Diese Seite wurde von der Cloud Translation API übersetzt.

Flow Analyzer – Übersicht

Mit dem Flussanalysator (Vorabversion) können Sie die VPC-Trafficflüsse schnell und effizient nachvollziehen, ohne komplexe SQL-Abfragen für die Analyse von VPC-Flusslogs schreiben zu müssen. Mit dem Flow Analyzer können Sie eine subjektive Netzwerkverkehrsanalyse mit einer 5-Tupel-Detaillierung (Quell-IP, Ziel-IP, Quellport, Zielport und Protokoll) durchführen.

Flow Analyzer wurde mit Log Analytics entwickelt und basiert auf BigQuery. Damit können Sie den ein- und ausgehenden Traffic Ihrer VM-Instanzen eingehend analysieren. Sie können damit Ihre Netzwerkbereitstellung überwachen, Fehler beheben und optimieren, um die Leistung zu verbessern und die Sicherheit zu erhöhen. So lassen sich die Compliance-Anforderungen erfüllen und Kosten sparen.

In Flow Analyzer werden VPC-Flusslogdaten analysiert, die in einem Protokoll-Bucket (Eintragsformat) gespeichert sind. Wenn Sie den Flussanalysator verwenden möchten, müssen Sie ein Projekt mit einem Log-Bucket auswählen, das VPC-Flusslogs enthält. Weitere Informationen finden Sie in der Übersicht über VPC-Flusslogs. VPC-Flusslogs können für Netzwerkmonitoring, Forensik, Sicherheitsanalysen in Echtzeit und Kostenoptimierung verwendet werden.

Im Flussanalysator werden Abfragen auf die Felder in VPC-Flussprotokollen ausgeführt. Weitere Informationen finden Sie unter Wichtige Eigenschaften von VPC-Flusslogs.

Mit Flow Analyzer können Sie die folgenden Aufgaben ausführen:

Einfache Abfrage zu VPC-Flusslogs erstellen und ausführen
SQL-Filter (mit WHERE-Anweisung) für die Abfrage in VPC-Flussprotokollen erstellen
Ergebnisse mithilfe ausgewählter Felder organisieren und die Abfrageergebnisse nach Gesamttraffic und aggregierten Paketen sortieren
Zugriffe in ausgewählten Zeitintervallen ansehen
Die fünf größten Besucherströme im Zeitverlauf im Vergleich zum Rest des Traffics in einem grafischen Format ansehen
Die Ressourcen mit dem höchsten Traffic im ausgewählten Zeitraum in tabellarischer Form ansehen
Details zum Traffic zwischen einem bestimmten Quell- und Zielpaar in den Abfrageergebnissen ansehen
Mit den übrigen in VPC-Flusslogs verfügbaren Feldern eine Aufschlüsselung der Abfrageergebnisse vornehmen

Funktionsweise

VPC-Flusslogs zeichnen eine Stichprobe von Netzwerkflüssen auf, die von VPC-Ressourcen wie VM-Instanzen und Google Kubernetes Engine-Knoten gesendet und empfangen werden.

Die Flusslogs können in Cloud Logging angezeigt und in jedes Ziel exportiert werden, das vom Log-Export unterstützt wird. Mit Log Analytics können Sie Abfragen ausführen, um Logdaten zu analysieren, und die Abfrageergebnisse dann in Form von Diagrammen und Tabellen anzeigen.

Mit Flow Analyzer können Sie mithilfe von Log Analytics Abfragen in VPC-Flusslogs ausführen und mehr über die Trafficflüsse erfahren. Dazu stehen Ihnen Informationen wie das Diagramm mit den höchsten Datenflüssen und eine Tabelle mit Details zu allen Datenflüssen zur Verfügung.

Abfragekomponenten

Wenn Sie Ihre Trafficflüsse analysieren und nachvollziehen möchten, müssen Sie eine Abfrage in VPC-Flusslogs ausführen. Mit dem Fluss-Analysetool können Sie die Abfrage erstellen, die Anzeigeoptionen anpassen und eine Aufschlüsselung vornehmen, um Ihre Besucherströme zu sehen und zu beobachten.

Traffic-Zusammenfassung

Wenn Sie VPC-Trafficflüsse analysieren möchten, müssen Sie den Aggregationsansatz bestimmen, um die Flüsse zwischen den Ressourcen zu filtern. Im Flussanalysator werden die Flussprotokolle für die Aggregation auf folgende Weise organisiert:

Quelle und Ziel: Bei dieser Option werden die Informationen SRC und DEST aus den VPC-Flusslogs verwendet. In dieser Ansicht wird der Traffic von der Quelle zum Ziel zusammengefasst.
Client und Server: Mit dieser Option wird versucht, den Initiator der Verbindung zu ermitteln. Eine Ressource mit der kleineren Portnummer wird als Server betrachtet. Außerdem werden die Ressourcen mit der Definition gke_service als Server betrachtet, da Dienste keine Anfragen initiieren. In dieser Ansicht werden die Zugriffe in beide Richtungen zusammengefasst.

