Analizza i flussi di traffico

Questa pagina descrive come eseguire query e analizzare i flussi di traffico.

Prima di iniziare

  1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  2. Abilita i log di flusso VPC.

Ruoli e autorizzazioni richiesti

Poiché Flow Analyzer legge i dati per conto dell'utente, assicurati di disporre delle autorizzazioni sufficienti per leggere il bucket contenente i log. Inoltre, è necessario eseguire l'upgrade del bucket per utilizzare Analisi dei log.

  • Per consentire a un utente di leggere i log nei bucket, utilizza la pagina Esplora log. Utilizza la pagina Log Analytics per concedere uno dei seguenti ruoli:

    • Per accedere alla visualizzazione _Default nel bucket _Default, concedi il ruolo Visualizzatore log (roles/logging.viewer).
    • Per accedere a tutti i log nel bucket di log _Default, inclusi i log di accesso ai dati, concedi il ruolo Visualizzatore log privati (roles/logging.privateLogViewer).

    Per ulteriori informazioni, consulta la sezione Ruoli di logging.

  • Per consentire a un utente di leggere i log archiviati in un bucket definito dall'utente, assegna il ruolo Logs View Accessor (roles/logging.viewAccessor). Puoi limitare l'autorizzazione a una visualizzazione log specifica. Per saperne di più, consulta Controllare l'accesso a una visualizzazione log.

  • In alternativa, crea un ruolo personalizzato che conceda le seguenti autorizzazioni:

    • logging.buckets.get
    • logging.buckets.list
    • logging.logEntries.list
    • logging.logs.list
    • resourcemanager.projects.get

Creare ed eseguire una query

Per creare ed eseguire una query utilizzando i filtri di base:

Console

  1. Nella console Google Cloud , vai alla pagina Analizzatore di flussi.

    Vai a Flow Analyzer

  2. Fai clic su Bucket di origine e procedi nel seguente modo:

    1. Nel campo Bucket di log, seleziona il bucket di log contenente i log di flusso per cui vuoi eseguire query. Per impostazione predefinita, i log di flusso vengono archiviati nel bucket di log _Default.
    2. Nel campo Visualizzazione del bucket di log, seleziona una visualizzazione dei log.
    3. (Facoltativo) Se vuoi eseguire query sui log di flusso associati a una configurazione specifica dei log di flusso VPC, segui questi passaggi:
      1. Seleziona la casella di controllo Seleziona una configurazione specifica.
      2. Nell'elenco Configurazioni log, seleziona una o più configurazioni dei log di flusso VPC. L'opzione Log di flusso configurati per le subnet seleziona tutti i log di flusso per tutte le subnet nel bucket di log.

  3. Nel menu Aggregazione del traffico, seleziona una delle seguenti opzioni:

    • Origine - Destinazione: aggrega il traffico dall'origine alla destinazione.
    • Client - Server: aggrega il traffico in entrambe le direzioni considerando le risorse con numeri di porta più bassi e definizioni di servizio o con proprietà di servizio GKE come server.

    Per saperne di più, consulta Aggregazione del traffico.

  4. Nel selettore dell'intervallo di tempo, imposta l'intervallo di tempo della query. L'intervallo di tempo predefinito è un'ora. Puoi selezionare un intervallo di tempo preimpostato, specificare un'ora di inizio e di fine personalizzata o selezionare un intervallo di tempo intorno a un'ora specifica.

  5. Negli elenchi Filtro, seleziona uno o più filtri di query. Ogni filtro corrisponde a un campo dei log di flusso VPC. Per ulteriori informazioni su questi campi, vedi Formato del record. Se non selezioni alcun filtro, Flow Analyzer mostra i risultati della query per tutti i flussi nel periodo di tempo selezionato.

