Se usó la API de Cloud Translation para traducir esta página.

Descripción general de Flow Analyzer

Flow Analyzer (vista previa) te permite comprender con rapidez y eficiencia los flujos de tráfico de VPC sin la necesidad de escribir consultas de SQL complejas para analizar los registros de flujo de VPC. Flow Analyzer te permite realizar un análisis bien definido del tráfico de red con un nivel de detalle de 5 tuplas (IP de origen, IP de destino, puerto de origen, puerto de destino y protocolo).

Flow Analyzer se desarrolló con el Análisis de registros y cuenta con la tecnología de BigQuery, y te permite realizar un análisis detallado del tráfico de entrada y salida de tus instancias de VM. Te permite supervisar, solucionar problemas y optimizar la implementación de herramientas de redes para obtener un mejor rendimiento y una seguridad mejorada, lo que ayuda a garantizar el cumplimiento y ahorrar costos.

Flow Analyzer analiza los datos de los registros de flujo de VPC almacenados en un bucket de registros (formato del registro). Para usar el Analizador de flujo, debes seleccionar un proyecto con un bucket de registros que contenga registros de flujo de VPC. Para obtener más información, consulta la Descripción general de los registros de flujo de VPC. Los registros de flujo de VPC se pueden usar para supervisar redes, detectar intrusiones, realizar análisis de seguridad en tiempo real y optimizar gastos.

Flow Analyzer ejecuta consultas en los campos incluidos en los registros de flujo de VPC. Para obtener más información, consulta Propiedades clave de los registros de flujo de VPC.

Con Flow Analyzer, puedes realizar las siguientes tareas:

Compila y ejecuta una consulta simple en registros de flujo de VPC
Crea un filtro de SQL (con una instrucción WHERE) para la consulta en los registros de flujo de VPC.
Organizar los resultados con los campos seleccionados y ordenar los resultados de la consulta con el tráfico total y los paquetes agregados
Consulta el tráfico en los intervalos de tiempo elegidos
Ver los cinco flujos de tráfico más altos a lo largo del tiempo en formato gráfico, en comparación con el resto del tráfico
Visualiza los recursos con mayor tráfico agregado durante la duración seleccionada en un formato tabular
Ver los detalles del tráfico entre un par de fuente y destino específico de los resultados de la consulta
Desglosa los resultados con los otros campos disponibles en los registros de flujo de VPC

Cómo funciona

Los registros de flujo de VPC registran una muestra de flujos de red enviados y recibidos por recursos de VPC, como instancias de VM y nodos de Google Kubernetes Engine.

Los registros de flujo se pueden ver en Cloud Logging y se pueden exportar a cualquier destino que admita la exportación de Logging. Puedes usar el Análisis de registros para ejecutar consultas que analicen datos de registro y, luego, mostrar los resultados de la consulta en forma de gráficos y tablas.

Flow Analyzer usa el Análisis de registros para permitirte ejecutar consultas en los registros de flujo de VPC y obtener más información sobre los flujos de tráfico, ya que proporciona información como el gráfico de flujo de datos más alto y una tabla con detalles sobre todos los flujos de datos.

Componentes de la consulta

Para analizar y comprender los flujos de tráfico, debes ejecutar una consulta en los registros de flujo de VPC. Flow Analyzer te ayuda a compilar la consulta, personalizar las opciones de visualización y desglosar para ver y supervisar los flujos de tráfico.

Agregación de tráfico

Si quieres analizar los flujos de tráfico de VPC, debes determinar el enfoque de agregación para filtrar los flujos entre los recursos. Flow Analyzer organiza los registros de flujo para la agregación de las siguientes maneras:

Origen y destino: Esta opción usa la información de SRC y DEST incluida en los registros de flujo de VPC. En esta vista, se agrega el tráfico de la fuente al destino.
Client and server: Esta opción intenta encontrar el iniciador de la conexión. Un recurso con el número de puerto más pequeño se considera el servidor. También considera los recursos con definición gke_service como los servidores, ya que los servicios no inician solicitudes. Esta vista incluye el tráfico en ambas direcciones.

Selector de intervalo de tiempo

El intervalo de tiempo predeterminado es de una hora, pero puedes seleccionar entre las opciones de hora predeterminadas, especificar una hora de inicio y finalización personalizada, o centrar el intervalo de tiempo alrededor de una marca de tiempo específica con el selector de intervalo de tiempo. Por ejemplo, si deseas ver los datos de la semana pasada, selecciona Última semana en el selector de intervalo de tiempo.

También puedes configurar las preferencias de tu zona horaria con el selector de intervalo de tiempo.

Filtros básicos

Para compilar la consulta, organiza los flujos según los recursos en ambas direcciones.

Para usar los filtros, selecciona los campos de la lista y especifica los valores para estos campos.

