Diese Seite wurde von der Cloud Translation API übersetzt.

Flow Analyzer – Übersicht

Mit Flow Analyzer (Vorabversion) können Sie die Abläufe Ihres VPC-Traffics schnell und effizient nachvollziehen, ohne komplexe SQL-Abfragen zur Analyse von VPC-Flusslogs schreiben zu müssen. Mit Flow Analyzer können Sie eine fundierte Analyse des Netzwerktraffics mit einer Genauigkeit von 5 Tupeln (Quell-IP, Ziel-IP, Quellport, Zielport und Protokoll) durchführen.

Flow Analyzer wurde mit Loganalysen entwickelt und von BigQuery unterstützt. Er ermöglicht detaillierte Analysen des ein- und ausgehenden Traffics Ihrer VM-Instanzen. Sie können damit Ihre Netzwerkbereitstellung überwachen, Fehler beheben und optimieren, um die Leistung zu verbessern und die Sicherheit zu erhöhen. So können Sie für Compliance sorgen und Kosten sparen.

Flow Analyzer analysiert Daten von VPC-Flusslogs, die in einem Log-Bucket gespeichert sind (Eintragsformat). Wenn Sie Flow Analyzer verwenden möchten, müssen Sie ein Projekt mit einem Log-Bucket auswählen, der VPC-Flusslogs enthält. Weitere Informationen finden Sie in der Übersicht zu VPC-Flusslogs. VPC-Flusslogs können für Netzwerkmonitoring, Forensik, Echtzeit-Sicherheitsanalysen und Kostenoptimierung verwendet werden.

Flow Analyzer führt Abfragen für die Felder aus, die in VPC-Flusslogs enthalten sind. Weitere Informationen finden Sie unter Wichtige Attribute von VPC-Flusslogs.

Mit Flow Analyzer können Sie die folgenden Aufgaben ausführen:

Einfache Abfrage für VPC-Flusslogs erstellen und ausführen
SQL-Filter (mit einer WHERE-Anweisung) für die Abfrage in VPC-Flusslogs erstellen
Organisieren Sie die Ergebnisse anhand ausgewählter Felder und sortieren Sie die Abfrageergebnisse anhand des gesamten Traffics und der aggregierten Pakete
Traffic zu ausgewählten Zeitintervallen ansehen
Die fünf stärksten Trafficflüsse im Zeitverlauf in einem grafischen Format im Vergleich zum Rest des Traffics darstellen
Ressourcen mit dem höchsten Traffic, aggregiert über die ausgewählte Dauer, in Tabellenform ansehen
Details zum Traffic zwischen einem bestimmten Quell- und Zielpaar aus den Abfrageergebnissen ansehen
Abfrageergebnisse mithilfe der verbleibenden in VPC-Flusslogs verfügbaren Felder aufschlüsseln

Funktionsweise

VPC-Flusslogs erfassen eine Stichprobe von Netzwerkflüssen, die von VPC-Ressourcen wie VM-Instanzen und Google Kubernetes Engine-Knoten gesendet und empfangen werden.

Die Flusslogs können in Cloud Logging aufgerufen und an jedes Ziel exportiert werden, das vom Logging-Export unterstützt wird. Mit Loganalysen können Sie Abfragen ausführen, mit denen Logdaten analysiert werden. Anschließend können Sie die Abfrageergebnisse in Form von Diagrammen und Tabellen anzeigen lassen.

In Flow Analyzer können Sie mithilfe von Loganalysen Abfragen für VPC-Flusslogs ausführen und mehr über die Trafficflüsse erfahren. Dazu werden Informationen wie das Diagramm mit den höchsten Datenflüssen und eine Tabelle mit Details zu allen Datenflüssen bereitgestellt.

Abfragekomponenten

Damit Sie Ihre Trafficflüsse analysieren und verstehen können, müssen Sie eine Abfrage für VPC-Flusslogs ausführen. Mit Flow Analyzer können Sie eine Abfrage erstellen, die Anzeigeoptionen anpassen und den Trafficfluss anzeigen und überwachen.

Traffic-Zusammenfassung

Zum Analysieren von VPC-Trafficflüssen müssen Sie den Aggregationsansatz zum Filtern der Datenflüsse zwischen den Ressourcen festlegen. Flow Analyzer organisiert die Flusslogs für die Aggregation so:

Quelle und Ziel: Bei dieser Option werden die SRC- und DEST-Informationen in den VPC-Flusslogs verwendet. In dieser Ansicht wird der Traffic von der Quelle zum Ziel aggregiert.
Client and server (Client und Server): Mit dieser Option wird versucht, den Initiator der Verbindung zu finden. Eine Ressource mit der kleineren Portnummer gilt als Server. Außerdem betrachtet es die Ressourcen mit der Definition gke_service als Server, da Dienste keine Anfragen initiieren. In dieser Ansicht wird der Traffic in beide Richtungen aggregiert.

