Flow Analyzer – Übersicht

Mit Flow Analyzer (Vorabversion) können Sie Ihre VPC-Trafficflüsse schnell und effizient verstehen, ohne komplexe SQL-Abfragen zum Analysieren von VPC-Flusslogs schreiben zu müssen. Mit Flow Analyzer können Sie eine abgestimmte Analyse des Netzwerkverkehrs mit einem Detaillierungsgrad mit fünf Tupeln durchführen (Quell-IP, Ziel-IP, Quellport, Zielport und Protokoll).

Das Flussanalyse-Tool wurde mit Loganalysen entwickelt und basiert auf BigQuery. Es ermöglicht eine detaillierte Analyse des ein- und ausgehenden Traffics Ihrer VM-Instanzen. Damit können Sie Ihre Netzwerkbereitstellung überwachen, optimieren und Fehler beheben, um eine bessere Leistung und erhöhte Sicherheit zu erzielen und so die Compliance sicherzustellen und Kosten zu sparen.

Flow Analyzer analysiert Daten von VPC-Flusslogs, die in einem Log-Bucket gespeichert sind (Eintragsformat). Zur Verwendung von Flow Analyzer müssen Sie ein Projekt mit einem Log-Bucket auswählen, der VPC-Flusslogs enthält. Weitere Informationen finden Sie in der Übersicht zu VPC-Flusslogs. VPC-Flusslogs können für Netzwerkmonitoring, Forensik, Echtzeit-Sicherheitsanalysen und Kostenoptimierung verwendet werden.

Das Flussanalyse-Tool führt Abfragen für die Felder aus, die in VPC-Flusslogs enthalten sind. Weitere Informationen finden Sie unter Wichtige Attribute von VPC-Flusslogs.

Mit dem Flow Analyzer können Sie die folgenden Aufgaben ausführen:

Einfache Abfrage zu VPC-Flusslogs erstellen und ausführen
SQL-Filter (mit einer WHERE-Anweisung) für die Abfrage von VPC-Flusslogs erstellen
Ordnen Sie die Ergebnisse mithilfe ausgewählter Felder und sortieren Sie die Abfrageergebnisse anhand des Gesamttraffics und der aggregierten Pakete.
Traffic zu ausgewählten Zeitintervallen ansehen
Sehen Sie sich die fünf wichtigsten Traffic-Datenflüsse im Zeitverlauf im Vergleich zum Rest des Traffics in einer grafischen Darstellung an.
Sehen Sie sich die Ressourcen mit dem höchsten Traffic, aggregiert über die ausgewählte Dauer, in einem Tabellenformat an.
Sehen Sie sich die Details des Traffics zwischen einem bestimmten Paar aus Quelle und Ziel in den Abfrageergebnissen an.
Schlüsseln Sie die Abfrageergebnisse mithilfe der verbleibenden Felder auf, die in VPC-Flusslogs verfügbar sind.

Funktionsweise

In VPC-Flusslogs wird eine Stichprobe von Netzwerkflüssen aufgezeichnet, die von VPC-Ressourcen wie VM-Instanzen und Google Kubernetes Engine-Knoten gesendet und empfangen werden.

Die Flusslogs können in Cloud Logging angesehen und an jedes Ziel exportiert werden, das von Logging unterstützt wird. Sie können Loganalysen verwenden, um Abfragen auszuführen, die Logdaten analysieren, und dann die Abfrageergebnisse in Form von Diagrammen und Tabellen anzeigen.

Flow Analyzer verwendet Log Analytics, damit Sie VPC-Flusslogs abfragen und mehr über die Trafficflüsse erfahren können, indem Sie Informationen wie das Diagramm mit den höchsten Datenflüssen und eine Tabelle mit Details zu allen Datenflüssen bereitstellen.

Abfragekomponenten

Um Ihre Trafficflüsse zu analysieren und zu verstehen, müssen Sie VPC-Flusslogs abfragen. Mit Flow Analyzer können Sie die Abfrage erstellen, die Anzeigeoptionen anpassen und Ihre Traffic-Datenflüsse anzeigen und überwachen.

Traffic-Zusammenfassung

Zum Analysieren von VPC-Trafficflüssen müssen Sie den Aggregationsansatz zum Filtern der Datenflüsse zwischen den Ressourcen bestimmen. Das Flow Analyzer organisiert die Flusslogs für die Aggregation auf folgende Arten:

Quelle und Ziel: Bei dieser Option werden die Informationen zu SRC und DEST verwendet, die in den VPC-Flusslogs enthalten sind. In dieser Ansicht werden die Zugriffe von der Quelle zum Ziel zusammengefasst.
Client and server (Client und Server): Mit dieser Option wird versucht, den Initiator der Verbindung zu ermitteln. Eine Ressource mit der kleineren Portnummer gilt als Server. Außerdem werden die Ressourcen mit der Definition gke_service als Server behandelt, da Dienste keine Anfragen initiieren. In dieser Ansicht wird der Traffic in beide Richtungen zusammengefasst.

