Panoramica di Flow Analyzer

Flow Analyzer ti consente di comprendere in modo rapido ed efficiente i flussi di traffico Virtual Private Cloud (VPC) senza dover scrivere query SQL complesse per analizzare i log di flusso VPC. Flow Analyzer ti consente di eseguire un'analisi del traffico di rete con una granularità di cinque tuple (IP di origine, IP di destinazione, porta di origine, porta di destinazione e protocollo).

Sviluppato utilizzando Analisi dei log e basato su BigQuery, Flow Analyzer consente un'analisi approfondita del traffico in entrata e in uscita delle istanze VM. Ti consente di monitorare, risolvere i problemi e ottimizzare il deployment di rete per prestazioni migliori e maggiore sicurezza, il che contribuisce a garantire la conformità e a risparmiare sui costi.

Flow Analyzer analizza i dati dei log di flusso VPC archiviati in un bucket di log (formato record). Per utilizzare Flow Analyzer, devi selezionare un progetto con un bucket di log che contenga i log di flusso VPC. Per saperne di più, consulta la panoramica dei log di flusso VPC. I log di flusso VPC possono essere utilizzati per il monitoraggio della rete, l'analisi forense, l'analisi della sicurezza in tempo reale e l'ottimizzazione delle spese.

Flow Analyzer esegue query sui campi inclusi nei log di flusso VPC. Per saperne di più, consulta Proprietà chiave dei log di flusso VPC.

In Flow Analyzer, puoi:

  • Log delle query segnalati dai log di flusso VPC
  • Utilizzare i filtri SQL per perfezionare le query
  • Ordina i risultati della query in base al traffico totale, ai pacchetti aggregati o alla latenza
  • Visualizzare il traffico per un periodo di tempo specifico
  • Visualizza i primi cinque flussi con il traffico o la latenza più elevati per il periodo di tempo selezionato
  • Visualizza le risorse con il traffico o la latenza più elevati per il periodo di tempo selezionato
  • Visualizzare i dettagli del traffico per coppie di origini e destinazioni specifiche nei risultati della query

Come funziona

I log di flusso VPC campionano i pacchetti nella tua rete VPC per generare log di flusso, che possono essere archiviati in Cloud Logging o indirizzati a destinazioni supportate, come BigQuery o una piattaforma di terze parti tramite Pub/Sub.

Quando i log di flusso vengono archiviati in bucket abilitati per l'analisi dei log in Cloud Logging, puoi utilizzare Flow Analyzer per eseguire query e visualizzare i dati sul traffico.

Componenti della query

Per analizzare e comprendere i flussi di traffico, devi eseguire una query sui log di flusso VPC. Flow Analyzer ti aiuta a creare la query, personalizzare le opzioni di visualizzazione e visualizzare in dettaglio e monitorare i flussi di traffico.

Aggregazione del traffico

Per analizzare i flussi di traffico VPC, devi determinare l'approccio di aggregazione per filtrare i flussi tra le risorse. Flow Analyzer organizza i log di flusso per l'aggregazione nei seguenti modi:

  • Sorgente e destinazione: questa opzione utilizza le informazioni SRC e DEST incluse nei log di flusso VPC. Questa visualizzazione aggrega il traffico dall'origine alla destinazione.
  • Client e server: questa opzione tenta di trovare l'iniziatore della connessione. Una risorsa con numero di porta più basso è considerata il server. Considera anche le risorse con definizione gke_service come server perché i servizi non avviano richieste. Questa visualizzazione aggrega il traffico in entrambe le direzioni.

Selettore intervallo di tempo

L'intervallo temporale predefinito è un'ora, ma puoi scegliere tra le opzioni temporali preimpostate, specificare un'ora di inizio e di fine personalizzata o centrare l'intervallo temporale intorno a un timestamp specifico utilizzando il selettore dell'intervallo temporale. Ad esempio, se vuoi visualizzare i dati dell'ultima settimana, seleziona Ultima settimana dal selettore dell'intervallo di tempo.

Puoi anche impostare le preferenze del fuso orario utilizzando il selettore dell'intervallo di tempo.

Filtri di base

I filtri di base consentono di definire l'ambito di una query. Nei risultati della query vengono mostrati solo i flussi che corrispondono ai filtri selezionati. Puoi selezionare i filtri per quanto segue:

  • Origine e Destinazione (se Aggregazione del traffico è impostata su Origine - Destinazione)
  • Client e Server (se Aggregazione del traffico è impostato su Client - Server)
  • Parametri di flusso

In ogni elenco Filtro, puoi aggiungere più espressioni di filtro. Se selezioni più di un valore per lo stesso filtro, viene utilizzato un operatore OR. Se selezioni più di un filtro, viene utilizzato un operatore AND.

