Flow Analyzer – Übersicht

Mit Flow Analyzer können Sie Ihre VPC-Traffic-Flüsse (Virtual Private Cloud) schnell und effizient nachvollziehen, ohne komplexe SQL-Abfragen zum Analysieren von VPC-Flusslogs schreiben zu müssen. Mit Flow Analyzer können Sie eine fundierte Analyse des Netzwerk-Traffics mit einer Granularität von 5 Tupeln (Quell-IP, Ziel-IP, Quellport, Zielport und Protokoll) durchführen.

Flow Analyzer wurde mit Log Analytics entwickelt und basiert auf BigQuery. Damit können Sie den eingehenden und ausgehenden Traffic Ihrer VM-Instanzen detailliert analysieren. Damit können Sie Ihre Netzwerkbereitstellung überwachen, Fehler beheben und optimieren, um die Leistung zu verbessern und die Sicherheit zu erhöhen. So können Sie die Compliance sicherstellen und Kosten sparen.

Flow Analyzer analysiert VPC-Flusslogdaten, die in einem Log-Bucket gespeichert sind (Eintragformat). Wenn Sie Flow Analyzer verwenden möchten, müssen Sie ein Projekt mit einem Log-Bucket auswählen, der VPC-Flusslogs enthält. Weitere Informationen finden Sie in der Übersicht zu VPC-Flusslogs. VPC-Flusslogs können für das Netzwerkmonitoring, forensische Untersuchungen, Sicherheitsanalysen in Echtzeit sowie zur Kostenoptimierung verwendet werden.

Flow Analyzer führt Abfragen für die Felder aus, die in VPC Flow Logs enthalten sind. Weitere Informationen finden Sie unter Schlüsselattribute von VPC-Flusslogs.

In Flow Analyzer haben Sie folgende Möglichkeiten:

  • Von VPC-Flusslogs gemeldete Logs abfragen
  • SQL-Filter zum Verfeinern von Abfragen verwenden
  • Suchergebnisse nach Gesamttraffic, aggregierten Paketen oder Latenz sortieren
  • Traffic für einen bestimmten Zeitraum ansehen
  • Die fünf wichtigsten Flows mit dem höchsten Traffic oder der höchsten Latenz für den ausgewählten Zeitraum ansehen
  • Ressourcen mit dem höchsten Traffic oder der höchsten Latenz für den ausgewählten Zeitraum ansehen
  • Traffic-Details für bestimmte Quell- und Zielpaare in den Abfrageergebnissen ansehen

Funktionsweise

Mit VPC-Flusslogs werden Pakete in Ihrem VPC-Netzwerk erfasst, um Flusslogs zu generieren, die in Cloud Logging gespeichert oder über Pub/Sub an unterstützte Ziele wie BigQuery oder eine Drittanbieterplattform weitergeleitet werden können.

Wenn Flusslogs in Log Analytics-fähigen Buckets in Cloud Logging gespeichert werden, können Sie mit Flow Analyzer Ihre Verkehrsdaten abfragen und visualisieren.

Abfragekomponenten

Um Ihre Traffic-Flüsse zu analysieren und nachzuvollziehen, müssen Sie eine Abfrage für VPC-Flusslogs ausführen. Mit Flow Analyzer können Sie die Abfrage erstellen, die Anzeigeoptionen anpassen und die Traffic-Flows aufschlüsseln, um sie anzusehen und zu beobachten.

Traffic-Zusammenfassung

Wenn Sie VPC-Trafficflüsse analysieren möchten, müssen Sie den Aggregationsansatz festlegen, um die Flüsse zwischen den Ressourcen zu filtern. Flow Analyzer organisiert die Flusslogs für die Aggregation auf folgende Weise:

  • Quelle und Ziel: Bei dieser Option werden die Informationen SRC und DEST aus den VPC-Flusslogs verwendet. In dieser Ansicht wird der Traffic von der Quelle zum Ziel aggregiert.
  • Client und Server: Bei dieser Option wird versucht, den Initiator der Verbindung zu ermitteln. Eine Ressource mit der kleineren Portnummer wird als Server betrachtet. Außerdem werden Ressourcen mit gke_service-Definition als Server betrachtet, da Dienste keine Anfragen initiieren. In dieser Ansicht wird der Traffic in beide Richtungen zusammengefasst.

Zeitraumauswahl

Der Standardzeitraum beträgt eine Stunde. Sie können jedoch voreingestellte Zeitoptionen auswählen, eine benutzerdefinierte Start- und Endzeit angeben oder den Zeitraum mithilfe der Zeitraumauswahl um einen bestimmten Zeitstempel zentrieren. Wenn Sie beispielsweise die Daten der letzten Woche aufrufen möchten, wählen Sie in der Zeitraumauswahl Letzte Woche aus.

