Panoramica di Flow Analyzer

Flow Analyzer (anteprima) consente di comprendere in modo rapido ed efficiente i flussi di traffico VPC senza la necessità di scrivere query SQL complesse per analizzare i log di flusso VPC. Flow Analyzer consente di eseguire l'analisi del traffico di rete con un livello di granularità a 5 tuple (IP di origine, IP di destinazione, porta di origine, porta di destinazione e protocollo).

Sviluppato utilizzando l'analisi dei log e basato su BigQuery, l'Analizzatore di flusso consente un'analisi approfondita del traffico in entrata e in uscita delle istanze VM. Consente di monitorare, risolvere i problemi e ottimizzare il deployment di networking per ottenere prestazioni migliori e una maggiore sicurezza, che ti aiutano a garantire la conformità e risparmiare sui costi.

Flow Analyzer analizza i dati dei log di flusso VPC archiviati in un bucket di log (formato record). Per utilizzare l'Analizzatore di flusso, devi selezionare un progetto con un bucket di log contenente log di flusso VPC. Per ulteriori informazioni, consulta la panoramica dei log di flusso VPC. I log di flusso VPC possono essere utilizzati per monitoraggio della rete, network forensics, analisi della sicurezza in tempo reale e ottimizzazione delle spese.

Flow Analyzer esegue query sui campi inclusi nei log di flusso VPC. Per maggiori informazioni, consulta Proprietà chiave dei log di flusso VPC.

Con Flow Analyzer, puoi eseguire le seguenti attività:

Crea ed esegui una semplice query sui log di flusso VPC
Crea un filtro SQL (utilizzando un'istruzione WHERE) per la query nei log di flusso VPC
Organizza i risultati utilizzando i campi selezionati e ordina i risultati della query utilizzando il traffico totale e i pacchetti aggregati
Visualizzare il traffico a intervalli di tempo selezionati
Visualizza i cinque flussi di traffico più elevati nel tempo in un formato grafico rispetto al resto del traffico
Visualizza le risorse con il traffico più elevato aggregate per la durata selezionata in formato tabulare
Visualizza i dettagli del traffico tra una determinata coppia di origine e destinazione dai risultati della query
Visualizza in dettaglio i risultati delle query utilizzando i campi rimanenti disponibili nei log di flusso VPC

Come funziona

I log di flusso VPC registrano un campione di flussi di rete inviati e ricevuti dalle risorse VPC, ad esempio istanze VM e nodi Google Kubernetes Engine.

I log di flusso possono essere visualizzati in Cloud Logging e possono essere esportati in qualsiasi destinazione supportata dall'esportazione di Logging. Puoi utilizzare Analisi dei log per eseguire query che analizzano i dati dei log e poi visualizzare i risultati delle query sotto forma di grafici e tabelle.

Flow Analyzer utilizza l'Analisi dei log per consentirti di eseguire query sui log di flusso VPC e saperne di più sui flussi di traffico fornendo informazioni come il grafico dei flussi di dati più elevati e una tabella che fornisce dettagli su tutti i flussi di dati.

Componenti della query

Per analizzare e comprendere i flussi di traffico, devi eseguire una query sui log di flusso VPC. Flow Analyzer consente di creare la query, personalizzare le opzioni di visualizzazione e visualizzare in dettaglio i flussi di traffico.

Aggregazione del traffico

Per analizzare i flussi di traffico VPC, devi determinare l'approccio all'aggregazione per filtrare i flussi tra le risorse. Flow Analyzer organizza i log di flusso per l'aggregazione nei seguenti modi:

Origine e destinazione: questa opzione utilizza le informazioni SRC e DEST incluse nei log di flusso VPC. Questa vista aggrega il traffico dall'origine alla destinazione.
Client e server: questa opzione tenta di trovare l'autore della connessione. Una risorsa con il numero di porta più piccolo è considerata il server. Considera anche come server le risorse con definizione di gke_service perché i servizi non avviano richieste. Questa visualizzazione aggrega il traffico in entrambe le direzioni.

Selettore dell'intervallo di tempo

L'intervallo di tempo predefinito è di un'ora, ma puoi scegliere tra le opzioni di orario preimpostate, specificare un'ora di inizio e di fine personalizzata o centrare l'intervallo di tempo su un timestamp specifico utilizzando il selettore dell'intervallo di tempo. Ad esempio, per visualizzare i dati della settimana precedente, seleziona Ultima settimana dal selettore dell'intervallo di tempo.

Puoi anche impostare le preferenze di fuso orario utilizzando il selettore dell'intervallo di tempo.

Filtri di base

Puoi creare la query organizzando i flussi in base alle risorse in entrambe le direzioni.

Per utilizzare i filtri, seleziona i campi dall'elenco e specifica i relativi valori.

Puoi aggiungere più espressioni di filtro per filtrare i flussi che corrispondono alle coppie chiave-valore selezionate. Se selezioni più filtri per lo stesso campo, viene utilizzato un operatore OR. Se selezioni filtri per campi diversi, viene utilizzato un operatore AND.

