Visão geral do Flow Analyzer

Com o Flow Analyzer, é possível entender de forma rápida e eficiente os fluxos de tráfego da nuvem privada virtual (VPC, na sigla em inglês) sem precisar escrever consultas SQL complexas para analisar os registros de fluxo de VPC. O Flow Analyzer permite realizar uma análise de tráfego de rede orientada, com granularidade de 5 elementos (IP de origem, IP de destino, porta de origem, porta de destino e protocolo).

Desenvolvido com a Análise de dados de registros e com tecnologia do BigQuery, o Flow Analyzer permite uma análise detalhada do tráfego de entrada e saída das suas instâncias de VM. Com ele, é possível monitorar, resolver problemas e otimizar sua implantação de rede para melhorar o desempenho e aumentar a segurança, o que ajuda a garantir a conformidade e economizar custos.

O Flow Analyzer analisa os dados dos registros de fluxo de VPC armazenados em um bucket de registros (formato de registro). Para usar o Flow Analyzer, selecione um projeto com um bucket de registros que contenha registros de fluxos de VPC. Para mais informações, consulte a visão geral dos registros de fluxos de VPC. Os registros de fluxos de VPC podem ser usados para monitoramento de rede, perícia, análise de segurança em tempo real e otimização de despesas.

O Flow Analyzer executa consultas nos campos incluídos nos registros de fluxo de VPC. Para mais informações, consulte Propriedades principais dos registros de fluxo de VPC.

Com o Flow Analyzer, é possível realizar as seguintes tarefas:

Criar e executar uma consulta simples nos registros de fluxo de VPC
Criar um filtro SQL (usando uma instrução WHERE) para a consulta em registros de fluxo de VPC
Organizar os resultados usando os campos selecionados e classificar os resultados da consulta usando o tráfego total e os pacotes agregados
Ver o tráfego nos intervalos de tempo escolhidos
Conferir os cinco fluxos de tráfego mais altos ao longo do tempo em um formato gráfico, quando comparados ao restante do tráfego
Ver os recursos com maior tráfego agregados durante o período selecionado em formato tabular
Ver os detalhes do tráfego entre um par de origem e destino específico nos resultados da consulta
Detalhar os resultados da consulta usando os campos restantes disponíveis nos registros de fluxo de VPC

Como funciona

Os registros de fluxo de VPC gravam uma amostra de fluxos de rede enviados e recebidos por recursos da VPC, como instâncias de VM e nós do Google Kubernetes Engine.

Os registros de fluxo podem ser visualizados no Cloud Logging e exportados para qualquer destino compatível com a exportação do Logging. Use a Análise de Dados de Registros para executar consultas que analisam dados de registros e mostre os resultados em gráficos e tabelas.

O Flow Analyzer usa a Análise de Dados de Registros para permitir que você execute consultas nos registros de fluxo de VPC e saiba mais sobre os fluxos de tráfego fornecendo informações como o gráfico de fluxos de dados maiores e uma tabela com detalhes sobre todos os fluxos de dados.

Componentes de consulta

Para analisar e entender seus fluxos de tráfego, execute uma consulta nos registros de fluxo de VPC. O Flow Analyzer ajuda a criar a consulta, personalizar as opções de exibição e fazer o detalhamento para ver e monitorar seus fluxos de tráfego.

Agregação de tráfego

Para analisar os fluxos de tráfego da VPC, determine a abordagem de agregação para filtrar os fluxos entre os recursos. O Flow Analyzer organiza os registros de fluxo para agregação das seguintes maneiras:

Origem e destino: essa opção usa as informações SRC e DEST incluídas nos registros de fluxo de VPC. Essa visualização agrega o tráfego da origem ao destino.
Cliente e servidor: essa opção tenta encontrar quem iniciou a conexão. Um recurso com o menor número de portas é considerado o servidor. Os recursos com a definição gke_service também são considerados como servidores, porque os serviços não iniciam solicitações. Essa visualização agrega o tráfego nas duas direções.

