Présentation de Flow Analyzer

Flow Analyzer vous permet de comprendre rapidement et efficacement vos flux de trafic de cloud privé virtuel (VPC, Virtual Private Cloud) sans avoir à écrire de requêtes SQL complexes pour analyser les journaux de flux VPC. Flow Analyzer vous permet d'effectuer une analyse avisée du trafic réseau avec un niveau de précision de 5 tuples (adresse IP source, adresse IP de destination, port source, port de destination et protocole).

Développé à l'aide de Log Analytics et optimisé par BigQuery, Flow Analyzer permet d'analyser en détail le trafic entrant et sortant de vos instances de VM. Il vous permet de surveiller, de dépanner et d'optimiser votre déploiement réseau pour améliorer les performances et renforcer la sécurité, ce qui vous aide à assurer la conformité et à réduire les coûts.

Flow Analyzer analyse les données des journaux de flux VPC stockées dans un bucket de journaux (format d'enregistrement). Pour utiliser l'analyseur de flux, vous devez sélectionner un projet avec un bucket de journaux contenant des journaux de flux VPC. Pour en savoir plus, consultez la présentation des journaux de flux VPC. Les journaux de flux VPC peuvent être utilisés pour la surveillance des réseaux, l'investigation, l'analyse de la sécurité en temps réel et l'optimisation des dépenses.

L'analyseur de flux exécute des requêtes sur les champs inclus dans les journaux de flux VPC. Pour en savoir plus, consultez Propriétés clés des journaux de flux VPC.

Dans l'analyseur de flux, vous pouvez effectuer les opérations suivantes :

  • Journaux de requêtes générés par les journaux de flux VPC
  • Utiliser des filtres SQL pour affiner vos requêtes
  • Trier les résultats de requête par trafic total, paquets agrégés ou latence
  • Afficher le trafic pour une période spécifique
  • Affichez les cinq principaux flux ayant le trafic ou la latence les plus élevés pour la période sélectionnée.
  • Affichez les ressources avec le trafic ou la latence les plus élevés pour la période sélectionnée.
  • Afficher les détails du trafic pour des paires source/destination spécifiques dans les résultats de votre requête

Fonctionnement

Les journaux de flux VPC échantillonnent les paquets de votre réseau VPC pour générer des journaux de flux, qui peuvent être stockés dans Cloud Logging ou acheminés vers des destinations compatibles, telles que BigQuery ou une plate-forme tierce via Pub/Sub.

Lorsque les journaux de flux sont stockés dans des buckets pour lesquels l'analyse de journaux est activée dans Cloud Logging, vous pouvez utiliser l'analyseur de flux pour interroger et visualiser vos données de trafic.

Composants de la requête

Pour analyser et comprendre vos flux de trafic, vous devez exécuter une requête sur les journaux de flux VPC. L'analyseur de flux vous aide à créer la requête, à personnaliser les options d'affichage et à afficher et surveiller vos flux de trafic.

Agrégation du trafic

Pour analyser les flux de trafic VPC, vous devez déterminer l'approche d'agrégation permettant de filtrer les flux entre les ressources. L'analyseur de flux organise les journaux de flux pour l'agrégation de la manière suivante :

  • Source et destination : cette option utilise les informations SRC et DEST incluses dans les journaux de flux VPC. Cette vue agrège le trafic de la source vers la destination.
  • Client et serveur : cette option tente de trouver l'initiateur de la connexion. Une ressource avec un numéro de port inférieur est considérée comme le serveur. Il considère également les ressources avec la définition gke_service comme des serveurs, car les services n'initient pas de requêtes. Cette vue agrège le trafic dans les deux sens.

Sélecteur de période

La période par défaut est d'une heure, mais vous pouvez sélectionner une option prédéfinie, spécifier une heure de début et de fin personnalisées, ou centrer la période autour d'un code temporel spécifique à l'aide du sélecteur de période. Par exemple, si vous souhaitez afficher les données de la semaine dernière, sélectionnez Semaine dernière dans le sélecteur de période.

Vous pouvez également définir vos préférences de fuseau horaire à l'aide du sélecteur de période.

Filtres de base

Les filtres de base vous permettent de définir le champ d'application d'une requête. Seuls les flux correspondant aux filtres que vous sélectionnez s'affichent dans les résultats de la requête. Vous pouvez sélectionner des filtres pour les éléments suivants :

  • Source et Destination (si Agrégation du trafic est défini sur Source – Destination)
  • Client et Serveur (si Agrégation du trafic est défini sur Client – Serveur)
  • Paramètres de flux

Dans chaque liste Filtre, vous pouvez ajouter plusieurs expressions de filtre. L'opérateur OR (OU) est utilisé si vous sélectionnez plusieurs valeurs pour le même filtre. Si vous sélectionnez plusieurs filtres, l'opérateur AND est utilisé.

