Flow Analyzer – Übersicht

Mit dem Flussanalysator (Vorabversion) können Sie die VPC-Trafficflüsse schnell und effizient nachvollziehen, ohne komplexe SQL-Abfragen für die Analyse von VPC-Flusslogs schreiben zu müssen. Mit Flow Analyzer können Sie gezielte Analyse des Netzwerktraffics mit einem Detaillierungsgrad von 5 Tupeln (Quell-IP, Ziel-IP, Quellport, Zielport und Protokoll).

Entwickelt mit Loganalysen unterstützt von BigQuery, Flow Analyzer ermöglicht detaillierte Analysen ein- und ausgehender Daten den Traffic Ihrer VM-Instanzen. Sie können damit Monitoring, Fehlerbehebung und Optimierung für eine bessere Leistung und Sicherheit, Compliance sicherzustellen und Kosten zu sparen.

Flow Analyzer analysiert in einem Log gespeicherte Daten von VPC-Flusslogs Bucket (Eintragsformat) verwendet werden. Um Flow Analyzer verwenden, müssen Sie ein Projekt mit einer Log-Bucket, der VPC-Flusslogs enthält. Weitere Informationen finden Sie in der Übersicht über VPC-Flusslogs. VPC-Flusslogs können Netzwerküberwachung, Forensik, Echtzeit-Sicherheitsanalysen und und Kostenoptimierung.

Flow Analyzer führt Abfragen für die Felder aus, die in VPC-Flusslogs Weitere Informationen finden Sie unter Wichtige Eigenschaften von VPC-Flusslogs.

Mit Flow Analyzer können Sie die folgenden Aufgaben ausführen:

  • Einfache Abfrage für VPC-Flusslogs erstellen und ausführen
  • Erstellen Sie einen SQL-Filter (mit einer WHERE-Anweisung) für die Abfrage für VPC-Flusslogs
  • Organisieren Sie die Ergebnisse mithilfe ausgewählter Felder und sortieren Sie die Abfrageergebnisse mithilfe von den gesamten Traffic und aggregierte Pakete
  • Traffic zu ausgewählten Zeitintervallen ansehen
  • Sehen Sie sich die fünf Abläufe mit dem höchsten Traffic im Zeitverlauf in einer Grafik an im Vergleich zum restlichen Traffic
  • Sehen Sie sich die Ressourcen mit dem höchsten Traffic an, aggregiert über die ausgewählte Dauer in Tabellenformat
  • Zeigen Sie die Details des Traffics zwischen einer bestimmten Quelle und Zielpaar aus den Abfrageergebnissen
  • Abfrageergebnisse mithilfe der verbleibenden Felder aufschlüsseln verfügbar in VPC-Flusslogs

Funktionsweise

VPC-Flusslogs erfassen eine Stichprobe von Netzwerkflüssen, die von einem VPC-Ressourcen wie VM-Instanzen und Google Kubernetes Engine-Knoten.

Die Flusslogs können in Cloud Logging angesehen werden. und können an jedes Ziel exportiert werden, unterstützt. Sie können Loganalysen verwenden, um Abfragen zum Analysieren von Logs auszuführen. Anschließend können Sie die Abfrageergebnisse in Form von Diagrammen und Tabellen.

Flow Analyzer nutzt Loganalysen, um Abfragen VPC-Flusslogs und erfahren Sie mehr über die Trafficflüsse, indem Sie wie das Diagramm mit den höchsten Datenflüssen und eine Tabelle mit Details zu allen Datenflüssen.

Abfragekomponenten

Um Ihre Trafficflüsse zu analysieren und zu verstehen, müssen Sie eine Abfrage in VPC-Flusslogs ausführen. Flow Analyzer hilft Ihnen beim Erstellen einer Abfrage, die Anzeigeoptionen und schlüsseln Sie Ihre Zugriffe auf, fließen.

Traffic-Zusammenfassung

Zum Analysieren von VPC-Trafficflüssen müssen Sie den Aggregationsansatz festlegen um die Datenflüsse zwischen den Ressourcen zu filtern. Flow Analyzer organisiert die Daten Flusslogs für die Aggregation auf folgende Arten:

  • Source and destination (Quelle und Ziel): Bei dieser Option werden SRC und DEST verwendet. Informationen in VPC-Flusslogs. In dieser Ansicht wird der Traffic von der Quelle zum Ziel zusammengefasst.
  • Client and server (Client und Server): Mit dieser Option wird versucht, den Initiator der Eine Ressource mit der kleineren Portnummer wird berücksichtigt auf dem Server. Es berücksichtigt auch die Ressourcen mit gke_service als Server, da Dienste nicht die -Anfragen. In dieser Ansicht wird der Traffic in beide Richtungen aggregiert.

