Trafficflüsse analysieren

Mit Flow Analyzer können Sie die folgenden Aufgaben ausführen:

  • Einfache Abfrage für VPC-Flusslogs erstellen und ausführen
  • SQL-Filter (mit einer WHERE-Anweisung) für die Abfrage von VPC-Flusslogs erstellen
  • Ergebnisse anhand ausgewählter Felder organisieren und Abfrageergebnisse nach dem gesamten Traffic und aggregierten Paketen sortieren
  • Traffic in ausgewählten Zeitintervallen ansehen
  • Die fünf wichtigsten Traffic-Flüsse im Zeitverlauf im Vergleich zum restlichen Traffic in grafischer Form ansehen
  • Die Ressourcen mit dem höchsten Traffic, aggregiert über den ausgewählten Zeitraum, in Tabellenform ansehen
  • Details zum Traffic zwischen einem bestimmten Quell- und Zielpaar in den Abfrageergebnissen ansehen
  • Die Abfrageergebnisse mithilfe der verbleibenden Felder in VPC-Flusslogs aufschlüsseln

Hinweise

  1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  2. VPC-Flusslogs aktivieren

Erforderliche Rollen und Berechtigungen

Da Flow Analyzer Daten im Namen des Nutzers liest, müssen Sie über ausreichende Berechtigungen zum Lesen des Buckets mit den Logs verfügen. Der Bucket muss auch für die Verwendung von Log Analytics aktualisiert werden.

  • Wenn ein Nutzer Logs in den Buckets lesen soll, verwenden Sie die Seite „Log-Explorer“. Auf der Seite „Log Analytics“ können Sie eine der folgenden Rollen zuweisen:

    • Wenn Sie Zugriff auf die Ansicht _Default im Bucket _Default benötigen, weisen Sie die Rolle „Log-Betrachter“ (roles/logging.viewer) zu.
    • Wenn Sie auf alle Logs im Log-Bucket _Default zugreifen möchten, einschließlich der Logs zum Datenzugriff, weisen Sie die Rolle „Betrachter privater Logs“ (roles/logging.privateLogViewer) zu.

    Weitere Informationen finden Sie unter Logging-Rollen.

  • Wenn ein Nutzer Logs lesen soll, die in einem benutzerdefinierten Bucket gespeichert sind, weisen Sie ihm die Rolle „Zugriffsberechtigter für Logbetrachtung“ (roles/logging.viewAccessor) zu. Sie können die Autorisierung auf eine bestimmte Logansicht beschränken. Weitere Informationen finden Sie unter Zugriff auf eine Logansicht steuern.

  • Alternativ können Sie eine benutzerdefinierte Rolle mit den folgenden Berechtigungen erstellen:

    • logging.buckets.get
    • logging.buckets.list
    • logging.logEntries.list
    • logging.logs.list
    • resourcemanager.projects.get

Abfrage erstellen und ausführen

So erstellen und führen Sie eine Abfrage mit einfachen Filtern aus:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Flow Analyzer auf.

    Flow Analyzer aufrufen

  2. Klicken Sie auf Quell-Bucket und gehen Sie so vor:

    1. Wählen Sie im Feld Log-Bucket den Log-Bucket mit den Flow-Logs aus, die Sie abfragen möchten. Standardmäßig werden Flow-Logs im Log-Bucket _Default gespeichert.
    2. Wählen Sie im Feld Log-Bucket-Ansicht eine Log-Ansicht aus.
    3. Optional: Wenn Sie Flusslogs abfragen möchten, die einer bestimmten VPC-Flusslogkonfiguration zugeordnet sind, gehen Sie so vor:
      1. Aktivieren Sie das Kästchen Spezifische Konfiguration auswählen.
      2. Wählen Sie in der Liste Logkonfigurationen eine oder mehrere VPC-Flusslogkonfigurationen aus. Mit der Option Für Subnetzwerke konfigurierte Flusslogs werden alle Flusslogs für alle Subnetze im Log-Bucket ausgewählt.

