Flow Analyzer 概览

借助流分析器(预览版),您可以快速高效地了解 VPC 流量流,而无需编写复杂的 SQL 查询来分析 VPC 流日志。Flow Analyzer 可让您以 5 元组粒度(来源 IP、目标 IP、来源端口、目标端口和协议)执行预定的网络流量分析。

Flow Analyzer 使用日志分析开发,并由 BigQuery 提供支持,可让您对虚拟机实例的入站和出站流量进行深入分析。它可让您监控网络部署、排查和优化网络部署问题,以实现更好的性能和更高的安全性,从而确保合规性并节省费用。

Flow Analyzer 可分析存储在日志存储桶中的 VPC 流日志数据(记录格式)。如需使用流分析器,您必须选择其日志存储桶包含 VPC 流日志的项目。如需了解详情,请参阅 VPC 流日志概览。VPC 流日志可用于网络监控、取证、实时安全分析和费用优化。

Flow Analyzer 会对 VPC 流日志中包含的字段运行查询。如需了解详情,请参阅 VPC 流日志的关键属性

您可以使用 Flow Analyzer 执行以下任务:

  • 针对 VPC 流日志构建并运行简单的查询
  • 为 VPC 流日志上的查询构建 SQL 过滤条件(使用 WHERE 语句)
  • 使用所选字段整理结果,并使用总流量和汇总数据包对查询结果进行排序
  • 查看所选时间间隔的流量
  • 以图表形式查看一段时间内排名前五位的流量(与其他流量相比)
  • 以表格形式查看在所选时间段内汇总的流量最高的资源
  • 从查询结果中查看特定来源和目标对之间的流量详细信息
  • 使用 VPC 流日志中可用的剩余字段来深入查看查询结果

运作方式

VPC 流日志记录了 VPC 资源(例如虚拟机实例和 Google Kubernetes Engine 节点)发送和接收的网络流样本。

可以在 Cloud Logging 中查看流日志,并且可以将流日志导出到 Logging 导出功能支持的任何目标位置。您可以使用 Log Analytics 来运行分析日志数据的查询,然后以图表和表格的形式显示查询结果。

流分析器使用 Log Analytics 可让您对 VPC 流日志运行查询,并通过提供最高数据流图表和提供所有数据流详细信息的表等信息,详细了解流量流。

查询组件

如需分析和了解流量,您必须对 VPC 流日志运行查询。Flow Analyzer 可帮助您构建查询、自定义显示选项、进行深入分析以查看和监控流量。

流量汇总

如需分析 VPC 流量,您必须确定用于过滤资源间流的聚合方法。Flow Analyzer 通过以下方式整理流日志以进行汇总:

  • 来源和目标:此选项使用 VPC 流日志中包含的 SRCDEST 信息。此视图汇总了从来源到目标的流量。
  • 客户端和服务器:此选项会尝试查找连接的发起者。端口号较小的资源被视为服务器。它还将具有 gke_service 定义的资源视为服务器,因为服务不会发起请求。此视图会汇总两个方向的流量。

时间范围选择器

默认时间范围为 1 小时,但您可以从预设的时间选项中进行选择,指定自定义的开始和结束时间,或者使用时间范围选择器将时间范围设为以特定时间戳为中心。例如,如果您想查看过去一周的数据,请从时间范围选择器中选择过去 1 周

您还可以使用时间范围选择器来设置时区偏好设置。

基础过滤器

您可以根据资源在两个方向上整理流,从而构建查询。

如需使用过滤条件,请从列表中选择字段,并为这些字段指定值。

您可以添加多个过滤表达式,以过滤与所选键值对匹配的流。如果您为同一字段选择更多过滤条件,则系统会使用 OR 运算符。如果您针对不同的字段选择过滤条件,则系统会使用 AND 运算符。

例如,如果您选择两个 IP 地址值:1.2.3.410.20.10.30,以及两个国家/地区值:USFrance,则系统会对查询应用以下过滤条件逻辑:

(IP=1.2.3.4 OR IP=10.20.10.30) AND (国家/地区=US OR 国家/地区=France)

如果您尝试修改端点过滤条件或更改流量选项,结果可能会有所不同。您必须再次运行查询才能查看更新后的结果。

如需使用基本过滤条件构建和运行查询,请参阅构建和运行查询

SQL 过滤器

如需构建复杂查询,您可以使用 SQL 过滤条件。使用复杂查询,您可以执行如下任务:

  1. 相互比较字段值
  2. 使用 AND/OR 和嵌套 OR 运算构建复杂的布尔逻辑
  3. 使用 BigQuery 函数对 IP 地址执行复杂操作

SQL 过滤条件查询使用 BigQuery SQL 语法。如需了解详情,请参阅 BigQuery SQL 语法

如需查看过滤条件表达式语法和示例,请点击过滤条件表达式语法和示例

如需使用 SQL 过滤条件构建和运行查询,请参阅构建和运行 SQL 查询

查询结果

查询结果包括以下组成部分:

  • 最高数据流图表:显示一段时间内前五个最高流量以及其余流量。您可以使用此图表发现流量高峰等趋势。
  • 所有数据流表:显示所选时长内汇总最多 10,000 行的流量最高流量。下表显示了在定义查询的过滤条件时,为组织流而选择的字段。

显示选项

运行查询后,您可以使用各种显示选项进一步优化结果。图表和表格都会更新,以反映新选择的选项。要选择自定义选项并运行查询,请参阅自定义显示选项

指标类型

您可以选择查看以下指标类型之一。

  • 发送的字节数:包含有关载荷量的信息,不包括标头。此指标值可以为零,因为某些数据包只有标头而不包含任何载荷。

  • 发送的数据包数量:表示从来源发送到目的地的数据包数量。

对于这两种指标类型,您可以选择其他指标汇总方式。

指标聚合

您可以通过以下方式查看指标汇总。

如果您选择发送的字节数作为指标,并选择来源和目标位置作为流量聚合,则可以使用以下选项:

