Analyser vos flux de trafic

Flow Analyzer vous permet d'effectuer les tâches suivantes :

  • Créer et exécuter une requête simple sur les journaux de flux VPC
  • Créer un filtre SQL (à l'aide d'une instruction WHERE) pour la requête sur les journaux de flux VPC
  • Organisez les résultats à l'aide des champs sélectionnés et triez les résultats de la requête en fonction du trafic total et des paquets agrégés.
  • Afficher le trafic à des intervalles de temps choisis
  • Affichez les cinq flux de trafic les plus élevés au fil du temps sous forme graphique, par rapport au reste du trafic.
  • Affichez les ressources ayant généré le plus de trafic au cours de la période sélectionnée dans un tableau.
  • Afficher le détail du trafic entre une paire source/destination spécifique à partir des résultats de la requête
  • Affinez les résultats de la requête à l'aide des champs restants disponibles dans les journaux de flux VPC.

Avant de commencer

  1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  2. Activez les journaux de flux VPC.

Rôles et autorisations requis

Étant donné que l'analyseur de flux lit les données au nom de l'utilisateur, assurez-vous de disposer des autorisations suffisantes pour lire le bucket contenant les journaux. Le bucket doit également être mis à niveau pour utiliser l'Analyse de journaux.

  • Pour autoriser un utilisateur à lire les journaux dans les buckets, utilisez la page "Explorateur de journaux". Utilisez la page "Analyse de journaux" pour attribuer l'un des rôles suivants :

    • Pour accéder à la vue _Default dans le bucket _Default, attribuez le rôle Lecteur de journaux (roles/logging.viewer).
    • Pour accéder à tous les journaux du bucket de journaux _Default, y compris les journaux d'accès aux données, attribuez le rôle Lecteur de journaux privés (roles/logging.privateLogViewer).

    Pour en savoir plus, consultez Rôles de journalisation.

  • Pour autoriser un utilisateur à lire les journaux stockés dans un bucket défini par l'utilisateur, accordez-lui le rôle Accesseur de vues de journaux (roles/logging.viewAccessor). Vous pouvez limiter l'autorisation à une vue de journaux spécifique. Pour en savoir plus, consultez Contrôler l'accès à une vue de journal.

  • Vous pouvez également créer un rôle personnalisé qui accorde les autorisations suivantes :

    • logging.buckets.get
    • logging.buckets.list
    • logging.logEntries.list
    • logging.logs.list
    • resourcemanager.projects.get

Créer et exécuter une requête

Pour créer et exécuter une requête à l'aide de filtres de base, procédez comme suit :

Console

  1. Dans la console Google Cloud , accédez à la page Analyseur de flux.

    Accéder à Flow Analyzer

  2. Cliquez sur Bucket source, puis procédez comme suit :

    1. Dans le champ Bucket de journaux, sélectionnez le bucket de journaux contenant les journaux de flux que vous souhaitez interroger. Par défaut, les journaux de flux sont stockés dans le bucket de journaux _Default.
    2. Dans le champ Vue du bucket de journaux, sélectionnez une vue de journaux.
    3. Facultatif : Si vous souhaitez interroger les journaux de flux associés à une configuration de journaux de flux VPC spécifique, procédez comme suit :
      1. Cochez la case Sélectionner une configuration spécifique.
      2. Dans la liste Configurations des journaux, sélectionnez une ou plusieurs configurations de journaux de flux VPC. L'option Journaux de flux configurés pour les sous-réseaux sélectionne tous les journaux de flux de tous les sous-réseaux du bucket de journaux.

  3. Dans le menu Agrégation du trafic, sélectionnez l'une des options suivantes :

    • Source – Destination : agrège le trafic de la source vers la destination.
    • Client/serveur : agrège le trafic dans les deux sens en considérant les ressources avec des numéros de port et des définitions de service inférieurs, ou celles qui possèdent des propriétés de service GKE en tant que serveurs.

    Pour en savoir plus, consultez Agrégation du trafic.

  4. Dans le sélecteur de période, définissez la période de votre requête. La période par défaut est d'une heure. Vous pouvez sélectionner une période prédéfinie, spécifier une heure de début et de fin personnalisées, ou sélectionner une période autour d'une heure spécifique.

  5. Dans les listes Filtre, sélectionnez un ou plusieurs filtres de requête. Chaque filtre correspond à un champ des journaux de flux VPC. Pour en savoir plus sur ces champs, consultez Format des enregistrements. Si vous ne sélectionnez aucun filtre, l'analyseur de flux affiche les résultats de la requête pour tous les flux au cours de la période sélectionnée.