Sie können Ihre Zeitzoneneinstellungen auch über die Zeitraumauswahl festlegen.

Einfache Filter

Mit einfachen Filtern können Sie den Umfang einer Abfrage definieren. In den Abfrageergebnissen werden nur die Flows angezeigt, die mit den von Ihnen ausgewählten Filtern übereinstimmen. Sie können Filter für Folgendes auswählen:

  • Quelle und Ziel (wenn Traffic-Aggregation auf Quelle – Ziel festgelegt ist)
  • Client und Server (wenn Traffic-Aggregation auf Client – Server festgelegt ist)
  • Datenflussparameter

Sie können jeder Filter-Liste mehrere Filterausdrücke hinzufügen. Wenn Sie mehrere Werte für denselben Filter auswählen, wird ein ODER-Operator verwendet. Wenn Sie mehrere Filter auswählen, wird ein AND-Operator verwendet.

Wenn Sie beispielsweise die zwei IP-Adresswerte 10.10.0.10 und 10.10.0.20 sowie die zwei Länder-Werte usa und fra auswählen, wird die folgende Filterlogik auf die Abfrage angewendet: (IP=10.10.0.10 OR IP=10.10.0.20) AND (Country=usa OR Country=fra).

Informationen zum Erstellen und Ausführen von Abfragen mit einfachen Filtern finden Sie unter Abfrage erstellen und ausführen.

SQL-Filter

Mit SQL-Filtern lassen sich komplexe Abfragen erstellen. Mit komplexen Abfragen können Sie unter anderem die folgenden Aufgaben ausführen:

  1. Feldwerte miteinander vergleichen
  2. Komplexe boolesche Logik mit AND/OR- und verschachtelten OR-Operationen erstellen
  3. Komplexe Vorgänge für IP-Adressen mit BigQuery-Funktionen ausführen

Die SQL-Filterabfragen verwenden die BigQuery-SQL-Syntax. Weitere Informationen finden Sie unter BigQuery-SQL-Syntax.

Wenn Sie die Syntax und Beispiele für Filterausdrücke aufrufen möchten, klicken Sie auf Syntax und Beispiele für Filterausdrücke.

Informationen zum Erstellen und Ausführen von Abfragen mit SQL-Filtern finden Sie unter SQL-Abfrage erstellen und ausführen.

Abfrageergebnisse

Die Abfrageergebnisse enthalten die folgenden Komponenten:

  • Im Diagramm Höchste Datenflüsse werden die fünf höchsten Traffic-Flüsse im Zeitverlauf zusammen mit dem restlichen Traffic dargestellt. Mit diesem Diagramm lassen sich Trends wie Traffic-Spitzen erkennen.
  • Tabelle Alle Datenflüsse: Hier werden die wichtigsten Traffic-Flüsse in bis zu 10.000 Zeilen angezeigt,die über den ausgewählten Zeitraum hinweg aggregiert werden. In dieser Tabelle werden die Felder angezeigt, die zum Organisieren der Abläufe ausgewählt wurden, während die Filter für die Abfrage definiert wurden.

Wenn Sie in den Anzeigeoptionen Latenz auswählen, werden stattdessen Flüsse mit der höchsten Latenz und Alle Latenzflüsse angezeigt.

Anzeigeoptionen

Nachdem Sie eine Abfrage ausgeführt haben, können Sie die Ergebnisse mit Anzeigeoptionen verfeinern. Ihre Auswahl wird sowohl im Diagramm als auch in der Tabelle aktualisiert.

Flow Analyzer bietet zwei Modi zum Anpassen der Datendarstellung:

  • Datenvolumen (Standard): Zeigt gesendete Byte und Pakete an.
  • Latenz: Zeigt die Umlaufzeit (round-trip time – RTT) an.

Weitere Informationen finden Sie unter Anzeigeoptionen anpassen.

Datenvolumen

Für den Anzeigemodus Datenvolumen sind die folgenden Optionen verfügbar.

Messwerttypen

Sie können einen der folgenden Messwerttypen auswählen.

  • Gesendete Byte: Enthält Informationen zu den Nutzlastvolumen und schließt keine Header ein. Dieser Messwert kann null sein, da einige Pakete nur Header und keine Nutzlast enthalten.

  • Gesendete Pakete: Gibt die Anzahl der Pakete an, die von der Quelle an das Ziel gesendet wurden.

