Analyser vos flux de trafic

Cette page explique comment interroger et analyser les flux de trafic.

Avant de commencer

  1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  2. Activez les journaux de flux VPC.

Rôles et autorisations nécessaires

Étant donné que l'analyseur de flux lit les données au nom de l'utilisateur, assurez-vous de disposer des autorisations suffisantes pour lire le bucket contenant les journaux. Vous devez également mettre à niveau le bucket pour utiliser l'analyse de journaux.

  • Pour autoriser un utilisateur à lire les journaux dans les buckets, utilisez la page "Explorateur de journaux". Utilisez la page "Analyse de journaux" pour attribuer l'un des rôles suivants :

    • Pour accéder à la vue _Default dans le bucket _Default, attribuez le rôle Lecteur de journaux (roles/logging.viewer).
    • Pour accéder à tous les journaux du bucket de journaux _Default, y compris les journaux d'accès aux données, attribuez le rôle Lecteur de journaux privés (roles/logging.privateLogViewer).

    Pour en savoir plus, consultez la section Rôles de journalisation.

  • Pour autoriser un utilisateur à lire les journaux stockés dans un bucket défini par l'utilisateur, accordez-lui le rôle Accesseur de vues de journaux (roles/logging.viewAccessor). Vous pouvez limiter l'autorisation à une vue de journaux spécifique. Pour en savoir plus, consultez Contrôler l'accès à une vue de journal.

  • Vous pouvez également créer un rôle personnalisé qui accorde les autorisations suivantes :

    • logging.buckets.get
    • logging.buckets.list
    • logging.logEntries.list
    • logging.logs.list
    • resourcemanager.projects.get

Créer et exécuter une requête

Pour créer et exécuter une requête à l'aide de filtres de base, procédez comme suit :

Console

  1. Dans la console Google Cloud , accédez à la page Flow Analyzer.

    Accéder à Flow Analyzer

  2. Cliquez sur Bucket source, puis procédez comme suit :

    1. Dans le champ Bucket de journaux, sélectionnez le bucket de journaux contenant les journaux de flux que vous souhaitez interroger. Par défaut, les journaux de flux sont stockés dans le bucket de journaux _Default.
    2. Dans le champ Vue du bucket de journaux, sélectionnez une vue de journaux.
    3. Facultatif : Si vous souhaitez interroger les journaux de flux associés à une configuration de journaux de flux VPC spécifique, procédez comme suit :
      1. Cochez la case Sélectionner une configuration spécifique.
      2. Dans la liste Configurations des journaux, sélectionnez une ou plusieurs configurations de journaux de flux VPC. L'option Journaux de flux configurés pour les sous-réseaux sélectionne tous les journaux de flux de tous les sous-réseaux du bucket de journaux.

  3. Dans le menu Agrégation du trafic, sélectionnez l'une des options suivantes :

    • Source – Destination : agrège le trafic de la source vers la destination.
    • Client-serveur : agrège le trafic dans les deux sens en considérant les ressources avec des numéros de port et des définitions de service inférieurs, ou celles qui possèdent des propriétés de service GKE en tant que serveurs.

    Pour en savoir plus, consultez Agrégation du trafic.

  4. Dans le sélecteur de période, définissez la période de votre requête. La période par défaut est d'une heure. Vous pouvez sélectionner une période prédéfinie, spécifier une heure de début et de fin personnalisée, ou sélectionner une période autour d'une heure spécifique.

  5. Dans les listes Filtre, sélectionnez un ou plusieurs filtres de requête. Chaque filtre correspond à un champ de journaux de flux VPC. Pour en savoir plus sur ces champs, consultez Format des enregistrements. Si vous ne sélectionnez aucun filtre, Flow Analyzer affiche les résultats de la requête pour tous les flux au cours de la période sélectionnée.

    Si vous sélectionnez plusieurs valeurs pour le même filtre, un opérateur OR est utilisé. Si vous sélectionnez plusieurs filtres dans la même liste Filtre, un opérateur AND est utilisé. Par exemple, si vous sélectionnez deux valeurs d'adresse IP (10.10.0.10 et 10.10.0.20) et deux valeurs de pays (usa et fra), la logique de filtrage suivante est appliquée à la requête : (IP=10.10.0.10 OR IP=10.10.0.20) AND (Country=usa OR Country=fra).

  6. Sélectionnez la façon dont vous souhaitez organiser les résultats de vos requêtes à l'aide des listes Organiser les flux par ou conservez les valeurs par défaut.

  7. Cliquez sur Exécuter une nouvelle requête.

    Le graphique Flux de données les plus élevés et le tableau Tous les flux de données sont mis à jour.

    Vous pouvez utiliser le panneau Options d'affichage pour personnaliser les résultats de votre requête. Pour en savoir plus, consultez Options d'affichage. Pour sélectionner des options personnalisées, consultez Personnaliser les options d'affichage.

Créer et exécuter une requête SQL

Pour créer et exécuter une requête dans l'analyseur de flux à l'aide de filtres SQL :

Console

  1. Dans la console Google Cloud , accédez à la page Flow Analyzer.

    Accéder à Flow Analyzer

  2. Sélectionnez un bucket de journaux. Si vous prévoyez d'utiliser le bucket de journaux _Default, vous pouvez ignorer cette étape.