Seletor de período

O período padrão é de uma hora, mas você pode selecionar entre as opções predefinidas, especificar um horário de início e término personalizado ou centralizar o período em uma marca de tempo específica usando o seletor de período. Por exemplo, se você quiser ver os dados da semana passada, selecione Última semana no seletor de período.

Você também pode definir suas preferências de fuso horário usando o seletor de período.

Filtros básicos

Com os filtros básicos, é possível definir o escopo de uma consulta. Somente os fluxos que correspondem aos filtros selecionados são mostrados nos resultados da consulta. É possível selecionar filtros para o seguinte:

Origem e Destino (se a Agregação de tráfego estiver definida como Origem - Destino)
Cliente e Servidor (se a agregação de tráfego estiver definida como Cliente - Servidor)
Parâmetros de fluxo

Em cada lista Filtro, é possível adicionar várias expressões de filtro. Se você selecionar mais de um valor para o mesmo filtro, será usado um operador OR. Se você selecionar mais de um filtro, será usado um operador AND.

Por exemplo, se você selecionar dois valores de endereço IP (10.10.0.10 e 10.10.0.20) e dois valores de País (usa e fra), a seguinte lógica de filtro será aplicada à consulta: (IP=10.10.0.10 OR IP=10.10.0.20) AND (Country=usa OR Country=fra).

Para criar e executar consultas usando filtros básicos, consulte Criar e executar uma consulta.

Filtros SQL

Para criar consultas complexas, use filtros SQL. Com consultas complexas, é possível realizar tarefas como as seguintes:

Comparar valores de campos entre si
Criar uma lógica booleana complexa usando operações AND/OR e OR aninhadas
Realizar operações complexas em endereços IP usando funções do BigQuery

As consultas de filtro SQL usam a sintaxe do SQL do BigQuery. Para mais informações, consulte a sintaxe do SQL do BigQuery.

Para conferir a sintaxe e exemplos de expressões de filtro, clique em Sintaxe e exemplos de expressões de filtro.

Para criar e executar consultas usando filtros SQL, consulte Criar e executar uma consulta SQL.

Resultados da consulta

Os resultados da consulta incluem os seguintes componentes:

Gráfico dos fluxos de dados maiores: mostra os cinco principais fluxos de tráfego ao longo do tempo, além do restante do tráfego. Você pode identificar tendências, como picos de tráfego, usando esse gráfico.
Tabela "Todos os fluxos de dados": mostra os principais fluxos de tráfego até 10.000 linhas agregadas durante o período selecionado. Essa tabela mostra os campos selecionados para organizar os fluxos ao definir os filtros da consulta.

Opções de exibição

Depois de executar a consulta, é possível refinar ainda mais os resultados usando as várias opções de exibição. O gráfico e a tabela são atualizados para refletir as opções recém-selecionadas. Para selecionar as opções personalizadas e executar a consulta, consulte Personalizar opções de exibição.

Tipos de métricas

Você pode escolher um dos seguintes tipos de métricas.

Bytes enviados: contém informações sobre os volumes de payload e não inclui cabeçalhos. Esse valor pode ser zero porque alguns pacotes têm apenas cabeçalhos e não incluem payload.

Observação: não é possível usar essa métrica para estimar custos porque os dados são de amostra e não incluem cabeçalhos.
Pacotes enviados: indica o número de pacotes enviados da origem para o destino.

Para os dois tipos de métricas, é possível escolher outras agregações.

Agregação de métricas

É possível ver a agregação de métricas das seguintes maneiras.