Zeitraumauswahl

Standardmäßig beträgt der Zeitraum eine Stunde. Sie können aber auch eine der voreingestellten Zeitoptionen auswählen: eine benutzerdefinierte Start- und Endzeit angeben oder den Zeitraum um eine bestimmte mit der Zeitraumauswahl. Wenn Sie beispielsweise die der Daten der vergangenen Woche und wählen Sie dann als Zeitraum Letzte Woche aus. Selektor.

Über die Zeitraumauswahl können Sie auch die Zeitzoneneinstellungen festlegen.

Einfache Filter

Sie können die Abfrage erstellen, indem Sie die Abläufe gemäß den Ressourcen in in beide Richtungen.

Wenn Sie die Filter verwenden möchten, wählen Sie die Felder aus der Liste aus und geben Sie Werte für diese Felder an.

Sie können mehrere Filterausdrücke hinzufügen, um Datenflüsse zu filtern, die mit den ausgewählten Schlüssel/Wert-Paare. Wenn Sie mehrere Filter für dasselbe Feld auswählen, verwendet wird. Wenn Sie Filter für verschiedene Felder auswählen, wird ein UND-Operator verwendet.

Beispiel: Sie wählen zwei Werte für die IP-Adresse aus: 1.2.3.4 und 10.20.10.30. und zwei Country-Werten: US und France, lautet die Filterlogik auf die Abfrage angewendet:

(IP=1.2.3.4 ODER IP=10.20.10.30) UND (Land=US ODER Land=France)

Wenn Sie versuchen, die Endpunktfilter oder den Traffic zu ändern können die Ergebnisse variieren. Sie müssen die Abfrage noch einmal ausführen, um die aktualisierten Ergebnisse zu sehen.

Informationen zum Erstellen und Ausführen der Abfrage mit den einfachen Filtern finden Sie unter Erstellen Sie die Abfrage und führen Sie sie aus.

SQL-Filter

Zum Erstellen komplexer Abfragen können Sie SQL-Filter verwenden. Bei komplexen Abfragen können Aufgaben wie die folgenden ausführen:

  1. Feldwerte miteinander vergleichen
  2. Komplexe boolesche Logik mit UND/OR- und verschachtelten ODER-Vorgängen erstellen
  3. Komplexe Vorgänge für IP-Adressen mit BigQuery ausführen Funktionen

Die SQL-Filterabfragen verwenden die BigQuery-SQL-Syntax. Weitere Informationen finden Sie in der BigQuery SQL-Syntax.

Um die Syntax und Beispiele für Filterausdrücke anzuzeigen, klicken Sie auf Syntax und Beispiele für Filterausdrücke

Informationen zum Erstellen und Ausführen der Abfrage mit SQL-Filtern finden Sie unter SQL-Abfrage erstellen und ausführen

Abfrageergebnisse

Die Abfrageergebnisse umfassen die folgenden Komponenten:

  • Diagramm mit den höchsten Datenflüssen: zeigt die fünf höchsten Datenflüsse an, im Zeitverlauf und den übrigen Traffic fließt. Anhand dieses Diagramms können Sie Trends wie Traffic-Spitzen erkennen.
  • Tabelle „Alle Datenflüsse“: zeigt die wichtigsten Traffic-Flüsse mit bis zu 10.000 Zeilen an über den gewählten Zeitraum aggregiert. In dieser Tabelle werden die Felder zum Organisieren der Abläufe beim Definieren der Filter für die Abfrage ausgewählt.

Anzeigeoptionen

Nach der Ausführung der Abfrage können Sie die Ergebnisse mithilfe der verschiedenen Darstellungsoptionen weiter verfeinern. Sowohl das Diagramm als auch die Tabelle werden aktualisiert, um die neuen ausgewählten Optionen. Informationen zum Auswählen der benutzerdefinierten Optionen und zum Ausführen der Abfrage finden Sie unter Anzeigeoptionen anpassen

Messwerttypen

Sie können einen der folgenden Messwerttypen auswählen.

  • Gesendete Bytes: enthält Informationen zu den Nutzlastvolumen und enthält keine Header. Dieser Messwert kann null sein, da einige Pakete nur Header und keine Nutzlast enthalten.

  • Gesendete Pakete: Gibt die Anzahl der Pakete an, die von der Quelle an das Ziel.

Für beide Messwerttypen können Sie zusätzliche Messwertaggregationen auswählen.

