Descripción general del Analizador de flujo

El Analizador de flujo (vista previa) te permite comprender con rapidez y eficiencia los flujos de tráfico de VPC sin necesidad de escribir consultas de SQL complejas para analizar los registros de flujo de VPC. El Analizador de flujo te permite realizar un análisis de tráfico de red bien definido con un nivel de detalle de 5 tuplas (IP de origen, IP de destino, puerto de origen, puerto de destino y protocolo).

Desarrollado con Análisis de registros y con la tecnología de BigQuery, el Analizador de flujo permite el análisis en profundidad del tráfico entrante y saliente de tus instancias de VM. Te permite supervisar, solucionar problemas y optimizar la implementación de herramientas de redes para obtener un mejor rendimiento y una mayor seguridad, lo que ayuda a garantizar el cumplimiento y ahorrar costos.

El Analizador de flujo analiza los datos de los registros de flujo de VPC almacenados en un bucket de registros (formato de registro). Para usar el Analizador de flujo, debes seleccionar un proyecto con un bucket de registros que contenga registros de flujo de VPC. Para obtener más información, consulta la Descripción general de los registros de flujo de VPC. Los registros de flujo de VPC se pueden usar para supervisar redes, detectar intrusiones, realizar análisis de seguridad en tiempo real y optimizar los gastos.

El Analizador de flujo ejecuta consultas en los campos incluidos en los registros de flujo de VPC. Para obtener más información, consulta Propiedades clave de los registros de flujo de VPC.

Con el Analizador de flujo, puedes realizar las siguientes tareas:

• Crear y ejecutar una consulta simple en los registros de flujo de VPC
• Crear un filtro de SQL (con una instrucción WHERE) para la consulta en los registros de flujo de VPC
• Organiza los resultados utilizando los campos seleccionados y ordena los resultados de la consulta según el tráfico total y los paquetes agregados.
• Consulta el tráfico en los intervalos de tiempo elegidos
• Ver los cinco flujos de tráfico más altos a lo largo del tiempo en un formato gráfico en comparación con el resto del tráfico
• Visualiza los recursos con el tráfico más alto agregado en la duración seleccionada en un formato tabular
• Ve los detalles del tráfico entre una fuente y un par de destino específicos desde los resultados de la consulta.
• Desglosa los resultados de las consultas con los campos restantes disponibles

Cómo funciona

Los registros de flujo de VPC registran una muestra de flujos de red enviados y recibidos por recursos de VPC, como instancias de VM y nodos de Google Kubernetes Engine.

Los registros de flujo se pueden ver en Cloud Logging y se pueden exportar a cualquier destino que admita la exportación de Logging. Puedes usar el Análisis de registros para ejecutar consultas que analizan datos de registro y, luego, mostrar los resultados de la consulta en forma de gráficos y tablas.

El Analizador de flujo usa el Análisis de registros para permitirte ejecutar consultas en los registros de flujo de VPC y obtener más información sobre los flujos de tráfico cuando proporciona información como el gráfico de flujos de datos más alto y una tabla que proporciona detalles sobre todos los flujos de datos.

Componentes de consulta

Para analizar y comprender los flujos de tráfico, debes ejecutar una consulta en los registros de flujo de VPC. El Analizador de flujo te ayuda a compilar la consulta, personalizar las opciones de visualización y desglosar para ver y supervisar tus flujos de tráfico.

Agregación de tráfico

Si quieres analizar los flujos de tráfico de VPC, debes determinar el enfoque de agregación para filtrar los flujos entre los recursos. El Analizador de flujo organiza los registros de flujo para la agregación de las siguientes maneras:

• Origen y destino: esta opción usa la información de SRC y DEST que se incluye en los registros de flujo de VPC. En esta vista, se agrega el tráfico desde el origen hasta el destino.
• Cliente y servidor: esta opción intenta encontrar el iniciador de la conexión. Un recurso con el número de puerto más pequeño se considera el servidor. También considera los recursos con la definición gke_service como los servidores debido a que los servicios no inician solicitudes. Esta vista agrega el tráfico en ambas direcciones.

Selector de intervalo de tiempo

El intervalo de tiempo predeterminado es de una hora, pero puedes seleccionar entre las opciones de tiempo predeterminadas, especificar una hora personalizada de inicio y finalización, o centrar el intervalo de tiempo alrededor de una marca de tiempo específica con el selector de intervalo de tiempo. Por ejemplo, si deseas ver los datos de la última semana, selecciona Última semana en el selector de rango de tiempo.

También puedes configurar tus preferencias de zona horaria con el selector de intervalo de tiempo.

Filtros básicos

Puedes crear la consulta organizando los flujos de acuerdo con los recursos en ambas direcciones.

Para usar los filtros, selecciona los campos de la lista y especifica valores para estos.

Puedes agregar varias expresiones de filtro para filtrar flujos que coincidan con los pares clave-valor seleccionados. Si seleccionas más filtros para el mismo campo, se utiliza un operador O. Si seleccionas filtros para campos diferentes, se usa el operador Y.

