Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica di Flow Analyzer

Flow Analyzer (anteprima) consente di comprendere in modo rapido ed efficiente il tuo VPC flussi di traffico senza la necessità di scrivere query SQL complesse per l'analisi Log di flusso VPC. Flow Analyzer ti consente di eseguire un'analisi del traffico di rete con opinioni con granularità a 5 tuple (IP di origine, IP di destinazione, porta di origine, porta di destinazione e protocollo).

Sviluppato utilizzando Analisi dei log e basato su BigQuery, lo strumento Flow Analyzer consente un'analisi approfondita del traffico in entrata e in uscita delle tue istanze VM. Ti permette di monitorare, risolvere i problemi e ottimizzare il deployment della rete per migliorare le prestazioni e la sicurezza, aiuta a garantire la conformità e a risparmiare sui costi.

Flow Analyzer analizza i dati dei log di flusso VPC archiviati in un bucket di log (formato record). Per utilizzare Flow Analyzer, devi selezionare un progetto con un bucket di log che contiene i log di flusso VPC. Per ulteriori informazioni, consulta la panoramica dei log di flusso VPC. I log di flusso VPC possono da utilizzare per il monitoraggio della rete, le indagini forensi, l'analisi della sicurezza in tempo reale e e ottimizzare le spese.

Flow Analyzer esegue query sui campi inclusi nei log di flusso VPC. Per ulteriori informazioni, consulta Proprietà chiave dei log di flusso VPC.

Con Flow Analyzer puoi eseguire le seguenti attività:

Crea ed esegui una semplice query sui log di flusso VPC
Crea un filtro SQL (utilizzando un'istruzione WHERE) per la query sui log di flusso VPC
Organizza i risultati utilizzando i campi selezionati e ordina i risultati della query utilizzando il traffico totale e i pacchetti aggregati
Visualizzare il traffico a intervalli di tempo scelti
Visualizza i cinque principali flussi di traffico nel tempo sotto forma di grafico dei dati, rispetto al resto del traffico
Visualizza le risorse con il traffico più elevato aggregate negli elementi selezionati durata in formato tabulare
Visualizzare i dettagli del traffico tra una sorgente specifica e coppia di destinazione dai risultati della query
Esegui drill-down dei risultati della query utilizzando i campi rimanenti disponibili nei log di flusso VPC

Come funziona

I log di flusso VPC registrano un campione di flussi di rete inviati e ricevuti dalle risorse VPC, come le istanze VM e i nodi Google Kubernetes Engine.

I log dei flussi possono essere visualizzati in Cloud Logging e possono essere esportati in qualsiasi destinazione supportata dalle funzionalità di esportazione di Logging. Puoi utilizzare Analisi dei log per eseguire query che analizzano i log di dati, dopodiché potrai visualizzare i risultati della query sotto forma di grafici tabelle.

Flow Analyzer utilizza Analisi dei log per consentirti di eseguire query sui log di flusso VPC e scoprire di più sui flussi di traffico fornendo informazioni come il grafico dei flussi di dati più elevati e una tabella che fornisce dettagli su tutti i flussi di dati.

Componenti delle query

Per analizzare e comprendere i flussi di traffico, devi eseguire una query sui log di flusso VPC. Lo strumento di analisi dei flussi ti aiuta a creare la query, personalizzare le opzioni di visualizzazione e visualizzare e monitorare i flussi di traffico.

Aggregazione del traffico

Per analizzare i flussi di traffico VPC, devi determinare l'approccio all'aggregazione per filtrare i flussi tra le risorse. Flow Analyzer organizza log di flusso per l'aggregazione nei seguenti modi:

Origine e destinazione: questa opzione utilizza le informazioni SRC e DEST incluse nei log di flusso VPC. Questa visualizzazione aggrega del traffico dall'origine alla destinazione.
Cliente e server: questa opzione tenta di trovare l'iniziatore del connessione. Una risorsa con numero di porta più basso è considerata il server. Prende inoltre in considerazione le risorse con Definizione di gke_service come server perché i servizi non vengono avviati richieste. Questa visualizzazione aggrega il traffico in entrambe le direzioni.

