大流量速率:显示最大流量速率(以字节/秒为单位) (所选时间段的秒数)

如果您选择发送的数据包数量作为指标,并选择来源和目标作为指标 可以使用以下选项:

  • 汇总数据包数量:显示在所选时间内发送的数据包数量 。默认处于启用状态。
  • 平均数据包速率:显示所选应用的平均数据包速率 仅对 检测到流量如需了解详情,请参阅 校准时间段
  • 中位数数据包速率:显示所选数据包的中位数 仅对 检测到流量如需了解详情,请参阅 校准时间段
  • P95 数据包速率:显示所选数据包的第 95 百分位数据包速率 仅对 检测到流量如需了解详情,请参阅 校准时间段
  • 最大数据包速率:显示所选数据包的最大速率 。

校准时间段

您可以选择 5 秒到 1 天作为详细信息的时间范围, 图表。自动模式会根据 所选时间段的长度。

时间轴上的每个点都代表特定时间的汇总数据 。此时间段的长度称为“校准时间段”。

效果随校准值的降低而下降 。如果校准时间段的值越大,图表就会越小 精细控制。您可能无法看到值较高的短峰值。

对于较长的时间段,较短的校准时间段没有帮助。对于 例如,如果您为 30 天选择 1 分钟校准,Flow Analyzer 生成超过 43,000 个数据点。因为这是 4K 分辨率的 10 倍 可能无法查看所有详细信息 在较长时间内停用

如需详细了解如何进行采样以及如何进行校准时间段, 如何确定是否显示查询结果,请参阅 指标和校准时间段

采样点

对于虚拟机到虚拟机的网络通信, 发送和接收 接收流量如果两个端点虚拟机都位于 VPC 流日志已启用,同一流会报告两次。您可以选择 使用以下四种方法之一来确定 VPC 流日志 对计算指标及其评估方式的影响:

  • 来源端点:发送的字节数或发送的数据包数量 流的来源端点
  • 目标端点:发送的字节数或发送的数据包数量 在数据流的目的地端点处
  • 来源端点和目标端点的总和:发送的字节数或数据包数的总和 流的两个端点所报告的数据
  • 来源端点和目标端点的平均值:平均字节数 发送数据或发送数据包的 并且 VPC 流日志中提供目标位置信息

流量重复信息删除

为了防止源虚拟机和目标虚拟机中报告的流量 您可以选择源端点和目标端点的平均值 抽样选项。Flow Analyzer 可识别每个对齐中的等效流 周期并计算所报告指标值的平均值(字节数 和数据包数量)。

对于在 SRC 和 DEST 都报告等效流的校准时间段, 将归因于给定校准时间段的所有流量除以 2。

查看数据流详情

所有数据流表中,点击任意流的显示详细信息。流程 详细信息面板。该面板提供了来源、 目标、流量和可能的展开细目选项。

您可以使用 extra 值拆分所选的流量进行 字段。例如,如果数据流包含关于 1,000 GiB 流量的一般详情, 从 Google Cloud 可用区 X 到可用区 Y,您可以使用 字段(例如来源 IP 地址)。搜索结果包含几个 IP 地址 组成原始流的地址。

展开细目组件中显示的字段按如下方式选择:

  • 当您访问流详细信息时,Flow Analyzer 会运行多个查询。 每个查询都会尝试使用可用字段对所选流展开细目 ,但尚未在原始查询中使用。 例如,如果执行的查询已包含 IP 地址详细信息, 则不需要再次使用此字段运行查询,也无法展开细目 使用此字段。
  • 如果任何其他查询返回单个字段值, 会添加到来源和目标详情部分 。
  • 如果任何查询结果包含多个字段值,则 相应字段会显示在展开细目列表中。

选择展开细目列表中的字段后,展开细目表格和图表 以显示前三个流量流。

您还可以使用与过去相比切换开关。选择此地图项可查看六个 线:3 条实线,表示深入分析中排名靠前的三个客户, 对应颜色的虚线表示过往路况。

如需使用更多字段对流量进行深入分析,请参阅 深入分析流量

在 Log Analytics 中探索

您可以在 Log Analytics 中查看原始 SQL 查询。

对于高级分析,您可以直接修改用于直观呈现 流量。在 Log Analytics 中探索功能会将您定向到 Log Analytics 页面。

后续步骤