Für beide Messwerttypen können Sie zusätzliche Messwertaggregationen auswählen.

Messwertaggregation

Sie haben folgende Möglichkeiten, die Zusammenfassung von Messwerten anzusehen.

Wenn Sie Gesendete Byte als Messwert und Quelle und Ziel als Traffic-Aggregation auswählen, sind die folgenden Optionen verfügbar:

  • Gesamttraffic: Diese Option ist standardmäßig immer aktiviert und zeigt den Gesamttraffic für den ausgewählten Zeitraum an.
  • Durchschnittliche Trafficrate: Die durchschnittliche Trafficrate (in Byte pro Sekunde) für den ausgewählten Zeitraum, die nur für die Abstimmungszeiträume berechnet wird, in denen Traffic beobachtet wurde. Weitere Informationen finden Sie unter Ausrichtungszeitraum.
  • Median traffic rate (Median der Trafficrate): Hier wird die Median-Trafficrate (in Byte pro Sekunde) für den ausgewählten Zeitraum angezeigt. Sie wird nur für die Anpassungszeiträume berechnet, in denen Traffic beobachtet wurde. Weitere Informationen finden Sie unter Ausrichtungszeitraum.
  • P95-Trafficrate: Die 95. Perzentil-Trafficrate in Byte pro Sekunde für den ausgewählten Zeitraum, die nur für die Abstimmungszeiträume berechnet wird, in denen der Traffic beobachtet wurde. Weitere Informationen finden Sie unter Ausrichtungszeitraum.
  • Maximale Trafficrate: Die maximale Trafficrate in Byte pro Sekunde für den ausgewählten Zeitraum.

Wenn Sie Gesendete Pakete als Messwert und Quelle und Ziel als Traffic-Aggregation auswählen, sind die folgenden Optionen verfügbar:

  • Pakete aggregieren: Hier wird die Anzahl der Pakete angezeigt, die für den ausgewählten Zeitraum gesendet wurden. Standardmäßig aktiviert.
  • Durchschnittliche Paketrate: Hier wird die durchschnittliche Paketrate für den ausgewählten Zeitraum angezeigt. Sie wird nur für die Abstimmungszeiträume berechnet, in denen Traffic beobachtet wurde. Weitere Informationen finden Sie unter Ausrichtungszeitraum.
  • Median-Paketsenderate: Die Median-Paketsenderate für den ausgewählten Zeitraum, die nur für die Abstimmungszeiträume berechnet wird, in denen Traffic beobachtet wurde. Weitere Informationen finden Sie unter Ausrichtungszeitraum.
  • P95-Paketsenderate: Die 95. Perzentil-Paketsenderate für den ausgewählten Zeitraum, die nur für die Abstimmungszeiträume berechnet wird, in denen Traffic beobachtet wurde. Weitere Informationen finden Sie unter Ausrichtungszeitraum.
  • Maximale Paketrate: Die maximale Paketrate für den ausgewählten Zeitraum.

Stichprobenpunkt

Bei der VM-zu-VM-Netzwerkkommunikation sind Flusslogs (mit Sampling) sowohl für die VMs verfügbar, die Traffic senden, als auch für die VMs, die Traffic empfangen. Wenn sich beide Endpunkt-VMs in Subnetzen befinden, für die VPC-Flusslogs aktiviert sind, wird derselbe Fluss zweimal gemeldet. Sie können einen der folgenden vier Ansätze auswählen, um festzulegen, welche VPC-Flusslogs zu den berechneten Messwerten beitragen und wie sie ausgewertet werden:

  • Quellendpunkt: Die Anzahl der gesendeten Byte oder Pakete, die am Quellendpunkt eines Flows gemeldet werden.
  • Zielendpunkt: Die Anzahl der gesendeten Byte oder Pakete, die am Zielendpunkt eines Flows gemeldet werden.
  • Summe von Quell- und Zielendpunkt: Die Summe der gesendeten Byte oder Pakete, die von beiden Endpunkten eines Flows gemeldet werden.
  • Durchschnitt von Quell- und Zielendpunkt: Durchschnitt der von beiden Endpunkten eines Flusses gemeldeten gesendeten Byte oder Pakete, wenn sowohl die Quell- als auch die Zielinformationen in VPC-Flusslogs verfügbar sind

Traffic-Deduplizierung

Damit der Traffic, der für die Quell- und Ziel-VMs gemeldet wird, nicht doppelt gezählt wird, können Sie die Sampling-Option Durchschnitt von Quell- und Zielendpunkt auswählen. Flow Analyzer ermittelt entsprechende Flows innerhalb jedes Abgleichszeitraums und berechnet die Durchschnittswerte der gemeldeten Messwerte (Anzahl der Byte und Anzahl der Pakete).