    Se selezioni più di un valore per lo stesso filtro, viene utilizzato un operatore OR. Se selezioni più di un filtro nello stesso elenco Filtro, viene utilizzato un operatore AND. Ad esempio, se selezioni due valori per l'indirizzo IP, 10.10.0.10 e 10.10.0.20, e due valori per il paese, usa e fra, alla query viene applicata la seguente logica di filtro: (IP=10.10.0.10 OR IP=10.10.0.20) AND (Country=usa OR Country=fra).

  6. Seleziona la modalità di organizzazione dei risultati della query utilizzando gli elenchi Organizza flussi per o lascia i valori predefiniti.

  7. Fai clic su Esegui nuova query.

    Il grafico Flussi di dati più elevati e la tabella Tutti i flussi di dati vengono aggiornati.

    Puoi utilizzare il riquadro Opzioni di visualizzazione per personalizzare i risultati della query. Per saperne di più, vedi Opzioni di visualizzazione. Per selezionare le opzioni personalizzate, consulta Personalizzare le opzioni di visualizzazione.

Crea ed esegui una query SQL

Per creare ed eseguire una query in Flow Analyzer utilizzando i filtri SQL, segui questi passaggi:

Console

  1. Nella console Google Cloud , vai alla pagina Analizzatore di flussi.

    Vai a Flow Analyzer

  2. Seleziona un bucket di log. Se prevedi di utilizzare il bucket dei log _Default, puoi saltare questo passaggio.

  3. Per impostare l'intervallo di tempo della query, utilizza il selettore dell'intervallo di tempo o seleziona Esegui nuovamente nel periodo selezionato.

  4. Nel menu Aggregazione del traffico, seleziona una delle seguenti opzioni:

    • Origine - Destinazione: aggrega il traffico dall'origine alla destinazione.
    • Client - Server: aggrega il traffico in entrambe le direzioni considerando le risorse con numeri di porta più bassi e le definizioni di servizio come server.

    Per saperne di più, consulta Aggregazione del traffico.

  5. Fai clic su Filtri SQL.

  6. Inserisci la query di filtro SQL utilizzando la sintassi SQL di BigQuery.

  7. Per visualizzare la sintassi e gli esempi delle espressioni di filtro, fai clic su Sintassi ed esempi delle espressioni di filtro.

  8. Organizza il flusso utilizzando i campi. Seleziona un campo per organizzare i dettagli del flusso.

  9. Fai clic su Esegui nuova query.

    Il grafico Flussi di dati più elevati e la tabella Tutti i flussi di dati vengono aggiornati.

    Puoi utilizzare il riquadro Opzioni di visualizzazione per personalizzare i risultati della query. Per saperne di più, vedi Opzioni di visualizzazione. Per selezionare le opzioni personalizzate, consulta Personalizzare le opzioni di visualizzazione.

Personalizzare le opzioni di visualizzazione

Puoi utilizzare le seguenti modalità per visualizzare e analizzare i dati sui flussi di traffico:

  • Volume di dati (impostazione predefinita): mostra i byte e i pacchetti inviati.
  • Latenza: mostra tempo di round trip.

Per saperne di più, vedi Opzioni di visualizzazione.

Visualizzare i flussi in modalità volume di dati

Console

  1. Crea ed esegui una query.
  2. Nel riquadro Opzioni di visualizzazione, rivedi e, se vuoi, modifica il Periodo di allineamento. Per ulteriori informazioni, vedi Periodo di allineamento.
  3. Seleziona Volume di dati come modalità di visualizzazione.
  4. Per Tipo di metrica, seleziona Byte inviati o Pacchetti inviati.

  5. Rivedi e, se vuoi, modifica la sezione Impostazioni avanzate:

    • L'opzione Aggregazione tabella: utilizzala per selezionare le metriche da visualizzare come colonne nella tabella Tutti i flussi di dati.