Zeitraumauswahl

Der Standardzeitraum beträgt eine Stunde. Sie können aber auch eine vordefinierte Zeitoption auswählen, einen benutzerdefinierten Start- und Endzeitpunkt angeben oder den Zeitraum mithilfe der Zeitauswahl um einen bestimmten Zeitstempel herum zentrieren. Wenn Sie beispielsweise die Daten der letzten Woche aufrufen möchten, wählen Sie in der Auswahl für den Zeitraum Letzte Woche aus.

Sie können Ihre Zeitzoneneinstellungen auch über die Auswahl des Zeitraums festlegen.

Einfache Filter

Sie können die Abfrage erstellen, indem Sie die Abläufe in beiden Richtungen nach den Ressourcen organisieren.

Wenn Sie die Filter verwenden möchten, wählen Sie die Felder aus der Liste aus und geben Sie Werte für diese Felder an.

Sie können mehrere Filterausdrücke hinzufügen, um Datenflüsse zu filtern, die mit den ausgewählten Schlüssel/Wert-Paaren übereinstimmen. Wenn Sie mehrere Filter für dasselbe Feld auswählen, wird ein ODER-Operator verwendet. Wenn Sie Filter für verschiedene Felder auswählen, wird ein UND-Operator verwendet.

Wenn Sie beispielsweise die beiden IP-Adresswerte 1.2.3.4 und 10.20.10.30 sowie die beiden Länderwerte US und France auswählen, wird die folgende Filterlogik auf die Abfrage angewendet:

(IP=1.2.3.4 OR IP=10.20.10.30) AND (Country=US OR Country=France)

Wenn Sie versuchen, die Endpunktfilter zu ändern oder die Traffic-Optionen zu ändern, können die Ergebnisse variieren. Sie müssen die Abfrage noch einmal ausführen, um die aktualisierten Ergebnisse zu sehen.

Informationen zum Erstellen und Ausführen der Abfrage mit den grundlegenden Filtern finden Sie unter Abfrage erstellen und ausführen.

SQL-Filter

Sie können SQL-Filter verwenden, um komplexe Abfragen zu erstellen. Mit komplexen Abfragen können Sie folgende Aufgaben ausführen:

Feldwerte miteinander vergleichen
Komplexe boolesche Logik mit AND/OR- und verschachtelten OR-Operationen erstellen
Komplexe Vorgänge mit IP-Adressen mithilfe von BigQuery-Funktionen ausführen

Für die SQL-Filterabfragen wird die BigQuery-SQL-Syntax verwendet. Weitere Informationen finden Sie in der BigQuery SQL-Syntax.

Informationen zur Syntax und zu Beispielen für Filterausdrücke finden Sie unter Syntax und Beispiele für Filterausdrücke.

Informationen zum Erstellen und Ausführen der Abfrage mit SQL-Filtern finden Sie unter SQL-Abfrage erstellen und ausführen.

Abfrageergebnisse

Die Abfrageergebnisse enthalten die folgenden Komponenten:

Diagramm mit den größten Datenflüssen: Hier werden die fünf größten Trafficflüsse im Zeitverlauf sowie der Rest des Traffics angezeigt. Anhand dieses Diagramms können Sie Trends wie Traffic-Spitzen erkennen.
Tabelle „Alle Datenflüsse“: Hier sehen Sie die Top-Trafficflüsse mit bis zu 10.000 Zeilen,die über den ausgewählten Zeitraum zusammengefasst wurden. In dieser Tabelle sind die Felder aufgeführt, die zum Organisieren der Datenflüsse ausgewählt wurden, während die Filter für die Abfrage definiert wurden.

Anzeigeoptionen

Nach der Ausführung der Abfrage können Sie die Ergebnisse mithilfe der verschiedenen Darstellungsoptionen weiter verfeinern. Sowohl das Diagramm als auch die Tabelle werden entsprechend aktualisiert. Informationen zum Auswählen der benutzerdefinierten Optionen und Ausführen der Abfrage finden Sie unter Anzeigeoptionen anpassen.

Messwerttypen

Sie können einen der folgenden Messwerttypen auswählen.

Gesendete Bytes: Enthält Informationen zum Nutzlastvolumen, ohne Header. Dieser Messwert kann null sein, da einige Pakete nur Header und keine Nutzlast enthalten.

Hinweis :Sie können diesen Messwert nicht verwenden, um die Kosten zu schätzen, da die Daten Stichproben sind und keine Header enthalten.
Gesendete Pakete: Gibt die Anzahl der Pakete an, die von der Quelle an das Ziel gesendet wurden.