Selettore dell'intervallo di tempo

L'intervallo di tempo predefinito è un'ora, ma puoi scegliere tra le opzioni di tempo predefinite, specifica ora di inizio e di fine personalizzate o centra l'intervallo di tempo intorno a una specifica il timestamp usando il selettore dell'intervallo di tempo. Ad esempio, se vuoi visualizzare il dei dati della settimana precedente, poi seleziona Ultima settimana dall'intervallo di tempo selettore.

Puoi anche impostare le preferenze relative al fuso orario utilizzando il selettore dell'intervallo di tempo.

Filtri di base

Puoi creare la query organizzando i flussi in base alle risorse in in entrambe le direzioni.

Per utilizzare i filtri, seleziona i campi dall'elenco e specifica i valori per questi campi.

Puoi aggiungere più espressioni per filtrare i flussi che corrispondono alle coppie chiave-valore selezionate. Se selezioni più filtri per lo stesso campo, viene usato un operatore OR . Se selezioni filtri per campi diversi, viene utilizzato un operatore AND.

Ad esempio, se selezioni due valori per l'indirizzo IP: 1.2.3.4 e 10.20.10.30 e due valori per il paese: US e France, alla query viene applicata la seguente logica di filtro:

(IP=1.2.3.4 OR IP=10.20.10.30) AND (Country=US OR Country=France)

Se provi a modificare i filtri degli endpoint o le opzioni di traffico, i risultati potrebbero variare. Devi eseguire di nuovo la query per visualizzare i risultati aggiornati.

Per creare ed eseguire la query utilizzando i filtri di base, consulta Creare ed eseguire la query.

Filtri SQL

Per creare query complesse, puoi utilizzare i filtri SQL. Utilizzando query complesse, possono eseguire attività quali:

Confronto tra i valori dei campi
Creazione di una logica booleana complessa utilizzando AND/OR e operazioni OR nidificate
Eseguire operazioni complesse sugli indirizzi IP utilizzando le funzioni BigQuery

Le query di filtro SQL utilizzano la sintassi SQL di BigQuery. Per ulteriori informazioni, consulta la sintassi SQL di BigQuery.

Per visualizzare la sintassi e gli esempi delle espressioni di filtro, fai clic su Sintassi ed esempi delle espressioni di filtro.

Per creare ed eseguire la query utilizzando i filtri SQL, consulta Creare ed eseguire una query SQL.

Risultati delle query

I risultati della query includono i seguenti componenti:

Grafico dei flussi di dati più elevati: mostra i cinque flussi di traffico più elevati nel tempo, insieme al resto del traffico. Puoi identificare tendenze come picchi di traffico utilizzando questo grafico.
Tabella Tutti i flussi di dati: mostra i principali flussi di traffico fino a 10.000 righe aggregate per la durata selezionata. Questa tabella mostra i campi selezionati per organizzare i flussi durante la definizione dei filtri per la query.

Opzioni di visualizzazione

Dopo aver eseguito la query, puoi perfezionare ulteriormente i risultati utilizzando le varie opzioni di visualizzazione. Sia il grafico che la tabella vengono aggiornati per riflettere opzioni selezionate. Per selezionare le opzioni personalizzate ed eseguire la query, consulta Personalizza le opzioni di visualizzazione.

Tipi di metriche

Puoi scegliere di visualizzare uno dei seguenti tipi di metriche.

Byte inviati: contiene informazioni sui volumi del payload e non include intestazioni. Questo valore della metrica può essere zero perché alcuni pacchetti contengono solo intestazioni e non includono alcun payload.

Nota: non puoi utilizzare questa metrica per stimare i costi perché i dati sono campionato e non include intestazioni.
Pacchetti inviati: indica il numero di pacchetti inviati dall'origine alla destinazione.