Messwertaggregation

Sie haben folgende Möglichkeiten, sich die Messwertaggregation anzusehen:

Wenn Sie Gesendete Bytes als Messwert und Quelle und Ziel als Traffic-Aggregation haben, sind die folgenden Optionen verfügbar:

  • Traffic insgesamt: Diese Option ist standardmäßig immer aktiviert und zeigt die den gesamten Traffic für den ausgewählten Zeitraum.
  • Durchschnittliche Traffic-Rate: Zeigt die durchschnittliche Traffic-Rate (in Byte pro 2.) für den ausgewählten Zeitraum, berechnet nur für die Ausrichtung Zeiträume, in denen Zugriffe erfasst wurden. Weitere Informationen finden Sie unter Ausrichtungszeitraum.
  • Median-Traffic-Rate: Zeigt die mittlere Traffic-Rate (in Byte pro 2.) für den ausgewählten Zeitraum, berechnet nur für die Ausrichtung Zeiträume, in denen Zugriffe erfasst wurden. Weitere Informationen finden Sie unter Ausrichtungszeitraum:
  • P95-Trafficrate: Zeigt die Trafficrate für das 95. Perzentil in Byte pro Sekunde für den ausgewählten Zeitraum, wird nur für die Ausrichtung berechnet Zeiträume, in denen Zugriffe erfasst wurden. Weitere Informationen finden Sie unter Ausrichtungszeitraum:
  • Maximale Traffic-Rate: Die maximale Traffic-Rate in Byte pro Sekunde für den ausgewählten Zeitraum.

Wenn Sie Gesendete Pakete als Messwert und Quelle und Ziel als Traffic-Aggregation auswählen, sind die folgenden Optionen verfügbar:

  • Gesamtzahl der Pakete: Die Anzahl der gesendeten Pakete für den ausgewählten Zeitraum. Standardmäßig aktiviert.
  • Durchschnittliche Paketrate: Zeigt die durchschnittliche Paketrate für die ausgewählte Zeitraum, der nur für die Ausrichtungszeiträume berechnet wird, in denen Zugriffe erfasst wurden. Weitere Informationen finden Sie unter Ausrichtungszeitraum.
  • Medianpaketrate: Zeigt die Medianpaketrate für die ausgewählte Option an. Zeitraum, der nur für die Ausrichtungszeiträume berechnet wird, in denen Zugriffe erfasst wurden. Weitere Informationen finden Sie unter Ausrichtungszeitraum:
  • P95-Paketrate: Zeigt die Paketrate des 95. Perzentils für die ausgewählte Zeitraum, der nur für die Ausrichtungszeiträume berechnet wird, in denen Zugriffe erfasst wurden. Weitere Informationen finden Sie unter Ausrichtungszeitraum:
  • Maximale Paketrate: Zeigt die maximale Paketrate für die ausgewählte Zeitraum.

Ausrichtungszeitraum

Sie können für den Zeitraum der Details in der Ansicht . Im automatischen Modus wird der optimale Ausrichtungszeitraum in Abhängigkeit vom Länge des ausgewählten Zeitraums.

Jeder Punkt auf der Zeitachse stellt aggregierte Daten für einen bestimmten Zeitraum dar Punkt. Die Länge dieses Zeitraums wird als Ausrichtungszeitraum bezeichnet.

Die Leistung sinkt mit dem Wert der Ausrichtung. Punkt. Bei höheren Werten für den Ausrichtungszeitraum wird das Diagramm kleiner detailliert sein. Kurze Spitzen mit höheren Werten werden möglicherweise nicht angezeigt.

Für längere Zeiträume ist ein kürzerer Ausrichtungszeitraum nicht hilfreich. Für Wenn Sie beispielsweise eine 1-minütige Ausrichtung für einen Zeitraum von 30 Tagen auswählen, mehr als 43.000 Datenpunkte. Da das 10-mal so viele Pixel wie ein 4K-Display sind, können Sie nicht alle Details sehen und einige Optionen sind für längere Zeiträume deaktiviert.

