Panoramica di Flow Analyzer

Flow Analyzer ti consente di comprendere in modo rapido ed efficiente i flussi di traffico del tuo Virtual Private Cloud (VPC) senza dover scrivere query SQL complesse per analizzare i log di flusso VPC. Flow Analyzer ti consente di eseguire un'analisi del traffico di rete con una granularità di cinque tuple (IP di origine, IP di destinazione, porta di origine, porta di destinazione e protocollo).

Sviluppato utilizzando Observability Analytics e basato su BigQuery, Flow Analyzer consente un'analisi approfondita del traffico in entrata e in uscita delle tue istanze VM. Ti consente di monitorare, risolvere i problemi e ottimizzare il deployment di rete per prestazioni migliori e sicurezza avanzata, contribuendo a garantire la conformità e a ridurre i costi.

Flow Analyzer analizza i dati dei log di flusso VPC archiviati in un bucket di log (formato record). Per utilizzare Flow Analyzer, devi selezionare un progetto con un bucket di log che contenga i log di flusso VPC. Per saperne di più, consulta la panoramica dei log di flusso VPC. I log di flusso VPC possono essere utilizzati per il monitoraggio della rete, la scienza digitale forense, l'analisi della sicurezza in tempo reale e l'ottimizzazione delle spese.

Flow Analyzer esegue query sui campi inclusi nei log di flusso VPC. Per saperne di più, consulta Proprietà chiave dei log di flusso VPC.

In Flow Analyzer puoi:

  • Eseguire query sui log segnalati dai log di flusso VPC
  • Utilizzare i filtri SQL per perfezionare le query
  • Ordinare i risultati delle query in base al traffico totale, ai pacchetti aggregati o alla latenza
  • Visualizzare il traffico per un periodo di tempo specifico
  • Visualizzare i primi cinque flussi con il traffico o la latenza più elevati per il periodo di tempo selezionato
  • Visualizzare le risorse con il traffico o la latenza più elevati per il periodo di tempo selezionato
  • Visualizzare i dettagli del traffico per coppie di origine e destinazione specifiche nei risultati delle query

Come funziona

I log di flusso VPC campionano i pacchetti nella rete VPC per generare log di flusso, che possono essere archiviati in Cloud Logging o instradati verso destinazioni supportate, come BigQuery o una piattaforma di terze parti tramite Pub/Sub.

Quando i log di flusso vengono archiviati in bucket abilitati per Observability Analytics in Cloud Logging, puoi utilizzare Flow Analyzer per eseguire query e visualizzare i dati sul traffico.

Componenti delle query

Per analizzare e comprendere i flussi di traffico, devi eseguire una query sui log di flusso VPC. Flow Analyzer ti aiuta a creare la query, personalizzare le opzioni di visualizzazione ed eseguire il drill-down per visualizzare in dettaglio e monitorare i flussi di traffico.

Aggregazione del traffico

Per analizzare i flussi di traffico VPC, devi determinare l'approccio di aggregazione per filtrare i flussi tra le risorse. Flow Analyzer organizza i log di flusso per l'aggregazione nei seguenti modi:

  • Origine e destinazione: questa opzione utilizza le informazioni SRC e DEST incluse nei log di flusso VPC. Questa visualizzazione aggrega il traffico dall'origine alla destinazione.
  • Client e server: questa opzione tenta di trovare l'iniziatore della connessione. Una risorsa con il numero di porta più piccolo è considerata il server. Considera anche le risorse con la definizione gke_service come server perché i servizi non avviano le richieste. Questa visualizzazione aggrega il traffico in entrambe le direzioni.

Selettore dell'intervallo di tempo

L'intervallo di tempo predefinito è di un'ora, ma puoi selezionare le opzioni di tempo preimpostate, specificare un'ora di inizio e di fine personalizzata o centrare l'intervallo di tempo intorno a un timestamp specifico utilizzando il selettore dell'intervallo di tempo. Ad esempio, se vuoi visualizzare i dati dell'ultima settimana, seleziona Ultima settimana dal selettore dell'intervallo di tempo.

Puoi anche impostare le preferenze del fuso orario utilizzando il selettore dell'intervallo di tempo.

Filtri di base

I filtri di base consentono di definire l'ambito di una query. Nei risultati della query vengono visualizzati solo i flussi che corrispondono ai filtri selezionati. Puoi selezionare i filtri per:

  • Origine e Destinazione (se Aggregazione del traffico è impostata su Origine - Destinazione)
  • Client e Server (se Aggregazione del traffico è impostata su Client - Server)
  • Parametri del flusso

In ogni elenco Filtro puoi aggiungere più espressioni di filtro. Se selezioni più valori per lo stesso filtro, viene utilizzato un operatore OR. Se selezioni più filtri, viene utilizzato un operatore AND.

