Présentation de Flow Analyzer

Flow Analyzer (preview) vous permet de comprendre rapidement et efficacement sans avoir à écrire de requêtes SQL complexes pour l'analyse les journaux de flux VPC. Flow Analyzer vous permet d'effectuer Analyse avisée du trafic réseau avec une précision à cinq tuples (adresse IP source, adresse IP de destination, port source, port de destination et protocole).

Développé à l'aide de Analyse de journaux et optimisés par BigQuery, Flow Analyzer permet une analyse approfondie des messages entrants et sortants le trafic de vos instances de VM. Il vous permet de surveiller, dépanner et optimiser déploiement réseau pour améliorer les performances et la sécurité, permet d'assurer la conformité et de réduire les coûts.

Flow Analyzer analyse les données des journaux de flux VPC stockées dans un journal (format d'enregistrement). Pour utiliser Flow Analyzer, vous devez sélectionner un projet avec qui contient les journaux de flux VPC. Pour en savoir plus, consultez les Présentation des journaux de flux VPC Les journaux de flux VPC peuvent pour la surveillance et l'investigation des réseaux, l'analyse de la sécurité en temps réel l'optimisation des dépenses.

Flow Analyzer exécute des requêtes sur les champs inclus dans les journaux de flux VPC. Pour en savoir plus, consultez Propriétés clés des journaux de flux VPC

Flow Analyzer vous permet d'effectuer les tâches suivantes:

• Créer et exécuter une requête simple sur les journaux de flux VPC
• Construire un filtre SQL (à l'aide d'une instruction WHERE) pour la requête sur Journaux de flux VPC
• Organisez les résultats à l'aide des champs sélectionnés et triez les résultats de la requête à l'aide de le trafic total et l'agrégation de paquets
• Afficher le trafic à des intervalles de temps choisis
• Afficher les cinq principaux flux de trafic au fil du temps dans un graphique par rapport au reste du trafic
• Afficher les ressources agrégées avec le trafic le plus élevé sur la période sélectionnée durée sous forme de tableau
• Afficher les détails du trafic entre une source spécifique et paire de destinations à partir des résultats de la requête
• Afficher le détail des résultats de la requête à l'aide des champs restants disponibles dans les journaux de flux VPC

Fonctionnement

Les journaux de flux VPC enregistrent un échantillon des flux réseau envoyés et reçus par les aux ressources VPC, telles que les instances de VM et les nœuds Google Kubernetes Engine,

Vous pouvez consulter les journaux de flux dans Cloud Logging. et peuvent être exportées vers n'importe quelle destination exportée par Logging compatibles. Vous pouvez utiliser l'Analyse de journaux pour exécuter des requêtes qui analysent les journaux Vous pouvez ensuite afficher les résultats de la requête sous forme de graphiques tableaux.

Flow Analyzer utilise l'Analyse de journaux pour vous permettre d'exécuter des requêtes sur les journaux de flux VPC et en savoir plus sur les flux de trafic en fournissant des informations telles que le graphique des flux de données les plus élevés et un tableau qui fournit des détails sur tous les flux de données.

Composants des requêtes

Pour analyser et comprendre vos flux de trafic, vous devez exécuter une requête sur les journaux de flux VPC. Flow Analyzer vous aide à créer la requête, à la personnaliser les options d'affichage, et afficher le détail pour afficher et surveiller le trafic les flux de données.

Agrégation du trafic

Pour analyser les flux de trafic VPC, vous devez déterminer l'approche d'agrégation pour filtrer les flux entre les ressources. Flow Analyzer organise les les journaux de flux peuvent être agrégés comme suit:

• Source et destination: cette option utilise les variables SRC et DEST. incluses dans les journaux de flux VPC. Cette vue regroupe les le trafic de la source vers la destination.
• Client and server: cette option tente de trouver l'initiateur de la . Une ressource avec le plus petit numéro de port est considérée comme le serveur. Il tient également compte des ressources avec gke_service en tant que serveurs, car les services n'initient pas requêtes. Cette vue regroupe le trafic dans les deux sens.