Puedes agregar varias expresiones de filtro para filtrar flujos que coincidan con los pares clave-valor seleccionados. Si seleccionas más filtros para el mismo campo, se usa un operador OR. Si seleccionas filtros para campos diferentes, se usa un operador AND.

Por ejemplo, si seleccionas dos valores de dirección IP: 1.2.3.4 y 10.20.10.30, y dos valores de País: US y France, se aplica la siguiente lógica de filtro a la consulta:

(IP=1.2.3.4 O IP=10.20.10.30) Y (País=US O País=France)

Si intentas modificar los filtros del extremo o las opciones de tráfico, los resultados pueden variar. Debes volver a ejecutar la consulta para ver los resultados actualizados.

Para compilar y ejecutar la consulta con los filtros básicos, visita Cómo compilar y ejecutar la consulta.

Filtros de SQL

Para compilar consultas complejas, puedes usar filtros de SQL. Mediante consultas complejas, puedes realizar tareas como las siguientes:

Comparación de valores de campo entre sí
Compilación de lógica booleana compleja con operaciones AND y OR y anidadas
Realización de operaciones complejas en direcciones IP con funciones de BigQuery

Las consultas de filtro de SQL usan la sintaxis SQL de BigQuery. Para obtener más información, consulta la sintaxis de SQL de BigQuery.

Para ver la sintaxis y los ejemplos de la expresión de filtro, haz clic en Sintaxis y ejemplos de expresiones de filtro.

Para compilar y ejecutar la consulta con filtros de SQL, revisa Cómo compilar y ejecutar una consulta en SQL.

Resultados de la consulta

Los resultados de la consulta incluyen los siguientes componentes:

Gráfico de flujos de datos más altos: muestra los cinco flujos de tráfico más altos a lo largo del tiempo junto con el resto del tráfico. Con este gráfico, puedes detectar tendencias, como los aumentos de tráfico.
Tabla Todos los flujos de datos: Muestra los flujos de tráfico principales hasta 10,000 filas agregadas durante la duración seleccionada. En esta tabla, se muestran los campos seleccionados para organizar los flujos mientras se definen los filtros de la consulta.

Opciones de visualización

Luego de ejecutar la consulta, puedes definir mejor los resultados mediante las diversas opciones de visualización. Tanto el gráfico como la tabla se actualizan para reflejar las opciones recién seleccionadas. Para seleccionar las opciones personalizadas y ejecutar la consulta, consulta Personaliza las opciones de visualización.

Tipos de métricas

Puedes elegir ver uno de los siguientes tipos de métricas.

Bytes enviados: Contiene información sobre los volúmenes de carga útil y no incluye encabezados. Este valor de métrica puede ser cero porque algunos paquetes solo tienen encabezados y no incluyen ninguna carga útil.

Nota: No puedes usar esta métrica para estimar los costos porque los datos están muestreados y no incluyen encabezados.
Paquetes enviados: indica la cantidad de paquetes enviados desde el origen hacia el destino.

Para ambos tipos de métricas, puedes elegir agregaciones de métricas adicionales.

Agregación de métricas

Puedes ver la agregación de métricas de las siguientes maneras.

Si seleccionas Bytes enviados como la métrica y Origen y destino como agregación de tráfico, estarán disponibles las siguientes opciones:

Tráfico total: Siempre está habilitado de forma predeterminada y muestra el tráfico total del período elegido.
Tasa de tráfico promedio: Muestra la tasa de tráfico promedio (en bytes por segundo) para el período elegido, calculada solo para los períodos de alineación en los que se observó el tráfico. Para obtener más información, consulta Período de alineación.
Tasa de tráfico mediana: Muestra la mediana de la tasa de tráfico (en bytes por segundo) del período elegido, calculada solo para los períodos de alineación en los que se observó el tráfico. Para obtener más información, consulta Período de alineación.
Tasa de tráfico P95: Muestra la tasa de tráfico del percentil 95 en bytes por segundo para el período elegido, calculada solo para los períodos de alineación en los que se observó el tráfico. Para obtener más información, consulta Período de alineación.
Tasa de tráfico máxima: Muestra la tasa de tráfico máxima en bytes por segundo para el período elegido.

Si seleccionas Paquetes enviados como la métrica y Origen y destino como agregación de tráfico, estarán disponibles las siguientes opciones:

Agrega paquetes: Muestra el recuento de paquetes enviados en el período elegido. Habilitados de forma predeterminada.
Tasa promedio de paquetes: Muestra la tasa promedio de paquetes para el período elegido, calculada solo para los períodos de alineación en los que se observó el tráfico. Para obtener más información, consulta Período de alineación.
Tasa mediana de paquetes: Muestra la tasa mediana de paquetes para el período elegido, calculada solo para los períodos de alineación en los que se observó el tráfico. Para obtener más información, consulta Período de alineación.
Tasa de paquetes P95: Muestra la tasa de paquetes del percentil 95 para el período elegido, calculada solo para los períodos de alineación en los que se observó el tráfico. Para obtener más información, consulta Período de alineación.
Tasa máxima de paquetes: Muestra la tasa máxima de paquetes para el período elegido.