Für beide Messwerttypen können Sie zusätzliche Messwertaggregationen auswählen.

Messwertaggregation

Sie haben folgende Möglichkeiten, sich die Messwertaggregation anzusehen:

Wenn Sie Gesendete Bytes als Messwert und Quelle und Ziel als Traffic-Aggregation auswählen, sind die folgenden Optionen verfügbar:

Gesamtzugriffe: Diese Option ist immer standardmäßig aktiviert und zeigt die Gesamtzahl der Zugriffe für den ausgewählten Zeitraum an.
Durchschnittliche Traffic-Rate: Die durchschnittliche Traffic-Rate (in Byte pro Sekunde) für den ausgewählten Zeitraum. Diese wird nur für die Alignierungszeiträume berechnet, in denen der Traffic beobachtet wurde. Weitere Informationen finden Sie unter Ausrichtungszeitraum.
Mediane Traffic-Rate: Die mittlere Traffic-Rate (in Byte pro Sekunde) für den ausgewählten Zeitraum. Diese wird nur für die Alignierungszeiträume berechnet, in denen der Traffic erfasst wurde. Weitere Informationen finden Sie unter Ausrichtungszeitraum.
P95-Traffic-Rate: Die Traffic-Rate des 95. Perzentil in Byte pro Sekunde für den ausgewählten Zeitraum. Sie wird nur für die Alignierungszeiträume berechnet, in denen der Traffic beobachtet wurde. Weitere Informationen finden Sie unter Ausrichtungszeitraum.
Maximale Traffic-Rate: Die maximale Traffic-Rate in Byte pro Sekunde für den ausgewählten Zeitraum.

Wenn Sie Gesendete Pakete als Messwert und Quelle und Ziel als Traffic-Aggregation auswählen, sind die folgenden Optionen verfügbar:

Gesamtzahl der Pakete: Die Anzahl der gesendeten Pakete für den ausgewählten Zeitraum. Standardmäßig aktiviert.
Durchschnittliche Paketrate: Die durchschnittliche Paketrate für den ausgewählten Zeitraum, berechnet nur für die Alignierungszeiträume, in denen der Traffic beobachtet wurde. Weitere Informationen finden Sie unter Ausrichtungszeitraum.
Median-Paketsenderate: Die Median-Paketsenderate für den ausgewählten Zeitraum. Diese wird nur für die Alignierungszeiträume berechnet, in denen der Traffic beobachtet wurde. Weitere Informationen finden Sie unter Ausrichtungszeitraum.
P95-Paketsenderate: Die Paketsenderate des 95. Perzentil für den ausgewählten Zeitraum. Dieser Wert wird nur für die Alignierungszeiträume berechnet, in denen der Traffic beobachtet wurde. Weitere Informationen finden Sie unter Ausrichtungszeitraum.
Maximale Paketrate: Die maximale Paketrate für den ausgewählten Zeitraum.

Ausrichtungszeitraum

Sie können einen Zeitraum von 5 Sekunden bis 1 Tag für die Details im Diagramm auswählen. Im automatischen Modus wird der optimale Ausrichtungszeitraum in Abhängigkeit von der Länge des ausgewählten Zeitraums ausgewählt.

Jeder Punkt auf der Zeitachse steht für aggregierte Daten für einen bestimmten Zeitraum. Die Länge dieses Zeitraums wird als Ausrichtungszeitraum bezeichnet.

Die Leistung nimmt mit sinkendem Wert des Alignierungszeitraums ab. Bei höheren Werten für den Ausrichtungszeitraum wird das Diagramm weniger detailliert. Kurze Spitzen mit höheren Werten werden möglicherweise nicht angezeigt.

Bei großen Zeiträumen ist ein kürzerer Ausrichtungszeitraum nicht hilfreich. Wenn Sie beispielsweise eine Ausrichtung auf 1 Minute für einen Zeitraum von 30 Tagen auswählen, generiert der Flow Analyzer mehr als 43.000 Datenpunkte. Da das 10-mal so viele Pixel wie ein 4K-Display sind, können Sie nicht alle Details sehen und einige Optionen sind für längere Zeiträume deaktiviert.

Weitere Informationen dazu, wie die Stichprobenerhebung durchgeführt und der Ausrichtungszeitraum für die Anzeige der Abfrageergebnisse ermittelt wird, finden Sie unter Messwerte und Ausrichtungszeitraum.

