Trafficflüsse analysieren

Auf dieser Seite wird beschrieben, wie Sie Traffic-Flüsse abfragen und analysieren.

Hinweise

  1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  2. VPC-Flusslogs aktivieren

Erforderliche Rollen und Berechtigungen

Da Flow Analyzer Daten im Namen des Nutzers liest, müssen Sie über ausreichende Berechtigungen zum Lesen des Buckets mit den Logs verfügen. Für den Bucket muss außerdem ein Upgrade für das Tool „Loganalysen“ durchgeführt werden.

  • Wenn ein Nutzer Logs in den Buckets lesen soll, verwenden Sie die Seite „Log-Explorer“. Auf der Seite „Log Analytics“ können Sie eine der folgenden Rollen zuweisen:

    • Wenn Sie auf die Ansicht _Default im Bucket _Default zugreifen möchten, weisen Sie die Rolle „Log-Betrachter“ (roles/logging.viewer) zu.
    • Wenn Sie auf alle Logs im Log-Bucket _Default zugreifen möchten, einschließlich der Logs zum Datenzugriff, weisen Sie die Rolle „Betrachter privater Logs“ (roles/logging.privateLogViewer) zu.

    Weitere Informationen finden Sie unter Logging-Rollen.

  • Wenn ein Nutzer Logs lesen soll, die in einem benutzerdefinierten Bucket gespeichert sind, weisen Sie ihm die Rolle „Zugriffsberechtigter für Logbetrachtung“ (roles/logging.viewAccessor) zu. Sie können die Autorisierung auf eine bestimmte Logansicht beschränken. Weitere Informationen finden Sie unter Zugriff auf eine Logansicht steuern.

  • Alternativ können Sie eine benutzerdefinierte Rolle mit den folgenden Berechtigungen erstellen:

    • logging.buckets.get
    • logging.buckets.list
    • logging.logEntries.list
    • logging.logs.list
    • resourcemanager.projects.get

Abfrage erstellen und ausführen

So erstellen und führen Sie eine Abfrage mit einfachen Filtern aus:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Flow Analyzer auf.

    Flow Analyzer aufrufen

  2. Klicken Sie auf Quell-Bucket und gehen Sie so vor:

    1. Wählen Sie im Feld Log-Bucket den Log-Bucket mit den Flow-Logs aus, die Sie abfragen möchten. Standardmäßig werden Flow-Logs im Log-Bucket _Default gespeichert.
    2. Wählen Sie im Feld Log-Bucket-Ansicht eine Logansicht aus.
    3. Optional: Wenn Sie Flusslogs abfragen möchten, die einer bestimmten VPC-Flusslogkonfiguration zugeordnet sind, gehen Sie so vor:
      1. Aktivieren Sie das Kästchen Spezifische Konfiguration auswählen.
      2. Wählen Sie in der Liste Logkonfigurationen eine oder mehrere VPC-Flusslogkonfigurationen aus. Mit der Option Für Subnetzwerke konfigurierte Flusslogs werden alle Flusslogs für alle Subnetze im Log-Bucket ausgewählt.

  3. Wählen Sie im Menü Traffic-Aggregation eine der folgenden Optionen aus:

    • Quelle – Ziel: Traffic von der Quelle zum Ziel aggregieren.
    • Client – Server: Der Traffic in beide Richtungen wird zusammengefasst, indem Ressourcen mit niedrigeren Portnummern und Dienstdefinitionen oder mit GKE-Diensteigenschaften als Server betrachtet werden.

    Weitere Informationen finden Sie unter Traffic-Aggregation.

  4. Legen Sie in der Zeitraumauswahl den Zeitraum für Ihre Abfrage fest. Standardmäßig beträgt der Zeitraum eine Stunde. Sie können einen voreingestellten Zeitraum auswählen, einen benutzerdefinierten Start- und Endzeitpunkt angeben oder einen Zeitraum um einen bestimmten Zeitpunkt herum auswählen.

  5. Wählen Sie in den Listen Filter einen oder mehrere Abfragefilter aus. Jeder Filter entspricht einem VPC-Flusslogfeld. Weitere Informationen zu diesen Feldern finden Sie unter Datensatzformat. Wenn Sie keine Filter auswählen, werden im Flow Analyzer die Abfrageergebnisse für alle Flows im ausgewählten Zeitraum angezeigt.