Ad esempio, se selezioni due valori per l'indirizzo IP10.10.0.10 e 10.10.0.20— e due valori per il Paeseusa e fra— alla query viene applicata la seguente logica di filtro: (IP=10.10.0.10 OR IP=10.10.0.20) AND (Country=usa OR Country=fra).

Per creare ed eseguire query utilizzando i filtri di base, consulta Creare ed eseguire una query.

Filtri SQL

Per creare query complesse, puoi utilizzare i filtri SQL. Utilizzando query complesse, puoi eseguire attività come le seguenti:

  1. Confrontare i valori dei campi tra loro
  2. Creare una logica booleana complessa utilizzando le operazioni AND/OR e OR nidificate
  3. Eseguire operazioni complesse sugli indirizzi IP utilizzando le funzioni di BigQuery

Le query di filtro SQL utilizzano la sintassi SQL di BigQuery. Per saperne di più, consulta la sintassi SQL di BigQuery.

Per visualizzare la sintassi e gli esempi delle espressioni di filtro, fai clic su Sintassi ed esempi delle espressioni di filtro.

Per creare ed eseguire query utilizzando i filtri SQL, consulta Creare ed eseguire una query SQL.

Risultati delle query

I risultati della query includono i seguenti componenti:

  • Il grafico Flussi di dati più elevati: mostra i primi cinque flussi di traffico più elevati nel tempo insieme al resto del traffico. Puoi individuare le tendenze, ad esempio i picchi di traffico, utilizzando questo grafico.
  • La tabella Tutti i flussi di dati: mostra i principali flussi di traffico fino a 10.000 righe aggregate per la durata selezionata. Questa tabella mostra i campi selezionati per organizzare i flussi durante la definizione dei filtri per la query.

Se selezioni Latenza in Opzioni di visualizzazione, Flussi di latenza più elevati e Tutti i flussi di latenza vengono visualizzati invece.

Opzioni di visualizzazione

Dopo aver eseguito una query, puoi perfezionare i risultati utilizzando le opzioni di visualizzazione. Le selezioni aggiornano sia il grafico sia la tabella.

Flow Analyzer offre due modalità per personalizzare la visualizzazione dei dati:

  • Volume di dati (impostazione predefinita): mostra i byte e i pacchetti inviati.
  • Latenza: mostra il tempo di round trip (RTT).

Per saperne di più, consulta Personalizzare le opzioni di visualizzazione.

Volume di dati

Sono disponibili le seguenti opzioni per la modalità di visualizzazione Volume di dati.

Tipi di metriche

Puoi scegliere di visualizzare uno dei seguenti tipi di metriche.

  • Byte inviati: contiene informazioni sui volumi di payload e non include le intestazioni. Il valore di questa metrica può essere zero perché alcuni pacchetti hanno solo intestazioni e non includono alcun payload.

  • Pacchetti inviati: indica il numero di pacchetti inviati dall'origine a destinazione.

Per entrambi i tipi di metriche, puoi scegliere aggregazioni di metriche aggiuntive.

Aggregazione di metriche

Puoi visualizzare l'aggregazione di metriche nei seguenti modi.

Se selezioni Byte inviati come metrica e Origine e destinazione come aggregazione del traffico, sono disponibili le seguenti opzioni:

  • Traffico totale: questa opzione è sempre abilitata per impostazione predefinita e mostra il traffico totale per il periodo di tempo scelto.
  • Velocità media del traffico: mostra la velocità media del traffico (in byte al secondo) per il periodo di tempo scelto, calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico. Per saperne di più, consulta Periodo di allineamento.
  • Velocità mediana del traffico: mostra la velocità mediana del traffico (in byte al secondo) per il periodo di tempo scelto, calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico. Per saperne di più, consulta Periodo di allineamento.
  • Velocità del traffico P95: mostra la velocità del traffico del 95° percentile in byte al secondo per il periodo di tempo scelto, calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico. Per saperne di più, consulta Periodo di allineamento.
  • Velocità massima del traffico: mostra la velocità massima del traffico in byte al secondo per il periodo di tempo scelto.

Se selezioni Pacchetti inviati come metrica e Origine e destinazione come aggregazione del traffico, sono disponibili le seguenti opzioni:

  • Pacchetti aggregati: mostra il conteggio dei pacchetti inviati per il periodo di tempo scelto. Abilitato per impostazione predefinita.
  • Velocità media dei pacchetti: mostra la velocità media dei pacchetti per il periodo di tempo scelto, calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico. Per saperne di più, consulta Periodo di allineamento.
  • Velocità mediana dei pacchetti: mostra la velocità mediana dei pacchetti per il periodo di tempo scelto, calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico. Per saperne di più, consulta Periodo di allineamento.
  • Velocità dei pacchetti P95: mostra la velocità dei pacchetti del 95° percentile per il periodo di tempo scelto, calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico. Per saperne di più, consulta Periodo di allineamento.
  • Velocità massima dei pacchetti: mostra la velocità massima dei pacchetti per il periodo di tempo scelto.