      • Se selezioni Byte inviati come tipo di metrica, puoi scegliere tra le seguenti opzioni:

        • Traffico totale: il traffico totale per il periodo di tempo selezionato. Abilitato per impostazione predefinita.
        • Frequenza media di traffico: la frequenza media di traffico per il periodo di tempo selezionato. Calcolato solo per i periodi di allineamento durante i quali è stato osservato il traffico.
        • Frequenza mediana di traffico: la frequenza mediana di traffico per il periodo di tempo selezionato. Calcolato solo per i periodi di allineamento durante i quali è stato osservato il traffico.
        • Frequenza di traffico P95: la frequenza di traffico del 95° percentile per il periodo di tempo selezionato. Calcolato solo per i periodi di allineamento durante i quali è stato osservato il traffico.
        • Frequenza massima di traffico: la frequenza massima di traffico per il periodo di tempo selezionato.

      • Se selezioni Pacchetti inviati come metrica, puoi scegliere tra le seguenti opzioni:

        • Pacchetti aggregati: il numero aggregato di pacchetti per il periodo di tempo selezionato. Abilitato per impostazione predefinita.
        • Velocità media pacchetti: la velocità media pacchetti per il periodo di tempo selezionato. Calcolato solo per i periodi di allineamento durante i quali è stato osservato il traffico.
        • Frequenza mediana di pacchetti: la frequenza mediana di pacchetti per il periodo di tempo selezionato. Calcolato solo per i periodi di allineamento durante i quali è stato osservato il traffico.
        • Frequenza di pacchetti P95: la frequenza di pacchetti del 95° percentile per il periodo di tempo selezionato. Calcolato solo per i periodi di allineamento durante i quali è stato osservato il traffico.
        • Frequenza massima di pacchetti: la frequenza massima di pacchetti per il periodo di tempo selezionato.

      Per ulteriori informazioni, consulta Aggregazioni delle metriche.

    • L'opzione Punti di campionamento: utilizzala per selezionare l'endpoint di reporting o una combinazione di entrambi gli endpoint:

      • Endpoint di origine: il numero di byte inviati o pacchetti inviati come riportato nell'endpoint di origine di un flusso.
      • Endpoint di destinazione: il numero di byte inviati o pacchetti inviati come riportato nell'endpoint di destinazione di un flusso.
      • Somma di origine e destinazione: la somma dei byte inviati o dei pacchetti inviati come segnalato da entrambi gli endpoint di un flusso.
      • Media di origine e destinazione: una media dei byte inviati o dei pacchetti inviati come riportato da entrambi gli endpoint di un flusso se i dettagli di origine e destinazione sono disponibili nei log di flusso VPC.

      Per saperne di più, vedi Punto di campionamento.

  6. Fai clic su Esegui nuova query.

Visualizzare i flussi in modalità latenza

Console

  1. Crea ed esegui una query.
  2. Nel riquadro Opzioni di visualizzazione, rivedi e, se vuoi, modifica il Periodo di allineamento. Per ulteriori informazioni, vedi Periodo di allineamento.
  3. Seleziona Latenza come modalità di visualizzazione.
  4. Per Tipo di metrica, seleziona Tempo di andata e ritorno (mediana).

  5. Per Classifica i flussi in base a, seleziona una metrica di ranking. Questa metrica definisce l'ordine di ordinamento nella tabella Tutti i flussi di latenza e determina quali flussi vengono visualizzati nel grafico Flussi con latenza più elevata. Puoi scegliere tra le seguenti metriche di ranking:

    • Media: ordina i flussi in base alla latenza media più alta (inclusi i picchi di latenza).
    • Max: ordina i flussi in base al picco di latenza più alto.
    • Mediana: ordina i flussi in base alla latenza mediana più alta (esclusi i picchi di latenza).
    • P95: ordina i flussi in base alla latenza del 95° percentile più elevata.
    • P99: ordina i flussi in base alla latenza del 99° percentile più alta.
    • Deviazione standard: ordina i flussi in base alla variazione (incoerenza) più elevata della latenza.

  6. Rivedi e, se vuoi, modifica la sezione Impostazioni avanzate:

    • L'opzione Punti di campionamento: utilizzala per selezionare l'endpoint di reporting, che può essere l'origine o la destinazione.