Weitere Informationen zur Stichprobenerhebung und zum die Abfrageergebnisse anzuzeigen, siehe Messwerte und Ausrichtungszeitraum:

Stichprobenpunkt

Für die VM-zu-VM-Netzwerkkommunikation: Flusslogs (mit Sampling) sowohl auf den VMs verfügbar, die Traffic empfangen. Wenn sich beide Endpunkt-VMs in Subnetzen mit Wenn VPC-Flusslogs aktiviert sind, wird derselbe Datenfluss zweimal gemeldet. Zur Auswahl stehen einen der folgenden vier Ansätze, um zu ermitteln, welche VPC-Flusslogs zu den berechneten Messwerten beitragen und wie sie ausgewertet werden:

  • Quellendpunkt: die Anzahl der gesendeten Byte oder gesendeten Pakete, die gemeldet den Quellendpunkt eines Ablaufs
  • Zielendpunkt: die Anzahl der gesendeten Byte oder gesendeten Pakete. am Zielendpunkt eines Ablaufs
  • Summe des Quell- und Zielendpunkts: die Summe der gesendeten Byte oder Pakete die von beiden Endpunkten eines Datenflusses gemeldet werden,
  • Durchschnitt des Quell- und Zielendpunkts: ein Durchschnitt von Byte die von beiden Endpunkten eines Datenflusses gemeldet werden, und die Zielinformationen sind in VPC-Flusslogs verfügbar.

Traffic-Deduplizierung

Um zu verhindern, dass der an die Quell- und Ziel-VMs gemeldete Traffic zweimal gezählt werden, können Sie den Durchschnitt von Quell- und Zielendpunkt auswählen für die Stichprobenerhebung. Flow Analyzer identifiziert äquivalente Flüsse innerhalb jeder Ausrichtung Zeitraum und berechnet die Durchschnittswerte der gemeldeten Messwerte (Byteanzahl). und Paketanzahl).

Für Ausrichtungszeiträume, in denen gleichwertige Datenflüsse sowohl bei SRC als auch DEST gemeldet werden, wird der gesamte Traffic, der einem bestimmten Ausrichtungszeitraum zugeordnet ist, durch zwei geteilt.

Ablaufdetails ansehen

Klicken Sie in der Tabelle Alle Datenflüsse für einen beliebigen Ablauf auf Details anzeigen. Der Bereich Ablaufdetails wird angezeigt. Dieser Bereich enthält Informationen wie die Quelle, Ziel, Verkehrslage und mögliche Aufschlüsselungsoptionen.

Sie können die Daten aufschlüsseln, indem Sie einen ausgewählten Traffic-Ablauf mit einem zusätzlichen ein. Beispiel: Ein Ablauf enthält allgemeine Details zu 1.000 GiB Traffic. von Google Cloud-Zone X zu Zone Y wechseln, können Sie die Daten mit einer anderen wie die Quell-IP-Adresse. Die Ergebnisse umfassen mehrere IP-Adressen Adressen, aus denen der ursprüngliche Datenfluss besteht.

Die in der Aufschlüsselungskomponente angezeigten Felder werden wie folgt ausgewählt:

  • Wenn Sie auf die Ablaufdetails zugreifen, führt Flow Analyzer mehrere Abfragen aus. Bei jeder Abfrage wird versucht, den ausgewählten Ablauf mithilfe der verfügbaren Felder aufzuschlüsseln in den VPC-Flusslogs enthalten und noch nicht in der ursprünglichen Abfrage verwendet. Wenn die ausgeführte Abfrage beispielsweise bereits die IP-Adressdetails enthält, müssen Sie die Abfrage nicht noch einmal mit diesem Feld ausführen und können auch keine Aufschlüsselung mit diesem Feld vornehmen.
  • Wenn eine der zusätzlichen Abfragen einen einzelnen Feldwert zurückgibt, werden dem Abschnitt mit den Details zu Quelle und Ziel hinzugefügt, obwohl es die zuvor abgerufen wurden.
  • Wenn eines der Abfrageergebnisse mehrere Feldwerte enthält, wird das entsprechende Feld in der Aufschlüsselungsliste angezeigt.

Wenn Sie ein Feld in der Aufschlüsselungsliste auswählen, werden die Aufschlüsselungstabelle und das Diagramm werden die drei wichtigsten Traffic-Flüsse angezeigt.

Sie können auch die Ein/Aus-Schaltfläche Mit bisherigen Daten vergleichen verwenden. Wählen Sie diese Funktion aus, um sechs Linien: drei durchgehende Linien für die drei Top Talkers aus der Aufschlüsselung und drei gestrichelte Linien in den entsprechenden Farben, die den vergangenen Verkehr darstellen.

Informationen zum Aufschlüsseln von Traffic-Flüssen mithilfe weiterer Felder finden Sie unter Trafficflüsse aufschlüsseln:

In Loganalysen ansehen

Sie können die SQL-Rohabfrage in Loganalysen ansehen.

Für eine erweiterte Analyse können Sie den SQL-Code, der zur Visualisierung der Zugriffe. Über die Funktion In Log Analytics ansehen werden Sie zur Seite Log Analytics mit einer vorab ausgefüllten Abfrage weitergeleitet.

Nächste Schritte