Esta página foi traduzida pela API Cloud Translation.

Visão geral do Flow Analyzer

Flow Analyzer (prévia) permite que você entenda de maneira rápida e eficiente sem precisar escrever consultas SQL complexas para análise com os registros de fluxo de VPC. Com o Flow Analyzer, análise opinativa de tráfego de rede com granularidade de cinco tuplas (IP de origem, IP de destino, porta de origem, porta de destino e protocolo).

Desenvolvido usando Análise de dados de registros e com tecnologia do BigQuery, O Flow Analyzer permite análises aprofundadas de entrada e saída tráfego das instâncias de VM. Ela permite monitorar, resolver problemas e otimizar sua implantação de rede para melhorar o desempenho e a segurança, o que ajuda a garantir a conformidade e reduzir custos.

O Flow Analyzer analisa os dados dos registros de fluxo de VPC armazenados em um registro bucket (formato de registro). Para usar Flow Analyzer, selecione um projeto com que contém os registros de fluxo de VPC. Para mais informações, consulte a Visão geral dos registros de fluxo de VPC. Os registros de fluxo de VPC podem ser usados para monitoramento de rede, perícia forense, análise de segurança em tempo real e otimização dos gastos.

O Flow Analyzer executa consultas nos campos incluídos com os registros de fluxo de VPC. Para mais informações, consulte Principais propriedades dos registros de fluxo de VPC.

Com o Flow Analyzer, é possível realizar as seguintes tarefas:

Criar e executar uma consulta simples nos registros de fluxo de VPC
Crie um filtro SQL (usando uma instrução WHERE) para a consulta no Registros de fluxo de VPC
Organizar os resultados usando os campos selecionados e ordenar os resultados da consulta usando o tráfego total e os pacotes agregados
Visualizar o tráfego nos intervalos de tempo escolhidos
Veja os cinco principais fluxos de tráfego ao longo do tempo em um gráfico em um formato diferente, quando comparado com o restante do tráfego
Conferir os recursos com maior tráfego agregado nos itens selecionados duração em formato tabular
Visualize os detalhes do tráfego entre uma origem específica e par de destino dos resultados da consulta
Detalhar os resultados da consulta usando os campos restantes disponíveis nos registros de fluxo de VPC

Como funciona

Os registros de fluxo de VPC contêm uma amostra dos fluxos de rede enviados e recebidos Recursos de VPC, como instâncias de VM e nós do Google Kubernetes Engine.

Os registros de fluxo podem ser visualizados no Cloud Logging, e podem ser exportadas para qualquer destino que o Logging suporta. É possível usar a Análise de dados de registros para executar consultas e exibir os resultados da consulta na forma de gráficos e tabelas.

O Flow Analyzer usa a Análise de dados de registros para permitir que você execute consultas registros de fluxo de VPC e saber mais sobre os fluxos de tráfego, fornecendo informações como o gráfico com os maiores fluxos de dados e uma tabela que fornece detalhes sobre todos os fluxos de dados.

Componentes da consulta

Para analisar e entender seus fluxos de tráfego, execute uma consulta com os registros de fluxo de VPC. O Flow Analyzer ajuda a criar a consulta, personalizar as opções de exibição e detalhar para visualizar e monitorar seu tráfego flui.

Agregação de tráfego

Para analisar os fluxos de tráfego de VPC, você precisa determinar a abordagem de agregação para filtrar os fluxos entre os recursos. O Flow Analyzer organiza registros de fluxo para agregação das seguintes maneiras:

Origem e destino: esta opção usa os parâmetros SRC e DEST. incluídas nos registros de fluxo de VPC. Essa visualização agrega os tráfego da origem para o destino.
Cliente e servidor: essa opção tenta encontrar o iniciador do uma conexão com a Internet. Um recurso com o número de porta menor é considerado no servidor. Ela também considera os recursos com gke_service como servidores, porque os serviços não iniciam solicitações. Essa visualização agrega o tráfego em ambas as direções.

Seletor de intervalo

O intervalo de tempo padrão é de uma hora, mas é possível selecionar as opções de horário predefinidas, especificar horários de início e término personalizados ou centralizar o período de acordo com uma data usando o seletor de intervalo de tempo. Por exemplo, se você quiser exibir da última semana e selecione Última semana no período seletor.

Também é possível definir suas preferências de fuso horário usando o seletor de período.

Filtros básicos

Você pode criar a consulta organizando os fluxos de acordo com os recursos em em ambas as direções.

Para usar os filtros, selecione os campos na lista e especifique os valores para esses campos.

É possível adicionar várias expressões para filtrar fluxos que correspondem às pares de chave-valor. Se você selecionar mais filtros para o mesmo campo, um operador OR é usado. Se você selecionar filtros para campos diferentes, será usado um operador AND.