Ad esempio, se selezioni due valori di indirizzo IP: 1.2.3.4 e 10.20.10.30 e due valori di Paese: US e France, alla query viene applicata la seguente logica di filtro:

(IP=1.2.3.4 OR IP=10.20.10.30) AND (Paese=US OR Paese=France)

Se provi a modificare i filtri degli endpoint o le opzioni del traffico, i risultati potrebbero variare. Devi eseguire di nuovo la query per visualizzare i risultati aggiornati.

Per creare ed eseguire la query utilizzando i filtri di base, consulta Creare ed eseguire la query.

Filtri SQL

Per creare query complesse, puoi utilizzare i filtri SQL. Utilizzando query complesse, puoi eseguire attività come:

Confrontare tra loro i valori dei campi
Creazione di una logica booleana complessa utilizzando AND/OR e operazioni OR nidificate
Esecuzione di operazioni complesse sugli indirizzi IP usando le funzioni BigQuery

Le query di filtro SQL utilizzano la sintassi SQL di BigQuery. Per saperne di più, consulta la sintassi SQL di BigQuery.

Per visualizzare la sintassi e gli esempi di espressioni di filtro, fai clic su Sintassi ed esempi di espressioni di filtro.

Per creare ed eseguire la query utilizzando i filtri SQL, consulta Creare ed eseguire una query SQL.

Risultati delle query

I risultati della query includono i seguenti componenti:

Grafico dei flussi di dati più elevati: mostra i cinque flussi di traffico più elevati nel tempo, insieme al resto del traffico. Questo grafico ti consente di individuare tendenze come i picchi di traffico.
Tabella Tutti i flussi di dati: mostra i principali flussi di traffico fino a 10.000 righe aggregate nella durata selezionata. Questa tabella mostra i campi selezionati per organizzare i flussi e definire i filtri per la query.

Opzioni di visualizzazione

Dopo aver eseguito la query, puoi perfezionare ulteriormente i risultati utilizzando le varie opzioni di visualizzazione. Sia il grafico che la tabella vengono aggiornati in modo da riflettere le nuove opzioni selezionate. Per selezionare le opzioni personalizzate ed eseguire la query, consulta Personalizzare le opzioni di visualizzazione.

Tipi di metriche

Puoi scegliere di visualizzare uno dei seguenti tipi di metriche.

Byte inviati: contiene informazioni sui volumi dei payload e non include le intestazioni. Il valore di questa metrica può essere zero perché alcuni pacchetti hanno solo intestazioni e non includono payload.

Nota: non puoi utilizzare questa metrica per stimare i costi perché i dati sono campionati e non includono intestazioni.
Pacchetti inviati: indica il numero di pacchetti inviati dall'origine alla destinazione.

Per entrambi i tipi di metriche, puoi scegliere aggregazioni di metriche aggiuntive.

Aggregazione delle metriche

Puoi visualizzare l'aggregazione delle metriche nei seguenti modi.

Se selezioni Byte inviati come metrica e Origine e destinazione come aggregazione del traffico, saranno disponibili le seguenti opzioni:

Traffico totale: questa opzione è sempre abilitata per impostazione predefinita e mostra il traffico totale per il periodo di tempo scelto.
Velocità media di traffico: mostra la velocità media di traffico (in byte al secondo) per il periodo di tempo scelto, calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico. Per maggiori informazioni, consulta la sezione Periodo di allineamento.
Frequenza mediana di traffico: mostra la frequenza mediana di traffico (in byte al secondo) per il periodo di tempo scelto, calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico. Per maggiori informazioni, consulta la sezione Periodo di allineamento.
Frequenza di traffico P95: mostra la frequenza di traffico del 95° percentile in byte al secondo per il periodo di tempo scelto, calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico. Per maggiori informazioni, consulta la sezione Periodo di allineamento.
Frequenza massima di traffico: mostra la velocità massima di traffico in byte al secondo per il periodo di tempo scelto.

Se selezioni Pacchetti inviati come metrica e Origine e destinazione come aggregazione del traffico, saranno disponibili le seguenti opzioni:

Pacchetti aggregati: mostra il numero di pacchetti inviati per il periodo di tempo selezionato. Questa opzione è abilitata per impostazione predefinita.
Frequenza media di pacchetti: mostra la quantità media di pacchetti per il periodo di tempo scelto, calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico. Per maggiori informazioni, consulta la sezione Periodo di allineamento.
Frequenza mediana di pacchetti: mostra la frequenza mediana di pacchetti per il periodo di tempo scelto, calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico. Per maggiori informazioni, consulta la sezione Periodo di allineamento.
Frequenza di pacchetti P95: mostra la frequenza di pacchetti del 95° percentile per il periodo di tempo scelto, calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico. Per maggiori informazioni, consulta la sezione Periodo di allineamento.
Frequenza massima di pacchetti: mostra la velocità massima di pacchetti per il periodo di tempo selezionato.

Periodo allineamento

Puoi scegliere da 5 secondi a 1 giorno per l'intervallo di tempo dei dettagli nel grafico. La modalità automatica seleziona il periodo di allineamento ottimale in base alla durata del periodo selezionato.