Sélecteur de période

La période par défaut est d'une heure, mais vous pouvez choisir parmi des options prédéfinies, définir des heures de début et de fin personnalisées, ou centrer la période sur un à l'aide du sélecteur de période. Par exemple, si vous souhaitez afficher de la semaine précédente, puis sélectionnez La semaine dernière dans la période sélecteur.

Vous pouvez également définir vos préférences de fuseau horaire à l'aide du sélecteur de période.

Filtres de base

Vous pouvez créer la requête en organisant les flux en fonction des ressources de dans les deux sens.

Pour utiliser les filtres, sélectionnez des champs dans la liste et spécifiez des valeurs pour ces champs .

Vous pouvez ajouter plusieurs expressions de filtre pour filtrer les flux qui correspondent aux éléments sélectionnés de paires clé-valeur. Si vous sélectionnez plusieurs filtres pour le même champ, un opérateur OU est utilisé. Si vous sélectionnez des filtres pour différents champs, un opérateur AND est utilisé.

Par exemple, si vous sélectionnez deux valeurs d'adresse IP: 1.2.3.4 et 10.20.10.30 et deux valeurs Country (Pays) : US et France, la logique de filtrage suivante est appliquée à la requête:

(IP=1.2.3.4 OR IP=10.20.10.30) AND (Country=US OR Country=France)

Si vous essayez de modifier les filtres du point de terminaison ou le trafic les résultats peuvent varier. Vous devez à nouveau exécuter la requête pour afficher résultats actualisés.

Pour créer et exécuter la requête en utilisant les filtres de base, consultez Créez et exécutez la requête.

Filtres SQL

Pour créer des requêtes complexes, vous pouvez utiliser des filtres SQL. À l'aide de requêtes complexes, peut effectuer les tâches suivantes:

1. Comparer les valeurs des champs entre elles
2. Création d'une logique booléenne complexe à l'aide d'opérations ET/OU et d'opérations OU imbriquées
3. Effectuer des opérations complexes sur des adresses IP à l'aide de BigQuery fonctions

Les requêtes de filtre SQL utilisent la syntaxe SQL BigQuery. Pour plus d'informations, consultez la page sur la syntaxe SQL BigQuery.

Pour afficher la syntaxe d'expression de filtre et des exemples, cliquez sur Syntaxe et exemples d'expressions de filtre

Pour créer et exécuter la requête à l'aide de filtres SQL, consultez Créez et exécutez une requête SQL.

Résultats de la requête

Les résultats de la requête incluent les composants suivants:

• Graphique des flux de données les plus élevés: affiche les cinq flux de données les plus élevés. le trafic au fil du temps ainsi que le reste du trafic. Toi peut repérer des tendances telles que des pics de trafic à l'aide de ce graphique.
• Table "Tous les flux de données": affiche les principaux flux de trafic jusqu'à 10 000 lignes. cumulées sur la durée sélectionnée. Ce tableau affiche les champs sélectionné pour organiser les flux lors de la définition des filtres de la requête.

Options d'affichage

Après avoir exécuté la requête, vous pouvez affiner davantage les résultats à l'aide des différents options d'affichage. Le graphique et le tableau sont tous deux mis à jour pour refléter les options sélectionnées. Pour sélectionner les options personnalisées et exécuter la requête, consultez Personnaliser les options d'affichage

Types de métriques

Vous pouvez choisir d'afficher l'un des types de métriques suivants.

• Octets envoyés: contient des informations sur les volumes de la charge utile et n'inclut pas d'en-têtes. Cette valeur de métrique peut être égale à zéro, car certains paquets n'ont que des en-têtes et n'incluent aucune charge utile.

• Packets sent (Paquets envoyés) : indique le nombre de paquets envoyés depuis la source vers la destination.

Pour les deux types de métriques, vous pouvez choisir des agrégations de métriques supplémentaires.