  3. Pour définir la période de votre requête, utilisez le sélecteur de période ou sélectionnez Exécuter de nouveau pour la période sélectionnée.

  4. Dans le menu Agrégation du trafic, sélectionnez l'une des options suivantes :

    • Source – Destination : agrège le trafic de la source vers la destination.
    • Client/serveur : agrège le trafic dans les deux sens en considérant les ressources avec des numéros de port et des définitions de service inférieurs comme des serveurs.

    Pour en savoir plus, consultez Agrégation du trafic.

  5. Cliquez sur Filtres SQL.

  6. Saisissez la requête de filtre SQL à l'aide de la syntaxe SQL BigQuery.

  7. Pour afficher la syntaxe et des exemples d'expressions de filtre, cliquez sur Syntaxe et exemples d'expressions de filtre.

  8. Organisez le flux à l'aide des champs. Sélectionnez un champ pour organiser les détails du flux.

  9. Cliquez sur Exécuter une nouvelle requête.

    Le graphique Flux de données les plus élevés et le tableau Tous les flux de données sont mis à jour.

    Vous pouvez utiliser le panneau Options d'affichage pour personnaliser les résultats de votre requête. Pour en savoir plus, consultez Options d'affichage. Pour sélectionner des options personnalisées, consultez Personnaliser les options d'affichage.

Personnaliser les options d'affichage

Vous pouvez utiliser les modes suivants pour afficher et analyser les données sur vos flux de trafic :

  • Volume de données (par défaut) : affiche les octets et les paquets envoyés.
  • Latence : affiche le temps aller-retour.

Pour en savoir plus, consultez Options d'affichage.

Afficher les flux en mode "Volume de données"

Console

  1. Créez et exécutez une requête.
  2. Dans le panneau Options d'affichage, vérifiez et modifiez éventuellement la période d'alignement. Pour en savoir plus, consultez la section Période d'alignement.
  3. Sélectionnez Volume de données comme mode d'affichage.
  4. Dans le champ Type de métrique, sélectionnez Octets envoyés ou Paquets envoyés.

  5. Vérifiez et modifiez éventuellement la section Paramètres avancés :

    • L'option Agrégation du tableau permet de sélectionner les métriques qui s'affichent sous forme de colonnes dans le tableau Tous les flux de données.

      • Si vous sélectionnez Octets envoyés comme type de métrique, vous pouvez choisir parmi les options suivantes :

        • Trafic total : trafic total pour la période sélectionnée. Cette option est activée par défaut.
        • Taux moyen de trafic : taux de trafic moyen pour la période sélectionnée. Calculé uniquement pour les périodes d'alignement au cours desquelles le trafic a été observé.
        • Taux médian de trafic : taux médian de trafic pour la période sélectionnée. Calculé uniquement pour les périodes d'alignement au cours desquelles le trafic a été observé.
        • Taux de trafic au 95e centile : taux de trafic au 95e centile pour la période sélectionnée. Calculé uniquement pour les périodes d'alignement au cours desquelles le trafic a été observé.
        • Taux de trafic maximal : taux de trafic maximal pour la période sélectionnée.

      • Si vous sélectionnez Paquets envoyés comme métrique, vous pouvez choisir parmi les options suivantes :

        • Paquets agrégés : nombre total de paquets pour la période sélectionnée. Cette option est activée par défaut.
        • Taux moyen de paquets : taux moyen de paquets pour la période sélectionnée. Calculé uniquement pour les périodes d'alignement au cours desquelles le trafic a été observé.
        • Taux médian de paquets : taux médian de paquets pour la période sélectionnée. Calculé uniquement pour les périodes d'alignement au cours desquelles le trafic a été observé.
        • Taux de paquets au 95e centile : taux de paquets au 95e centile pour la période sélectionnée. Calculé uniquement pour les périodes d'alignement au cours desquelles le trafic a été observé.
        • Taux maximal de paquets : taux maximal de paquets pour la période sélectionnée.

      Pour en savoir plus, consultez Agrégations de métriques.

    • L'option Points d'échantillonnage permet de sélectionner le point de terminaison de création de rapports ou une combinaison des deux points de terminaison :

      • Point de terminaison source : nombre d'octets ou de paquets envoyés, tel qu'indiqué au niveau du point de terminaison source d'un flux.
      • Point de terminaison de destination : nombre d'octets ou de paquets envoyés, tel qu'indiqué au point de terminaison de destination d'un flux.
      • Somme de la source et de la destination : somme des octets ou des paquets envoyés, telle qu'indiquée par les deux points de terminaison d'un flux.
      • Moyenne de la source et de la destination : moyenne des octets ou des paquets envoyés, telle qu'indiquée par les deux points de terminaison d'un flux si les détails de la source et de la destination sont disponibles dans les journaux de flux VPC.

      Pour en savoir plus, consultez Point d'échantillonnage.