Per entrambi i tipi di metriche, puoi scegliere altre aggregazioni di metriche.

Aggregazione delle metriche

Puoi visualizzare l'aggregazione delle metriche nei seguenti modi.

Se selezioni Byte inviati come metrica e Origine e destinazione come aggregazione del traffico, sono disponibili le seguenti opzioni:

Traffico totale: è sempre attivato per impostazione predefinita e mostra il traffico totale per il periodo di tempo scelto.
Tasso di traffico medio: mostra il tasso di traffico medio (in byte al secondo) per il periodo di tempo scelto, calcolato solo per i periodi di allineamento durante i quali è stato osservato il traffico. Per ulteriori informazioni, consulta Periodo di allineamento.
Tasso di traffico mediano: mostra il tasso di traffico mediano (in byte al secondo) per il periodo di tempo scelto, calcolato solo per i periodi di allineamento durante i quali è stato osservato il traffico. Per ulteriori informazioni, consulta Periodo di allineamento.
Frequenza di traffico P95: mostra la frequenza di traffico al 95° percentile in byte per secondo per il periodo di tempo scelto, calcolato solo per l'allineamento periodi durante i quali è stato osservato il traffico. Per ulteriori informazioni, consulta Periodo di allineamento.
Frequenza massima di traffico: mostra la frequenza massima di traffico in byte per secondo per il periodo di tempo scelto.

Se selezioni Pacchetti inviati come metrica e Sorgente e destinazione come aggregazione del traffico, sono disponibili le seguenti opzioni:

Pacchetti aggregati: mostra il numero di pacchetti inviati per il periodo di tempo scelto. Questa opzione è abilitata per impostazione predefinita.
Frequenza media di pacchetti: mostra la velocità media di pacchetti per l'oggetto selezionato. di tempo, calcolato solo per i periodi allineamento durante i quali è stato osservato il traffico. Per ulteriori informazioni, vedi Periodo di allineamento.
Frequenza mediana di pacchetti: mostra la frequenza mediana di pacchetti per il periodo di tempo scelto, calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico. Per ulteriori informazioni, vedi Periodo di allineamento.
Frequenza di pacchetti P95: mostra la frequenza di pacchetti del 95° percentile per il periodo di tempo scelto, calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico. Per ulteriori informazioni, consulta Periodo di allineamento.
Tasso di pacchetti massimo: mostra la frequenza massima di pacchetti per il periodo di tempo scelto.

Periodo allineamento

Puoi scegliere un intervallo di tempo compreso tra 5 secondi e 1 giorno per i dettagli nel grafico. La modalità automatica seleziona il periodo di allineamento ottimale in base al durata del periodo selezionato.

Ogni punto sulla sequenza temporale rappresenta dati aggregati per un periodo di tempo specifico punto. La durata di questo periodo è chiamata periodo di allineamento.

Il rendimento diminuisce con la diminuzione del valore del periodo di allineamento. Per valori più elevati del periodo di allineamento, il grafico diventa meno granulare. Potresti non essere in grado di visualizzare i brevi picchi con valori più elevati.

Per durate temporali lunghe, un periodo di allineamento più breve non è utile. Per Ad esempio, se selezioni un allineamento di 1 minuto per un periodo di 30 giorni, Flow Analyzer genera più di 43.000 punti dati. Poiché è 10 volte superiore ai pixel del display 4K, non potrai visualizzare tutti i dettagli e alcune opzioni sono disattivate per durate temporali lunghe.

Per ulteriori informazioni su come viene effettuato il campionamento e sul periodo di allineamento, determinati a mostrare i risultati della query, Metriche e periodo di allineamento.