Punto di campionamento

Per la comunicazione di rete da VM a VM, i log di flusso sono disponibili (con il campionamento applicato) sia nelle VM che inviano sia in quelle che ricevono il traffico. Se entrambe le VM endpoint si trovano in subnet in cui sono abilitati i log di flusso VPC, lo stesso flusso viene segnalato due volte. Puoi scegliere uno dei seguenti quattro approcci per determinare quali log di flusso VPC contribuiscono alle metriche calcolate e come vengono valutati:

  • Endpoint di origine: il numero di byte inviati o pacchetti inviati segnalati nell' endpoint di origine di un flusso
  • Endpoint di destinazione: il numero di byte inviati o pacchetti inviati segnalati nell'endpoint di destinazione di un flusso
  • Somma dell'endpoint di origine e di destinazione: la somma dei byte inviati o dei pacchetti inviati segnalati da entrambi gli endpoint di un flusso
  • Media dell'endpoint di origine e di destinazione: una media dei byte inviati o dei pacchetti inviati segnalati da entrambi gli endpoint di un flusso se le informazioni di origine e di destinazione sono disponibili nei log di flusso VPC

Deduplicazione del traffico

Per evitare che il traffico segnalato nelle VM di origine e di destinazione venga conteggiato due volte, puoi scegliere l'opzione di campionamento Media dell'endpoint di origine e di destinazione. Flow Analyzer identifica i flussi equivalenti all'interno di ogni periodo di allineamento e calcola le medie dei valori delle metriche segnalate (conteggio dei byte e conteggio dei pacchetti).

Per i periodi di allineamento in cui vengono segnalati flussi equivalenti sia in SRC che in DEST, tutto il traffico attribuito a un determinato periodo di allineamento viene diviso per due.

Latenza

Sono disponibili le seguenti opzioni per la modalità di visualizzazione Latenza.

Tipo di metrica

Flow Analyzer utilizza i dati RTT dei log di flusso VPC per fornire l'analisi della latenza per il traffico TCP.

Metriche di classificazione

Puoi classificare i flussi di traffico utilizzando le seguenti metriche. Questa selezione definisce l'ordinamento nella tabella Tutti i flussi di latenza e determina quali flussi vengono visualizzati nel grafico Flussi di latenza più elevati.

  • Media: ordina i flussi in base alla latenza media più elevata (inclusi i picchi di latenza).
  • Massima: ordina i flussi in base al picco di latenza più elevato.
  • Mediana: ordina i flussi in base alla latenza mediana più elevata (esclusi i picchi di latenza ).
  • P95: ordina i flussi in base alla latenza del 95° percentile più elevata.
  • P99: ordina i flussi in base alla latenza del 99° percentile più elevata.
  • Deviazione standard: ordina i flussi in base alla variazione (incoerenza) più elevata della latenza.

Punto di campionamento

La latenza viene segnalata per gli endpoint di origine e di destinazione. Puoi visualizzare i valori di latenza per entrambi i lati dei flussi di traffico.

Aggregazione di metriche

Sono disponibili le seguenti opzioni per l'aggregazione dei dati di latenza:

  • Aggregazione del grafico: definisce il metodo di calcolo per il Flussi di latenza più elevati grafico e viene applicato ai dati selezionati in base alla metrica di classificazione scelta. Puoi scegliere Media, Massima, Mediana, P95 o P99 come metodo di calcolo della latenza.

    Ad esempio, se classifichi i flussi in base alla latenza Mediana impostando l'aggregazione del grafico su Latenza massima, il grafico mostra i picchi di latenza più elevati per i cinque flussi con la latenza mediana più elevata.

  • Aggregazione della tabella: seleziona le metriche, oltre alla metrica di classificazione scelta , da visualizzare come colonne nella tabella Tutti i flussi di latenza.

Puoi anche escludere i flussi a basso volume dall'analisi della latenza.

Periodo di allineamento

Puoi scegliere un intervallo di tempo compreso tra 5 secondi e 1 giorno per i dettagli nel grafico. La modalità automatica seleziona il periodo di allineamento ottimale in base alla lunghezza del periodo selezionato.

Ogni punto sulla sequenza temporale rappresenta i dati aggregati per un periodo di tempo specifico. La lunghezza di questo periodo è chiamata periodo di allineamento.

