Analyser vos flux de trafic

Avec Flow Analyzer, vous pouvez effectuer les tâches suivantes:

  • Créer et exécuter une requête simple sur les journaux de flux VPC
  • Créer un filtre SQL (à l'aide d'une instruction WHERE) pour la requête sur les journaux de flux VPC
  • Organisez les résultats à l'aide des champs sélectionnés et triez les résultats de la requête en fonction du trafic total et des paquets agrégés.
  • Afficher le trafic à des intervalles de temps choisis
  • Afficher les cinq principaux flux de trafic au fil du temps sous forme graphique, par rapport au reste du trafic
  • Afficher les ressources générant le plus de trafic au cours de la période sélectionnée sous forme de tableau
  • Afficher les détails du trafic entre une paire de source et de destination spécifique à partir des résultats de la requête
  • Analysez les résultats de la requête à l'aide des autres champs disponibles dans les journaux de flux VPC.

Avant de commencer

  1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  2. Activez les journaux de flux VPC lorsque vous créez un sous-réseau ou activez les journaux de flux VPC pour un sous-réseau existant.

Rôles et autorisations requis

Étant donné que l'outil Flow Analyzer lit les données au nom de l'utilisateur, assurez-vous de disposer d'autorisations suffisantes pour lire le bucket contenant les journaux. Le bucket doit également être mis à niveau pour utiliser l'Analyse de journaux.

  • Pour autoriser un utilisateur à lire les journaux des buckets, utilisez la page "Explorateur de journaux". Utilisez la page Log Analytics pour accorder l'un des rôles suivants:

    • Pour accéder à la vue _Default sur le bucket _Default, attribuez le rôle Lecteur de journaux (roles/logging.viewer).
    • Pour accéder à tous les journaux du bucket de journaux _Default, y compris les journaux d'accès aux données, attribuez le rôle Lecteur de journaux privés (roles/logging.privateLogViewer).

    Pour en savoir plus, consultez la section Rôles de journalisation.

  • Pour autoriser un utilisateur à lire les journaux stockés dans un bucket défini par l'utilisateur, attribuez-lui le rôle "Accesseur de vues de journaux" (roles/logging.viewAccessor). Vous pouvez limiter l'autorisation à une vue de journaux spécifique. Pour en savoir plus, consultez la page Contrôler l'accès à une vue de journal.

  • Vous pouvez également créer un rôle personnalisé qui accorde les autorisations suivantes:

    • logging.buckets.get
    • logging.buckets.list
    • logging.logEntries.list
    • logging.logs.list
    • resourcemanager.projects.get

Créer et exécuter la requête

Pour créer et exécuter la requête, procédez comme suit:

Console

  1. Dans la console Google Cloud, accédez à la page Analyseur de flux.

    Accéder à Flow Analyzer

  2. Sélectionnez un bucket de journaux. Si vous prévoyez d'utiliser le bucket de journaux _Default, vous pouvez ignorer cette étape.

  3. Dans le menu Agrégation du trafic, sélectionnez l'une des options suivantes:

    • Source - Destination: agrégation du trafic de la source vers la destination.
    • Client-Serveur: agrégation du trafic dans les deux sens en tenant compte des ressources avec des numéros de port et des définitions de service inférieurs ou des propriétés de service GKE en tant que serveurs.

    Pour en savoir plus, consultez la section Agrégation de trafic.

  4. Pour définir la période de votre requête, utilisez le sélecteur de période. La période par défaut est d'une heure, mais vous pouvez choisir parmi les options de période prédéfinies. Vous pouvez spécifier une heure de début et de fin personnalisées, ou choisir la plage de temps autour d'une heure spécifique.

  5. Cliquez sur Exécuter de nouveau pour la période sélectionnée dans le graphique.

  6. Dans les champs source et destination ou client et serveur, sélectionnez un champ dans la liste.

  7. Ajoutez une ou plusieurs expressions de filtre pour filtrer les flux qui correspondent aux paires clé/valeur sélectionnées en utilisant la clé comme champ sélectionné.

    Si vous sélectionnez plusieurs filtres pour le même champ, un opérateur OR est utilisé. Si vous sélectionnez des filtres pour différents champs, un opérateur AND est utilisé. Par exemple, si vous sélectionnez deux valeurs d'adresse IP (1.2.3.4 et 10.20.10.30) et deux valeurs de pays (US et France), la logique de filtrage suivante est appliquée à la requête :

    (Adresse IP=1.2.3.4 OU Adresse IP=10.20.10.30) AND (Pays=US OU Pays=France)

  8. Organisez le flux à l'aide des champs. Sélectionnez un champ pour organiser les détails du flux.

  9. Cliquez sur Exécuter une nouvelle requête.

    Le graphique Flux de données les plus importants et le tableau Tous les flux de données sont mis à jour.

  10. Utilisez les options d'affichage pour personnaliser les résultats de la requête. Pour en savoir plus sur les différentes options d'affichage disponibles, consultez la section Options d'affichage. Pour sélectionner des options personnalisées, consultez la section Personnaliser les options d'affichage.

  11. Lorsque vous avez terminé de modifier les options d'affichage, cliquez sur OK.

  12. Cliquez sur Exécuter de nouveau pour exécuter à nouveau la requête avec les options d'affichage sélectionnées.

Créer et exécuter une requête SQL

Pour créer et exécuter une requête dans Flow Analyzer à l'aide d'options de filtrage SQL, procédez comme suit:

  1. Dans la console Google Cloud, accédez à la page Analyseur de flux.

    Accéder à Flow Analyzer

  2. Sélectionnez un bucket de journaux. Si vous prévoyez d'utiliser le bucket de journaux _Default, vous pouvez ignorer cette étape.