  • 总流量:此选项始终默认处于启用状态,并显示所选时间段内的总流量。
  • 平均流量速率:显示所选时间段内的平均流量速率(以每秒字节数为单位),仅针对观察到流量的校准时间段计算得出。如需了解详情,请参阅校准时间段
  • 中位数流量速率:显示所选时间段的中位数流量速率(以每秒字节数为单位),仅针对观察到流量的校准时间段计算得出。如需了解详情,请参阅校准时间段
  • P95 流量速率:显示所选时间段内第 95 百分位的流量速率(以每秒字节数为单位),仅针对观察到流量的校准时间段计算得出。如需了解详情,请参阅校准时间段
  • 最大流量速率:显示所选时间段内的最大流量速率(以字节/秒为单位)。

如果您选择发送的数据包数量作为指标,并选择来源和目的地作为流量聚合,则可以使用以下选项:

  • 汇总数据包:显示在所选时间段内发送的数据包数量。默认处于启用状态。
  • 平均数据包速率:显示所选时间段内的平均数据包速率,仅针对观察到流量的校准时间段计算得出。如需了解详情,请参阅校准时间段
  • 数据包速率中位数:显示所选时间段内的数据包速率中位数,仅针对观察到流量的校准时间段计算得出。如需了解详情,请参阅校准时间段
  • P95 数据包速率:显示所选时间段内第 95 百分位的数据包速率,仅针对观察到流量的校准时间段计算得出。如需了解详情,请参阅校准时间段
  • 数据包速率上限:显示所选时间段内数据包速率上限。

校准时间段

您可以为图表中详情的时间范围选择 5 秒到 1 天。自动模式会根据所选时间段的长度选择最佳校准时间段。

时间轴上的每个点表示特定时间段内的汇总数据。这一时间段的长度称为“校准时间段”。

性能会随着校准期值的减少而下降。校准时间段的值越大,图表越不精细。您可能无法查看具有较高值的短高峰。

对于较长的持续时间,较短的校准时间段没有帮助。例如,如果为 30 天时间段选择 1 分钟校准,则 Flow Analyzer 可生成超过 43,000 个数据点。由于这是 4k 显示像素的 10 倍,因此您无法查看所有详细信息,并且某些选项会长时间处于停用状态。

如需详细了解如何进行采样以及如何确定校准时间段以显示查询结果,请参阅指标和校准时间段

采样点

对于虚拟机间网络通信,发送和接收流量的虚拟机上均可使用流日志(已应用采样)。如果两个端点虚拟机都在已启用 VPC 流日志的子网中,则同一流会报告两次。您可以选择以下四种方法之一,确定哪些 VPC 流日志对计算的指标有贡献以及它们的评估方式:

  • 来源端点:在流的源端点上报告的已发送字节数或发送的数据包数
  • 目标端点:在流的目标端点中报告的已发送字节数或发送的数据包数
  • 来源和目标端点的总和:流的两个端点发送的发送的字节数或发送的数据包的总和
  • 来源和目标端点的平均值:如果在 VPC 流日志中同时提供来源和目标信息,则流的两个端点发送的已发送字节数或数据包数量平均值

流量去重

为防止在来源虚拟机和目标虚拟机上报告的流量被统计两次,您可以选择来源和目标端点的平均值采样选项。Flow Analyzer 会识别每个校准时间段内的等效流,并计算所报告指标值(字节数和数据包数)的平均值。

对于同时在 SRC 和 DEST 上报告的校准流,所有归因于给定校准时间段的流量都会除以 2。

查看流详情

所有数据流表中,点击任意流的显示详细信息。此时将显示流详细信息面板。此面板提供来源、目标位置、流量和可能的展开细目选项等信息。

您可以使用一个额外的字段来拆分选定的流量,从而展开细目。例如,如果流包括有关从 Google Cloud 可用区 X 到可用区 Y 的 1,000 GiB 流量的一般详细信息,您可以使用另一个字段(例如来源 IP 地址)展开细目。结果包括构成原始流的多个 IP 地址。

展开细目组件中显示的字段按如下方式选择:

  • 访问流详细信息时,Flow Analyzer 会运行多个查询。每个查询都尝试使用 VPC 流日志中可用但尚未在原始查询中使用的字段来深入了解所选流。例如,如果执行的查询已包含 IP 地址详细信息,则您无需再次使用此字段运行查询,也无法使用此字段进行深入分析。
  • 如果任何其他查询返回单个字段值,则系统会将其添加到来源详情和目标位置详情部分,即使之前未提取此值也是如此。
  • 如果任何查询结果包含多个字段值,则展开细目列表中会显示相应的字段。

当您在展开细目列表中选择某个字段时,展开细目表和图表会更新,以显示前三个流量。

您还可以使用与过去相比切换开关。选择此功能可查看六条线:三条实线分别表示在展开细目中最活跃的三个通话者,三条实线分别表示过去的流量,颜色也各不相同。

如需使用更多字段深入了解流量,请参阅深入了解流量

在 Log Analytics 中探索

您可以在 Log Analytics 中查看原始 SQL 查询。

对于高级分析,您可以直接修改用于直观呈现流量的 SQL 代码。在 Log Analytics 中探索功能会将您定向到包含预填充查询的 Log Analytics 页面。

后续步骤