Ad esempio, se selezioni due valori per l'indirizzo IP, 10.10.0.10 e 10.10.0.20, e due valori per il paese, usa e fra, alla query viene applicata la seguente logica di filtro: (IP=10.10.0.10 OR IP=10.10.0.20) AND (Country=usa OR Country=fra).

Per creare ed eseguire query utilizzando i filtri di base, vedi Creare ed eseguire una query.

Filtri SQL

Per creare query complesse, puoi utilizzare i filtri SQL. Utilizzando query complesse, puoi eseguire attività come le seguenti:

  1. Confrontare i valori dei campi tra loro
  2. Creazione di una logica booleana complessa utilizzando le operazioni AND/OR e OR nidificate
  3. Esecuzione di operazioni complesse sugli indirizzi IP utilizzando le funzioni BigQuery

Le query di filtro SQL utilizzano la sintassi SQL di BigQuery. Per ulteriori informazioni, consulta la sintassi SQL di BigQuery.

Per visualizzare la sintassi e gli esempi delle espressioni di filtro, fai clic su Sintassi ed esempi delle espressioni di filtro.

Per creare ed eseguire query utilizzando i filtri SQL, consulta Creare ed eseguire una query SQL.

Risultati delle query

I risultati della query includono i seguenti componenti:

  • Il grafico Flussi di dati più elevati mostra i cinque flussi di traffico più elevati nel tempo, insieme al resto del traffico. Puoi individuare tendenze come i picchi di traffico utilizzando questo grafico.
  • La tabella Tutti i flussi di dati mostra i principali flussi di traffico fino a 10.000 righe aggregati per la durata selezionata. Questa tabella mostra i campi selezionati per organizzare i flussi durante la definizione dei filtri per la query.

Se selezioni Latenza in Opzioni di visualizzazione, vengono visualizzati Flussi con latenza più alta e Tutti i flussi con latenza.

Opzioni di visualizzazione

Dopo aver eseguito una query, puoi perfezionare i risultati utilizzando le opzioni di visualizzazione. Le selezioni aggiornano sia il grafico sia la tabella.

Flow Analyzer offre due modalità per personalizzare la visualizzazione dei dati:

  • Volume di dati (impostazione predefinita): mostra i byte e i pacchetti inviati.
  • Latenza: mostra il tempo di round trip (RTT).

Per ulteriori informazioni, vedi Personalizzare le opzioni di visualizzazione.

Volume di dati

Sono disponibili le seguenti opzioni per la modalità di visualizzazione Volume di dati.

Tipi di metriche

Puoi scegliere di visualizzare uno dei seguenti tipi di metrica.

  • Byte inviati: contiene informazioni sui volumi del payload e non include le intestazioni. Il valore di questa metrica può essere zero perché alcuni pacchetti contengono solo intestazioni e non includono alcun payload.

  • Pacchetti inviati: indica il numero di pacchetti inviati dall'origine alla destinazione.

Per entrambi i tipi di metrica, puoi scegliere aggregazioni aggiuntive.

Aggregazione delle metriche

Puoi visualizzare l'aggregazione delle metriche nei seguenti modi.

Se selezioni Byte inviati come metrica e Origine e destinazione come aggregazione del traffico, sono disponibili le seguenti opzioni:

  • Traffico totale: questa opzione è sempre attivata per impostazione predefinita e mostra il traffico totale per il periodo di tempo scelto.
  • Tasso di traffico medio: mostra il tasso di traffico medio (in byte al secondo) per il periodo di tempo scelto, calcolato solo per i periodi di allineamento durante i quali è stato osservato il traffico. Per ulteriori informazioni, vedi Periodo di allineamento.
  • Tasso di traffico mediano: mostra il tasso di traffico mediano (in byte al secondo) per il periodo di tempo scelto, calcolato solo per i periodi di allineamento durante i quali è stato osservato il traffico. Per ulteriori informazioni, vedi Periodo di allineamento.
  • Frequenza di traffico P95: mostra la frequenza di traffico del 95° percentile in byte al secondo per il periodo di tempo scelto, calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico. Per ulteriori informazioni, vedi Periodo di allineamento.
  • Frequenza massima di traffico: mostra la frequenza massima di traffico in byte al secondo per il periodo di tempo scelto.