Por exemplo, se você selecionar dois valores de endereço IP: 1.2.3.4 e 10.20.10.30 e dois valores de Country: US e France, a seguinte lógica de filtro será aplicada à consulta:

(IP=1.2.3.4 OR IP=10.20.10.30) AND (País=US OR País=France)

Se você tentar modificar os filtros de endpoint ou alterar o tráfego os resultados podem variar. É preciso executar novamente a consulta para resultados atualizados.

Para criar e executar a consulta usando os filtros básicos, veja Crie e execute a consulta.

Filtros SQL

Para criar consultas complexas, use filtros SQL. Usando consultas complexas, pode realizar tarefas como as seguintes:

Comparar valores de campo entre si
Criar uma lógica booleana complexa usando AND/OR e operações OR aninhadas
Como executar operações complexas em endereços IP usando o BigQuery funções

As consultas de filtro do SQL usam a sintaxe do SQL do BigQuery. Para mais informações, consulte a sintaxe SQL do BigQuery.

Para acessar a sintaxe e exemplos da expressão de filtro, clique em Sintaxe e exemplos de expressão de filtro.

Para criar e executar a consulta usando filtros SQL, veja Crie e execute uma consulta SQL.

Resultados da consulta

Os resultados da consulta incluem os seguintes componentes:

Gráfico de fluxos de dados mais altos: exibe as cinco principais listas o tráfego flui ao longo do tempo junto com o restante do tráfego. Você pode identificar tendências, como picos de tráfego, usando este gráfico.
Tabela Todos os fluxos de dados: mostra os principais fluxos de tráfego com até 10.000 linhas. agregados ao longo do período selecionado. Esta tabela exibe os campos selecionada para organizar os fluxos enquanto define os filtros para a consulta.

Opções de exibição

Depois de executar a consulta, você pode refinar ainda mais os resultados usando as várias opções de exibição. O gráfico e a tabela são atualizados para refletir opções selecionadas. Para selecionar as opções personalizadas e executar a consulta, acesse Personalize as opções de exibição.

Tipos de métricas

Você pode escolher visualizar um dos seguintes tipos de métrica.

Bytes enviados: contém informações sobre os volumes de payload e não inclui cabeçalhos. O valor dessa métrica pode ser zero porque alguns pacotes têm apenas cabeçalhos e não incluem nenhum payload.

Observação :não é possível usar essa métrica para estimar custos porque os dados não estão amostrado e não inclui cabeçalhos.
Pacotes enviados: indica o número de pacotes enviados da origem para o ao destino.

Para os dois tipos de métrica, você pode escolher agregações de métrica adicionais.

Agregação de métricas

Você pode conferir a agregação de métricas das seguintes maneiras.

Se você selecionar Bytes enviados como a métrica e Origem e destino como a agregação de tráfego, as seguintes opções estão disponíveis:

Tráfego total: fica sempre ativado por padrão e mostra o tráfego total do período escolhido.
Taxa média de tráfego: mostra a taxa média de tráfego (em bytes por segundo) para o período escolhido, calculado apenas para o alinhamento em que o tráfego foi observado. Para mais informações, consulte Período de alinhamento:
Taxa de tráfego mediana: exibe a taxa de tráfego mediana (em bytes por segundo) para o período escolhido, calculado apenas para o alinhamento em que o tráfego foi observado. Para mais informações, consulte Período de alinhamento:
Taxa de tráfego P95: mostra a taxa de tráfego do 95o percentil em bytes por para o período escolhido, calculado apenas para o alinhamento em que o tráfego foi observado. Para mais informações, consulte Período de alinhamento:
Taxa máxima de tráfego: mostra a taxa máxima de tráfego em bytes por por segundo para o período escolhido.

Se você selecionar Pacotes enviados como a métrica e Origem e destino como a agregação de tráfego, as seguintes opções estão disponíveis:

Pacotes agregados: mostra a contagem de pacotes enviados no período escolhido. período Ativado por padrão.
Taxa média de pacotes: exibe a taxa média de pacotes do calculado apenas para os períodos de alinhamento durante os quais o o tráfego foi observado. Para mais informações, consulte Período de alinhamento:
Taxa de pacotes mediana: exibe a taxa de pacotes mediana para o calculado apenas para os períodos de alinhamento durante os quais o o tráfego foi observado. Para mais informações, consulte Período de alinhamento:
Taxa de pacotes P95: mostra a taxa de pacotes do 95o percentil do calculado apenas para os períodos de alinhamento durante os quais o o tráfego foi observado. Para mais informações, consulte Período de alinhamento:
Taxa máxima de pacotes: mostra a taxa máxima de pacotes do período.