  3. Wählen Sie im Menü Traffic-Aggregation eine der folgenden Optionen aus:

    • Quelle – Ziel: Aggregieren Sie den Traffic von der Quelle zum Ziel.
    • Client – Server: Der Traffic in beide Richtungen wird zusammengefasst, indem Ressourcen mit niedrigeren Portnummern und Dienstdefinitionen oder mit GKE-Diensteigenschaften als Server betrachtet werden.

    Weitere Informationen finden Sie unter Traffic-Aggregation.

  4. Legen Sie im Zeitraum-Selektor den Zeitraum für Ihre Abfrage fest. Standardmäßig beträgt der Zeitraum eine Stunde. Sie können einen voreingestellten Zeitraum auswählen, einen benutzerdefinierten Start- und Endzeitpunkt angeben oder einen Zeitraum um einen bestimmten Zeitpunkt herum auswählen.

  5. Wählen Sie in den Listen Filter einen oder mehrere Abfragefilter aus. Jeder Filter entspricht einem VPC-Flusslogfeld. Weitere Informationen zu diesen Feldern finden Sie unter Datensatzformat. Wenn Sie keine Filter auswählen, werden im Flow Analyzer die Abfrageergebnisse für alle Flows im ausgewählten Zeitraum angezeigt.

    Wenn Sie mehrere Werte für denselben Filter auswählen, wird ein OR-Operator verwendet. Wenn Sie in derselben Liste Filter mehrere Filter auswählen, wird ein AND-Operator verwendet. Wenn Sie beispielsweise die zwei IP-Adresswerte 10.10.0.10 und 10.10.0.20 sowie die zwei Länder-Werte usa und fra auswählen, wird die folgende Filterlogik auf die Abfrage angewendet: (IP=10.10.0.10 OR IP=10.10.0.20) AND (Country=usa OR Country=fra).

  6. Wählen Sie aus, wie die Abfrageergebnisse organisiert werden sollen. Verwenden Sie dazu die Listen Abläufe organisieren nach oder übernehmen Sie die Standardwerte.

  7. Klicken Sie auf Neue Abfrage ausführen.

    Das Diagramm Höchste Datenflüsse und die Tabelle Alle Datenflüsse werden aktualisiert.

    Im Bereich Anzeigeoptionen können Sie die Abfrageergebnisse anpassen. Weitere Informationen finden Sie unter Anzeigeoptionen. Informationen zum Auswählen benutzerdefinierter Optionen finden Sie unter Anzeigeoptionen anpassen.

SQL-Abfrage erstellen und ausführen

So erstellen und führen Sie eine Abfrage in Flow Analyzer mit SQL-Filtern aus:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Flow Analyzer auf.

    Flow Analyzer aufrufen

  2. Wählen Sie einen Log-Bucket aus. Wenn Sie den Log-Bucket _Default verwenden möchten, können Sie diesen Schritt überspringen.

  3. Verwenden Sie die Zeitraumauswahl oder wählen Sie Im ausgewählten Zeitraum noch einmal ausführen aus, um den Zeitraum für Ihre Abfrage festzulegen.

  4. Wählen Sie im Menü Traffic-Aggregation eine der folgenden Optionen aus:

    • Quelle – Ziel: Aggregieren Sie den Traffic von der Quelle zum Ziel.
    • Client – Server: Der Traffic in beide Richtungen wird zusammengefasst, indem Ressourcen mit niedrigeren Portnummern und Dienstdefinitionen als Server betrachtet werden.

    Weitere Informationen finden Sie unter Traffic-Aggregation.

  5. Klicken Sie auf SQL-Filter.

  6. Geben Sie die SQL-Filterabfrage mit BigQuery-SQL-Syntax ein.

  7. Wenn Sie die Syntax und Beispiele für Filterausdrücke aufrufen möchten, klicken Sie auf Syntax und Beispiele für Filterausdrücke.