Par exemple, si vous sélectionnez deux valeurs d'adresse IP (10.10.0.10 et 10.10.0.20) et deux valeurs de pays (usa et fra), la logique de filtrage suivante est appliquée à la requête : (IP=10.10.0.10 OR IP=10.10.0.20) AND (Country=usa OR Country=fra).

Pour créer et exécuter des requêtes à l'aide de filtres de base, consultez Créer et exécuter une requête.

Filtres SQL

Pour créer des requêtes complexes, vous pouvez utiliser des filtres SQL. À l'aide de requêtes complexes, vous pouvez effectuer des tâches telles que les suivantes :

  1. Comparer les valeurs de champ entre elles
  2. Créer une logique booléenne complexe à l'aide d'opérations AND/OR et OR imbriquées
  3. Effectuer des opérations complexes sur des adresses IP à l'aide des fonctions BigQuery

Les requêtes de filtre SQL utilisent la syntaxe SQL BigQuery. Pour en savoir plus, consultez la syntaxe BigQuery SQL.

Pour afficher la syntaxe et des exemples d'expressions de filtre, cliquez sur Syntaxe et exemples d'expressions de filtre.

Pour créer et exécuter des requêtes à l'aide de filtres SQL, consultez Créer et exécuter une requête SQL.

Résultats de la requête

Les résultats de la requête incluent les composants suivants :

  • Le graphique Flux de données les plus élevés : affiche les cinq flux de trafic les plus élevés au fil du temps, ainsi que le reste du trafic. Ce graphique vous permet d'identifier les tendances, comme les pics de trafic.
  • Le tableau Tous les flux de données affiche les principaux flux de trafic (jusqu'à 10 000 lignes) agrégés sur la durée sélectionnée. Ce tableau affiche les champs sélectionnés pour organiser les flux lors de la définition des filtres pour la requête.

Si vous sélectionnez Latence dans Options d'affichage, les options Flux avec la latence la plus élevée et Tous les flux avec latence s'affichent à la place.

Options d'affichage

Après avoir exécuté une requête, vous pouvez affiner vos résultats à l'aide des options d'affichage. Vos sélections mettent à jour le graphique et le tableau.

L'analyseur de flux propose deux modes pour personnaliser l'affichage des données :

  • Volume de données (par défaut) : affiche les octets et les paquets envoyés.
  • Latence : affiche le délai aller-retour (DAR).

Pour en savoir plus, consultez Personnaliser les options d'affichage.

Volume de données

Les options suivantes sont disponibles pour le mode d'affichage Volume de données.

Types de métriques

Vous pouvez choisir d'afficher l'un des types de métriques suivants.

  • Octets envoyés : contient des informations sur les volumes de charge utile et n'inclut pas les en-têtes. La valeur de cette métrique peut être nulle, car certains paquets ne contiennent que des en-têtes et aucune charge utile.

  • Paquets envoyés : indique le nombre de paquets envoyés de la source vers la destination.

Pour les deux types de métriques, vous pouvez choisir des agrégations de métriques supplémentaires.

Agrégation de métriques

Vous pouvez afficher l'agrégation des métriques de différentes manières.

Si vous sélectionnez Octets envoyés comme métrique et Source et destination comme agrégation du trafic, les options suivantes sont disponibles :

  • Trafic total : cette option est toujours activée par défaut et affiche le trafic total pour la période choisie.
  • Débit moyen du trafic : indique le débit moyen du trafic (en octets par seconde) pour la période choisie, calculé uniquement pour les périodes d'alignement au cours desquelles le trafic a été observé. Pour en savoir plus, consultez la section Période d'alignement.
  • Taux de trafic médian : affiche le taux de trafic médian (en octets par seconde) pour la période choisie, calculé uniquement pour les périodes d'alignement au cours desquelles le trafic a été observé. Pour en savoir plus, consultez la section Période d'alignement.
  • Débit de trafic P95 : indique le 95e centile du débit de trafic en octets par seconde pour la période choisie. Il est calculé uniquement pour les périodes d'alignement au cours desquelles le trafic a été observé. Pour en savoir plus, consultez la section Période d'alignement.
  • Débit de trafic maximal : indique le débit de trafic maximal en octets par seconde pour la période sélectionnée.

