Descripción general de Flow Analyzer

Flow Analyzer permite comprender de forma eficiente y rápida los flujos de tráfico de la nube privada virtual (VPC) sin necesidad de escribir consultas complejas en SQL para analizar los registros de flujo de VPC. También sirve para realizar análisis muy definidos de tráfico de red con un nivel de detalle de 5 tuplas (IP de origen, IP de destino, puerto de origen, puerto de destino y protocolo).

Flow Analyzer, que se desarrolló con Análisis de registros y que cuenta con la tecnología de BigQuery, permite realizar análisis detallados del tráfico entrante y saliente de las instancias de VM. A su vez, sirve para supervisar y optimizar la implementación de redes, además de solucionar sus problemas, lo que permite obtener un mejor rendimiento y una mayor seguridad y ayuda a garantizar el cumplimiento y ahorrar costos.

Flow Analyzer analiza los datos de los registros de flujo de VPC almacenados en un bucket de registros (formato de registro). Para usar Flow Analyzer, debes elegir un proyecto con un bucket de registros que contenga registros de flujo de VPC. Para obtener más información, consulta la Descripción general de los registros de flujo de VPC. Los registros de flujo de VPC se pueden usar para supervisar redes, realizar análisis forenses y de seguridad en tiempo real, y optimizar gastos.

Flow Analyzer ejecuta consultas en los campos incluidos en los registros de flujo de VPC. Para obtener más información, consulta Propiedades clave de los registros de flujo de VPC.

Con Flow Analyzer, puedes hacer lo que se indica a continuación:

• Compilar y ejecutar una consulta simple en los registros de flujo de VPC
• Crear un filtro de SQL (con una sentencia WHERE) para la consulta en los registros de flujo de VPC
• Organizar los resultados de la consulta con base en los campos seleccionados y ordenarlos según el tráfico total y los paquetes agregados
• Ver el tráfico en los intervalos de tiempo elegidos
• Ver los cinco flujos de tráfico mayores a lo largo del tiempo en formato gráfico, en comparación con el resto del tráfico
• Consultar los recursos con mayor tráfico agregado durante el período seleccionado en formato tabular
• Ver los detalles del tráfico entre un par de origen y destino específico en los resultados de la consulta
• Desglosar los resultados de la consulta con los campos restantes disponibles en los registros de flujo de VPC

Cómo funciona

Los registros de flujo de VPC documentan una muestra de los flujos de red que envían y reciben los recursos de VPC, como las instancias de VM y los nodos de Google Kubernetes Engine.

Los registros de flujo se pueden consultar en Cloud Logging y se pueden exportar a cualquier destino que admita la exportación de Logging. El Análisis de registros se puede usar para ejecutar consultas que analicen los datos de los registros y, luego, mostrar los resultados de las consultas en forma de gráficos y tablas.

Flow Analyzer usa el Análisis de registros para que puedas ejecutar consultas en los registros de flujo de VPC y obtener más información sobre los flujos de tráfico. Para ello, proporciona cierta información, como el gráfico de los mayores flujos de datos y una tabla con detalles sobre todos los flujos de datos.

Componentes de la consulta

Para analizar y comprender los flujos de tráfico, debes ejecutar una consulta en los registros de flujo de VPC. Flow Analyzer te ayuda a crear la consulta, personalizar las opciones de visualización y desglosar los detalles para ver y supervisar los flujos de tráfico.

Agregación de tráfico

Para analizar los flujos de tráfico de VPC, debes determinar el enfoque de agregación para filtrar los flujos entre los recursos. Flow Analyzer organiza los registros de flujo para la agregación como se indica más abajo:

• Origen y destino: Con esta opción, se usa la información de SRC y DEST incluida en los registros de flujo de VPC. En esta vista, se agrega el tráfico que fluye del origen al destino.
• Cliente y servidor: Con esta opción, se intenta encontrar el iniciador de la conexión. El recurso con el número de puerto más pequeño se considera el servidor. Los recursos con la definición gke_service también se consideran como los servidores, ya que los servicios no inician solicitudes. En esta vista, se agrega el tráfico que fluye en ambas direcciones.

