Esta página foi traduzida pela API Cloud Translation.

Visão geral do Flow Analyzer

O Flow Analyzer (pré-lançamento) permite entender os fluxos de tráfego de VPC de maneira rápida e eficiente sem precisar escrever consultas SQL complexas para analisar os registros de fluxo de VPC. O Flow Analyzer permite realizar análises de tráfego de rede opinativas com granularidade de cinco tuplas (IP de origem, IP de destino, porta de origem, porta de destino e protocolo).

Desenvolvido com a Análise de dados de registros e com a tecnologia do BigQuery, o Flow Analyzer permite uma análise aprofundada do tráfego de entrada e saída das instâncias de VM. Ele permite monitorar, solucionar problemas e otimizar a implantação de rede para melhor desempenho e segurança reforçada, o que ajuda a garantir a conformidade e economizar custos.

O Flow Analyzer analisa os dados dos registros de fluxo de VPC armazenados em um bucket de registros (formato de registro). Para usar o Flow Analyzer, selecione um projeto com um bucket de registros que contenha registros de fluxo de VPC. Para mais informações, consulte a Visão geral dos registros de fluxo de VPC. Os registros de fluxo de VPC podem ser usados para monitoramento de rede, perícia forense, análise de segurança em tempo real e otimização de despesas.

O Flow Analyzer executa consultas nos campos incluídos nos registros de fluxo de VPC. Para mais informações, consulte Principais propriedades dos registros de fluxo de VPC.

Com o Flow Analyzer, é possível realizar as seguintes tarefas:

Criar e executar uma consulta simples nos registros de fluxo de VPC
criar um filtro SQL (usando uma instrução WHERE) para a consulta nos registros de fluxo de VPC;
Organize os resultados usando campos selecionados e classifique os resultados da consulta usando o tráfego total e os pacotes agregados
Visualizar o tráfego nos intervalos de tempo escolhidos
Veja em formato gráfico os cinco principais fluxos de tráfego ao longo do tempo, comparados com o restante
Exiba os recursos com maior tráfego agregado ao longo da duração selecionada em formato tabular.
Confira os detalhes do tráfego entre um par específico de origem e de destino dos resultados da consulta.
Detalhe os resultados da consulta usando os campos restantes disponíveis nos registros de fluxo de VPC

Como funciona

Os registros de fluxo de VPC registram uma amostra de fluxos de rede enviados e recebidos por recursos da VPC, como instâncias de VM e nós do Google Kubernetes Engine.

Os registros de fluxo podem ser visualizados no Cloud Logging e exportados para qualquer destino compatível com a exportação do Logging. É possível usar a Análise de dados de registros para executar consultas que analisam dados de registros e, em seguida, exibir os resultados da consulta na forma de gráficos e tabelas.

O Flow Analyzer usa a Análise de dados de registros para permitir que você execute consultas nos registros de fluxo de VPC e saiba mais sobre os fluxos de tráfego, fornecendo informações como o gráfico de fluxos de dados mais alto e uma tabela com detalhes sobre todos os fluxos de dados.

Componentes da consulta

Para analisar e entender seus fluxos de tráfego, execute uma consulta nos registros de fluxo de VPC. O Flow Analyzer ajuda a criar a consulta, personalizar as opções de exibição e detalhar para visualizar e monitorar seus fluxos de tráfego.

Agregação de tráfego

Para analisar os fluxos de tráfego de VPC, determine a abordagem de agregação para filtrar os fluxos entre os recursos. O Flow Analyzer organiza os registros de fluxo para agregação das seguintes maneiras:

Origem e destino: essa opção usa as informações de SRC e DEST incluídas nos registros de fluxo de VPC. Essa visualização agrega o tráfego da origem ao destino.
Cliente e servidor: essa opção tenta encontrar o iniciador da conexão. Um recurso com o número de porta menor é considerado o servidor. Ele também considera os recursos com a definição gke_service como servidores, porque os serviços não iniciam solicitações. Essa visualização agrega o tráfego em ambas as direções.

Seletor de intervalo

O intervalo de tempo padrão é de uma hora, mas é possível selecionar entre as opções de horário predefinidos, especificar um horário de início e término personalizado ou centralizar o intervalo de tempo em um carimbo de data/hora específico usando o seletor de intervalo de tempo. Por exemplo, se você quiser ver os dados da última semana, selecione Última 1 semana no seletor de intervalo de tempo.

Também é possível definir suas preferências de fuso horário usando o seletor de período.

Filtros básicos

É possível criar a consulta organizando os fluxos de acordo com os recursos nas duas direções.

Para usar os filtros, selecione os campos na lista e especifique os valores deles.

É possível adicionar várias expressões de filtro para filtrar fluxos que correspondem aos pares de chave-valor selecionados. Se você selecionar mais filtros para o mesmo campo, será usado um operador OR. Se você selecionar filtros para campos diferentes, será usado um operador AND.