Por ejemplo, si seleccionas dos valores de dirección IP: 1.2.3.4 y 10.20.10.30, y dos valores País (US y France), se aplica la siguiente lógica de filtro a la consulta:

(IP=1.2.3.4 O IP=10.20.10.30) Y (País=US O País=France)

Si intentas modificar los filtros del extremo o las opciones de tráfico, los resultados pueden variar. Debes volver a ejecutar la consulta para ver los resultados actualizados.

Para compilar y ejecutar la consulta con los filtros básicos, lee Compilar y ejecutar la consulta.

Filtros de SQL

Para crear consultas complejas, puedes usar filtros de SQL. Si usas consultas complejas, puedes realizar las siguientes tareas:

1. Compara los valores de los campos entre sí
2. Compilación de lógica booleana compleja con Y/O y operaciones OR anidadas
3. Realiza operaciones complejas en direcciones IP con las funciones de BigQuery

Las consultas de filtro de SQL usan la sintaxis SQL de BigQuery. Para obtener más información, consulta la sintaxis SQL de BigQuery.

Para ver la sintaxis y los ejemplos de las expresiones de filtro, haz clic en Filtrar la sintaxis y los ejemplos de expresiones.

Para compilar y ejecutar la consulta con filtros de SQL, revisa Cómo compilar y ejecutar una consulta en SQL.

Resultados de la consulta

Los resultados de la consulta incluyen los siguientes componentes:

• Gráfico de flujos de datos más altos: Muestra los cinco flujos de tráfico más altos a lo largo del tiempo junto con el resto del tráfico. Con este gráfico, puedes detectar tendencias como aumentos repentinos de tráfico.
• Tabla de todos los flujos de datos: Muestra los principales flujos de tráfico hasta 10,000 filas agregadas durante la duración seleccionada. En esta tabla, se muestran los campos seleccionados para organizar los flujos mientras se definen los filtros para la consulta.

Opciones de visualización

Después de ejecutar la consulta, puedes definir mejor los resultados con las diversas opciones de visualización. El gráfico y la tabla se actualizan para reflejar las opciones recién seleccionadas. Para seleccionar las opciones personalizadas y ejecutar la consulta, consulta Cómo personalizar las opciones de visualización.

Tipos de métricas

Puedes elegir ver uno de los siguientes tipos de métricas.

• Bytes enviados: Contiene información sobre los volúmenes de carga útil y no incluye encabezados. Este valor de métrica puede ser cero porque algunos paquetes solo tienen encabezados y no incluyen ninguna carga útil.

• Paquetes enviados: indica la cantidad de paquetes enviados desde el origen hacia el destino.

Para ambos tipos de métricas, puedes elegir agregaciones de métricas adicionales.

Agregación de métricas

Puedes ver la agregación de métricas de las siguientes maneras.

Si seleccionas Bytes enviados como la métrica y Origen y destino como la agregación de tráfico, las siguientes opciones están disponibles:

• Tráfico total: Esta opción siempre está habilitada de forma predeterminada y muestra el tráfico total para el período elegido.
• Tasa de tráfico promedio: Muestra la tasa de tráfico promedio (en bytes por segundo) del período elegido, calculada solo para los períodos de alineación en los que se observó tráfico. Para obtener más información, consulta Período de alineación.
• Tasa mediana de tráfico: Muestra la tasa de tráfico mediana (en bytes por segundo) del período seleccionado, calculada solo para los períodos de alineación en los que se observó tráfico. Para obtener más información, consulta Período de alineación.
• Tasa de tráfico P95: Muestra la tasa de tráfico del percentil 95 en bytes por segundo para el período elegido, calculada solo para los períodos de alineación en los que se observó el tráfico. Para obtener más información, consulta Período de alineación.
• Tasa de tráfico máxima: Muestra la tasa de tráfico máxima en bytes por segundo para el período elegido.

Si seleccionas Paquetes enviados como la métrica y Origen y destino como la agregación de tráfico, estarán disponibles las siguientes opciones:

• Agrega paquetes: Muestra la cantidad de paquetes enviados para el período elegido. Habilitados de forma predeterminada.
• Tasa de paquetes promedio: Muestra la tasa promedio de paquetes del período seleccionado, calculada solo para los períodos de alineación en los que se observó tráfico. Para obtener más información, consulta Período de alineación.
• Tasa mediana de paquetes: Muestra la mediana de la tasa de paquetes del período seleccionado, calculada solo para los períodos de alineación en los que se observó tráfico. Para obtener más información, consulta Período de alineación.
• Tasa de paquetes P95: Muestra la tasa de paquetes del percentil 95 para el período elegido, calculada solo para los períodos de alineación en los que se observó tráfico. Para obtener más información, consulta Período de alineación.
• Tasa máxima de paquetes: Muestra la tasa máxima de paquetes para el período elegido.

Período de alineación

Puedes elegir de 5 segundos a 1 día para el intervalo de tiempo de los detalles en el gráfico. El modo automático selecciona el período de alineación óptimo en función de la duración del período seleccionado.