Stichprobenpunkt

Für die VM-zu-VM-Netzwerkkommunikation sind Fluss-Logs (mit Stichprobenerhebung) sowohl auf den VMs verfügbar, die Traffic senden, als auch auf denen, die Traffic empfangen. Wenn sich beide Endpunkt-VMs in Subnetzen befinden, für die VPC-Flusslogs aktiviert sind, wird derselbe Fluss zweimal gemeldet. Sie können einen der folgenden vier Ansätze auswählen, um festzulegen, welche VPC-Flusslogs zu den berechneten Messwerten beitragen und wie sie ausgewertet werden:

Quellenendpunkt: Die Anzahl der gesendeten Byte oder Pakete, die am Quellendpunkt eines Flusses erfasst wurden.
Zielendpunkt: Die Anzahl der gesendeten Byte oder Pakete, die am Zielendpunkt eines Flusses erfasst wurden.
Summe von Quell- und Zielendpunkt: Die Summe der gesendeten Bytes oder Pakete, die von beiden Endpunkten eines Flusses gemeldet werden.
Durchschnitt von Quell- und Zielendpunkt: Durchschnitt der gesendeten Bytes oder Pakete, die von beiden Endpunkten eines Flusses gemeldet werden, wenn sowohl die Quell- als auch die Zielinformationen in VPC-Fluss-Logs verfügbar sind

Deduplizierung von Zugriffen

Wenn Sie verhindern möchten, dass Traffic, der auf den Quell- und Ziel-VMs erfasst wird, doppelt gezählt wird, können Sie die Stichprobenoption Durchschnitt von Quell- und Zielendpunkt auswählen. Der Flussanalysator identifiziert innerhalb jedes Alignierungszeitraums entsprechende Datenflüsse und berechnet die Durchschnittswerte der gemeldeten Messwerte (Byteanzahl und Paketanzahl).

Bei Alignierungszeiträumen, in denen sowohl für SRC als auch für DEST äquivalente Datenflüsse erfasst werden, wird der gesamte Traffic, der einem bestimmten Alignierungszeitraum zugeordnet ist, durch zwei geteilt.

Ablaufdetails ansehen

Klicken Sie in der Tabelle Alle Datenflüsse für jeden Datenfluss auf Details anzeigen. Der Bereich Details zum Ablauf wird angezeigt. In diesem Bereich finden Sie Informationen wie Quelle, Ziel, Zugriffe und mögliche Aufschlüsselungsoptionen.

Sie können einen ausgewählten Traffic-Flow mit einem zusätzlichen Feld unterteilen, um eine Aufschlüsselung vorzunehmen. Wenn ein Fluss beispielsweise allgemeine Details zu 1.000 GiB Traffic von Google Cloud-Zone X zu Zone Y enthält, können Sie mit einem anderen Feld wie der Quell-IP-Adresse eine Aufschlüsselung vornehmen. Die Ergebnisse enthalten mehrere IP-Adressen, die den ursprünglichen Datenfluss bilden.

Die Felder, die in der Aufschlüsselungskomponente angezeigt werden, werden so ausgewählt:

Wenn Sie auf die Ablaufdetails zugreifen, führt Flow Analyzer mehrere Abfragen aus. Bei jeder Abfrage wird versucht, den ausgewählten Fluss anhand der Felder aufzuschlüsseln, die in den VPC-Flusslogs verfügbar sind und noch nicht in der ursprünglichen Abfrage verwendet wurden. Wenn die ausgeführte Abfrage beispielsweise bereits die IP-Adressdetails enthält, müssen Sie die Abfrage nicht noch einmal mit diesem Feld ausführen und können auch keine Aufschlüsselung mit diesem Feld vornehmen.
Wenn eine der zusätzlichen Abfragen einen einzelnen Feldwert zurückgibt, wird er dem Abschnitt mit den Details zur Quelle und zum Ziel hinzugefügt, auch wenn er nicht zuvor abgerufen wurde.
Wenn eines der Abfrageergebnisse mehrere Feldwerte enthält, wird das entsprechende Feld in der Aufschlüsselungsliste angezeigt.

Wenn Sie ein Feld in der Aufschlüsselungsliste auswählen, werden die Aufschlüsselungstabelle und das Diagramm aktualisiert, um die drei größten Besucherströme anzuzeigen.

Sie können auch die Option Mit der Vergangenheit vergleichen verwenden. Wenn Sie diese Funktion auswählen, werden sechs Linien angezeigt: drei durchgezogene Linien für die drei Top-Talker aus der Aufschlüsselung und drei gestrichelte Linien in den entsprechenden Farben, die den bisherigen Traffic darstellen.

Informationen zum Aufschlüsseln von Traffic-Flows mithilfe weiterer Felder finden Sie unter Traffic-Flows aufschlüsseln.

In Loganalysen ansehen

Sie können sich die Roh-SQL-Abfrage in Log Analytics ansehen.

Für erweiterte Analysen können Sie den SQL-Code, der zum Visualisieren des Traffics verwendet wird, direkt ändern. Über die Funktion In Log Analytics ansehen werden Sie zur Seite Log Analytics mit einer vorab ausgefüllten Abfrage weitergeleitet.