Por exemplo, se você selecionar dois valores de endereço IP: 1.2.3.4 e 10.20.10.30, e dois valores de País: US e France, a seguinte lógica de filtro será aplicada à consulta:

(IP=1.2.3.4 OR IP=10.20.10.30) AND (País=US OR País=France)

Se você tentar modificar os filtros de endpoint ou alterar as opções de tráfego, os resultados poderão variar. Execute novamente a consulta para ver os resultados atualizados.

Para criar e executar a consulta usando os filtros básicos, consulte Criar e executar a consulta.

Filtros SQL

Para criar consultas complexas, use filtros SQL. Ao usar consultas complexas, é possível realizar tarefas como as seguintes:

Comparar valores de campo entre si
Criar uma lógica booleana complexa usando AND/OR e operações OR aninhadas
Como executar operações complexas em endereços IP usando as funções do BigQuery

As consultas de filtro do SQL usam a sintaxe do SQL do BigQuery. Para mais informações, consulte a sintaxe do BigQuery SQL.

Para conferir a sintaxe e exemplos da expressão de filtro, clique em Sintaxe e exemplos da expressão de filtro.

Para criar e executar a consulta usando filtros SQL, consulte Criar e executar uma consulta SQL.

Resultados da consulta

Os resultados da consulta incluem os seguintes componentes:

Gráfico de fluxos de dados mais altos: mostra os cinco principais fluxos de tráfego ao longo do tempo com o restante do tráfego. Use esse gráfico para detectar tendências como picos de tráfego.
Tabela Todos os fluxos de dados: mostra os principais fluxos de tráfego de até 10.000 linhas agregadas ao longo do período selecionado. Esta tabela exibe os campos selecionados para organizar os fluxos ao definir os filtros para a consulta.

Opções de exibição

Depois de executar a consulta, é possível refinar ainda mais os resultados usando as várias opções de exibição. O gráfico e a tabela são atualizados para refletir as opções recém-selecionadas. Para selecionar as opções personalizadas e executar a consulta, consulte Personalizar opções de exibição.

Tipos de métricas

Você pode escolher visualizar um dos tipos de métrica a seguir.

Bytes enviados: contém informações sobre os volumes de payload e não inclui cabeçalhos. O valor dessa métrica pode ser zero porque alguns pacotes têm apenas cabeçalhos e não incluem payload.

Observação: não é possível usar essa métrica para estimar custos porque os dados são amostrados e não incluem cabeçalhos.
Pacotes enviados: indica o número de pacotes enviados da origem para o destino.

Para os dois tipos de métrica, você pode escolher agregações de métrica adicionais.

Agregação de métricas

Você pode conferir a agregação de métricas das seguintes maneiras.

Se você selecionar Bytes enviados como a métrica e Origem e destino como a agregação de tráfego, as seguintes opções estarão disponíveis:

Tráfego total: fica sempre ativado por padrão e mostra o tráfego total no período escolhido.
Taxa média de tráfego: mostra a taxa média de tráfego (em bytes por segundo) para o período escolhido, calculada apenas para os períodos de alinhamento em que o tráfego foi observado. Para mais informações, consulte Período de alinhamento.
Taxa de tráfego mediana: exibe a taxa de tráfego mediana (em bytes por segundo) para o período escolhido, calculada apenas para os períodos de alinhamento em que o tráfego foi observado. Para mais informações, consulte Período de alinhamento.
Taxa de tráfego P95: mostra a taxa de tráfego do 95o percentil em bytes por segundo para o período escolhido, calculada apenas para os períodos de alinhamento em que o tráfego foi observado. Para mais informações, consulte Período de alinhamento.
Taxa de tráfego máxima: mostra a taxa máxima de tráfego em bytes por segundo para o período escolhido.

Se você selecionar Pacotes enviados como métrica e Origem e destino como agregação de tráfego, as seguintes opções vão estar disponíveis:

Pacotes agregados: mostra a contagem de pacotes enviados no período escolhido. Ativado por padrão.
Taxa média de pacotes: exibe a taxa média de pacotes para o período escolhido, calculada apenas para os períodos de alinhamento em que o tráfego foi observado. Para mais informações, consulte Período de alinhamento.
Taxa de pacotes mediana: exibe a taxa de pacotes mediana para o período escolhido, calculada apenas para os períodos de alinhamento em que o tráfego foi observado. Para mais informações, consulte Período de alinhamento.
Taxa de pacotes P95: mostra a taxa de pacotes do 95o percentil para o período escolhido, calculada apenas para os períodos de alinhamento em que o tráfego foi observado. Para mais informações, consulte Período de alinhamento.
Taxa máxima de pacotes: mostra a taxa de pacotes máxima no período escolhido.