Zeitraumauswahl

Der Standardzeitraum beträgt eine Stunde. Sie können aber auch aus voreingestellten Zeitoptionen auswählen, eine benutzerdefinierte Start- und Endzeit angeben oder den Zeitraum mithilfe der Zeitraumauswahl um einen bestimmten Zeitstempel zentrieren. Wenn Sie beispielsweise die Daten für die vergangene Woche ansehen möchten, wählen Sie in der Zeitraumauswahl die Option Letzte 1 Woche aus.

Über die Zeitraumauswahl können Sie auch die Zeitzoneneinstellungen festlegen.

Einfache Filter

Sie können die Abfrage erstellen, indem Sie die Abläufe gemäß den Ressourcen in beide Richtungen organisieren.

Wenn Sie die Filter verwenden möchten, wählen Sie die Felder aus der Liste aus und geben Sie Werte für diese Felder an.

Sie können mehrere Filterausdrücke hinzufügen, um Datenflüsse zu filtern, die mit den ausgewählten Schlüssel/Wert-Paaren übereinstimmen. Wenn Sie mehrere Filter für dasselbe Feld auswählen, wird ein ODER-Operator verwendet. Wenn Sie Filter für verschiedene Felder auswählen, wird ein UND-Operator verwendet.

Wenn Sie beispielsweise zwei Werte für die IP-Adresse auswählen, 1.2.3.4 und 10.20.10.30 sowie die beiden Werte für Land, US und France, wird die folgende Filterlogik auf die Abfrage angewendet:

(IP=1.2.3.4 ODER IP=10.20.10.30) UND (Land=US ODER Land=France)

Wenn Sie versuchen, die Endpunktfilter oder die Trafficoptionen zu ändern, können die Ergebnisse variieren. Sie müssen die Abfrage noch einmal ausführen, um die aktualisierten Ergebnisse anzusehen.

Informationen zum Erstellen und Ausführen der Abfrage mit den einfachen Filtern finden Sie unter Abfrage erstellen und ausführen.

SQL-Filter

Zum Erstellen komplexer Abfragen können Sie SQL-Filter verwenden. Mit komplexen Abfragen können Sie beispielsweise folgende Aufgaben ausführen:

Feldwerte miteinander vergleichen
Komplexe boolesche Logik mit UND/OR- und verschachtelten ODER-Vorgängen erstellen
Komplexe Vorgänge für IP-Adressen mit BigQuery-Funktionen ausführen

Die SQL-Filterabfragen verwenden die BigQuery-SQL-Syntax. Weitere Informationen finden Sie unter BigQuery-SQL-Syntax.

Klicken Sie auf Syntax und Beispiele für Filterausdrücke, um die Syntax und Beispiele für Filterausdrücke zu sehen.

Informationen zum Erstellen und Ausführen der Abfrage mit SQL-Filtern finden Sie unter SQL-Abfrage erstellen und ausführen.

Abfrageergebnisse

Die Abfrageergebnisse umfassen die folgenden Komponenten:

Diagramm mit den höchsten Datenflüssen: Es werden die fünf fließendsten Trafficflüsse im Zeitverlauf zusammen mit dem Rest des Traffics angezeigt. Mit diesem Diagramm können Sie Trends wie Zugriffsspitzen erkennen.
Tabelle „Alle Datenflüsse“: Zeigt die wichtigsten Traffic-Flüsse von bis zu 10.000 Zeilen an,aggregiert über die ausgewählte Dauer. In dieser Tabelle werden die Felder angezeigt, die zum Organisieren der Abläufe beim Definieren der Filter für die Abfrage ausgewählt wurden.

Anzeigeoptionen

Nachdem Sie die Abfrage ausgeführt haben, können Sie die Ergebnisse mithilfe der verschiedenen Anzeigeoptionen weiter verfeinern. Sowohl das Diagramm als auch die Tabelle werden mit den neu ausgewählten Optionen aktualisiert. Informationen zum Auswählen der benutzerdefinierten Optionen und zum Ausführen der Abfrage finden Sie unter Anzeigeoptionen anpassen.

Messwerttypen

Sie können einen der folgenden Messwerttypen aufrufen.

Gesendete Bytes: enthält Informationen zu den Nutzlastvolumen ohne Header. Dieser Messwert kann null sein, da einige Pakete nur Header und keine Nutzlast enthalten.

Hinweis: Sie können diesen Messwert nicht zur Kostenschätzung verwenden, da es sich um Stichproben handelt und sie keine Header enthalten.
Gesendete Pakete: Gibt die Anzahl der Pakete an, die von der Quelle an das Ziel gesendet werden.