    • L'opzione Aggregazione grafico: utilizzala per specificare il metodo di calcolo per il grafico Flussi con latenza più elevata. Questo metodo viene applicato ai dati selezionati in base alla metrica di ranking scelta nell'elenco Classifica flussi per. Puoi scegliere tra i seguenti metodi di calcolo:

      • Latenza media: calcola la latenza media (inclusi i picchi di latenza).
      • Latenza massima: calcola i picchi di latenza più elevati.
      • Latenza mediana: calcola la latenza mediana (esclusi i picchi di latenza).
      • Latenza P95: calcola la latenza del 95° percentile.
      • Latenza P99: calcola la latenza al 99° percentile.

    • L'opzione Aggregazione tabella: utilizzala per selezionare le metriche che, oltre alla metrica di ranking, vengono visualizzate come colonne nella tabella Tutti i flussi di latenza.

    • L'opzione Nascondi i flussi che hanno contribuito meno di: utilizzala per escludere i flussi a basso volume dalla query.

      Ad esempio, se la query ha filtrato un totale di 1000 log, l'impostazione di questa opzione su 1% nasconde qualsiasi flusso che ha contribuito con meno di 10 log. Se lo imposti su 0%, non viene applicato alcun filtro e viene visualizzato ogni flusso, indipendentemente dal suo contributo.

  7. Fai clic su Esegui nuova query.

Visualizza dettagli flusso

Per visualizzare i dettagli del flusso per un flusso selezionato nella tabella dei flussi di dati:

Console

  1. Crea la query.
    1. Seleziona un bucket di log. Se prevedi di utilizzare il bucket _Default per i log, puoi saltare questo passaggio.
    2. Per impostare l'intervallo di tempo della query, utilizza il selettore dell'intervallo di tempo o seleziona Esegui nuovamente nel periodo selezionato.
    3. Seleziona i filtri.
    4. Seleziona i campi per organizzare i risultati.
  2. Esegui la query.
  3. Nella tabella Tutti i flussi di dati, fai clic su Dettagli per un flusso qualsiasi. La pagina Dettagli flusso visualizzata mostra tutte le risorse corrispondenti ai filtri selezionati e il traffico di queste risorse.

Visualizzare in dettaglio i flussi di traffico

Puoi perfezionare ulteriormente il traffico delle risorse selezionate. Utilizzando Flow Analyzer, puoi esaminare in dettaglio i risultati della query utilizzando i campi rimanenti disponibili nei log di flusso VPC. Per saperne di più, vedi Visualizzare i dettagli del flusso.

Per visualizzare in dettaglio i flussi di traffico utilizzando più campi:

Console

  1. Crea la query.
    1. Seleziona un bucket di log. Se prevedi di utilizzare il bucket _Default per i log, puoi saltare questo passaggio.
    2. Per impostare l'intervallo di tempo della query, utilizza il selettore dell'intervallo di tempo o seleziona Esegui nuovamente nel periodo selezionato.
    3. Seleziona i filtri.
    4. Seleziona i campi per organizzare i risultati.
  2. Esegui la query.

  3. Nella tabella Tutti i flussi di dati o Tutti i flussi di latenza, fai clic su Dettagli per qualsiasi flusso.

    La pagina Dettagli flusso visualizzata mostra tutte le risorse corrispondenti ai filtri selezionati e il traffico di queste risorse.

  4. Nell'elenco Visualizza in dettaglio per, seleziona un campo per visualizzare in dettaglio.

  5. Per confrontare il traffico con quello passato, fai clic sul pulsante di attivazione/disattivazione Confronta con i dati precedenti. Questa funzionalità ti consente di visualizzare sei linee: tre linee continue per i tre flussi di traffico principali dal livello di analisi e tre linee tratteggiate nei colori corrispondenti che rappresentano il traffico passato.

Passaggi successivi