Agrégation de métriques

Vous pouvez afficher l'agrégation des métriques de différentes manières.

Si vous sélectionnez Octets envoyés comme métrique et Source et destination comme métrique les options suivantes sont disponibles:

• Trafic total: ce paramètre est toujours activé par défaut et affiche le le trafic total pour la période choisie.
• Taux de trafic moyen: indique le taux de trafic moyen (en octets par seconde) pour la période choisie, calculée uniquement pour l'alignement les périodes durant lesquelles le trafic a été observé. Pour en savoir plus, consultez Durée de l'alignement.
• Taux médian de trafic: affiche le taux de trafic médian (en octets par seconde) pour la période choisie, calculée uniquement pour l'alignement les périodes durant lesquelles le trafic a été observé. Pour en savoir plus, consultez Durée de l'alignement.
• Taux de trafic au 95e centile: indique le taux de trafic au 95e centile en octets par seconde pour la période choisie, calculée uniquement pour l'alignement les périodes durant lesquelles le trafic a été observé. Pour en savoir plus, consultez Durée de l'alignement.
• Maximum traffic rate (Taux de trafic maximal) : indique le taux de trafic maximal en octets par seconde pour la période choisie.

Si vous sélectionnez Packets envoyés comme métrique et Source et destination comme métrique l'agrégation du trafic, les options suivantes sont disponibles:

• Total des paquets: indique le nombre de paquets envoyés pendant la période choisie. période. Cette option est activée par défaut.
• Taux moyen de paquets: affiche le débit moyen de paquets pour le période, calculée uniquement pour les périodes d'alignement pendant lesquelles du trafic a été observé. Pour en savoir plus, consultez Durée de l'alignement.
• Taux médian de paquets: affiche le taux médian de paquets pour le période, calculée uniquement pour les périodes d'alignement pendant lesquelles du trafic a été observé. Pour en savoir plus, consultez Durée de l'alignement.
• Taux de paquets au 95e centile: indique le taux de paquets au 95e centile pour le période, calculée uniquement pour les périodes d'alignement pendant lesquelles du trafic a été observé. Pour en savoir plus, consultez Durée de l'alignement.
• Débit maximal de paquets: indique le débit maximal de paquets pour le type de données choisi. période.

Période d'alignement

Vous pouvez choisir une période de 5 secondes à un jour dans la section graphique. Le mode automatique sélectionne la période d'alignement optimale en fonction durée de la période sélectionnée.

Chaque point de la chronologie représente des données agrégées pour une période spécifique période. La durée de cette période est appelée durée de l'alignement.

Plus la valeur de l'alignement diminue, plus les performances diminuent. période. Lorsque les valeurs de la période d'alignement sont plus élevées, la taille du graphique est réduite précises. Vous ne pourrez peut-être pas afficher les pics courts avec des valeurs plus élevées.

Pour les longues durées, une période d'alignement plus courte n'est pas utile. Pour Par exemple, si vous sélectionnez un alignement d'une minute pour une période de 30 jours, Flow Analyzer qui génère plus de 43 000 points de données. C'est 10 fois plus que la 4K des pixels, vous n'aurez pas accès à tous les détails et certaines options désactivées pendant de longues périodes.

Pour en savoir plus sur le fonctionnement de l'échantillonnage et sur la période d'alignement, à afficher les résultats de la requête, consultez Métriques et période d'alignement.

Point d'échantillonnage

Pour la communication réseau entre VM, les journaux de flux sont disponibles (avec échantillonnage) au niveau des VM qui envoient et recevoir du trafic. Si les deux VM de point de terminaison se trouvent dans des sous-réseaux si les journaux de flux VPC sont activés, le même flux est signalé deux fois. Vous pouvez choisir l'une des quatre approches suivantes pour identifier les journaux de flux VPC contribuent aux métriques calculées et à la manière dont elles sont évaluées:

