Flow Analyzer analysiert VPC-Flusslogdaten, die in einem Eintragsformat gespeichert sind. Logdatensätze umfassen Basisfelder – die wichtigsten Felder jedes Logdatensatzes – sowie Metadatenfelder, die zusätzliche Informationen enthalten. Die Logeinträge für die Überwachung von Traffic-Flüssen bestehen aus drei Hauptkomponenten:
- Ressourceninformationen
- Messwerttypen
- Zeitreihe
Ressourceninformationen
Die Logeinträge enthalten die folgenden Daten zu den Ressourcen:
Messwerttypen
Die Logeinträge enthalten Daten für die folgenden Messwerttypen:
- Gesendete Byte: Enthält Informationen zu den Nutzlastvolumen und schließt keine Header ein. Dieser Messwert kann null sein, da einige Pakete nur Header und keine Nutzlasten enthalten.
- Gesendete Pakete:Gibt die Anzahl der Pakete an, die von der Quelle an das Ziel gesendet wurden.
Unformatierte Zeitachsendaten
Die Menge der Messwert-Rohdaten in einer einzelnen Zeitachse kann enorm sein und einem Messwerttyp sind in der Regel viele Zeitachsen zugeordnet. Um den gesamten Datensatz auf Gemeinsamkeiten, Trends oder Ausreißer zu analysieren, müssen Sie die Zeitachsen in dem Satz verarbeiten. Andernfalls sind zu viele Daten zu berücksichtigen.
Zur Einführung in die Stichprobenerhebung und Aggregation der Beispiele auf dieser Seite wird eine kleine Anzahl von hypothetischen Zeitreihen verwendet. Das folgende Diagramm zeigt beispielsweise einige Minuten Rohdaten für den Messwerttyp Bytes pro Sekunde:
Unformatierte Zeitachsendaten müssen bearbeitet werden, bevor sie analysiert werden können. Bei der Analyse werden häufig Stichproben der Daten gezogen und einige Daten zusammengefasst. Auf dieser Seite werden zwei primäre Techniken zum Verfeinern von Rohdaten beschrieben:
- Stichprobenerhebung, bei der einige Daten nicht berücksichtigt werden. Google Cloud führt die Stichprobenerhebung durch und verwendet die erforderlichen Daten aus den Logeinträgen, um Vorgänge wie in den Abfragen angegeben auszuführen.
- Aggregation: Kombiniert mehrere Daten in einem kleineren Satz zusammen mit den von Ihnen angegebenen Dimensionen.
Stichproben und Aggregation sind leistungsstarke Tools, mit denen Sie unter anderem interessante Muster erkennen und Trends oder Ausreißer in den Daten hervorheben können.
Ausrichtungszeitraum
Der erste Schritt beim Aggregieren von Zeitachsendaten ist die Ausrichtung. Mit der Ausrichtung wird eine neue Zeitachse erstellt, in der die Rohdaten zeitlich reguliert werden, damit sie mit anderen ausgerichteten Zeitachsen kombiniert werden können. Bei der Ausrichtung werden Zeitachsen mit regelmäßig verteilten Daten erstellt.
Die Ausrichtung umfasst zwei Schritte:
- Unterteilen der Zeitachsen in regelmäßige Zeitintervalle, auch Daten-Bucketing genannt. Das Intervall wird als Ausrichtungszeitraum bezeichnet.
- Einen einzelnen Messwert für die Punkte im Ausrichtungszeitraum berechnen Sie können wählen, wie dieser einzelne Punkt berechnet werden soll. Sie können alle Werte summieren, ihren Durchschnitt berechnen oder das Maximum verwenden.
Das folgende Diagramm zeigt, wie der Abgleichszeitraum verwendet wird, um die Daten zwischen Start- und Endzeit in Gruppen einzuteilen.
Das folgende Diagramm zeigt das Ergebnis der Verwendung eines Abgleichszeitraums von fünf Minuten mit den folgenden Schritten:
- Erstellen eines Ausrichtungszeitraums von fünf Minuten.
- Der einzelne Messwert wird anhand der Summe der Messwerte aus den Rohdaten berechnet.
Detaillierungsgrad
Wenn Sie wissen, dass etwas innerhalb weniger Minuten passiert ist, und Sie sich eingehender damit befassen möchten, sollten Sie für die Ausrichtung einen Zeitraum von einer Minute verwenden.
Wenn Sie Trends über einen längeren Zeitraum untersuchen möchten, ist ein längerer Ausrichtungszeitraum möglicherweise besser geeignet. Große Ausrichtungszeiträume sind in der Regel nicht geeignet, um kurzfristige anomale Bedingungen wie kurze Traffic-Spitzen zu betrachten. Wenn Sie beispielsweise einen mehrwöchigen Ausrichtungszeitraum verwenden, ist das Vorhandensein einer Anomalie in diesem Zeitraum vielleicht noch erkennbar, aber die ausgerichteten Daten sind möglicherweise zu allgemein, um viel zu helfen.
Bei langen Zeiträumen ist ein kürzerer Ausrichtungszeitraum nicht hilfreich. Wenn Sie beispielsweise eine 1-Minuten-Ausrichtung für einen Zeitraum von 30 Tagen auswählen, werden in Flow Analyzer mehr als 43.000 Datenpunkte generiert. Da 43.000 Datenpunkte zehnmal mehr sind als die Pixel eines 4K-Displays, können Sie nicht alle Details sehen. Außerdem sind einige Optionen für lange Zeiträume deaktiviert.
Ausrichtungsoptionen
Zu den Ausrichtungsoptionen gehören das Addieren der Werte oder das Ermitteln des Maximal-, Minimal- oder Mittelwerts der Werte, das Suchen eines ausgewählten Perzentilwerts, das Zählen der Werte usw. Mit Flow Analyzer können Sie verschiedene Messwertaggregationen als Ausrichtungsoptionen verwenden.
Wenn Sie Gesendete Byte als Messwerttyp und Quelle und Ziel als Traffic-Aggregation auswählen, sind die folgenden Optionen verfügbar.
- Traffic insgesamt
- Durchschnittliche Traffic-Rate
- Median-Traffic-Rate
- P95-Traffic-Rate
- Maximale Traffic-Rate
Wenn Sie Gesendete Pakete als Messwerttyp und Quelle und Ziel als Traffic-Aggregation auswählen, sind die folgenden Optionen verfügbar.
- Aggregierte Pakete
- Durchschnittliche Paketsenderate
- Median-Paketsenderate
- P95-Paketsenderate
- Maximale Paketsenderate
Das folgende Diagramm zeigt das Ergebnis der Verwendung von zwei Ausrichtungsoptionen: Gesamttraffic und Durchschnittliche Trafficrate.
Ausrichtungszeitraum verwenden
Mit der Option Abstimmungszeitraum können Sie die Traffic-Flüsse in Zeitintervalle der ausgewählten Dauer zusammenfassen. Bei Bedarf können Sie die Grafik weiter vergrößern, um die spezifischen Details zu sehen.
Nächste Schritte
- Trafficflüsse analysieren
- Observability Analytics aktivieren
- Zentralen Bucket konfigurieren
- Konnektivitätstests über Flow Analyzer ausführen
- Datenflüsse überwachen
- Probleme mit Daten in Flow Analyzer beheben