Cada punto en el cronograma representa datos agregados de un período específico. La duración de este período se denomina período de alineación.

El rendimiento disminuye con la disminución del valor del período de alineación. Para los valores más altos del período de alineación, el gráfico se vuelve menos detallado. Es posible que no puedas ver los aumentos cortos con valores más altos.

Para duraciones de tiempo grandes, un período de alineación más breve no es útil. Por ejemplo, si seleccionas la alineación de 1 minuto durante un período de 30 días, el Analizador de flujo genera más de 43,000 datos. Como eso es 10 veces más que los píxeles de pantalla de 4K, no podrás ver todos los detalles y algunas opciones estarán inhabilitadas durante períodos prolongados.

Si deseas obtener más información sobre cómo se realiza el muestreo y se determina el período de alineación para mostrar los resultados de la consulta, consulta Métricas y período de alineación.

Punto de muestreo

Para la comunicación de red de VM a VM, los registros de flujo están disponibles (con el muestreo aplicado) en las VM que envían y reciben tráfico. Si ambas VM de extremo están en subredes que tienen registros de flujo de VPC habilitados, el mismo flujo se informa dos veces. Puedes elegir uno de los siguientes cuatro enfoques para determinar qué registros de flujo de VPC contribuyen a las métricas calculadas y cómo se evalúan:

• Extremo de origen: Es la cantidad de bytes enviados o paquetes enviados informados en el extremo de origen de un flujo.
• Extremo de destino: Es la cantidad de bytes enviados o de paquetes enviados informados en el extremo de destino de un flujo.
• Suma de extremos de origen y de destino: La suma de bytes enviados o de paquetes enviados informados por ambos extremos de un flujo
• Promedio de extremos de origen y de destino: Un promedio de bytes enviados o paquetes enviados informados por ambos extremos de un flujo si tanto la información de origen como la de destino están disponibles en los registros de flujo de VPC

Anulación de duplicación de tráfico

Para evitar que el tráfico informado en las VM de origen y de destino se cuente dos veces, puedes elegir la opción de muestreo Promedio de extremos de origen y de destino. El Analizador de flujo identifica flujos equivalentes dentro de cada período de alineación y calcula los promedios de los valores de métricas informados (recuento de bytes y de paquetes).

Para los períodos de alineación en los que se informan flujos equivalentes en SRC y DEST, todo el tráfico atribuido a un período de alineación determinado se divide por dos.

Ver detalles del flujo

En la tabla Todos los flujos de datos, haz clic en Mostrar detalles de cualquier flujo. Aparecerá el panel Detalles de flujo. En este panel, se proporciona información como la fuente, el destino, el tráfico y las posibles opciones de desglose.

Puedes desglosar el flujo de tráfico seleccionado dividiendo en un campo adicional. Por ejemplo, si un flujo incluye detalles genéricos sobre el tráfico de 1,000 GiB desde la zona X de Google Cloud hasta la zona Y, puedes desglosarla con otro campo, como la dirección IP de origen. En los resultados, se incluyen varias direcciones IP que conforman el flujo original.

Los campos que aparecen en el componente de desglose se seleccionan de la siguiente manera:

• Cuando accedes a los detalles del flujo, el Analizador de flujo ejecuta varias consultas. Cada consulta intenta desglosar el flujo seleccionado con los campos disponibles en los registros de flujo de VPC y que aún no se usan en la consulta original. Por ejemplo, si la consulta ejecutada ya incluye los detalles de la dirección IP, no necesitas ejecutar la consulta con este campo de nuevo y no puedes desglosarla con este campo.
• Si alguna de las consultas adicionales muestra un solo valor de campo, se agrega a la sección de detalles de origen y destino, aunque no se recupere antes.
• Si alguno de los resultados de la consulta incluye más de un valor de campo, el campo correspondiente aparecerá en la lista de desglose.

A medida que seleccionas un campo en la lista de desglose, la tabla de desglose y el gráfico se actualizan para mostrar los tres flujos de tráfico principales.

También puedes usar el botón de activación Comparar con valores pasados. Selecciona esta función para ver seis líneas: tres líneas continuas para los tres participantes principales del desglose y tres líneas punteadas en los colores correspondientes que representan el tráfico pasado.

Para desglosar los flujos de tráfico mediante más campos, consulta Desglosa flujos de tráfico.

Explorar en Análisis de registros

Puedes ver la consulta en SQL sin procesar en el Análisis de registros.

Para un análisis avanzado, puedes modificar directamente el código SQL que se usa para visualizar el tráfico. La función Explorar en el análisis de registros te dirige a la página Análisis de registros con una consulta ya completada.

¿Qué sigue?

• Métricas y período de alineación
• Analizar los flujos de tráfico
• Habilita el análisis de registros
• Configura un bucket central
• Ejecuta pruebas de conectividad desde el Analizador de flujo
• Supervisa tus flujos de tráfico
• Soluciona problemas de datos en el Analizador de flujo