Bei Abstimmungszeiträumen, in denen entsprechende Datenflüsse sowohl bei SRC als auch bei DEST gemeldet werden, wird der gesamte Traffic, der einem bestimmten Abstimmungszeitraum zugeordnet ist, durch zwei geteilt.

Latenz

Für den Anzeigemodus Latenz sind die folgenden Optionen verfügbar.

Messwerttyp

Flow Analyzer verwendet RTT-Daten aus VPC-Flusslogs, um die Latenz für TCP-Traffic zu analysieren.

Ranking-Messwerte

Sie können Ihre Traffic-Quellen anhand der folgenden Messwerte einstufen. Diese Auswahl bestimmt die Sortierreihenfolge in der Tabelle Alle Latenzflüsse und legt fest, welche Flüsse im Diagramm Flüsse mit der höchsten Latenz angezeigt werden.

  • Durchschnittlich: Sortiert Datenflüsse nach der höchsten durchschnittlichen Latenz (einschließlich Latenzspitzen).
  • Max: Sortiert Datenflüsse nach der höchsten Latenzspitze.
  • Median: Sortiert Datenflüsse nach der höchsten Medianlatenz (Latenzspitzen werden ausgeschlossen).
  • P95: Sortiert Datenflüsse nach der höchsten Latenz für das 95. Perzentil.
  • P99: Sortiert Datenflüsse nach der höchsten Latenz des 99. Perzentils.
  • Standardabweichung: Sortiert Datenflüsse nach der höchsten Latenzabweichung (Inkonsistenz).

Stichprobenpunkt

Die Latenz wird sowohl für Quell- als auch für Zielendpunkte gemeldet. Sie können sich Latenzwerte für beide Seiten von Traffic-Flows ansehen.

Messwertaggregation

Für das Zusammenfassen von Latenzdaten stehen die folgenden Optionen zur Verfügung:

  • Diagrammaggregation: Definiert die Berechnungsmethode für das Diagramm Flows mit der höchsten Latenz und wird auf die Daten angewendet, die auf Grundlage des von Ihnen ausgewählten Ranking-Messwerts ausgewählt werden. Sie können Durchschnitt, Max, Median, P95 oder P99 als Methode zur Latenzberechnung auswählen.

    Wenn Sie beispielsweise Flows nach Medianlatenz sortieren und die Diagrammaggregation auf Maximale Latenz festlegen, werden im Diagramm die höchsten Latenzspitzen für die fünf Flows mit der höchsten Medianlatenz angezeigt.

  • Tabellenaggregation: Hier wird ausgewählt, welche Messwerte zusätzlich zum ausgewählten Ranking-Messwert als Spalten in der Tabelle Alle Latenzflüsse angezeigt werden.

Sie können auch Flows mit geringem Volumen aus der Latenzanalyse ausschließen.

Ausrichtungszeitraum

Sie können einen Zeitraum von 5 Sekunden bis 1 Tag für die Details im Diagramm auswählen. Im automatischen Modus wird der optimale Ausrichtungszeitraum in Abhängigkeit von der Länge des ausgewählten Zeitraums ausgewählt.

Jeder Punkt auf der Zeitachse steht für aggregierte Daten für einen bestimmten Zeitraum. Die Länge dieses Zeitraums wird als Ausrichtungszeitraum bezeichnet.

Die Leistung nimmt mit dem Wert des Abstimmungszeitraums ab. Bei höheren Werten für den Ausrichtungszeitraum wird das Diagramm weniger detailliert. Kurze Spitzen mit höheren Werten werden möglicherweise nicht angezeigt.

Bei langen Zeiträumen ist ein kleinerer Ausrichtungszeitraum nicht hilfreich. Wenn Sie beispielsweise eine 1-Minuten-Ausrichtung für einen Zeitraum von 30 Tagen auswählen, werden in Flow Analyzer mehr als 43.000 Datenpunkte generiert. Da das 10-mal mehr als die Pixel eines 4K-Displays sind, können Sie nicht alle Details sehen. Außerdem sind einige Optionen für lange Zeiträume deaktiviert.

Weitere Informationen dazu, wie die Stichprobenerhebung erfolgt und der Ausrichtungszeitraum für die Anzeige der Abfrageergebnisse bestimmt wird, finden Sie unter Messwerte und Ausrichtungszeitraum.