Se você selecionar Bytes enviados como a métrica e Origem e destino como a agregação de tráfego, as seguintes opções estarão disponíveis:

Tráfego total: sempre ativado por padrão, mostra o tráfego total no período escolhido.
Taxa média de tráfego: mostra a taxa média de tráfego (em bytes por segundo) do período escolhido, calculada apenas para os períodos de alinhamento em que o tráfego foi observado. Para mais informações, consulte Período de alinhamento.
Taxa mediana de tráfego: mostra a taxa mediana de tráfego (em bytes por segundo) para o período escolhido, calculada apenas para os períodos de alinhamento em que o tráfego foi observado. Para mais informações, consulte Período de alinhamento.
Taxa de tráfego P95: mostra a taxa de tráfego do percentil 95 em bytes por segundo para o período escolhido, calculada apenas para os períodos de alinhamento em que o tráfego foi observado. Para mais informações, consulte Período de alinhamento.
Taxa máxima de tráfego: mostra a taxa máxima de tráfego em bytes por segundo no período escolhido.

Se você selecionar Pacotes enviados como a métrica e Origem e destino como a agregação de tráfego, as seguintes opções estarão disponíveis:

Agregar pacotes: mostra a contagem de pacotes enviados no período escolhido. Ativado por padrão.
Taxa média de pacotes: mostra a taxa média de pacotes no período escolhido, calculada apenas para os períodos de alinhamento em que o tráfego foi observado. Para mais informações, consulte Período de alinhamento.
Taxa de pacotes mediana: mostra a taxa de pacotes mediana do período escolhido, calculada apenas para os períodos de alinhamento em que o tráfego foi observado. Para mais informações, consulte Período de alinhamento.
Taxa de pacotes P95: mostra a taxa de pacotes do 95º percentil para o período escolhido, calculada apenas para os períodos de alinhamento em que o tráfego foi observado. Para mais informações, consulte Período de alinhamento.
Taxa máxima de pacotes: mostra a taxa máxima de pacotes para o período escolhido.

Período de alinhamento

É possível escolher de 5 segundos a 1 dia para o período dos detalhes no gráfico. O modo automático seleciona o período de alinhamento ideal dependendo da duração do período selecionado.

Cada ponto na linha do tempo representa dados agregados de um período específico. A duração desse período é chamada de período de alinhamento.

O desempenho diminui com a redução do valor do período de alinhamento. Para valores mais altos do período de alinhamento, o gráfico fica menos granular. Talvez não seja possível ver picos curtos com valores mais altos.

Para períodos longos, um período de alinhamento menor não é útil. Por exemplo, se você selecionar um alinhamento de 1 minuto para um período de 30 dias, o Flow Analyzer vai gerar mais de 43.000 pontos de dados. Como isso é 10 vezes mais do que os pixels da tela 4K, não é possível ver todos os detalhes, e algumas opções ficam desativadas para períodos longos.

Para mais informações sobre como a amostragem é feita e o período de alinhamento é determinado para mostrar os resultados da consulta, confira Métricas e período de alinhamento.

Ponto de amostragem

Para comunicação de rede de VM para VM, os registros de fluxo estão disponíveis (com amostragem aplicada) nas VMs que enviam e recebem tráfego. Se as duas VMs de endpoint estiverem em sub-redes com os registros de fluxo de VPC ativados, o mesmo fluxo será informado duas vezes. É possível escolher uma das quatro abordagens a seguir para determinar quais registros de fluxo de VPC contribuem para as métricas calculadas e como elas são avaliadas:

Endpoint de origem: o número de bytes ou pacotes enviados informado no endpoint de origem de um fluxo.
Endpoint de destino: o número de bytes ou pacotes enviados informado no endpoint de destino de um fluxo.
Soma dos endpoints de origem e destino: a soma de bytes ou pacotes enviados informados pelos dois endpoints de um fluxo.
Média dos endpoints de origem e destino: uma média de bytes ou pacotes enviados informados pelos dois endpoints de um fluxo, se as informações de origem e destino estiverem disponíveis nos registros de fluxo de VPC.