Zeitraumauswahl

Der Standardzeitraum beträgt eine Stunde. Sie können jedoch aus voreingestellten Zeitoptionen auswählen, eine benutzerdefinierte Start- und Endzeit angeben oder den Zeitraum mithilfe der Zeitraumauswahl um einen bestimmten Zeitstempel zentrieren. Wenn Sie beispielsweise die Daten für die vergangene Woche anzeigen möchten, wählen Sie in der Zeitraumauswahl Letzte 1 Woche aus.

Sie können die Zeitzone auch über die Zeitraumauswahl festlegen.

Einfache Filter

Sie können die Abfrage erstellen, indem Sie die Abläufe gemäß den Ressourcen in beide Richtungen organisieren.

Wenn Sie die Filter verwenden möchten, wählen Sie die Felder in der Liste aus und geben Sie Werte für diese Felder an.

Sie können mehrere Filterausdrücke hinzufügen, um Abläufe zu filtern, die den ausgewählten Schlüssel/Wert-Paaren entsprechen. Wenn Sie mehrere Filter für dasselbe Feld auswählen, wird ein ODER-Operator verwendet. Wenn Sie Filter für verschiedene Felder auswählen, wird ein UND-Operator verwendet.

Wenn Sie beispielsweise zwei Werte für IP-Adresse auswählen: 1.2.3.4 und 10.20.10.30 sowie zwei Werte für Land: US und France, wird die folgende Filterlogik auf die Abfrage angewendet:

(IP=1.2.3.4 ODER IP=10.20.10.30) UND (Land=US ODER Land=France)

Wenn Sie versuchen, die Endpunktfilter oder die Trafficoptionen zu ändern, können die Ergebnisse variieren. Sie müssen die Abfrage noch einmal ausführen, um die aktualisierten Ergebnisse zu sehen.

Informationen zum Erstellen und Ausführen der Abfrage mit den einfachen Filtern finden Sie unter Abfrage erstellen und ausführen.

SQL-Filter

Zum Erstellen komplexer Abfragen können Sie SQL-Filter verwenden. Mit komplexen Abfragen können Sie zum Beispiel folgende Aufgaben ausführen:

Feldwerte miteinander vergleichen
Komplexe boolesche Logik mithilfe von UND/ODER und verschachtelten ODER-Operationen erstellen
Komplexe Vorgänge an IP-Adressen mithilfe von BigQuery-Funktionen ausführen

Die SQL-Filterabfragen verwenden die BigQuery-SQL-Syntax. Weitere Informationen finden Sie unter BigQuery-SQL-Syntax.

Klicken Sie auf Syntax und Beispiele für Filterausdrücke, um die Syntax und Beispiele für Filterausdrücke anzusehen.

Informationen zum Erstellen und Ausführen der Abfrage mit SQL-Filtern finden Sie unter SQL-Abfrage erstellen und ausführen.

Abfrageergebnisse

Die Abfrageergebnisse umfassen die folgenden Komponenten:

Diagramm mit den höchsten Datenflüssen: Zeigt die fünf wichtigsten Traffic-Datenflüsse im Zeitverlauf zusammen mit dem Rest des Traffics an. Mit diesem Diagramm können Sie Trends wie Traffic-Spitzen erkennen.
Tabelle „Alle Datenflüsse“: Zeigt die wichtigsten Trafficflüsse an (bis zu 10.000 Zeilen,aggregiert über die ausgewählte Dauer). In dieser Tabelle werden die Felder angezeigt, die zum Organisieren der Abläufe beim Definieren der Filter für die Abfrage ausgewählt wurden.

Anzeigeoptionen

Nachdem Sie die Abfrage ausgeführt haben, können Sie die Ergebnisse mithilfe der verschiedenen Anzeigeoptionen weiter verfeinern. Sowohl das Diagramm als auch die Tabelle werden aktualisiert, um die neu ausgewählten Optionen widerzuspiegeln. Informationen zum Auswählen der benutzerdefinierten Optionen und zum Ausführen der Abfrage finden Sie unter Anzeigeoptionen anpassen.

Messwerttypen

Sie können einen der folgenden Messwerttypen aufrufen.

Gesendete Bytes: enthält Informationen zu den Nutzlast-Volumes, enthält aber keine Header. Dieser Messwert kann null sein, da einige Pakete nur Header und keine Nutzlast enthalten.

Hinweis: Sie können diesen Messwert nicht zum Schätzen der Kosten verwenden, da die Daten Stichproben sind und keine Header enthalten.
Gesendete Pakete: Gibt die Anzahl der Pakete an, die von der Quelle an das Ziel gesendet wurden.