  8. Organisieren Sie den Ablauf mithilfe der Felder. Wählen Sie ein Feld aus, nach dem die Flussdetails sortiert werden sollen.

  9. Klicken Sie auf Neue Abfrage ausführen.

    Das Diagramm Höchste Datenflüsse und die Tabelle Alle Datenflüsse werden aktualisiert.

    Im Bereich Anzeigeoptionen können Sie die Abfrageergebnisse anpassen. Weitere Informationen finden Sie unter Anzeigeoptionen. Informationen zum Auswählen benutzerdefinierter Optionen finden Sie unter Anzeigeoptionen anpassen.

Anzeigeoptionen anpassen

Wenn Sie sich bestimmte Details der Traffic-Flüsse ansehen möchten, können Sie die Anzeigeoptionen anpassen. Weitere Informationen zu den verschiedenen verfügbaren Anzeigeoptionen finden Sie unter Anzeigeoptionen.

Console

  1. Abfrage erstellen
    1. Wählen Sie einen Log-Bucket aus. Wenn Sie den Log-Bucket _Default verwenden möchten, können Sie diesen Schritt überspringen.
    2. Verwenden Sie die Zeitraumauswahl oder wählen Sie Im ausgewählten Zeitraum noch einmal ausführen aus, um den Zeitraum für Ihre Abfrage festzulegen.
    3. Wählen Sie die Filter aus.
    4. Wählen Sie die Felder aus, nach denen die Ergebnisse sortiert werden sollen.
  2. Führen Sie die Abfrage aus.
  3. Wählen Sie den Messwerttyp aus: Gesendete Byte oder Gesendete Pakete.

  4. Wählen Sie eine Option für die Messwertaggregation aus.

    Wenn Sie Bytes sent (Gesendete Byte) als Messwert auswählen, haben Sie folgende Möglichkeiten:

    1. Gesamter Traffic: Der gesamte Traffic für den ausgewählten Zeitraum. Standardmäßig aktiviert.
    2. Durchschnittliche Traffic-Rate: Die durchschnittliche Traffic-Rate für den ausgewählten Zeitraum. Wird nur für die Ausrichtungszeiträume berechnet, in denen Traffic beobachtet wurde.
    3. Median-Traffic-Rate: Die Median-Traffic-Rate für den ausgewählten Zeitraum. Wird nur für die Ausrichtungszeiträume berechnet, in denen Traffic beobachtet wurde.
    4. P95-Traffic-Rate: Die Traffic-Rate des 95. Perzentils für den ausgewählten Zeitraum. Wird nur für die Ausrichtungszeiträume berechnet, in denen Zugriffe beobachtet wurden.
    5. Maximale Traffic-Rate: Die maximale Traffic-Rate für den ausgewählten Zeitraum.

    Wenn Sie Gesendete Pakete als Messwert auswählen, haben Sie folgende Optionen:

    1. Pakete zusammenfassen: Die Gesamtzahl der Pakete für den ausgewählten Zeitraum. Standardmäßig aktiviert.
    2. Durchschn. Paketsenderate: Die durchschnittliche Paketsenderate für den ausgewählten Zeitraum. Wird nur für die Ausrichtungszeiträume berechnet, in denen Traffic beobachtet wurde.
    3. Median-Paketsenderate: Die Median-Paketsenderate für den ausgewählten Zeitraum. Wird nur für die Ausrichtungszeiträume berechnet, in denen Traffic beobachtet wurde.
    4. P95-Paketsenderate: Die 95. Perzentil-Paketsenderate für den ausgewählten Zeitraum. Wird nur für die Ausrichtungszeiträume berechnet, in denen Zugriffe beobachtet wurden.
    5. Maximale Paketrate: Die maximale Paketrate für den ausgewählten Zeitraum.

    Weitere Informationen zu den verschiedenen Optionen für die Messwertaggregation finden Sie unter Messwertaggregationen.