  6. Cliquez sur Exécuter une nouvelle requête.

Afficher les flux en mode Latence

Console

  1. Créez et exécutez une requête.
  2. Dans le panneau Options d'affichage, vérifiez et modifiez éventuellement la période d'alignement. Pour en savoir plus, consultez la section Période d'alignement.
  3. Sélectionnez Latence comme mode d'affichage.
  4. Dans le champ Type de métrique, sélectionnez Temps aller-retour (médian).

  5. Pour Classer les flux par, sélectionnez une métrique de classement. Cette métrique définit l'ordre de tri dans le tableau Tous les flux de latence et détermine les flux affichés dans le graphique Flux de latence les plus élevés. Vous pouvez choisir parmi les métriques de classement suivantes :

    • Moyenne : trie les flux par latence moyenne la plus élevée (y compris les pics de latence).
    • Max : trie les flux en fonction du pic de latence le plus élevé.
    • Médiane : trie les flux en fonction de la latence médiane la plus élevée (à l'exclusion des pics de latence).
    • P95 : trie les flux en fonction de la latence au 95e centile la plus élevée.
    • P99 : trie les flux en fonction de la latence la plus élevée au 99e centile.
    • Écart-type : trie les flux en fonction de la plus grande variation (incohérence) de la latence.

  6. Vérifiez et modifiez éventuellement la section Paramètres avancés :

    • L'option Points d'échantillonnage : permet de sélectionner le point de terminaison du rapport, qui peut être la source ou la destination.

    • L'option Agrégation du graphique : permet de spécifier la méthode de calcul pour le graphique Flux avec la latence la plus élevée. Cette méthode est appliquée aux données sélectionnées en fonction de la métrique de classement que vous choisissez dans la liste Classer les flux par. Vous pouvez choisir parmi les méthodes de calcul suivantes :

      • Latence moyenne : calcule la latence moyenne (y compris les pics de latence).
      • Latence maximale : calcule les pics de latence les plus élevés.
      • Latence médiane : calcule la latence médiane (à l'exclusion des pics de latence).
      • Latence P95 : calcule la latence au 95e centile.
      • Latence P99 : calcule la latence du 99e centile.

    • L'option Agrégation du tableau : utilisez-la pour sélectionner les métriques qui, en plus de votre métrique de classement, s'affichent sous forme de colonnes dans le tableau Tous les flux de latence.

    • L'option Masquer les flux dont la contribution est inférieure à permet d'exclure les flux à faible volume de la requête.

      Par exemple, si votre requête a filtré un total de 1 000 journaux, définir cette option sur 1 % masquera tout flux ayant contribué à moins de 10 journaux. Si vous le définissez sur 0 %, aucun filtre n'est appliqué et tous les flux sont affichés, quelle que soit leur contribution.

  7. Cliquez sur Exécuter une nouvelle requête.

Afficher les détails du flux

Pour afficher les détails d'un flux sélectionné dans le tableau des flux de données, procédez comme suit :

Console

  1. Créez la requête.
    1. Sélectionnez un bucket de journaux. Si vous prévoyez d'utiliser le bucket de journaux _Default, vous pouvez ignorer cette étape.
    2. Pour définir la période de votre requête, utilisez le sélecteur de période ou sélectionnez Exécuter de nouveau pour la période sélectionnée.
    3. Sélectionnez les filtres.
    4. Sélectionnez les champs pour organiser les résultats.
  2. Exécutez la requête.
  3. Dans le tableau Tous les flux de données, cliquez sur Détails pour n'importe quel flux. La page Détails du flux qui s'affiche présente toutes les ressources correspondant aux filtres sélectionnés et le trafic de ces ressources.

Afficher le détail des flux de trafic

Vous pouvez affiner davantage le trafic des ressources sélectionnées. À l'aide de Flow Analyzer, vous pouvez examiner en détail les résultats de la requête à l'aide des champs restants disponibles dans les journaux de flux VPC. Pour en savoir plus, consultez Afficher les détails du flux.

Pour analyser plus en détail les flux de trafic à l'aide d'autres champs :

Console

  1. Créez la requête.
    1. Sélectionnez un bucket de journaux. Si vous prévoyez d'utiliser le bucket de journaux _Default, vous pouvez ignorer cette étape.
    2. Pour définir la période de votre requête, utilisez le sélecteur de période ou sélectionnez Exécuter de nouveau pour la période sélectionnée.
    3. Sélectionnez les filtres.
    4. Sélectionnez les champs pour organiser les résultats.
  2. Exécutez la requête.

  3. Dans le tableau Tous les flux de données ou Tous les flux de latence, cliquez sur Détails pour n'importe quel flux.

    La page Informations sur le flux qui s'affiche présente toutes les ressources correspondant aux filtres sélectionnés et le trafic de ces ressources.

  4. Dans la liste Afficher le détail par, sélectionnez un champ pour afficher le détail.

  5. Pour comparer le trafic actuel à celui d'une période antérieure, cliquez sur le bouton Comparer à une période antérieure. Cette fonctionnalité vous permet d'afficher six lignes : trois lignes pleines pour les trois principaux flux de trafic issus de l'analyse et trois lignes en pointillés de couleurs correspondantes représentant le trafic passé.

Étapes suivantes