Selector de período

El período predeterminado es de una hora, pero puedes seleccionar entre las opciones de tiempo preestablecidas, especificar una hora de inicio y finalización personalizadas, o centrar el período en una marca de tiempo específica con el selector de período. Por ejemplo, si quieres ver los datos de la semana pasada, selecciona la opción Last 1 week en el selector de período.

Con el selector de período, también puedes establecer tus preferencias de zona horaria.

Filtros básicos

Los filtros básicos sirven para definir el alcance de una consulta. En los resultados de la consulta, solo se mostrarán los flujos que coincidan con los filtros que selecciones. Puedes seleccionar filtros para las opciones que se indican a continuación:

• Origen y Destino (si Agregación de tráfico está configurado como Origen - Destino)
• Cliente y Servidor (si Agregación de tráfico está configurado como Cliente - Servidor)
• Parámetros de flujo

En cada lista de filtro, puedes agregar varias expresiones. Si seleccionas más de un valor para el mismo filtro, se usará un operador OR. Si seleccionas más de un filtro, se usará un operador AND.

Por ejemplo, si seleccionas dos valores de dirección IP (10.10.0.10 y 10.10.0.20) y dos valores de país (usa y fra), se aplicará la siguiente lógica de filtros a la consulta: (IP=10.10.0.10 OR IP=10.10.0.20) AND (Country=usa OR Country=fra).

Para crear y ejecutar consultas con filtros básicos, consulta Crea y ejecuta una consulta.

Filtros SQL

Para crear consultas complejas, puedes usar filtros SQL. Con consultas complejas, puedes hacer lo que se indica a continuación:

1. Comparar valores de campos
2. Crear una lógica booleana compleja con operaciones AND/OR y OR anidadas
3. Ejecutar operaciones complejas en direcciones IP con funciones de BigQuery

Las consultas de filtro SQL usan la sintaxis SQL de BigQuery. Para obtener más información, consulta la sintaxis SQL de BigQuery.

Para ver la sintaxis y los ejemplos de las expresiones de filtros, haz clic en Sintaxis y ejemplos de las expresiones de filtros.

Para crear y ejecutar consultas con filtros SQL, consulta Crea y ejecuta una consulta en SQL.

Resultados de la consulta

En los resultados de la consulta, se incluyen los componentes que se indican a continuación:

• Gráfico de los mayores flujos de datos: Muestra los cinco mayores flujos de tráfico a lo largo del tiempo, junto con el resto del tráfico. Con este gráfico, puedes detectar tendencias como los aumentos repentinos de tráfico.
• Tabla de todos los flujos de datos: Muestra los principales flujos de tráfico con hasta 10,000 filas agregadas durante el período seleccionado. En esta tabla, se muestran los campos seleccionados para organizar los flujos mientras se definen los filtros de la consulta.

Opciones de visualización

Después de ejecutar la consulta, puedes definir mejor los resultados con las distintas opciones de visualización. Tanto el gráfico como la tabla se actualizan para reflejar las opciones recién seleccionadas. Para seleccionar las opciones personalizadas y ejecutar la consulta, consulta Personaliza las opciones de visualización.

Tipos de métricas

Puedes optar por ver uno de los tipos de métricas siguientes.

• Bytes enviados: Contiene información sobre los volúmenes de carga útil, pero no incluye encabezados. Este valor de métrica puede ser cero porque algunos paquetes solo tienen encabezados y no incluyen ninguna carga útil.

• Paquetes enviados: Indica la cantidad de paquetes que se enviaron desde el origen hasta el destino.

Para ambos tipos de métricas, puedes elegir agregaciones de métricas adicionales.