Für beide Messwerttypen können Sie zusätzliche Messwertaggregationen auswählen.

Messwertaggregation

Sie haben folgende Möglichkeiten, sich die Zusammenfassung von Messwerten anzusehen:

Wenn Sie Gesendete Bytes als Messwert und Quelle und Ziel als Traffic-Aggregation auswählen, sind die folgenden Optionen verfügbar:

Traffic insgesamt: Diese Option ist standardmäßig immer aktiviert und zeigt den gesamten Traffic für den ausgewählten Zeitraum an.
Durchschnittliche Traffic-Rate: Zeigt die durchschnittliche Traffic-Rate (in Byte pro Sekunde) für den ausgewählten Zeitraum an, berechnet nur für die Ausrichtungszeiträume, in denen der Traffic beobachtet wurde. Weitere Informationen finden Sie unter Ausrichtungszeitraum.
Median-Traffic-Rate: Zeigt die Median-Traffic-Rate (in Byte pro Sekunde) für den ausgewählten Zeitraum an. Sie wird nur für die Ausrichtungszeiträume berechnet, in denen der Traffic beobachtet wurde. Weitere Informationen finden Sie unter Ausrichtungszeitraum.
P95-Traffic-Rate: Zeigt die Traffic-Rate des 95. Perzentils in Byte pro Sekunde für den ausgewählten Zeitraum an, berechnet nur für die Ausrichtungszeiträume, in denen der Traffic beobachtet wurde. Weitere Informationen finden Sie unter Ausrichtungszeitraum.
Maximale Traffic-Rate: Zeigt die maximale Traffic-Rate in Byte pro Sekunde für den ausgewählten Zeitraum an.

Wenn Sie Gesendete Pakete als Messwert und Quelle und Ziel als Traffic-Aggregation auswählen, sind die folgenden Optionen verfügbar:

Aggregierte Pakete: Zeigt die Anzahl der Pakete an, die für den ausgewählten Zeitraum gesendet wurden. Standardmäßig aktiviert.
Durchschnittliche Paketrate: Zeigt die durchschnittliche Paketrate für den ausgewählten Zeitraum an, berechnet nur für die Ausrichtungszeiträume, in denen der Traffic beobachtet wurde. Weitere Informationen finden Sie unter Ausrichtungszeitraum.
Medianpaketrate: Zeigt die Medianpaketrate für den ausgewählten Zeitraum an, berechnet nur für die Ausrichtungszeiträume, in denen der Traffic beobachtet wurde. Weitere Informationen finden Sie unter Ausrichtungszeitraum.
P95-Paketrate: Zeigt die Paketrate des 95. Perzentils für den ausgewählten Zeitraum an, berechnet nur für die Ausrichtungszeiträume, in denen der Traffic beobachtet wurde. Weitere Informationen finden Sie unter Ausrichtungszeitraum.
Maximale Paketrate: Zeigt die maximale Paketrate für den ausgewählten Zeitraum an.

Ausrichtungszeitraum

Sie können für den Zeitraum der Details im Diagramm 5 Sekunden bis 1 Tag auswählen. Im automatischen Modus wird der optimale Ausrichtungszeitraum abhängig von der Länge des ausgewählten Zeitraums ausgewählt.

Jeder Punkt auf der Zeitachse stellt aggregierte Daten für einen bestimmten Zeitraum dar. Die Länge dieses Zeitraums wird als Ausrichtungszeitraum bezeichnet.

Die Leistung sinkt mit dem Wert des Ausrichtungszeitraums. Bei höheren Werten des Ausrichtungszeitraums wird das Diagramm weniger detailliert. Sie können kurze Spitzen mit höheren Werten möglicherweise nicht sehen.

Bei großen Zeiträumen ist ein kürzerer Ausrichtungszeitraum nicht hilfreich. Wenn Sie beispielsweise die 1-minütige Ausrichtung für einen Zeitraum von 30 Tagen auswählen, generiert Flow Analyzer mehr als 43.000 Datenpunkte. Da dies zehnmal mehr als die 4.000 Displaypixel ist, können Sie nicht alle Details sehen. Außerdem sind einige Optionen für größere Zeiträume deaktiviert.

Weitere Informationen dazu, wie die Stichprobenerhebung erfolgt und wie der Ausrichtungszeitraum bestimmt wird, um die Abfrageergebnisse anzuzeigen, finden Sie unter Messwerte und Ausrichtungszeitraum.