Se selezioni Pacchetti inviati come metrica e Origine e destinazione come aggregazione del traffico, sono disponibili le seguenti opzioni:

  • Pacchetti aggregati: mostra il conteggio dei pacchetti inviati per il periodo di tempo scelto. Abilitato per impostazione predefinita.
  • Tasso medio di pacchetti: mostra il tasso medio di pacchetti per il periodo di tempo scelto, calcolato solo per i periodi di allineamento durante i quali è stato osservato il traffico. Per ulteriori informazioni, vedi Periodo di allineamento.
  • Frequenza mediana di pacchetti: mostra la frequenza mediana di pacchetti per il periodo di tempo scelto, calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico. Per ulteriori informazioni, vedi Periodo di allineamento.
  • Frequenza di pacchetti P95: mostra la frequenza di pacchetti del 95° percentile per il periodo di tempo scelto, calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico. Per ulteriori informazioni, vedi Periodo di allineamento.
  • Velocità massima dei pacchetti: mostra la velocità massima dei pacchetti per il periodo di tempo scelto.

Punto di campionamento

Per la comunicazione di rete da VM a VM, i log di flusso sono disponibili (con applicazione del campionamento) sia nelle VM che inviano che in quelle che ricevono il traffico. Se entrambe le VM endpoint si trovano in subnet in cui sono abilitati i log di flusso VPC, lo stesso flusso viene segnalato due volte. Puoi scegliere uno dei seguenti quattro approcci per determinare quali log di flusso VPC contribuiscono alle metriche calcolate e come vengono valutate:

  • Endpoint di origine: il numero di byte inviati o pacchetti inviati segnalati nell'endpoint di origine di un flusso
  • Endpoint di destinazione: il numero di byte inviati o pacchetti inviati segnalati all'endpoint di destinazione di un flusso
  • Somma dell'endpoint di origine e di destinazione: la somma dei byte inviati o dei pacchetti inviati segnalati da entrambi gli endpoint di un flusso
  • Media dell'endpoint di origine e di destinazione: una media dei byte inviati o dei pacchetti inviati segnalati da entrambi gli endpoint di un flusso se le informazioni di origine e di destinazione sono disponibili nei log di flusso VPC

Deduplicazione del traffico

Per evitare che il traffico segnalato nelle VM di origine e di destinazione venga conteggiato due volte, puoi scegliere l'opzione di campionamento Media dell'endpoint di origine e di destinazione. Flow Analyzer identifica i flussi equivalenti all'interno di ogni periodo di allineamento e calcola le medie dei valori delle metriche riportate (conteggio dei byte e conteggio dei pacchetti).

Per i periodi di allineamento in cui vengono segnalati flussi equivalenti sia in SRC che in DEST, tutto il traffico attribuito a un determinato periodo di allineamento viene diviso per due.

Latenza

Per la modalità di visualizzazione Latenza sono disponibili le seguenti opzioni.

Tipo di metrica

Flow Analyzer utilizza i dati RTT dei log di flusso VPC per fornire l'analisi della latenza per il traffico TCP.

Metriche di ranking

Puoi classificare i flussi di traffico utilizzando le seguenti metriche. Questa selezione definisce l'ordine di ordinamento nella tabella Tutti i flussi di latenza e determina quali flussi vengono visualizzati nel grafico Flussi con latenza più elevata.

  • Media: ordina i flussi in base alla latenza media più alta (inclusi i picchi di latenza).
  • Max: ordina i flussi in base al picco di latenza più alto.
  • Mediana: ordina i flussi in base alla latenza mediana più alta (esclusi i picchi di latenza).
  • P95: ordina i flussi in base alla latenza del 95° percentile più elevata.
  • P99: ordina i flussi in base alla latenza del 99° percentile più alta.
  • Deviazione standard: ordina i flussi in base alla variazione (incoerenza) più elevata della latenza.

Punto di campionamento

La latenza viene segnalata per gli endpoint di origine e di destinazione. Puoi visualizzare i valori di latenza per entrambi i lati dei flussi di traffico.

Aggregazione delle metriche

Per l'aggregazione dei dati di latenza sono disponibili le seguenti opzioni:

  • Aggregazione del grafico: definisce il metodo di calcolo per il grafico Flussi con latenza più elevata e viene applicato ai dati selezionati in base alla metrica di ranking che scegli. Puoi scegliere Media, Max, Mediana, P95 o P99 come metodo di calcolo della latenza.

    Ad esempio, se classifichi i flussi in base alla latenza Mediana mentre imposti l'aggregazione del grafico su Latenza massima, il grafico mostra i picchi di latenza più elevati per i cinque flussi con la latenza mediana più alta.

  • Aggregazione tabella: seleziona le metriche che, oltre alla metrica di ranking scelta, vengono visualizzate come colonne nella tabella Tutti i flussi di latenza.

Puoi anche escludere i flussi a basso volume dall'analisi della latenza.

Periodo allineamento

Puoi scegliere un intervallo di tempo compreso tra 5 secondi e 1 giorno per i dettagli nel grafico. La modalità automatica seleziona il periodo di allineamento ottimale in base alla lunghezza del periodo selezionato.

Ogni punto della sequenza temporale rappresenta i dati aggregati per un periodo di tempo specifico. La durata di questo periodo è chiamata periodo di allineamento.