Für beide Messwerttypen können Sie zusätzliche Messwertaggregationen auswählen.

Messwertaggregation

Für die Messwertaggregation haben Sie folgende Möglichkeiten:

Wenn Sie Gesendete Bytes als Messwert und Quelle und Ziel als Traffic-Aggregation auswählen, sind die folgenden Optionen verfügbar:

Gesamter Traffic: Diese Option ist standardmäßig immer aktiviert und zeigt den gesamten Traffic für den ausgewählten Zeitraum an.
Durchschnittliche Traffic-Rate: Zeigt die durchschnittliche Traffic-Rate (in Byte pro Sekunde) für den ausgewählten Zeitraum an, berechnet nur für die Ausrichtungszeiträume, in denen der Traffic beobachtet wurde. Weitere Informationen finden Sie unter Ausrichtungszeitraum.
Median-Traffic-Rate: Zeigt die mittlere Traffic-Rate (in Byte pro Sekunde) für den ausgewählten Zeitraum an, berechnet nur für die Ausrichtungszeiträume, in denen der Traffic beobachtet wurde. Weitere Informationen finden Sie unter Ausrichtungszeitraum.
P95-Trafficrate: Zeigt die Trafficrate für das 95. Perzentil in Byte pro Sekunde für den ausgewählten Zeitraum an und wird nur für die Ausrichtungszeiträume berechnet, in denen der Traffic beobachtet wurde. Weitere Informationen finden Sie unter Ausrichtungszeitraum.
Maximale Trafficrate: Zeigt die maximale Trafficrate in Byte pro Sekunde für den ausgewählten Zeitraum an.

Wenn Sie Gesendete Pakete als Messwert und Quelle und Ziel als Traffic-Aggregation auswählen, sind die folgenden Optionen verfügbar:

Aggregierte Pakete: Zeigt die Anzahl der Pakete an, die für den ausgewählten Zeitraum gesendet wurden. Standardmäßig aktiviert.
Durchschnittliche Paketrate: Zeigt die durchschnittliche Paketrate für den ausgewählten Zeitraum an, berechnet nur für die Ausrichtungszeiträume, in denen der Traffic beobachtet wurde. Weitere Informationen finden Sie unter Ausrichtungszeitraum.
Median-Paketrate: Zeigt die mittlere Paketrate für den ausgewählten Zeitraum an, berechnet nur für die Ausrichtungszeiträume, in denen der Traffic beobachtet wurde. Weitere Informationen finden Sie unter Ausrichtungszeitraum.
P95-Paketrate: Gibt die Paketrate des 95. Perzentils für den ausgewählten Zeitraum an, berechnet nur für die Ausrichtungszeiträume, in denen der Traffic beobachtet wurde. Weitere Informationen finden Sie unter Ausrichtungszeitraum.
Maximale Paketrate: Zeigt die maximale Paketrate für den ausgewählten Zeitraum an.

Ausrichtungszeitraum

Als Zeitraum für die Details im Diagramm können Sie zwischen 5 Sekunden und 1 Tag auswählen. Im automatischen Modus wird der optimale Ausrichtungszeitraum in Abhängigkeit von der Länge des ausgewählten Zeitraums ausgewählt.

Jeder Punkt auf der Zeitachse stellt aggregierte Daten für einen bestimmten Zeitraum dar. Die Länge dieses Zeitraums wird als Ausrichtungszeitraum bezeichnet.

Die Leistung sinkt mit dem Wert des Ausrichtungszeitraums. Bei höheren Werten für den Ausrichtungszeitraum wird das Diagramm weniger detailliert. Kurze Spitzen mit höheren Werten werden möglicherweise nicht angezeigt.

Für längere Zeiträume ist ein kürzerer Ausrichtungszeitraum nicht hilfreich. Wenn Sie beispielsweise eine 1-minütige Ausrichtung für einen Zeitraum von 30 Tagen auswählen, generiert Flow Analyzer mehr als 43.000 Datenpunkte. Da dies zehnmal mehr ist als die 4.000 Pixel, können Sie nicht alle Details ansehen und einige Optionen sind für längere Zeiträume deaktiviert.

Weitere Informationen dazu, wie die Stichprobenerhebung durchgeführt wird und der Ausrichtungszeitraum für die Anzeige der Abfrageergebnisse festgelegt wird, finden Sie unter Messwerte und Ausrichtungszeitraum.

