Flow Analyzer 概览

借助流分析器(预览版),您可以快速高效地了解 VPC 流量流,而无需编写复杂的 SQL 查询来分析 VPC 流日志。利用流分析器,您可以执行 5 元组粒度(来源 IP、目标 IP、来源端口、目标端口和协议)的指定网络流量分析。

流分析器使用 Log Analytics 开发,由 BigQuery 提供支持,可让您对虚拟机实例的入站和出站流量进行深入分析。它可让您监控网络部署、排查网络部署问题并进行优化,从而获得更好的性能和增强的安全性,帮助确保合规性并节省费用。

流分析器会分析存储在日志存储桶中的 VPC 流日志数据(记录格式)。如需使用流分析器,您必须选择其日志存储桶包含 VPC 流日志的项目。如需了解详情,请参阅 VPC 流日志概览。VPC 流日志可用于网络监控、取证、实时安全分析和费用优化。

Flow Analyzer 对 VPC 流日志中包含的字段运行查询。如需了解详情,请参阅 VPC 流日志的关键属性

使用 Flow Analyzer,您可以执行以下任务:

  • 在 VPC 流日志上构建并运行简单查询
  • 为 VPC 流日志上的查询构建 SQL 过滤器(使用 WHERE 语句)
  • 使用所选字段整理结果,并使用总流量和聚合数据包对查询结果进行排序
  • 查看所选时间间隔的流量
  • 以图形格式查看一段时间内流量最多的前五个流,并与其余流量相比
  • 以表格格式查看在所选 时间段内汇总的流量最高的资源
  • 通过查询结果查看特定来源与目标对之间的流量详细信息
  • 使用 VPC 流日志中剩余的字段深入分析查询结果

工作原理

VPC 流日志记录了 VPC 资源(例如虚拟机实例和 Google Kubernetes Engine 节点)发送和接收的网络流样本。

您可以在 Cloud Logging 中查看流日志,并且可以将其导出到 Logging 导出功能支持的任何目标位置。您可以使用 Log Analytics 运行分析日志数据的查询,然后以图表和表的形式显示查询结果。

Flow Analyzer 使用 Log Analytics,允许您对 VPC 流日志运行查询,并通过提供最高数据流图表和提供所有数据流详细信息的表等信息来详细了解流量。

查询组件

如需分析和了解您的流量,您必须对 VPC 流日志运行查询。Flow Analyzer 可帮助您构建查询,自定义显示选项,以及展开细目查看和监控流量。

流量汇总

如需分析 VPC 流量,您必须确定汇总方法以过滤资源之间的流。Flow Analyzer 按以下方式整理用于汇总的流日志:

  • 来源和目标:此选项使用 VPC 流日志中包含的 SRCDEST 信息。此视图汇总了从来源到目标的流量。
  • 客户端和服务器:此选项会尝试查找连接的发起方。端口号较小的资源被视为服务器。它还会将具有 gke_service 定义的资源视为服务器,因为服务不会发起请求。此视图会汇总双向路况。

时间范围选择器

默认时间范围为 1 小时,但您可以从预设时间选项中进行选择,指定自定义开始和结束时间,或使用时间范围选择器将时间范围置于特定时间戳的中心。例如,如果要查看过去一周的数据,请从时间范围选择器中选择过去 1 周

您还可以使用时间范围选择器设定时区偏好设置。

基础过滤器

您可以通过在两个方向上根据资源来组织数据流来构建查询。

如需使用过滤条件,请从列表中选择字段,并为这些字段指定值。

您可以添加多个过滤表达式,对与所选键值对匹配的流进行过滤。如果您为同一字段选择多个过滤条件,系统会使用 OR 运算符。如果您为不同的字段选择过滤器,系统会使用 AND 运算符。

例如,如果您选择两个 IP 地址值(1.2.3.410.20.10.30)和两个 Country 值(USFrance),则系统会对查询应用以下过滤逻辑:

(IP=1.2.3.4 OR IP=10.20.10.30) AND(国家/地区=US OR 国家/地区=France

如果您尝试修改端点过滤条件或更改流量选项,结果可能会有所不同。您必须再次运行查询才能查看更新后的结果。

如需使用基本过滤条件构建和运行查询,请参阅构建和运行查询

SQL 过滤器

如需构建复杂查询,您可以使用 SQL 过滤条件。使用复杂查询,您可以执行如下任务:

  1. 将字段值相互比较
  2. 使用 AND/OR 和嵌套 OR 运算构建复杂的布尔值逻辑
  3. 使用 BigQuery 函数对 IP 地址执行复杂的操作

SQL 过滤条件查询使用 BigQuery SQL 语法。如需了解详情,请参阅 BigQuery SQL 语法

如需查看过滤条件表达式语法和示例,请点击过滤表达式语法和示例

如需使用 SQL 过滤器构建和运行查询,请参阅构建和运行 SQL 查询

查询结果

查询结果包括以下组成部分:

  • 最高数据流图表:显示一段时间内排名前五的流量最高的流量,以及其余流量。您可以使用此图表发现流量峰值等趋势。
  • “所有数据流”表:显示在所选时长内汇总最多 10,000 行的最高流量。下表显示了在定义查询过滤条件时为组织流而选择的字段。

显示选项

运行查询后,您可以使用各种显示选项进一步优化结果。图表和表格都会更新以反映新选择的选项。如需选择自定义选项并运行查询,请参阅自定义显示选项

指标类型

您可以选择查看以下指标类型之一。

  • 发送的字节数:包含载荷量的相关信息,但不包括标头。此指标值可以为零,因为某些数据包只有标头,不包含任何载荷。

  • 发送的数据包数量:表示从来源发送到目的地的数据包数量。

对于这两种指标类型,您都可以选择其他指标汇总。

指标聚合

您可以通过以下方式查看指标汇总。

如果您选择发送的字节数作为指标,并选择来源和目的地作为流量汇总,则可以使用以下选项:

  • 总流量:默认情况下始终启用此选项,并显示所选时间段内的总流量。
  • 平均流量速率:显示所选时间段内的平均流量速率(以每秒字节数为单位),仅针对观察到流量的校准时间段计算。如需了解详情,请参阅校准时间段
  • 流量中间值:显示所选时间段内的流量中间值(以每秒字节数为单位),仅针对观察到流量的校准时间段计算。如需了解详情,请参阅校准时间段
  • P95 流量速率:显示所选时间段内的第 95 百分位流量速率(以每秒字节数为单位),仅针对观察到流量的校准时间段计算。如需了解详情,请参阅校准时间段
  • 最大流量速率:显示所选时间段内的最大流量速率(以每秒字节数为单位)。

如果您选择发送的数据包数量作为指标,并选择来源和目的地作为流量汇总,则可以使用以下选项:

  • 汇总数据包数量:显示所选时间段内发送的数据包数量。默认处于启用状态。
  • 平均数据包速率:显示所选时间段内的平均数据包速率(仅针对观察到流量的校准时间段计算)。如需了解详情,请参阅校准时间段
  • 数据包速率中位数:显示所选时间段内的数据包速率中位数,仅针对观察到流量的校准时间段计算。如需了解详情,请参阅校准时间段
  • P95 数据包速率:显示所选时间段内的第 95 百分位数据包速率(仅针对观察到流量的校准时间段计算)。如需了解详情,请参阅校准时间段
  • 最大数据包速率:显示所选时间段内的最大数据包速率。

校准时间段

您可以选择 5 秒到 1 天作为图表中详细信息的时间范围。自动模式会根据所选时间段的长度选择最佳校准时间段。

时间轴上的每个点都代表特定时间段的汇总数据。此时间段的长度称为“校准时间段”。

性能随着校准期的值的减少而下降。校准时间段的值越大,图表的精细程度就会越低。您可能无法看到值较高的短峰值。

对于较长的时间段,较短的校准时间段没有帮助。例如,如果您为 30 天选择 1 分钟校准,Flow Analyzer 会生成超过 43000 个数据点。由于该值是 4000 显示像素的 10 倍,因此您无法查看所有详细信息,并且某些选项会在很长一段时间内被停用。

如需详细了解如何进行采样以及如何确定校准时间段以显示查询结果,请参阅指标和校准时间段

采样点

对于虚拟机之间的网络通信,发送和接收流量的虚拟机上都提供了流日志(已应用采样)。如果两个端点虚拟机都位于启用了 VPC 流日志的子网中,则同一流会报告两次。您可以选择以下四种方法之一,确定哪些 VPC 流日志对计算的指标有贡献,以及如何评估这些指标:

  • 来源端点:在流的来源端点上发送的字节数或发送的数据包数
  • 目标端点:发送的字节数或发送的数据包数量(在流的目的地端点上报告)
  • 来源端点和目标端点的总和:流的两个端点报告的已发送或发送的数据包的总和
  • 来源端点和目标端点的平均值:如果 VPC 流日志中同时提供了来源和目的地信息,则流的两个端点报告的已发送字节数或数据包数的平均值

流量重复信息删除

为防止将来源虚拟机和目标虚拟机上报告的流量统计两次,您可以选择来源和目标端点的平均值采样选项。Flow Analyzer 会识别每个校准时间段内的等效流,并计算报告的指标值(字节数和数据包数)的平均值。

对于在 SRC 和 DEST 都报告等效数据流的校准时间段,将归因于给定校准时间段的所有流量都除以 2。

查看数据流详情

所有数据流表中,点击任意流的显示详细信息。系统随即会显示流详情面板。此面板提供来源、目的地、流量和可能的展开细目选项等信息。

您可以使用额外字段拆分所选流量来展开细目。例如,如果数据流包含关于从 Google Cloud 可用区 X 到可用区 Y 的 1000 GiB 流量的一般详细信息,您可以使用来源 IP 地址等其他字段进行深入分析。结果包含构成原始流的多个 IP 地址。

展开细目组件中显示的字段按如下方式选择:

  • 当您访问数据流详情时,Flow Analyzer 会运行多个查询。每个查询都会尝试使用 VPC 流日志中可用的字段对所选流展开细目,而原始查询中尚未使用这些字段。例如,如果执行的查询已包含 IP 地址详细信息,则无需再次使用此字段运行查询,也无法使用此字段展开细目。
  • 如果任何其他查询返回单个字段值,则该值会被添加到来源和目标详情部分,即使之前没有提取该值也是如此。
  • 如果任何查询结果包含多个字段值,则相应字段会显示在展开细目列表中。

在展开细目列表中选择字段时,展开细目表格和图表会进行更新,以显示前三个流量流。

您还可以使用与过去相比切换开关。选择此地图项可查看六条线:三条实线代表深入分析中排名前三的流量,三条虚线代表过往流量的相应颜色。

如需使用更多字段对流量进行深入分析,请参阅深入分析流量

在 Log Analytics 中探索

您可以在 Log Analytics 中查看原始 SQL 查询。

对于高级分析,您可以直接修改用于直观呈现流量的 SQL 代码。在 Log Analytics 中探索功能会将您定向到包含预填充查询的 Log Analytics 页面。

后续步骤