  5. Wählen Sie den Ausrichtungszeitraum aus. Weitere Informationen zum Ausrichtungszeitraum finden Sie unter Ausrichtungszeitraum.

  6. Wählen Sie einen Stichprobenpunkt aus.

    • Quellendpunkt: Die Anzahl der gesendeten Byte oder Pakete, die am Quellendpunkt eines Flows gemeldet werden.
    • Zielendpunkt: Die Anzahl der gesendeten Byte oder Pakete, die am Zielendpunkt eines Flows gemeldet werden.
    • Summe von Quell- und Zielendpunkt: Die Summe der gesendeten Byte oder Pakete, die von beiden Endpunkten eines Flows gemeldet werden.
    • Durchschnitt von Quell- und Zielendpunkt: Durchschnitt der gesendeten Byte oder Pakete, wie von beiden Endpunkten eines Flows gemeldet, wenn sowohl Quell- als auch Zieldetails in VPC-Flusslogs verfügbar sind.

    Weitere Informationen finden Sie unter Sampling Point.

Flowdetails ansehen

So rufen Sie Flussdetails für einen ausgewählten Fluss in der Tabelle „Datenflüsse“ auf:

Console

  1. Abfrage erstellen
    1. Wählen Sie einen Log-Bucket aus. Wenn Sie den Log-Bucket _Default verwenden möchten, können Sie diesen Schritt überspringen.
    2. Verwenden Sie die Zeitraumauswahl oder wählen Sie Im ausgewählten Zeitraum noch einmal ausführen aus, um den Zeitraum für Ihre Abfrage festzulegen.
    3. Wählen Sie die Filter aus.
    4. Wählen Sie die Felder aus, nach denen die Ergebnisse sortiert werden sollen.
  2. Führen Sie die Abfrage aus.
  3. Klicken Sie in der Tabelle Alle Datenflüsse für einen beliebigen Fluss auf Details. Auf der Seite Flow-Details werden alle Ressourcen angezeigt, die den ausgewählten Filtern entsprechen, sowie der Traffic dieser Ressourcen.

Trafficflüsse aufschlüsseln

Sie können den Traffic der ausgewählten Ressourcen weiter eingrenzen. Mit Flow Analyzer können Sie die Abfrageergebnisse mithilfe der verbleibenden Felder in VPC-Flusslogs aufschlüsseln. Weitere Informationen finden Sie unter Ablaufdetails ansehen.

So analysieren Sie Traffic-Flows mit weiteren Feldern:

Console

  1. Abfrage erstellen
    1. Wählen Sie einen Log-Bucket aus. Wenn Sie den Log-Bucket _Default verwenden möchten, können Sie diesen Schritt überspringen.
    2. Verwenden Sie die Zeitraumauswahl oder wählen Sie Im ausgewählten Zeitraum noch einmal ausführen aus, um den Zeitraum für Ihre Abfrage festzulegen.
    3. Wählen Sie die Filter aus.
    4. Wählen Sie die Felder aus, nach denen die Ergebnisse sortiert werden sollen.
  2. Führen Sie die Abfrage aus.

  3. Klicken Sie in der Tabelle Alle Datenflüsse für einen beliebigen Fluss auf Details.

    Auf der Seite Flow-Details werden alle Ressourcen angezeigt, die den ausgewählten Filtern entsprechen, sowie der Traffic dieser Ressourcen.

  4. Wählen Sie in der Liste Aufschlüsseln nach ein Feld aus, um einen Drilldown durchzuführen.

  5. Wenn Sie die Daten mit früheren Zugriffszahlen vergleichen möchten, klicken Sie auf den Ein/Aus-Schalter Mit bisherigen Daten vergleichen. Mit dieser Funktion können Sie sechs Linien sehen: drei durchgezogene Linien für die drei wichtigsten Traffic-Flows aus dem Drilldown und drei gestrichelte Linien in entsprechenden Farben für den bisherigen Traffic.

Nächste Schritte