Stichprobenpunkt

Für die VM-zu-VM-Netzwerkkommunikation sind Flusslogs (mit Sampling) auf den VMs verfügbar, die Traffic senden und empfangen. Wenn sich beide Endpunkt-VMs in Subnetzen befinden, für die VPC-Flusslogs aktiviert sind, wird derselbe Fluss zweimal gemeldet. Sie können einen der folgenden vier Ansätze auswählen, um zu bestimmen, welche VPC-Flusslogs zu den berechneten Messwerten beitragen und wie diese ausgewertet werden:

Quellendpunkt: Die Anzahl der gesendeten Byte oder der gesendeten Pakete, die am Quellendpunkt eines Datenflusses gemeldet werden.
Zielendpunkt: Die Anzahl der gesendeten Byte oder der gesendeten Pakete, die am Zielendpunkt eines Datenflusses gemeldet werden.
Summe des Quell- und Zielendpunkts: die Summe der gesendeten Byte oder gesendeten Pakete, die von beiden Endpunkte eines Datenflusses gemeldet werden.
Durchschnitt des Quell- und Zielendpunkts: Durchschnittswert der gesendeten Byte oder der Pakete, die von beiden Endpunkten eines Datenflusses gemeldet wurden, wenn sowohl die Quell- als auch die Zielinformationen in VPC-Flusslogs verfügbar sind.

Traffic-Deduplizierung

Damit der an die Quell- und Ziel-VMs gemeldete Traffic nicht doppelt gezählt wird, können Sie die Stichprobenoption Durchschnitt von Quell- und Zielendpunkt auswählen. Flow Analyzer identifiziert äquivalente Datenflüsse innerhalb jedes Ausrichtungszeitraums und berechnet die Durchschnittswerte der gemeldeten Messwerte (Byteanzahl und Paketanzahl).

Für Ausrichtungszeiträume, in denen gleichwertige Datenflüsse sowohl für SRC als auch DEST gemeldet werden, wird der gesamte Traffic, der einem bestimmten Ausrichtungszeitraum zugeordnet ist, durch zwei geteilt.

Ablaufdetails ansehen

Klicken Sie in der Tabelle Alle Datenflüsse für einen beliebigen Ablauf auf Details anzeigen. Der Bereich Ablaufdetails wird angezeigt. Dieser Bereich enthält Informationen wie Quelle, Ziel, Traffic und mögliche Aufschlüsselungsoptionen.

Sie können die Daten aufschlüsseln, indem Sie einen ausgewählten Trafficfluss mithilfe eines zusätzlichen Felds aufteilen. Wenn ein Datenfluss beispielsweise allgemeine Details zu 1.000 GiB Traffic von Google Cloud-Zone X zu Zone Y enthält, können Sie die Daten mit einem anderen Feld wie der Quell-IP-Adresse aufschlüsseln. Die Ergebnisse umfassen mehrere IP-Adressen, aus denen der ursprüngliche Ablauf besteht.

Die in der Aufschlüsselungskomponente angezeigten Felder werden wie folgt ausgewählt:

Wenn Sie auf die Ablaufdetails zugreifen, führt Flow Analyzer mehrere Abfragen aus. Bei jeder Abfrage wird versucht, den ausgewählten Ablauf mithilfe der Felder aufzuschlüsseln, die in den VPC-Flusslogs verfügbar sind und noch nicht in der ursprünglichen Abfrage verwendet wurden. Wenn die ausgeführte Abfrage beispielsweise bereits die Details der IP-Adresse enthält, müssen Sie die Abfrage mit diesem Feld nicht noch einmal ausführen und können dieses Feld auch nicht aufschlüsseln.
Wenn eine der zusätzlichen Abfragen einen einzelnen Feldwert zurückgibt, wird er dem Abschnitt mit den Details zu Quelle und Ziel hinzugefügt, obwohl er nicht vorher abgerufen wurde.
Wenn eines der Abfrageergebnisse mehr als einen Feldwert enthält, wird das entsprechende Feld in der Aufschlüsselungsliste angezeigt.

Wenn Sie ein Feld in der Aufschlüsselungsliste auswählen, werden die Aufschlüsselungstabelle und das Diagramm aktualisiert, um die drei wichtigsten Trafficflüsse anzuzeigen.

Sie können auch die Ein/Aus-Schaltfläche Mit bisherigen Daten vergleichen verwenden. Wählen Sie diese Funktion aus, um sechs Linien anzuzeigen: drei durchgezogene Linien für die drei Top Talkers in der Aufschlüsselung und drei gestrichelte Linien in entsprechenden Farben, die den vergangenen Verkehr darstellen.

Informationen zum Aufschlüsseln von Trafficströmen mithilfe weiterer Felder finden Sie unter Trafficflüsse aufschlüsseln.

In Loganalysen ansehen

Sie können die SQL-Rohabfrage in Loganalysen ansehen.

Für eine erweiterte Analyse können Sie den SQL-Code, der zur Visualisierung des Traffics verwendet wird, direkt ändern. Über die Funktion In Loganalysen ansehen werden Sie zur Seite Loganalysen mit einer vorausgefüllten Abfrage weitergeleitet.