Il rendimento diminuisce con la riduzione del valore del periodo di allineamento. Per valori più elevati del periodo di allineamento, il grafico diventa meno granulare. Potresti non essere in grado di visualizzare picchi brevi con valori più elevati.

Per durate di tempo elevate, un periodo di allineamento più breve non è utile. Ad esempio, se selezioni un allineamento di 1 minuto per un periodo di 30 giorni, Flow Analyzer genera più di 43.000 punti dati. Poiché si tratta di 10 volte i pixel di visualizzazione 4K, non potrai visualizzare tutti i dettagli e alcune opzioni sono disattivate per durate di tempo elevate.

Per saperne di più su come viene eseguito il campionamento e su come viene determinato il periodo di allineamento per visualizzare i risultati delle query, consulta Metriche e periodo di allineamento.

Visualizzare i dettagli del flusso

Nella tabella Tutti i flussi di dati o Tutti i flussi di latenza, fai clic su Dettagli per qualsiasi flusso. Viene visualizzato il riquadro Dettagli del flusso. Questo riquadro fornisce informazioni come l'origine, la destinazione, il traffico, le opzioni per visualizzare in dettaglio e i percorsi del sistema autonomo (AS) in uscita.

Visualizzazione dettagliata

Puoi visualizzare in dettaglio dividendo un flusso di traffico selezionato utilizzando un campo aggiuntivo. Ad esempio, se un flusso include dettagli generici sul traffico di 1000 GiB dalla Google Cloud zona X alla zona Y,puoi visualizzare in dettaglio utilizzando un altro campo, ad esempio l'indirizzo IP di origine. I risultati includono diversi indirizzi IP che compongono il flusso originale.

I campi visualizzati nel componente di visualizzazione in dettaglio vengono selezionati come segue:

  • Quando accedi ai dettagli del flusso, Flow Analyzer esegue diverse query. Ogni query tenta di visualizzare in dettaglio il flusso selezionato utilizzando i campi disponibili nei log di flusso VPC e non ancora utilizzati nella query originale. Ad esempio, se la query eseguita include già i dettagli dell'indirizzo IP, non devi eseguire di nuovo la query con questo campo e non puoi visualizzare in dettaglio utilizzando questo campo.
  • Se una delle query aggiuntive restituisce un singolo valore di campo, questo viene aggiunto alla sezione dei dettagli di origine e destinazione anche se non è stato recuperato in precedenza.
  • Se uno dei risultati della query include più valori di campo, il campo corrispondente viene visualizzato nell'elenco di visualizzazione in dettaglio.

Quando selezioni un campo nell'elenco di visualizzazione in dettaglio, la tabella di visualizzazione in dettaglio e il grafico vengono aggiornati per mostrare i primi tre flussi di traffico.

Puoi anche utilizzare l'opzione Confronta con il passato. Seleziona questa funzionalità per visualizzare sei righe: tre linee continue per i tre talker principali della visualizzazione in dettaglio e tre linee tratteggiate nei colori corrispondenti che rappresentano il traffico passato.

Per visualizzare in dettaglio i flussi di traffico utilizzando più campi, consulta Visualizzare in dettaglio i flussi di traffico.

Visualizzazione dei percorsi AS in uscita

Nella scheda Percorsi AS in uscita puoi visualizzare i percorsi AS che i pacchetti in uscita attraversano per raggiungere le destinazioni al di fuori della rete Google Cloud. Un percorso AS può includere più numeri di sistema autonomo (ASN).

Puoi controllare quali dettagli AS vengono visualizzati nella scheda Percorsi AS in uscita utilizzando il filtro Percorso AS in uscita nell'elenco Parametri del flusso. Ad esempio, le opzioni più lungo di e più corto di nel campo Comparatore ti consentono di specificare il numero di ASN per percorso AS. Per visualizzare i percorsi AS che includono un ASN specifico, puoi utilizzare l'opzione ha il primo ASN o contiene ASN.

I bordi del grafico dei percorsi AS in uscita sono ponderati in base al numero di log di flusso. In un percorso AS sul grafico, un bordo rappresenta il numero di log di flusso contenenti entrambi gli ASN a cui il bordo si connette. I dati visualizzati nel grafico dei percorsi AS in uscita cambiano in base alle opzioni del filtro Percorso AS in uscita e al periodo di tempo selezionato durante l'esecuzione di una query.

Esplora in Observability Analytics

Puoi visualizzare la query SQL non elaborata in Observability Analytics.

Per un'analisi avanzata, puoi modificare direttamente il codice SQL utilizzato per visualizzare il traffico. La funzionalità Esplora in Analisi dei log ti indirizza alla pagina Analisi dei log con una query precompilata.

Passaggi successivi