Stichprobenpunkt

Für die VM-zu-VM-Netzwerkkommunikation sind Flusslogs (mit Stichprobenerhebung) auf den VMs verfügbar, die Traffic senden und empfangen. Wenn sich beide Endpunkt-VMs in Subnetzen befinden, für die VPC-Flusslogs aktiviert sind, wird derselbe Datenfluss zweimal gemeldet. Sie können einen der folgenden vier Ansätze wählen, um zu bestimmen, welche VPC-Flusslogs zu den berechneten Messwerten beitragen und wie sie ausgewertet werden:

Quellendpunkt: die Anzahl der gesendeten Byte oder der am Quellendpunkt eines Datenflusses gemeldeten Pakete.
Zielendpunkt: die Anzahl der gesendeten Byte oder der am Zielendpunkt eines Datenflusses gemeldeten Pakete.
Summe von Quell- und Zielendpunkt: die Summe der gesendeten Byte oder Pakete, die von beiden Endpunkten eines Datenflusses gemeldet wurden.
Durchschnitt des Quell- und Zielendpunkts: ein Durchschnitt der gesendeten Byte oder der von beiden Endpunkten eines Datenflusses gesendeten Pakete, wenn sowohl die Quelle als auch die Zielinformationen in VPC-Flusslogs verfügbar sind

Traffic-Deduplizierung

Um zu verhindern, dass an den Quell- und Ziel-VMs gemeldeter Traffic doppelt gezählt wird, können Sie die Stichprobenoption Durchschnitt aus Quell- und Zielendpunkt auswählen. Flow Analyzer identifiziert äquivalente Datenflüsse innerhalb jedes Ausrichtungszeitraums und berechnet die Durchschnittswerte der gemeldeten Messwerte (Byte- und Paketzahl).

In Ausrichtungszeiträumen, in denen äquivalente Datenflüsse sowohl unter SRC als auch DEST gemeldet werden, wird der gesamte Traffic, der einem bestimmten Ausrichtungszeitraum zugeordnet ist, durch zwei geteilt.

Ablaufdetails ansehen

Klicken Sie in der Tabelle Alle Datenflüsse für einen beliebigen Ablauf auf Details anzeigen. Der Bereich Ablaufdetails wird angezeigt. Dieser Bereich enthält Informationen wie Quelle, Ziel, Traffic und mögliche Aufschlüsselungsoptionen.

Sie können eine Aufschlüsselung vornehmen, indem Sie einen ausgewählten Trafficfluss mithilfe eines zusätzlichen Felds aufteilen. Wenn ein Ablauf beispielsweise allgemeine Details zu 1.000 GiB Traffic von Google Cloud-Zone X zu Zone Y enthält, können Sie die Daten mithilfe eines anderen Feldes wie der Quell-IP-Adresse aufschlüsseln. Die Ergebnisse umfassen mehrere IP-Adressen, aus denen der ursprüngliche Ablauf besteht.

In der Aufschlüsselungskomponente werden die folgenden Felder angezeigt:

Wenn Sie auf die Ablaufdetails zugreifen, führt das Flow Analyzer mehrere Abfragen aus. Bei jeder Abfrage wird versucht, den ausgewählten Ablauf mithilfe der Felder aufzuschlüsseln, die in den VPC-Flusslogs verfügbar und noch nicht in der ursprünglichen Abfrage verwendet wurden. Wenn die ausgeführte Abfrage beispielsweise bereits die Details zur IP-Adresse enthält, müssen Sie die Abfrage nicht noch einmal mit diesem Feld ausführen und können dieses Feld auch nicht aufschlüsseln.
Wenn eine der zusätzlichen Abfragen einen einzelnen Feldwert zurückgibt, wird dieser dem Abschnitt mit den Quell- und Zieldetails hinzugefügt, obwohl er nicht zuvor abgerufen wurde.
Wenn eines der Abfrageergebnisse mehr als einen Feldwert enthält, wird das entsprechende Feld in der Aufschlüsselungsliste angezeigt.

Wenn Sie ein Feld in der Aufschlüsselungsliste auswählen, werden die Aufschlüsselungstabelle und das Diagramm aktualisiert, sodass die drei wichtigsten Trafficflüsse angezeigt werden.

Sie können auch die Ein/Aus-Schaltfläche Mit bisherigen Daten vergleichen verwenden. Wählen Sie diese Funktion aus, um sechs Linien anzuzeigen: drei durchgezogene Linien für die drei Top-Talker aus der Aufschlüsselung und drei gestrichelte Linien in entsprechenden Farben für den vergangenen Traffic.

Informationen zum Aufschlüsseln von Trafficflüssen mithilfe von mehr Feldern finden Sie unter Trafficflüsse aufschlüsseln.

In Loganalysen ansehen

Sie können die SQL-Rohabfrage in Loganalysen ansehen.

Für eine erweiterte Analyse können Sie den zur Visualisierung des Traffics verwendeten SQL-Code direkt ändern. Das Feature Explore in Log Analytics leitet Sie mit einer vorausgefüllten Abfrage zur Seite Log Analytics weiter.