Workflowdetails ansehen

Klicken Sie in der Tabelle Alle Datenflüsse oder Alle Latenzflüsse für einen beliebigen Fluss auf Details. Der Bereich Flow-Details wird angezeigt. Dieser Bereich enthält Informationen wie Quelle, Ziel, Traffic, Aufschlüsselungsoptionen und Pfade des autonomen Systems (AS) für den ausgehenden Traffic.

Ansicht zum Aufschlüsseln

Sie können einen ausgewählten Datenfluss weiter aufschlüsseln, indem Sie ihn mit einem zusätzlichen Feld aufteilen. Wenn ein Ablauf beispielsweise allgemeine Details zu 1.000 GiB Traffic von Google Cloud Zone X nach Zone Y enthält, können Sie mit einem anderen Feld wie der Quell-IP-Adresse einen Drilldown durchführen. Die Ergebnisse enthalten mehrere IP-Adressen, aus denen der ursprüngliche Flow besteht.

Die Felder, die in der Aufschlüsselungskomponente angezeigt werden, werden so ausgewählt:

  • Wenn Sie auf die Flow-Details zugreifen, führt Flow Analyzer mehrere Abfragen aus. Bei jeder Abfrage wird versucht, den ausgewählten Fluss mithilfe der Felder aufzuschlüsseln, die in den VPC-Flusslogs verfügbar sind und noch nicht in der ursprünglichen Abfrage verwendet wurden. Wenn die ausgeführte Abfrage beispielsweise bereits die IP-Adressdetails enthält, müssen Sie die Abfrage nicht noch einmal mit diesem Feld ausführen und können dieses Feld nicht für die Aufschlüsselung verwenden.
  • Wenn eine der zusätzlichen Abfragen einen einzelnen Feldwert zurückgibt, wird dieser dem Bereich mit den Details zu Quelle und Ziel hinzugefügt, auch wenn er nicht zuvor abgerufen wurde.
  • Wenn eines der Abfrageergebnisse mehr als einen Feldwert enthält, wird das entsprechende Feld in der Aufschlüsselungsliste angezeigt.

Wenn Sie ein Feld in der Aufschlüsselungsliste auswählen, werden die Aufschlüsselungstabelle und das Diagramm aktualisiert, um die drei wichtigsten Traffic-Quellen zu präsentieren.

Sie können auch den Schalter Mit der Vergangenheit vergleichen verwenden. Wenn Sie diese Funktion auswählen, werden sechs Linien angezeigt: drei durchgezogene Linien für die drei Top Talkers aus der Aufschlüsselung und drei gestrichelte Linien in entsprechenden Farben für den bisherigen Traffic.

Weitere Informationen zum Aufschlüsseln von Traffic-Flows mit weiteren Feldern finden Sie unter Traffic-Flows aufschlüsseln.

Ansicht „Ausgehende AS-Pfade“

Auf dem Tab Ausgehende AS-Pfade sehen Sie die AS-Pfade, die ausgehende Pakete durchlaufen, um Ziele außerhalb des Netzwerks von Google Cloudzu erreichen. Ein AS-Pfad kann mehrere autonome Systemnummern (Autonomous System Numbers, ASNs) enthalten.

Sie können festlegen, welche AS-Details auf dem Tab Ausgehende AS-Pfade angezeigt werden. Verwenden Sie dazu den Filter Ausgehender AS-Pfad in der Liste Flussparameter. Mit den Optionen länger als und kürzer als im Feld Vergleichsoperator können Sie beispielsweise die Anzahl der ASNs pro AS-Pfad angeben. Wenn Sie AS-Pfade aufrufen möchten, die eine bestimmte ASN enthalten, können Sie die Option hat erste ASN oder enthält ASN verwenden.

Kanten im Diagramm „Ausgehende AS-Pfade“ werden nach der Anzahl der Flow-Logs gewichtet. In einem AS-Pfad im Diagramm stellt eine Kante die Anzahl der Flow-Logs dar, die beide ASNs enthalten, die durch die Kante verbunden werden. Die im Diagramm „Ausgehende AS-Pfade“ angezeigten Daten ändern sich je nach den Filteroptionen für Ausgehender AS-Pfad und dem Zeitraum, den Sie beim Ausführen einer Abfrage auswählen.

In Loganalysen ansehen

Sie können die Roh-SQL-Abfrage in Loganalysen aufrufen.

Für erweiterte Analysen können Sie den SQL-Code, der zum Visualisieren des Traffics verwendet wird, direkt ändern. Mit der Funktion In Loganalysen ansehen werden Sie mit einer vorausgefüllten Abfrage zur Seite Loganalysen weitergeleitet.

Nächste Schritte