Agregación de métricas

La agregación de métricas se puede ver siguiendo los pasos que se indican a continuación:

Si seleccionas Bytes enviados como la métrica y Origen y destino como la agregación de tráfico, estarán disponibles las opciones que se indican a continuación:

• Tráfico total: De forma predeterminada, esta opción siempre está habilitada y muestra el tráfico total del período elegido.
• Average traffic rate: Muestra la tasa de tráfico promedio (expresada en bytes por segundo) que corresponde al período elegido, calculada solo para los períodos de alineación durante los que se observó el tráfico. Para obtener más información, consulta Período de alineación.
• Tasa mediana de tráfico: Muestra la tasa de tráfico mediana (expresada en bytes por segundo) que corresponde al período elegido, calculada solo para los períodos de alineación durante los que se observó el tráfico. Para obtener más información, consulta Período de alineación.
• Tasa de tráfico P95: Muestra la tasa de tráfico del percentil 95 (expresada en bytes por segundo) que corresponde al período elegido, calculada solo para los períodos de alineación durante los que se observó el tráfico. Para obtener más información, consulta Período de alineación.
• Maximum traffic rate: Muestra la tasa de tráfico máxima (expresada en bytes por segundo) que corresponde al período elegido.

Si seleccionas Paquetes enviados como la métrica y Origen y destino como la agregación de tráfico, estarán disponibles las opciones que se indican a continuación:

• Aggregate packets: Muestra el recuento de paquetes enviados durante el período elegido. Esta opción está habilitada de forma predeterminada.
• Average packets rate: Muestra la tasa promedio de paquetes que corresponde al período elegido, calculada solo para los períodos de alineación durante los que se observó el tráfico. Para obtener más información, consulta Período de alineación.
• Tasa mediana de paquetes: Muestra la tasa mediana de paquetes que corresponde al período elegido, calculada solo para los períodos de alineación durante los que se observó el tráfico. Para obtener más información, consulta Período de alineación.
• Tasa de paquetes P95: Muestra la tasa de paquetes del percentil 95 para el período elegido, calculada solo para los períodos de alineación durante los que se observó el tráfico. Para obtener más información, consulta Período de alineación.
• Maximum packets rate: Muestra la tasa máxima de paquetes que corresponde al período elegido.

Período de alineación

Se puede elegir un período de entre 5 segundos y 1 día para los detalles del gráfico. En el modo automático, se selecciona el período de alineación óptimo según la duración del período seleccionado.

Cada punto de la línea de tiempo representa los datos agregados correspondientes a un período específico. La duración de este período se denomina período de alineación.

El rendimiento disminuye a medida que se reduce el valor del período de alineación. Para valores más altos del período de alineación, el gráfico se vuelve menos detallado. Es posible que no puedas ver aumentos repentinos breves con valores más altos.

Para duraciones largas, un período de alineación más corto no es útil. Por ejemplo, si seleccionas una alineación de 1 minuto para un período de 30 días, Flow Analyzer generará más de 43,000 datos. Como eso es 10 veces más que los píxeles de la pantalla 4K, no podrás ver todos los detalles, y algunas opciones estarán inhabilitadas para duraciones largas.

Para obtener más información sobre cómo se realiza el muestreo y cómo se determina el período de alineación con el objetivo de mostrar los resultados de las consultas, consulta Métricas y período de alineación.

Punto de muestreo

Para la comunicación de red entre VMs, los registros de flujo están disponibles (con muestreo aplicado) en las VMs que envían y reciben tráfico. Si ambas VMs de extremo están en subredes que tienen habilitados los registros de flujo de VPC, el mismo flujo se registra dos veces. Puedes elegir uno de los siguientes cuatro enfoques para determinar qué registros de flujo de VPC contribuyen a las métricas calculadas y cómo se evalúan:

• Extremo de origen: Es la cantidad de bytes o paquetes enviados que se registran en el extremo de origen de un flujo.
• Extremo de destino: Es la cantidad de bytes o paquetes enviados que se registran en el extremo de destino de un flujo.
• Sum of source and destination endpoint: Es la suma de los bytes o paquetes enviados que se registran en ambos extremos de un flujo.
• Average of source and destination endpoint: Es un promedio de los bytes o paquetes enviados que se registran en ambos extremos de un flujo si la información de origen y destino está disponible en los registros de flujo de VPC.

Anulación de duplicación del tráfico

Para evitar que el tráfico registrado en las VMs de origen y destino se cuente dos veces, puedes elegir la opción de muestreo Average of source and destination endpoint . Flow Analyzer identifica los flujos equivalentes que corresponden a cada período de alineación y calcula los promedios de los valores de las métricas informadas (recuento de bytes y de paquetes).