    Wenn Sie mehr als einen Wert für denselben Filter auswählen, wird ein OR-Operator verwendet. Wenn Sie in derselben Liste Filter mehrere Filter auswählen, wird ein AND-Operator verwendet. Wenn Sie beispielsweise die zwei IP-Adresswerte 10.10.0.10 und 10.10.0.20 sowie die zwei Länder-Werte usa und fra auswählen, wird die folgende Filterlogik auf die Abfrage angewendet: (IP=10.10.0.10 OR IP=10.10.0.20) AND (Country=usa OR Country=fra).

  6. Wählen Sie aus, wie die Abfrageergebnisse organisiert werden sollen, indem Sie die Listen Abläufe organisieren nach verwenden oder die Standardwerte beibehalten.

  7. Klicken Sie auf Neue Abfrage ausführen.

    Das Diagramm Höchste Datenflüsse und die Tabelle Alle Datenflüsse werden aktualisiert.

    Im Bereich Anzeigeoptionen können Sie die Abfrageergebnisse anpassen. Weitere Informationen finden Sie unter Anzeigeoptionen. Informationen zum Auswählen benutzerdefinierter Optionen finden Sie hier.

SQL-Abfrage erstellen und ausführen

So erstellen und führen Sie eine Abfrage in Flow Analyzer mit SQL-Filtern aus:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Flow Analyzer auf.

    Flow Analyzer aufrufen

  2. Wählen Sie einen Log-Bucket aus. Wenn Sie den Log-Bucket _Default verwenden möchten, können Sie diesen Schritt überspringen.

  3. Legen Sie den Zeitraum der Abfrage über die Zeitraumauswahl fest oder wählen Sie Im ausgewählten Zeitraum noch einmal ausführen aus.

  4. Wählen Sie im Menü Traffic-Aggregation eine der folgenden Optionen aus:

    • Quelle – Ziel: Traffic von der Quelle zum Ziel aggregieren.
    • Client – Server: Der Traffic in beide Richtungen wird zusammengefasst, indem Ressourcen mit niedrigeren Portnummern und Dienstdefinitionen als Server betrachtet werden.

    Weitere Informationen finden Sie unter Traffic-Aggregation.

  5. Klicken Sie auf SQL-Filter.

  6. Geben Sie die SQL-Filterabfrage mit BigQuery-SQL-Syntax ein.

  7. Wenn Sie die Syntax und Beispiele für Filterausdrücke aufrufen möchten, klicken Sie auf Syntax und Beispiele für Filterausdrücke.

  8. Organisieren Sie den Ablauf mithilfe der Felder. Wählen Sie ein Feld aus, nach dem die Flussdetails sortiert werden sollen.

  9. Klicken Sie auf Neue Abfrage ausführen.

    Das Diagramm Höchste Datenflüsse und die Tabelle Alle Datenflüsse werden aktualisiert.

    Im Bereich Anzeigeoptionen können Sie die Abfrageergebnisse anpassen. Weitere Informationen finden Sie unter Anzeigeoptionen. Informationen zum Auswählen benutzerdefinierter Optionen finden Sie hier.

Anzeigeoptionen anpassen

Sie können die folgenden Modi verwenden, um Daten zu Ihren Traffic-Flows darzustellen und zu analysieren:

  • Datenvolumen (Standard): Zeigt gesendete Byte und Pakete an.
  • Latenz: Zeigt die Round-Trip-Zeit an.

Weitere Informationen finden Sie unter Anzeigeoptionen.

Flüsse im Datenvolumenmodus anzeigen

Console

  1. Abfrage erstellen und ausführen
  2. Prüfen Sie im Bereich Anzeigeoptionen den Abstimmungszeitraum und ändern Sie ihn gegebenenfalls. Weitere Informationen finden Sie unter Ausrichtungszeitraum.
  3. Wählen Sie Datenvolumen als Anzeigemodus aus.
  4. Wählen Sie als Messwerttyp Gesendete Byte oder Gesendete Pakete aus.

  5. Sehen Sie sich den Abschnitt Erweiterte Einstellungen an und nehmen Sie gegebenenfalls Änderungen vor:

    • Mit der Option Tabellenaggregation können Sie auswählen, welche Messwerte als Spalten in der Tabelle Alle Datenflüsse angezeigt werden.