Il rendimento diminuisce con la riduzione del valore del periodo di allineamento. Per valori più elevati del periodo di allineamento, il grafico diventa meno granulare. Potresti non essere in grado di visualizzare picchi brevi con valori più alti.

Per periodi di tempo lunghi, un periodo di allineamento più breve non è utile. Ad esempio, se selezioni l'allineamento di 1 minuto per un periodo di 30 giorni, Flow Analyzer genera più di 43.000 punti dati. Poiché è 10 volte superiore ai pixel del display 4K, non potrai visualizzare tutti i dettagli e alcune opzioni sono disattivate per periodi di tempo lunghi.

Per ulteriori informazioni su come viene eseguito il campionamento e su come viene determinato il periodo di allineamento per visualizzare i risultati della query, consulta Metriche e periodo di allineamento.

Visualizza dettagli flusso

Nella tabella Tutti i flussi di dati o Tutti i flussi di latenza, fai clic su Dettagli per qualsiasi flusso. Viene visualizzato il riquadro Dettagli flusso. Questo riquadro fornisce informazioni come origine, destinazione, traffico, opzioni di visualizzazione in dettaglio e percorsi del sistema autonomo (AS) di uscita.

Visualizzazione in dettaglio

Puoi visualizzare in dettaglio un flusso di traffico selezionato utilizzando un campo aggiuntivo. Ad esempio, se un flusso include dettagli generici su 1000 GiB di traffico dalla zona X alla zona Y,puoi visualizzare in dettaglio utilizzando un altro campo, ad esempio l'indirizzo IP di origine. Google Cloud I risultati includono diversi indirizzi IP che compongono il flusso originale.

I campi visualizzati nel componente di visualizzazione in dettaglio vengono selezionati come segue:

  • Quando accedi ai dettagli del flusso, Flow Analyzer esegue diverse query. Ogni query tenta di eseguire il drill-down del flusso selezionato utilizzando i campi disponibili nei log di flusso VPC e non ancora utilizzati nella query originale. Ad esempio, se la query eseguita include già i dettagli dell'indirizzo IP, non è necessario eseguirla di nuovo con questo campo e non puoi visualizzare in dettaglio utilizzando questo campo.
  • Se una delle query aggiuntive restituisce un singolo valore di campo, questo viene aggiunto alla sezione dei dettagli di origine e destinazione anche se non è stato recuperato in precedenza.
  • Se uno dei risultati della query include più di un valore di campo, il campo corrispondente viene visualizzato nell'elenco di visualizzazione in dettaglio.

Quando selezioni un campo nell'elenco di visualizzazione in dettaglio, la tabella e il grafico vengono aggiornati per mostrare i tre flussi di traffico principali.

Puoi anche utilizzare il pulsante di attivazione/disattivazione Confronta con i dati precedenti. Seleziona questa funzionalità per visualizzare sei linee: tre linee continue per i tre talker principali della visualizzazione in dettaglio e tre linee tratteggiate nei colori corrispondenti che rappresentano il traffico passato.

Per visualizzare in dettaglio i flussi di traffico utilizzando più campi, vedi Visualizzare in dettaglio i flussi di traffico.

Visualizzazione dei percorsi AS in uscita

Nella scheda Percorsi AS in uscita, puoi visualizzare i percorsi AS che i pacchetti in uscita attraversano per raggiungere destinazioni al di fuori della rete di Google Cloud. Un percorso AS può includere più numeri di sistema autonomo (ASN).

Controlla quali dettagli AS vengono visualizzati nella scheda Percorsi AS in uscita utilizzando il filtro Percorso AS in uscita nell'elenco Parametri di flusso. Ad esempio, le opzioni Più lungo di e Più corto di nel campo Comparatore ti consentono di specificare il numero di ASN per percorso AS. Per visualizzare i percorsi AS che includono un ASN specifico, puoi utilizzare l'opzione ha il primo ASN o contiene ASN.

I bordi del grafico dei percorsi AS in uscita sono ponderati in base al numero di log di flusso. In un percorso AS sul grafico, un bordo rappresenta il numero di log di flusso contenenti entrambi gli ASN a cui si collega il bordo. I dati visualizzati nel grafico dei percorsi AS in uscita cambiano in base alle opzioni di filtro Percorso AS in uscita e al periodo di tempo selezionato durante l'esecuzione di una query.

Esplora in Analisi dei log

Puoi visualizzare la query SQL non elaborata in Analisi dei log.

Per un'analisi avanzata, puoi modificare direttamente il codice SQL utilizzato per visualizzare il traffico. La funzionalità Esplora in Analisi dei log ti indirizza alla pagina Analisi dei log con una query precompilata.

Passaggi successivi