Período de alineación

Puedes elegir entre 5 segundos y 1 día para el intervalo de tiempo de los detalles del gráfico. El modo automático selecciona el período de alineación óptimo según la duración del período seleccionado.

Cada punto en el cronograma representa datos agregados de un período específico. La duración de este período se denomina período de alineación.

El rendimiento disminuye con la disminución del valor del período de alineación. En el caso de los valores más altos del período de alineación, el gráfico se vuelve menos detallado. Es posible que no puedas ver aumentos cortos con valores más altos.

Para duraciones prolongadas, un período de alineación más pequeño no es útil. Por ejemplo, si seleccionas la alineación de 1 minuto para un período de 30 días, Flow Analyzer generará más de 43,000 datos. Como es 10 veces más que los píxeles de la pantalla de 4K, no podrás ver todos los detalles y algunas opciones estarán inhabilitadas durante períodos prolongados.

Si quieres obtener más información sobre cómo se realiza el muestreo y cómo se determina el período de alineación para mostrar los resultados de la consulta, consulta Métricas y período de alineación.

Punto de muestreo

Para la comunicación de red de VM a VM, los registros de flujo están disponibles (con el muestreo aplicado) en las VM que envían y reciben tráfico. Si ambas VM de extremo están en subredes que tienen habilitados los registros de flujo de VPC, el mismo flujo se informa dos veces. Puedes elegir uno de los siguientes cuatro enfoques para determinar qué registros de flujo de VPC contribuyen a las métricas calculadas y cómo se evalúan:

Extremo de origen: Es la cantidad de bytes enviados o paquetes enviados que se informaron en el extremo de origen de un flujo.
Extremo de destino: la cantidad de bytes enviados o paquetes enviados informados en el extremo de destino de un flujo
Suma del extremo de origen y de destino: La suma de bytes enviados o paquetes enviados informados por ambos extremos de un flujo.
Promedio de extremos de origen y destino: Un promedio de bytes enviados o paquetes informados por ambos extremos de un flujo si la información de origen y de destino están disponibles en los registros de flujo de VPC

Anulación de duplicación de tráfico

Para evitar que el tráfico informado en las VM de origen y de destino se cuente dos veces, puedes elegir la opción de muestreo Promedio del extremo de origen y de destino. Flow Analyzer identifica flujos equivalentes dentro de cada período de alineación y calcula los promedios de los valores de métricas informados (recuento de bytes y paquetes).

Para los períodos de alineación en los que se informan flujos equivalentes tanto en SRC como en DEST, todo el tráfico atribuido a un período de alineación determinado se divide por dos.

Ver detalles del flujo

En la tabla Todos los flujos de datos, haz clic en Mostrar detalles para ver cualquier flujo. Aparecerá el panel Detalles de flujo. Este panel proporciona información como la fuente, el destino, el tráfico y posibles opciones de desglose.

Para desglosar, puedes dividir un flujo de tráfico seleccionado mediante un campo adicional. Por ejemplo, si un flujo incluye detalles genéricos de tráfico de 1,000 GiB de la zona X de Google Cloud a la zona Y, puedes desglosar con otro campo, como la dirección IP de origen. Los resultados incluyen varias direcciones IP que conforman el flujo original.

Los campos que aparecen en el componente de desglose se seleccionan de la siguiente manera:

Cuando accedes a los detalles del flujo, Flow Analyzer ejecuta varias consultas. Cada consulta intenta desglosar el flujo seleccionado con los campos disponibles en los registros de flujo de VPC y que aún no se usan en la consulta original. Por ejemplo, si la consulta ejecutada ya incluye los detalles de la dirección IP, no necesitas volver a ejecutar la consulta con este campo y no podrás desglosar con este campo.
Si alguna de las consultas adicionales muestra un solo valor de campo, este se agrega a la sección de detalles de origen y destino, aunque no se haya recuperado antes.
Si alguno de los resultados de la consulta incluye más de un valor de campo, el campo correspondiente aparece en la lista de desglose.

A medida que seleccionas un campo en la lista de desglose, la tabla de desglose y el gráfico se actualizan para mostrar los tres flujos de tráfico principales.

También puedes usar el botón de activación Comparar con valores pasados. Selecciona esta función para ver seis líneas: tres líneas continuas para los tres que generan más tráfico del desglose y tres líneas punteadas en colores correspondientes que representan el tráfico pasado.

Si quieres desglosar los flujos de tráfico con más campos, consulta Desglosa los flujos de tráfico.

Explorar en Análisis de registros

Puedes ver la consulta en SQL sin procesar en el Análisis de registros.

Para realizar análisis avanzados, puedes modificar directamente el código SQL que se usa para visualizar el tráfico. La función Explorar en el Análisis de registros te dirige a la página Análisis de registros con una consulta completada previamente.