• Point de terminaison source: le nombre d'octets envoyés ou de paquets envoyés indiqué à le point de terminaison source d'un flux
• Point de terminaison de destination: nombre d'octets envoyés ou de paquets envoyés signalés. au point de terminaison de destination d'un flux
• Somme du point de terminaison source et de destination: la somme des octets envoyés ou des paquets envoyé par les deux points de terminaison d'un flux
• Average of source and destination endpoint (Moyenne des points de terminaison source et de destination) : une moyenne d'octets. envoyés ou les paquets envoyés signalés par les deux points de terminaison d'un flux si les deux et les informations sur la destination sont disponibles dans les journaux de flux VPC

Déduplication du trafic

Pour éviter que le trafic signalé sur les VM source et de destination ne soit comptées deux fois, vous pouvez choisir la Moyenne des points de terminaison source et de destination d'échantillonnage. Flow Analyzer identifie les flux équivalents dans chaque alignement période et calcule les moyennes des valeurs de métriques rapportées (nombre d'octets et le nombre de paquets).

Pour les périodes d'alignement où des flux équivalents sont signalés à la fois au niveau SRC et DEST, tout le trafic attribué à une période d'alignement donnée est divisé par deux.

Afficher les détails du flux

Dans la table Tous les flux de données, cliquez sur Afficher les détails pour le flux de votre choix. Le flux d'informations s'affiche. Ce panneau fournit des informations telles que la source, la destination, le trafic et les options d'analyse détaillée possibles.

Vous pouvez afficher le détail en divisant un flux de trafic sélectionné à l'aide d'une requête . Par exemple, si un flux inclut des détails génériques concernant le trafic de 1 000 Gio, de la zone Google Cloud X à la zone Y, vous pouvez afficher le détail à l'aide d'une autre tel que l'adresse IP source. Les résultats incluent plusieurs adresses IP les adresses qui constituent le flux d'origine.

Les champs qui apparaissent dans le composant "Afficher le détail" sont sélectionnés comme suit:

• Lorsque vous accédez aux détails du flux, Flow Analyzer exécute plusieurs requêtes. Chaque requête tente d'afficher le détail du flux sélectionné à l'aide des champs disponibles dans les journaux de flux VPC et qu'elles ne sont pas encore utilisées dans la requête d'origine. Par exemple, si la requête exécutée inclut déjà les détails de l'adresse IP, vous n'avez pas besoin d'exécuter à nouveau la requête avec ce champ et vous ne pouvez pas afficher le détail à l'aide de ce champ.
• Si l'une des requêtes supplémentaires renvoie une valeur de champ unique, elle obtient dans la section des détails de la source et de la destination, même si elle n'est pas récupérées plus tôt.
• Si l'un des résultats de la requête inclut plusieurs valeurs de champ, le le champ correspondant apparaît dans la liste d'analyse détaillée.

Lorsque vous sélectionnez un champ dans la liste d'analyse détaillée, le tableau d'analyse détaillée et le graphique se met à jour pour afficher les trois principaux flux de trafic.

Vous pouvez également utiliser le bouton Comparer à une période antérieure. Sélectionnez cette fonctionnalité pour en afficher six trois lignes: trois lignes pleines pour les trois top talkers de la vue détaillée et trois des lignes en pointillés dans les couleurs correspondantes représentant le trafic passé.

Pour afficher le détail des flux de trafic à l'aide d'autres champs, consultez Afficher le détail des flux de trafic :

Explorer dans l'Analyse de journaux

Vous pouvez afficher la requête SQL brute dans l'Analyse de journaux.

Pour une analyse avancée, vous pouvez modifier directement le code SQL utilisé pour visualiser les du trafic. La fonctionnalité Explorer dans l'Analyse de journaux vous redirige vers Analyse de journaux avec une requête préremplie.

Étape suivante

• Métriques et période d'alignement
• Analyser les flux de trafic
• Activer l'Analyse de journaux
• Configurer un bucket central
• Exécuter des tests de connectivité à partir de Flow Analyzer
• Surveiller vos flux de trafic
• Résoudre les problèmes de données dans Flow Analyzer