Los períodos de alineación en los que se registran flujos equivalentes en SRC y DEST, todo el tráfico atribuido a un período de alineación determinado se divide por dos.

Visualiza los detalles del flujo

En la tabla All data flows, haz clic en Detalles para cualquier flujo. Se abrirá el panel Detalles del flujo. Este panel incluye información como el origen, el destino, el tráfico, las opciones de desglose y las rutas de acceso de los sistemas autónomos (AS) de salida.

Desglosa la vista

Para desglosar la vista, divide un flujo de tráfico seleccionado con un campo adicional. Por ejemplo, si un flujo incluye detalles genéricos sobre el tráfico de 1,000 GiB desde la zona X hasta la zona Y de Google Cloud , puedes desglosarlo con otro campo, como la dirección IP de origen. Los resultados incluyen varias direcciones IP que componen el flujo original.

Los campos que aparecen en el componente de desglose se seleccionan como se indica a continuación:

• Cuando accedes a los detalles del flujo, Flow Analyzer ejecuta varias consultas. Cada consulta intenta desglosar el flujo seleccionado con los campos disponibles en los registros de flujo de VPC y los que aún no se usaron en la consulta original. Por ejemplo, si la consulta ejecutada ya incluye los detalles de la dirección IP, no es necesario que vuelvas a ejecutar la consulta con este campo y no es posible desglosar los datos con él.
• Si alguna de las consultas adicionales devuelve un solo valor de campo, se agrega a la sección de detalles del origen y destino aunque no se haya recuperado antes.
• Si alguno de los resultados de la consulta incluye más de un valor de campo, el campo correspondiente aparecerá en la lista de desglose.

A medida que seleccionas un campo en la lista de desglose, se actualizan la tabla de desglose y el gráfico para mostrar los tres flujos de tráfico principales.

También puedes usar el botón para activar o desactivar Comparar con pasados. Selecciona esta opción para ver seis líneas: tres líneas continuas para los tres flujos que generan más tráfico del desglose y tres líneas discontinuas con colores que representan el tráfico pasado.

Para desglosar los flujos de tráfico con más campos, consulta Desglosa los flujos de tráfico.

Vista de rutas de acceso del AS de salida

En la pestaña Rutas de acceso del AS de salida, puedes ver las rutas de acceso del AS que atraviesan los paquetes de salida para llegar a destinos fuera de la red de Google Cloud. La ruta de acceso de un AS puede incluir varios números de sistema autónomo (ASN).

Los detalles del AS que se muestran en la pestaña Rutas de acceso del AS de salida se controlan con el filtro Ruta de acceso del AS de salida de la lista Parámetros de flujo. Por ejemplo, las opciones mayor que y menor que del campo Comparador permiten especificar la cantidad de ASN por ruta de acceso del AS. Para ver las rutas de acceso del AS que incluyen un ASN específico, puedes usar las opciones tiene el primer ASN o contiene ASN.

Las aristas del gráfico de rutas de acceso del AS de salida se ponderan según la cantidad de registros de flujo. En una ruta de acceso del AS del gráfico, una arista representa la cantidad de registros de flujo que contienen ambos ASN conectados por la arista. Los datos que se muestran en el gráfico de rutas de acceso del AS de salida cambian según las opciones de filtro Ruta de acceso del AS de salida y el período que seleccionas cuando ejecutas una consulta.

Explora consultas en Análisis de registros

En el Análisis de registros, puedes ver la consulta en SQL sin procesar.

Para realizar un análisis avanzado, puedes modificar directamente el código SQL que se usa con el objetivo de visualizar el tráfico. La opción Explorar en Análisis de registros te dirige a la página Análisis de registros con una consulta completada previamente.

¿Qué sigue?

• Métricas y período de alineación
• Analiza los flujos de tráfico
• Habilita Análisis de registros
• Configura un bucket central
• Ejecuta pruebas de conectividad desde Flow Analyzer
• Supervisa los flujos de tráfico
• Soluciona problemas de datos en Flow Analyzer