Ogni punto della sequenza temporale rappresenta i dati aggregati per un periodo di tempo specifico. La durata di questo periodo è chiamata periodo di allineamento.

Il rendimento diminuisce con la diminuzione del valore del periodo di allineamento. Per valori più alti del periodo di allineamento, il grafico diventa meno granulare. Potresti non riuscire a visualizzare picchi brevi con valori più elevati.

Per lunghe durate, un periodo di allineamento più breve non è utile. Ad esempio, se selezioni l'allineamento di 1 minuto per un periodo di 30 giorni, Flow Analyzer genera più di 43.000 punti dati. Poiché si tratta di un numero di pixel 10 volte superiore rispetto ai pixel di display 4K, non potrai visualizzare tutti i dettagli e alcune opzioni sono disabilitate per periodi di tempo prolungati.

Per saperne di più su come viene eseguito il campionamento e sul periodo di allineamento determinato in modo da visualizzare i risultati della query, consulta Metriche e periodo di allineamento.

Punto di campionamento

Per la comunicazione di rete da VM a VM, i log di flusso sono disponibili (con il campionamento applicato) in entrambe le VM che inviano e ricevono traffico. Se entrambe le VM dell'endpoint si trovano in subnet in cui sono abilitati i log di flusso VPC, lo stesso flusso viene segnalato due volte. Puoi scegliere uno dei quattro approcci seguenti per determinare quali log di flusso VPC contribuiscono alle metriche calcolate e come vengono valutate:

Endpoint di origine: il numero di byte inviati o di pacchetti inviati segnalati all'endpoint di origine di un flusso
Endpoint di destinazione: il numero di byte inviati o di pacchetti inviati segnalati all'endpoint di destinazione di un flusso
Somma dell'endpoint di origine e di destinazione: la somma dei byte inviati o dei pacchetti inviati segnalati da entrambi gli endpoint di un flusso
Media degli endpoint di origine e di destinazione: una media di byte inviati o pacchetti inviati da entrambi gli endpoint di un flusso, se sia l'origine che la destinazione sono disponibili nei log di flusso VPC

Deduplicazione del traffico

Per evitare che il traffico segnalato alle VM di origine e di destinazione venga conteggiato due volte, puoi scegliere l'opzione di campionamento Media degli endpoint di origine e di destinazione. Flow Analyzer identifica i flussi equivalenti all'interno di ciascun periodo di allineamento e calcola le medie dei valori delle metriche dei report (conteggio dei byte e dei pacchetti).

Per i periodi di allineamento in cui vengono riportati flussi equivalenti sia a SRC che a DEST, tutto il traffico attribuito a un determinato periodo di allineamento viene diviso per due.

Visualizza dettagli flusso

Nella tabella Tutti i flussi di dati, fai clic su Mostra dettagli per qualsiasi flusso. Viene visualizzato il riquadro Dettagli flusso. Questo riquadro fornisce informazioni come origine, destinazione, traffico e possibili opzioni di visualizzazione in dettaglio.

Puoi visualizzare in dettaglio suddividendo un flusso di traffico selezionato con un campo aggiuntivo. Ad esempio, se un flusso include dettagli generici relativi a 1000 GiB di traffico dalla zona X di Google Cloud alla zona Y, puoi visualizzare in dettaglio utilizzando un altro campo come l'indirizzo IP di origine. I risultati includono diversi indirizzi IP che compongono il flusso originale.

I campi che vengono visualizzati nel componente Visualizzazione in dettaglio vengono selezionati come segue:

Quando accedi ai dettagli del flusso, Flow Analyzer esegue diverse query. Ogni query cerca di visualizzare in dettaglio il flusso selezionato utilizzando i campi disponibili nei log di flusso VPC e non ancora utilizzati nella query originale. Ad esempio, se la query eseguita include già i dettagli dell'indirizzo IP, non è necessario eseguirla di nuovo con questo campo e non puoi visualizzare i dati in dettaglio utilizzando questo campo.
Se per una delle query aggiuntive viene restituito un valore di campo singolo, questo viene aggiunto alla sezione dei dettagli dell'origine e della destinazione anche se non è stato recuperato in precedenza.
Se uno dei risultati della query include più valori di campo, il campo corrispondente viene visualizzato nell'elenco in dettaglio.

Quando selezioni un campo nell'elenco in dettaglio, la tabella drill-down e il grafico vengono aggiornati per mostrare i tre principali flussi di traffico.

Puoi anche utilizzare l'opzione di attivazione/disattivazione Confronta con i dati precedenti. Seleziona questa funzionalità per visualizzare sei linee: tre linee continue per i tre principali indicatori dal dettaglio e tre linee tratteggiate nei colori corrispondenti che rappresentano il traffico passato.

Per visualizzare in dettaglio i flussi di traffico utilizzando più campi, consulta Visualizzare in dettaglio i flussi di traffico.

Esplora in Analisi dei log

Puoi visualizzare la query SQL non elaborata in Analisi dei log.

Per l'analisi avanzata, puoi modificare direttamente il codice SQL utilizzato per visualizzare il traffico. La funzionalità Esplora in Analisi dei log ti indirizza alla pagina Analisi dei log con una query precompilata.