Si vous sélectionnez Paquets envoyés comme métrique et Source et destination comme agrégation du trafic, les options suivantes sont disponibles :

  • Paquets agrégés : affiche le nombre de paquets envoyés pour la période choisie. Cette option est activée par défaut.
  • Taux moyen de paquets : affiche le taux moyen de paquets pour la période choisie, calculé uniquement pour les périodes d'alignement au cours desquelles le trafic a été observé. Pour en savoir plus, consultez la section Période d'alignement.
  • Taux médian de paquets : affiche le taux médian de paquets pour la période choisie, calculé uniquement pour les périodes d'alignement au cours desquelles le trafic a été observé. Pour en savoir plus, consultez la section Période d'alignement.
  • Taux de paquets au 95e centile : indique le taux de paquets au 95e centile pour la période choisie, calculé uniquement pour les périodes d'alignement au cours desquelles le trafic a été observé. Pour en savoir plus, consultez la section Période d'alignement.
  • Débit maximal de paquets : indique le débit maximal de paquets pour la période choisie.

Point d'échantillonnage

Pour la communication réseau entre plusieurs VM, des journaux de flux sont disponibles (avec échantillonnage appliqué) au niveau des VM qui envoient et reçoivent le trafic. Si les deux VM de point de terminaison se trouvent dans des sous-réseaux pour lesquels les journaux de flux VPC sont activés, le même flux est signalé deux fois. Vous pouvez choisir l'une des quatre approches suivantes pour déterminer quels journaux de flux VPC contribuent aux métriques calculées et comment ils sont évalués :

  • Point de terminaison source : nombre d'octets ou de paquets envoyés au point de terminaison source d'un flux
  • Point de terminaison de destination : nombre d'octets ou de paquets envoyés au point de terminaison de destination d'un flux
  • Somme des points de terminaison source et de destination : somme des octets ou des paquets envoyés signalés par les deux points de terminaison d'un flux
  • Moyenne des points de terminaison source et de destination : moyenne des octets ou des paquets envoyés signalés par les deux points de terminaison d'un flux si les informations sur la source et la destination sont disponibles dans les journaux de flux VPC

Dédoublonnage du trafic

Pour éviter que le trafic signalé au niveau des VM sources et de destination ne soit comptabilisé deux fois, vous pouvez choisir l'option d'échantillonnage Moyenne des points de terminaison source et de destination. L'analyseur de flux identifie les flux équivalents dans chaque période d'alignement et calcule les moyennes des valeurs de métriques signalées (nombre d'octets et nombre de paquets).

Pour les périodes d'alignement où des flux équivalents sont signalés à la fois dans SRC et DEST, tout le trafic attribué à une période d'alignement donnée est divisé par deux.

Latence

Les options suivantes sont disponibles pour le mode d'affichage Latence.

Type de métrique

Flow Analyzer utilise les données RTT des journaux de flux VPC pour fournir une analyse de la latence du trafic TCP.

Métriques de classement

Vous pouvez classer vos flux de trafic à l'aide des métriques suivantes. Cette sélection définit l'ordre de tri dans le tableau Tous les flux de latence et détermine les flux affichés dans le graphique Flux de latence les plus élevés.

  • Moyenne : trie les flux par latence moyenne la plus élevée (y compris les pics de latence).
  • Max : trie les flux en fonction du pic de latence le plus élevé.
  • Médiane : trie les flux en fonction de la latence médiane la plus élevée (à l'exclusion des pics de latence).
  • P95 : trie les flux en fonction de la latence au 95e centile la plus élevée.
  • P99 : trie les flux en fonction de la latence la plus élevée au 99e centile.
  • Écart-type : trie les flux en fonction de la plus grande variation (incohérence) de latence.

Point d'échantillonnage

La latence est indiquée pour les points de terminaison source et de destination. Vous pouvez afficher les valeurs de latence pour chaque côté des flux de trafic.

Agrégation de métriques

Les options suivantes sont disponibles pour agréger les données de latence :

  • Agrégation du graphique : définit la méthode de calcul du graphique Flux avec la latence la plus élevée et s'applique aux données sélectionnées en fonction de la métrique de classement que vous choisissez. Vous pouvez choisir Moyenne, Max, Médiane, P95 ou P99 comme méthode de calcul de la latence.

    Par exemple, si vous classez les flux par latence médiane tout en définissant l'agrégation du graphique sur Latence max, le graphique affiche les pics de latence les plus élevés pour les cinq flux ayant la latence médiane la plus élevée.

  • Agrégation du tableau : sélectionnez les métriques qui, en plus de la métrique de classement choisie, s'affichent sous forme de colonnes dans le tableau Tous les flux de latence.

Vous pouvez également exclure les flux à faible volume de l'analyse de la latence.

Période d'alignement

Vous pouvez choisir une période allant de 5 secondes à 1 jour pour les détails du graphique. Le mode automatique sélectionne la période d'alignement optimale en fonction de la durée de la période sélectionnée.

Chaque point de la chronologie représente des données agrégées pour une période spécifique. La durée de cette période est appelée période d'alignement.