Período de alinhamento

Você pode escolher de 5 segundos a 1 dia para o período dos detalhes na gráfico. O modo automático seleciona o período ideal de alinhamento de acordo com o do período selecionado.

Cada ponto na linha do tempo representa dados agregados de um período específico período A duração desse período é chamada de período de alinhamento.

O desempenho diminui com a diminuição do valor do alinhamento período Para valores mais altos do período de alinhamento, o gráfico se torna menos granular. Talvez você não consiga visualizar picos curtos com valores mais altos.

Para durações maiores, um período de alinhamento menor não é útil. Para por exemplo, se você selecionar o alinhamento de 1 minuto para um período de 30 dias, o Flow Analyzer gera mais de 43 mil pontos de dados. Porque isso é 10 vezes mais do que 4K exibir pixels, você não poderá ver todos os detalhes e algumas opções serão desativada por muito tempo.

Para mais informações sobre como a amostragem é feita e o período de alinhamento é determinados a exibir os resultados da consulta, consulte Métricas e período de alinhamento.

Ponto de amostragem

Para comunicação de rede de VM para VM, os registros de fluxo estão disponíveis (com amostragem aplicada) nas VMs que enviam e para receber tráfego. Se ambas as VMs de endpoint estiverem em sub-redes com com os registros de fluxo de VPC ativados, o mesmo fluxo é relatado duas vezes. Você pode escolher uma das quatro abordagens a seguir para determinar quais registros de fluxo de VPC contribuem para as métricas calculadas e como elas são avaliadas:

Endpoint de origem: o número de bytes enviados ou pacotes enviados e relatado em o endpoint de origem de um fluxo
Endpoint de destino: o número de bytes enviados ou de pacotes enviados, relatados no endpoint de destino de um fluxo
Soma do endpoint de origem e destino: a soma dos bytes enviados ou pacotes. enviados relatados pelos dois endpoints de um fluxo
Média do endpoint de origem e destino: uma média de bytes. enviados ou pacotes enviados relatados por ambos os endpoints de um fluxo se a origem e as informações de destino estão disponíveis nos registros

Eliminação de duplicação de tráfego

Para evitar que o tráfego relatado nas VMs de origem e de destino seja contadas duas vezes, escolha a opção Média do endpoint de origem e de destino opção de amostragem. O Flow Analyzer identifica fluxos equivalentes dentro de cada alinhamento e calcula as médias dos valores de métricas informados (contagem de bytes) e contagem de pacotes).

Para períodos de alinhamento em que fluxos equivalentes são informados para SRC e DEST, todo o tráfego atribuído a um determinado período de alinhamento é dividido por dois.

Mais detalhes do fluxo

Na tabela Todos os fluxos de dados, clique em Mostrar detalhes de qualquer fluxo. O fluxo detalhes é exibido. Esse painel fornece informações como fonte, destino, tráfego e possíveis opções de detalhamento.

É possível detalhar dividindo um fluxo de tráfego selecionado usando uma . Por exemplo, se um fluxo incluir detalhes genéricos sobre um tráfego de 1.000 GiB da zona X do Google Cloud para a zona Y, é possível detalhar usando outra como o endereço IP de origem. Os resultados incluem vários endereços IP que compõem o fluxo original.

Os campos que aparecem no componente de detalhamento são selecionados da seguinte maneira:

Quando você acessa os detalhes do fluxo, o Flow Analyzer executa várias consultas. Cada consulta tenta detalhar o fluxo selecionado usando os campos disponíveis nos registros de fluxo de VPC e que ainda não foram usadas na consulta original. Por exemplo, se a consulta executada já incluir os detalhes do endereço IP, não é preciso executar a consulta com esse campo novamente nem detalhar usando este campo.
Se qualquer uma das consultas adicionais retornar um único valor de campo, ela receberá adicionado à seção de detalhes de origem e destino, mesmo que não buscados anteriormente.
Se algum dos resultados da consulta incluir mais de um valor de campo, o campo correspondente aparece na lista de detalhamento.

Ao selecionar um campo na lista de detalhamento, a tabela de detalhamento e o gráfico são atualizados para exibir os três principais fluxos de tráfego.

Também é possível usar o botão Comparar com o passado. Selecione este recurso para ver seis linhas: três linhas sólidas para os três maiores apresentadores do detalhamento e três linhas tracejadas com cores correspondentes que representam o trânsito anterior.

Para detalhar os fluxos de tráfego usando mais campos, consulte Detalhar os fluxos de tráfego.

Explorar na Análise de Registros

Confira a consulta SQL bruta na Análise de dados de registros.

Para análises avançadas, você pode modificar diretamente o código SQL usado para visualizar as do tráfego de entrada. O recurso Explorar na Análise de dados de registros direciona você para o Página Análise de dados de registros com uma consulta preenchida automaticamente.