Eliminação de duplicação de tráfego

Para evitar que o tráfego informado nas VMs de origem e destino seja contado duas vezes, escolha a opção de amostragem Média dos endpoints de origem e destino. O Flow Analyzer identifica fluxos equivalentes em cada período de alinhamento e calcula as médias dos valores de métricas informados (contagem de bytes e contagem de pacotes).

Para períodos de alinhamento em que fluxos equivalentes são informados em SRC e DEST, todo o tráfego atribuído a um determinado período de alinhamento é dividido por dois.

Ver detalhes do fluxo

Na tabela Todos os fluxos de dados, clique em Executar em qualquer fluxo. O painel Detalhes do fluxo é exibido. Ele fornece informações como origem, destino, tráfego, opções de detalhamento e caminhos de sistema autônomo (AS, na sigla em inglês) de saída.

Visualização de detalhamento

É possível fazer o detalhamento dividindo um fluxo de tráfego selecionado com um campo extra. Por exemplo, se um fluxo incluir detalhes genéricos sobre 1.000 GiB de tráfego da zona X para a zona Y do Google Cloud , você poderá detalhar usando outro campo, como o endereço IP de origem. Os resultados incluem vários endereços IP que compõem o fluxo original.

Os campos que aparecem no componente de detalhamento são selecionados da seguinte forma:

Quando você acessa os detalhes do fluxo, o Flow Analyzer executa várias consultas. Cada consulta tenta detalhar o fluxo selecionado usando os campos disponíveis nos registros de fluxo de VPC e ainda não usados na consulta original. Por exemplo, se a consulta executada já incluir os detalhes do endereço IP, não será necessário executar a consulta com esse campo novamente nem fazer um detalhamento usando esse campo.
Se alguma das consultas adicionais retornar um único valor de campo, ele será adicionado à seção de detalhes de origem e destino, mesmo que não tenha sido buscado antes.
Se algum dos resultados da consulta incluir mais de um valor de campo, o campo correspondente vai aparecer na lista de detalhamento.

Quando você seleciona um campo na lista de detalhamento, a tabela e o gráfico são atualizados para mostrar os três principais fluxos de tráfego.

Você também pode usar a opção Comparar com o passado. Selecione esse recurso para ver seis linhas: três linhas sólidas para os três maiores tráfegos do detalhamento e três linhas tracejadas nas cores correspondentes representando o tráfego anterior.

Para detalhar os fluxos de tráfego usando mais campos, consulte Detalhar fluxos de tráfego.

Visualização de caminhos do AS de saída

Na guia Caminhos do AS de saída, é possível conferir os caminhos do AS que os pacotes de saída percorrem para chegar a destinos fora da rede do Google Cloud. Um caminho de AS pode incluir vários números de sistema autônomo (ASNs, na sigla em inglês).

Para controlar quais detalhes do AS são mostrados na guia Caminhos do AS de saída, use o filtro Caminho do AS de saída na lista Parâmetros de fluxo. Por exemplo, as opções maior que e menor que no campo Comparador permitem especificar o número de ASNs por caminho de AS. Para ver caminhos de AS que incluem um ASN específico, use a opção tem o primeiro ASN ou contém ASN.

As bordas no gráfico de caminhos do AS de saída são ponderadas pelo número de registros de fluxo. Em um caminho de AS no gráfico, uma aresta representa o número de registros de fluxo que contêm os dois ASNs conectados por ela. Os dados mostrados no gráfico "Caminhos do AS de saída" mudam com base nas opções de filtro Caminho do AS de saída e no período selecionado ao executar uma consulta.

Explorar na Análise de Dados de Registros

É possível ver a consulta SQL bruta na Análise de Dados de Registros.

Para uma análise avançada, você pode modificar diretamente o código SQL usado para visualizar o tráfego. O recurso Explorar na Análise de dados de registros direciona você para a página Análise de dados de registros com uma consulta pré-preenchida.