Período de alinhamento

Você pode escolher de 5 segundos a 1 dia para o intervalo de tempo dos detalhes no gráfico. O modo automático seleciona o período de alinhamento ideal, dependendo da duração do período selecionado.

Cada ponto na linha do tempo representa dados agregados de um período específico. A duração desse período é chamada de período de alinhamento.

O desempenho diminui com a diminuição do valor do período de alinhamento. Para valores mais altos do período de alinhamento, o gráfico se torna menos granular. Talvez você não consiga visualizar picos curtos com valores mais altos.

Para durações maiores, um período de alinhamento menor não é útil. Por exemplo, se você selecionar o alinhamento de 1 minuto para um período de 30 dias, o Flow Analyzer gerará mais de 43.000 pontos de dados. Como isso é 10 vezes mais do que a resolução em 4K pixels de tela, não será possível conferir todos os detalhes, e algumas opções vão ficar desativadas para durações longas.

Para mais informações sobre como a amostragem é feita e o período de alinhamento é determinado para exibir os resultados da consulta, consulte Métricas e período de alinhamento.

Ponto de amostragem

Para a comunicação de rede de VM para VM, os registros de fluxo estão disponíveis (com amostragem aplicada) nas duas VMs que enviam e recebem tráfego. Se as duas VMs do endpoint estiverem em sub-redes com registros de fluxo de VPC ativados, o mesmo fluxo será informado duas vezes. Escolha uma das quatro abordagens a seguir para determinar quais registros de fluxo de VPC contribuem para as métricas calculadas e como elas são avaliadas:

Endpoint de origem: o número de bytes enviados ou pacotes enviados relatado no endpoint de origem de um fluxo.
Endpoint de destino: o número de bytes enviados ou pacotes enviados relatados no endpoint de destino de um fluxo
Soma do endpoint de origem e destino: a soma dos bytes enviados ou dos pacotes enviados, relatada pelos dois endpoints de um fluxo.
Média do endpoint de origem e destino: uma média dos bytes enviados ou dos pacotes enviados relatada pelos dois endpoints de um fluxo se as informações de origem e destino estiverem disponíveis nos registros de fluxo de VPC.

Eliminação de duplicação de tráfego

Para evitar que o tráfego relatado nas VMs de origem e de destino seja contado duas vezes, escolha a opção de amostragem Média do endpoint de origem e destino. O Flow Analyzer identifica fluxos equivalentes em cada período de alinhamento e calcula as médias dos valores de métricas informados (contagem de bytes e contagem de pacotes).

Para períodos de alinhamento em que fluxos equivalentes são informados tanto no SRC quanto no DEST, todo o tráfego atribuído a um determinado período é dividido por dois.

Mais detalhes do fluxo

Na tabela Todos os fluxos de dados, clique em Mostrar detalhes de qualquer fluxo. O painel Detalhes do fluxo será exibido. Esse painel fornece informações como origem, destino, tráfego e possíveis opções de detalhamento.

É possível detalhar dividindo um fluxo de tráfego selecionado usando um campo extra. Por exemplo, se um fluxo incluir detalhes genéricos sobre tráfego de 1.000 GiB da zona X do Google Cloud para a zona Y,será possível detalhar usando outro campo, como o endereço IP de origem. Os resultados incluem vários endereços IP que compõem o fluxo original.

Os campos que aparecem no componente de detalhamento são selecionados da seguinte maneira:

Quando você acessa os detalhes do fluxo, o Flow Analyzer executa várias consultas. Cada consulta tenta detalhar o fluxo selecionado usando os campos disponíveis nos registros de fluxo de VPC e ainda não usados na consulta original. Por exemplo, se a consulta executada já incluir os detalhes do endereço IP, não será necessário executar a consulta com esse campo novamente nem detalhar usando esse campo.
Se qualquer uma das outras consultas retornar um único valor de campo, ele será adicionado à seção de detalhes de origem e destino, mesmo que não tenha sido buscado anteriormente.
Se algum dos resultados da consulta incluir mais de um valor de campo, o campo correspondente será exibido na lista de detalhamento.

À medida que você seleciona um campo na lista de detalhamento, a tabela de detalhamento e o gráfico são atualizados para exibir os três principais fluxos de tráfego.

Também é possível usar o botão Comparar com o passado. Selecione esse recurso para ver seis linhas: três linhas sólidas para os três maiores apresentadores do detalhamento e três linhas tracejadas em cores correspondentes que representam o tráfego anterior.

Para detalhar os fluxos de tráfego usando mais campos, consulte Detalhar os fluxos de tráfego.

Explorar na Análise de dados de registros

Confira a consulta SQL bruta na Análise de dados de registros.

Para análises avançadas, é possível modificar diretamente o código SQL usado para visualizar o tráfego. O recurso Explorar na Análise de dados de registros direciona você à página Análise de registros com uma consulta preenchida automaticamente.