Les performances diminuent à mesure que la valeur de la période d'alignement diminue. Plus la période d'alignement est longue, moins le graphique est précis. Il est possible que vous ne puissiez pas afficher les pics courts avec des valeurs plus élevées.

Pour les longues périodes, une période d'alignement plus courte n'est pas utile. Par exemple, si vous sélectionnez un alignement d'une minute pour une période de 30 jours, l'analyseur de flux génère plus de 43 000 points de données. Comme cela représente 10 fois plus de pixels que l'écran 4K, vous ne pourrez pas voir tous les détails et certaines options seront désactivées pour les longues périodes.

Pour en savoir plus sur la façon dont l'échantillonnage est effectué et dont la période d'alignement est déterminée pour afficher les résultats de la requête, consultez Métriques et période d'alignement.

Afficher les détails du flux

Dans le tableau Tous les flux de données ou Tous les flux de latence, cliquez sur Détails pour n'importe quel flux. Le panneau Détails du flux s'affiche. Ce panneau fournit des informations telles que la source, la destination, le trafic, les options d'analyse et les chemins de système autonome (AS) de sortie.

Vue détaillée

Vous pouvez afficher plus de détails en fractionnant un flux de trafic sélectionné à l'aide d'un champ supplémentaire. Par exemple, si un flux inclut des informations génériques sur 1 000 Gio de trafic de la zone X vers la zone Y,vous pouvez afficher plus de détails à l'aide d'un autre champ, tel que l'adresse IP source. Google Cloud Les résultats incluent plusieurs adresses IP qui composent le flux d'origine.

Les champs qui s'affichent dans le composant d'analyse sont sélectionnés comme suit :

  • Lorsque vous accédez aux détails du flux, Flow Analyzer exécute plusieurs requêtes. Chaque requête tente d'analyser le flux sélectionné à l'aide des champs disponibles dans les journaux de flux VPC et qui n'ont pas encore été utilisés dans la requête d'origine. Par exemple, si la requête exécutée inclut déjà les détails de l'adresse IP, vous n'avez pas besoin de l'exécuter à nouveau avec ce champ et vous ne pouvez pas effectuer d'analyse plus approfondie à l'aide de ce champ.
  • Si l'une des requêtes supplémentaires renvoie une valeur de champ unique, elle est ajoutée à la section des détails de la source et de la destination, même si elle n'a pas été récupérée précédemment.
  • Si l'un des résultats de la requête inclut plusieurs valeurs de champ, le champ correspondant apparaît dans la liste d'analyse.

Lorsque vous sélectionnez un champ dans la liste d'analyse détaillée, le tableau et le graphique sont mis à jour pour afficher les trois principaux flux de trafic.

Vous pouvez également utiliser le bouton Comparer aux données précédentes. Sélectionnez cette fonctionnalité pour afficher six lignes : trois lignes pleines pour les trois principaux talkers de la vue détaillée et trois lignes en pointillés dans les couleurs correspondantes représentant le trafic passé.

Pour analyser plus en détail les flux de trafic à l'aide d'autres champs, consultez Analyser en détail les flux de trafic.

Vue "Chemins AS de sortie"

Dans l'onglet Chemins AS de sortie, vous pouvez afficher les chemins AS que les paquets de sortie empruntent pour atteindre des destinations en dehors du réseau de Google Cloud. Un chemin AS peut inclure plusieurs numéros de système autonome (ASN).

Vous pouvez contrôler les détails AS affichés dans l'onglet Chemins AS de sortie en utilisant le filtre Chemin AS de sortie dans la liste Paramètres de flux. Par exemple, les options Plus long que et Plus court que dans le champ Comparateur vous permettent de spécifier le nombre d'ASN par chemin d'accès ASN. Pour afficher les chemins AS qui incluent un ASN spécifique, vous pouvez utiliser les options possède le premier ASN ou contient l'ASN.

Les arêtes du graphique des chemins AS de sortie sont pondérées en fonction du nombre de journaux de flux. Dans un chemin AS du graphique, une arête représente le nombre de journaux de flux contenant les deux ASN auxquels l'arête est associée. Les données affichées dans le graphique des chemins AS de sortie varient en fonction des options de filtre Chemin AS de sortie et de la période que vous sélectionnez lorsque vous exécutez une requête.

Explorer dans l'Analyse de journaux

Vous pouvez afficher la requête SQL brute dans l'Analyse de journaux.

Pour une analyse avancée, vous pouvez modifier directement le code SQL utilisé pour visualiser le trafic. La fonctionnalité Explorer dans l'Analyse de journaux vous redirige vers la page Analyse de journaux avec une requête préremplie.

Étapes suivantes