      • Wenn Sie Gesendete Byte als Messwerttyp auswählen, haben Sie folgende Optionen:

        • Gesamter Traffic: Der gesamte Traffic für den ausgewählten Zeitraum. Standardmäßig aktiviert.
        • Durchschn. Traffic-Rate: Die durchschnittliche Traffic-Rate für den ausgewählten Zeitraum. Wird nur für die Abstimmungszeiträume berechnet, in denen Zugriffe beobachtet wurden.
        • Median-Traffic-Rate: Die Median-Traffic-Rate für den ausgewählten Zeitraum. Wird nur für die Abstimmungszeiträume berechnet, in denen Zugriffe beobachtet wurden.
        • P95-Traffic-Rate: Die Traffic-Rate des 95. Perzentils für den ausgewählten Zeitraum. Wird nur für die Abstimmungszeiträume berechnet, in denen Zugriffe beobachtet wurden.
        • Max. Traffic-Rate: Die maximale Traffic-Rate für den ausgewählten Zeitraum.

      • Wenn Sie Gesendete Pakete als Messwert auswählen, haben Sie folgende Optionen:

        • Zusammengefasste Pakete: Die zusammengefasste Anzahl der Pakete für den ausgewählten Zeitraum. Standardmäßig aktiviert.
        • Durchschn. Paketsenderate: Die durchschnittliche Paketsenderate für den ausgewählten Zeitraum. Wird nur für die Abstimmungszeiträume berechnet, in denen Zugriffe beobachtet wurden.
        • Median-Paketsenderate: Die Median-Paketsenderate für den ausgewählten Zeitraum. Wird nur für die Ausrichtungszeiträume berechnet, in denen Zugriffe beobachtet wurden.
        • P95-Paketsenderate: Die Paketrate des 95. Perzentils für den ausgewählten Zeitraum. Wird nur für die Abstimmungszeiträume berechnet, in denen Zugriffe beobachtet wurden.
        • Max. Paketsenderate: Die maximale Paketrate für den ausgewählten Zeitraum.

      Weitere Informationen finden Sie unter Messwertaggregationen.

    • Mit der Option Stichprobenpunkte können Sie den Berichtsendpunkt oder eine Kombination aus beiden Endpunkten auswählen:

      • Quellendpunkt: Die Anzahl der gesendeten Byte oder Pakete, die am Quellendpunkt eines Flows gemeldet werden.
      • Zielendpunkt: Die Anzahl der gesendeten Byte oder Pakete, die am Zielendpunkt eines Flows gemeldet werden.
      • Summe von Quelle und Ziel: Die Summe der gesendeten Byte oder Pakete, die von beiden Endpunkten eines Flows gemeldet werden.
      • Durchschnitt von Quelle und Ziel: Durchschnitt der gesendeten Byte oder Pakete, wie von beiden Endpunkten eines Flusses gemeldet, wenn sowohl Quell- als auch Zieldetails in VPC-Flusslogs verfügbar sind.

      Weitere Informationen finden Sie unter Sampling Point.

  6. Klicken Sie auf Neue Abfrage ausführen.

Abläufe im Latenzmodus anzeigen

Console

  1. Abfrage erstellen und ausführen
  2. Prüfen Sie im Bereich Anzeigeoptionen den Abstimmungszeitraum und ändern Sie ihn gegebenenfalls. Weitere Informationen finden Sie unter Ausrichtungszeitraum.
  3. Wählen Sie Latenz als Anzeigemodus aus.
  4. Wählen Sie als Messwerttyp die Option Round-Trip-Zeit (Median) aus.

  5. Wählen Sie unter Flows sortieren nach einen Ranking-Messwert aus. Dieser Messwert definiert die Sortierreihenfolge in der Tabelle Alle Latenzflüsse und bestimmt, welche Flüsse im Diagramm Flüsse mit der höchsten Latenz angezeigt werden. Sie können aus den folgenden Ranking-Messwerten auswählen:

    • Durchschnittlich: Sortiert Datenflüsse nach der höchsten durchschnittlichen Latenz (einschließlich Latenzspitzen).
    • Max: Sortiert Datenflüsse nach der höchsten Latenzspitze.
    • Median: Sortiert Datenflüsse nach der höchsten Medianlatenz (Latenzspitzen werden ausgeschlossen).
    • P95: Sortiert Datenflüsse nach der höchsten Latenz für das 95. Perzentil.
    • P99: Sortiert Datenflüsse nach der höchsten Latenz des 99. Perzentils.
    • Standardabweichung: Sortiert Datenflüsse nach der höchsten Latenzabweichung (Inkonsistenz).

  6. Sehen Sie sich den Abschnitt Erweiterte Einstellungen an und nehmen Sie gegebenenfalls Änderungen vor:

    • Mit der Option Sampling points (Stichprobenpunkte) können Sie den Berichtsendpunkt auswählen, der entweder die Quelle oder das Ziel sein kann.