    Si vous sélectionnez plusieurs valeurs pour le même filtre, un opérateur OR est utilisé. Si vous sélectionnez plusieurs filtres dans la même liste Filtre, un opérateur AND est utilisé. Par exemple, si vous sélectionnez deux valeurs d'adresse IP (10.10.0.10 et 10.10.0.20) et deux valeurs de pays (usa et fra), la logique de filtrage suivante est appliquée à la requête : (IP=10.10.0.10 OR IP=10.10.0.20) AND (Country=usa OR Country=fra).

  6. Sélectionnez la façon dont vous souhaitez organiser les résultats de vos requêtes à l'aide des listes Organiser les flux par ou conservez les valeurs par défaut.

  7. Cliquez sur Exécuter une nouvelle requête.

    Le graphique Flux de données les plus élevés et le tableau Tous les flux de données sont mis à jour.

    Vous pouvez utiliser le panneau Options d'affichage pour personnaliser les résultats de votre requête. Pour en savoir plus, consultez Options d'affichage. Pour sélectionner des options personnalisées, consultez Personnaliser les options d'affichage.

Créer et exécuter une requête SQL

Pour créer et exécuter une requête dans l'analyseur de flux à l'aide de filtres SQL, procédez comme suit :

Console

  1. Dans la console Google Cloud , accédez à la page Analyseur de flux.

    Accéder à Flow Analyzer

  2. Sélectionnez un bucket de journaux. Si vous prévoyez d'utiliser le bucket de journaux _Default, vous pouvez ignorer cette étape.

  3. Pour définir la période de votre requête, utilisez le sélecteur de période ou sélectionnez Exécuter de nouveau pour la période sélectionnée.

  4. Dans le menu Agrégation du trafic, sélectionnez l'une des options suivantes :

    • Source – Destination : agrège le trafic de la source vers la destination.
    • Client/serveur : agrège le trafic dans les deux sens en considérant les ressources avec des numéros de port et des définitions de service inférieurs comme des serveurs.

    Pour en savoir plus, consultez Agrégation du trafic.

  5. Cliquez sur Filtres SQL.

  6. Saisissez la requête de filtre SQL à l'aide de la syntaxe SQL BigQuery.

  7. Pour afficher la syntaxe et des exemples d'expressions de filtre, cliquez sur Syntaxe et exemples d'expressions de filtre.

  8. Organisez le flux à l'aide des champs. Sélectionnez un champ pour organiser les détails du flux.

  9. Cliquez sur Exécuter une nouvelle requête.

    Le graphique Flux de données les plus élevés et le tableau Tous les flux de données sont mis à jour.

    Vous pouvez utiliser le panneau Options d'affichage pour personnaliser les résultats de votre requête. Pour en savoir plus, consultez Options d'affichage. Pour sélectionner des options personnalisées, consultez Personnaliser les options d'affichage.

Personnaliser les options d'affichage

Pour afficher des détails spécifiques sur les flux de trafic, vous pouvez personnaliser les options d'affichage. Pour en savoir plus sur les différentes options d'affichage disponibles, consultez Options d'affichage.

Console

  1. Créez la requête.
    1. Sélectionnez un bucket de journaux. Si vous prévoyez d'utiliser le bucket de journaux _Default, vous pouvez ignorer cette étape.
    2. Pour définir la période de votre requête, utilisez le sélecteur de période ou sélectionnez Exécuter de nouveau pour la période sélectionnée.
    3. Sélectionnez les filtres.
    4. Sélectionnez les champs pour organiser les résultats.
  2. Exécutez la requête.
  3. Sélectionnez le type de métrique : Octets envoyés ou Paquets envoyés.

  4. Sélectionnez une option d'agrégation des métriques.

    Si vous sélectionnez Octets envoyés comme métrique, choisissez l'une des options suivantes :

    1. Trafic total : trafic total pour la période choisie. Cette option est activée par défaut.
    2. Taux de trafic moyen : taux de trafic moyen pour la période sélectionnée. Calculé uniquement pour les périodes d'alignement au cours desquelles le trafic a été observé.
    3. Taux médian de trafic : taux médian de trafic pour la période choisie. Calculé uniquement pour les périodes d'alignement au cours desquelles le trafic a été observé.
    4. Taux de trafic au 95e centile : taux de trafic au 95e centile pour la période choisie. Calculé uniquement pour les périodes d'alignement au cours desquelles le trafic a été observé.
    5. Taux maximal de trafic : taux maximal de trafic pour la période choisie.