Punto di campionamento

Per la comunicazione di rete da VM a VM, log di flusso sono disponibili (con campionamento applicato) sia sulle VM che inviano ricevono traffico. Se entrambe le VM dell'endpoint si trovano in subnet Log di flusso VPC abilitati, lo stesso flusso viene registrato due volte. Puoi scegliere uno dei seguenti quattro approcci per determinare quali log di flusso VPC contribuiscono alle metriche calcolate e come vengono valutate:

Endpoint di origine: il numero di byte inviati o pacchetti inviati registrati all'endpoint di origine di un flusso
Endpoint di destinazione: il numero di byte inviati o pacchetti inviati registrati all'endpoint di destinazione di un flusso
Somma di endpoint di origine e di destinazione: la somma dei byte inviati o dei pacchetti inviati registrati da entrambi gli endpoint di un flusso
Media degli endpoint di origine e di destinazione: una media di byte. o pacchetti inviati segnalati da entrambi gli endpoint di un flusso se sia l'origine e le informazioni sulla destinazione sono disponibili nei log di flusso VPC

Deduplicazione del traffico

Per evitare che il traffico registrato nelle VM di origine e di destinazione venga conteggiato due volte, puoi scegliere l'opzione di campionamento Media dell'endpoint di origine e di destinazione. Flow Analyzer identifica i flussi equivalenti all'interno di ogni allineamento periodo e calcola le medie dei valori delle metriche riportate (conteggio byte e il numero di pacchetti).

Per i periodi di allineamento in cui i flussi equivalenti sono riportati sia a SRC che a DEST, tutto il traffico attribuito a un determinato periodo allineamento viene diviso per due.

Visualizza i dettagli del flusso

Nella tabella Tutti i flussi di dati, fai clic su Mostra dettagli per qualsiasi flusso. Il flusso dei dettagli. Questo riquadro fornisce informazioni quali fonte, destinazione, traffico e possibili opzioni di visualizzazione in dettaglio.

Puoi visualizzare in dettaglio suddividendo un flusso di traffico selezionato utilizzando una . Ad esempio, se un flusso include dettagli generici sul traffico di 1000 GiB dalla zona X di Google Cloud alla zona Y, puoi visualizzare i dettagli utilizzando un altro campo, ad esempio l'indirizzo IP di origine. I risultati includono diversi indirizzi IP che costituiscono il flusso originale.

I campi visualizzati nel componente di visualizzazione dettagliata vengono selezionati come segue:

Quando accedi ai dettagli del flusso, Flow Analyzer esegue diverse query. Ogni query cerca di visualizzare in dettaglio il flusso selezionato utilizzando i campi disponibili nei log di flusso VPC e non ancora utilizzati nella query originale. Ad esempio, se la query eseguita include già i dettagli dell'indirizzo IP, non è necessario eseguire di nuovo la query con questo campo e non puoi visualizzare dettagli più approfonditi utilizzando questo campo.
Se una delle query aggiuntive restituisce un singolo valore di campo, viene aggiunta alla sezione dei dettagli di origine e destinazione anche se non viene recuperata in precedenza.
Se uno dei risultati della query include più di un valore di campo, il campo corrispondente viene visualizzato nell'elenco di visualizzazione in dettaglio.

Quando selezioni un campo nell'elenco in dettaglio, la tabella visualizzazione in dettaglio e il grafico vengono aggiornati in modo da visualizzare i primi tre flussi di traffico.

Puoi anche utilizzare il pulsante di attivazione/disattivazione Confronta con i dati precedenti. Seleziona questa caratteristica per visualizzare sei linee: tre linee continue per i tre talker principali dalla visualizzazione in dettaglio e tre linee tratteggiate nei colori corrispondenti che rappresentano il traffico passato.

Per visualizzare in dettaglio i flussi di traffico utilizzando più campi, consulta Visualizzare in dettaglio i flussi di traffico.

Esplora in Analisi dei log

Puoi visualizzare la query SQL non elaborata in Analisi dei log.

Per l'analisi avanzata, puoi modificare direttamente il codice SQL utilizzato per visualizzare il traffico. La funzionalità Esplora in Analisi dei log ti reindirizza alla pagina Analisi dei log con una query precompilata.