    • Mit der Option Diagrammaggregation können Sie die Berechnungsmethode für das Diagramm Flows mit der höchsten Latenz festlegen. Diese Methode wird auf die Daten angewendet, die basierend auf der Ranking-Metrik ausgewählt werden, die Sie in der Liste Abläufe sortieren nach auswählen. Sie können aus den folgenden Berechnungsmethoden auswählen:

      • Durchschnittliche Latenz: Berechnet die durchschnittliche Latenz (einschließlich Latenzspitzen).
      • Maximale Latenz: Berechnet die höchsten Latenzspitzen.
      • Medianlatenz: Berechnet die Medianlatenz (Latenzspitzen werden ausgeschlossen).
      • P95-Latenz: Berechnet die Latenz für das 95. Perzentil.
      • P99-Latenz: Berechnet die Latenz des 99. Perzentils.

    • Mit der Option Tabellenaggregation können Sie auswählen, welche Messwerte zusätzlich zum Ranking-Messwert als Spalten in der Tabelle Alle Latenzflüsse angezeigt werden.

    • Mit der Option Datenflüsse ausblenden, die weniger beigetragen haben als können Sie Datenflüsse mit geringem Volumen aus der Abfrage ausschließen.

      Wenn in Ihrer Abfrage beispielsweise insgesamt 1.000 Logs gefiltert wurden, werden bei der Einstellung 1% alle Flows ausgeblendet, die weniger als 10 Logs beigetragen haben. Wenn Sie den Wert auf 0% festlegen, wird keine Filterung angewendet und jeder Flow wird unabhängig von seinem Beitrag angezeigt.

  7. Klicken Sie auf Neue Abfrage ausführen.

Workflowdetails ansehen

So rufen Sie Flussdetails für einen ausgewählten Fluss in der Tabelle „Datenflüsse“ auf:

Console

  1. Abfrage erstellen
    1. Wählen Sie einen Log-Bucket aus. Wenn Sie den Log-Bucket _Default verwenden möchten, können Sie diesen Schritt überspringen.
    2. Legen Sie den Zeitraum der Abfrage über die Zeitraumauswahl fest oder wählen Sie Im ausgewählten Zeitraum noch einmal ausführen aus.
    3. Wählen Sie die Filter aus.
    4. Wählen Sie die Felder aus, nach denen die Ergebnisse sortiert werden sollen.
  2. Führen Sie die Abfrage aus.
  3. Klicken Sie in der Tabelle Alle Datenflüsse für einen beliebigen Datenfluss auf Details. Auf der Seite Details des Datenflusses werden alle Ressourcen angezeigt, die den ausgewählten Filtern entsprechen, sowie der Traffic dieser Ressourcen.

Trafficflüsse aufschlüsseln

Sie können den Traffic der ausgewählten Ressourcen weiter eingrenzen. Mit Flow Analyzer können Sie die Abfrageergebnisse mithilfe der verbleibenden Felder, die in VPC-Flusslogs verfügbar sind, weiter aufschlüsseln. Weitere Informationen finden Sie unter Ablaufdetails ansehen.

So analysieren Sie Traffic-Flows mit weiteren Feldern:

Console

  1. Abfrage erstellen
    1. Wählen Sie einen Log-Bucket aus. Wenn Sie den Log-Bucket _Default verwenden möchten, können Sie diesen Schritt überspringen.
    2. Legen Sie den Zeitraum der Abfrage über die Zeitraumauswahl fest oder wählen Sie Im ausgewählten Zeitraum noch einmal ausführen aus.
    3. Wählen Sie die Filter aus.
    4. Wählen Sie die Felder aus, nach denen die Ergebnisse sortiert werden sollen.
  2. Führen Sie die Abfrage aus.

  3. Klicken Sie in der Tabelle Alle Datenflüsse oder Alle Latenzflüsse für einen beliebigen Fluss auf Details.

    Auf der Seite Details des Datenflusses werden alle Ressourcen angezeigt, die den ausgewählten Filtern entsprechen, sowie der Traffic dieser Ressourcen.

  4. Wählen Sie in der Liste Aufschlüsseln nach ein Feld aus, um einen Drilldown durchzuführen.

  5. Wenn Sie die Daten mit dem bisherigen Traffic vergleichen möchten, klicken Sie auf den Ein/Aus-Schalter Mit bisherigen Daten vergleichen. Mit dieser Funktion können Sie sechs Linien sehen: drei durchgezogene Linien für die drei wichtigsten Traffic-Flows aus dem Drilldown und drei gestrichelte Linien in entsprechenden Farben für den bisherigen Traffic.

Nächste Schritte