    Si vous sélectionnez Paquets envoyés comme métrique, choisissez l'une des options suivantes :

    1. Paquets agrégés : nombre total de paquets pour la période choisie. Cette option est activée par défaut.
    2. Taux moyen de paquets : taux moyen de paquets pour la période choisie. Calculé uniquement pour les périodes d'alignement au cours desquelles le trafic a été observé.
    3. Taux médian de paquets : taux médian de paquets pour la période choisie. Calculé uniquement pour les périodes d'alignement au cours desquelles le trafic a été observé.
    4. Taux de paquets au 95e centile : taux de paquets au 95e centile pour la période choisie. Calculé uniquement pour les périodes d'alignement au cours desquelles le trafic a été observé.
    5. Débit maximal de paquets : débit maximal de paquets pour la période choisie.

    Pour en savoir plus sur les différentes options d'agrégation des métriques, consultez Agrégations des métriques.

  5. Sélectionnez la période d'alignement. Pour en savoir plus sur la période d'alignement, consultez Période d'alignement.

  6. Choisissez un point d'échantillonnage.

    • Point de terminaison source : nombre d'octets ou de paquets envoyés, tel qu'indiqué au point de terminaison source d'un flux.
    • Point de terminaison de destination : nombre d'octets ou de paquets envoyés, tel qu'indiqué au point de terminaison de destination d'un flux.
    • Somme des points de terminaison source et de destination : somme des octets ou des paquets envoyés, telle qu'indiquée par les deux points de terminaison d'un flux.
    • Moyenne du point de terminaison source et de destination : moyenne des octets ou des paquets envoyés, telle qu'indiquée par les deux points de terminaison d'un flux si les détails de la source et de la destination sont disponibles dans les journaux de flux VPC.

    Pour en savoir plus, consultez Point d'échantillonnage.

Afficher les détails du flux

Pour afficher les détails d'un flux sélectionné dans le tableau des flux de données, procédez comme suit :

Console

  1. Créez la requête.
    1. Sélectionnez un bucket de journaux. Si vous prévoyez d'utiliser le bucket de journaux _Default, vous pouvez ignorer cette étape.
    2. Pour définir la période de votre requête, utilisez le sélecteur de période ou sélectionnez Exécuter de nouveau pour la période sélectionnée.
    3. Sélectionnez les filtres.
    4. Sélectionnez les champs pour organiser les résultats.
  2. Exécutez la requête.
  3. Dans le tableau Tous les flux de données, cliquez sur Détails pour n'importe quel flux. La page Détails du flux qui s'affiche présente toutes les ressources correspondant aux filtres sélectionnés et le trafic de ces ressources.

Afficher le détail des flux de trafic

Vous pouvez affiner davantage le trafic des ressources sélectionnées. À l'aide de Flow Analyzer, vous pouvez examiner en détail les résultats de la requête à l'aide des champs restants disponibles dans les journaux de flux VPC. Pour en savoir plus, consultez Afficher les détails du flux.

Pour analyser plus en détail les flux de trafic à l'aide d'autres champs :

Console

  1. Créez la requête.
    1. Sélectionnez un bucket de journaux. Si vous prévoyez d'utiliser le bucket de journaux _Default, vous pouvez ignorer cette étape.
    2. Pour définir la période de votre requête, utilisez le sélecteur de période ou sélectionnez Exécuter de nouveau pour la période sélectionnée.
    3. Sélectionnez les filtres.
    4. Sélectionnez les champs pour organiser les résultats.
  2. Exécutez la requête.

  3. Dans le tableau Tous les flux de données, cliquez sur Détails pour n'importe quel flux.

    La page Informations sur le flux qui s'affiche présente toutes les ressources correspondant aux filtres sélectionnés et le trafic de ces ressources.

  4. Dans la liste Afficher le détail par, sélectionnez un champ pour afficher le détail.

  5. Pour comparer le trafic actuel à celui d'une période antérieure, cliquez sur le bouton Comparer à une période antérieure. Cette fonctionnalité vous permet d'afficher six lignes : trois lignes pleines pour les trois principaux flux de trafic du détail et trois lignes en pointillés de couleurs correspondantes représentant le trafic passé.

Étapes suivantes