  3. Pour définir la période de votre requête, utilisez le sélecteur de période ou sélectionnez Exécuter de nouveau pour la période sélectionnée.

  4. Dans le menu Agrégation du trafic, sélectionnez l'une des options suivantes:

    • Source - Destination: agrégation du trafic de la source vers la destination.

    • Client-Serveur: agrégation du trafic dans les deux sens en considérant les ressources avec des numéros de port et des définitions de service inférieurs comme des serveurs.

      Pour en savoir plus, consultez la section Agrégation de trafic.

  5. Cliquez sur Filtres SQL.

  6. Saisissez la requête de filtre SQL à l'aide de la syntaxe SQL BigQuery.

  7. Pour afficher la syntaxe et les exemples d'expression de filtre, cliquez sur Syntaxe et exemples d'expression de filtre.

  8. Organisez le flux à l'aide des champs. Sélectionnez un champ pour organiser les détails du flux.

  9. Cliquez sur Exécuter une nouvelle requête.

    Le graphique Flux de données les plus importants et le tableau Tous les flux de données sont mis à jour.

  10. Utilisez les options d'affichage pour personnaliser les résultats de la requête. Pour en savoir plus sur les différentes options d'affichage disponibles, consultez la section Options d'affichage. Pour sélectionner des options personnalisées, consultez Personnaliser les options d'affichage.

  11. Lorsque vous avez terminé de modifier les options d'affichage, cliquez sur OK.

  12. Pour exécuter à nouveau la requête avec les options d'affichage sélectionnées, cliquez sur Exécuter de nouveau.

Personnaliser les options d'affichage

Pour afficher des détails spécifiques sur les flux de trafic, vous pouvez personnaliser les options d'affichage. Pour en savoir plus sur les différentes options d'affichage disponibles, consultez la section Options d'affichage.

Console

  1. Créez la requête.
    1. Sélectionnez un bucket de journaux. Si vous prévoyez d'utiliser le bucket de journaux _Default, vous pouvez ignorer cette étape.
    2. Pour définir la période de votre requête, utilisez le sélecteur de période ou sélectionnez Exécuter de nouveau pour la période sélectionnée.
    3. Sélectionnez les filtres.
    4. Sélectionnez les champs à utiliser pour organiser les résultats.
  2. Exécutez la requête.
  3. Sélectionnez le type de métrique: Octets envoyés ou Paquets envoyés.

  4. Sélectionnez une option d'agrégation de métriques.

    Si vous sélectionnez Octets envoyés comme métrique, choisissez l'une des options suivantes:

    1. Trafic total: trafic total pour la période choisie. Cette option est activée par défaut.
    2. Taux de trafic moyen: taux de trafic moyen pour la période sélectionnée. Calculé uniquement pour les périodes d'alignement pendant lesquelles le trafic a été observé.
    3. Taux de trafic médian: taux de trafic médian pour la période choisie. Calculé uniquement pour les périodes d'alignement pendant lesquelles le trafic a été observé.
    4. Taux de trafic au 95e centile: taux de trafic au 95e centile pour la période choisie. Calculé uniquement pour les périodes d'alignement pendant lesquelles le trafic a été observé.
    5. Taux de trafic maximal: taux de trafic maximal pour la période choisie.

    Si vous sélectionnez Paquets envoyés comme métrique, choisissez l'une des options suivantes:

    1. Paquets agrégés: nombre total de paquets pour la période sélectionnée. Cette option est activée par défaut.
    2. Taux moyen de paquets: taux moyen de paquets pour la période choisie. Calculé uniquement pour les périodes d'alignement pendant lesquelles le trafic a été observé.
    3. Taux de paquets médian: taux de paquets médian pour la période sélectionnée. Calculé uniquement pour les périodes d'alignement pendant lesquelles le trafic a été observé.
    4. Taux de paquets au 95e centile: taux de paquets au 95e centile pour la période choisie. Calculé uniquement pour les périodes d'alignement pendant lesquelles le trafic a été observé.
    5. Taux de paquets maximal: taux de paquets maximal pour la période choisie.

    Pour en savoir plus sur les différentes options d'agrégation des métriques, consultez la section Agrégations de métriques.

  5. Sélectionnez la durée de l'alignement. Pour en savoir plus sur la période d'alignement, consultez la section Durée de l'alignement.

  6. Choisissez un point d'échantillonnage.

    • Point de terminaison source: nombre d'octets ou de paquets envoyés, comme indiqué au point de terminaison source d'un flux.
    • Point de terminaison de destination: nombre d'octets ou de paquets envoyés, comme indiqué au point de terminaison de destination d'un flux.
    • Somme des points de terminaison source et de destination: somme des octets envoyés ou des paquets envoyés, comme indiqué par les deux points de terminaison d'un flux.
    • Moyenne du point de terminaison source et de destination: moyenne des octets ou des paquets envoyés, comme indiqué par les deux points de terminaison d'un flux si les informations sur la source et la destination sont disponibles dans les journaux de flux VPC.

    Pour en savoir plus, consultez Point d'échantillonnage.

Afficher les détails du flux

Pour afficher les détails d'un flux sélectionné dans le tableau des flux de données, procédez comme suit:

Console

  1. Créez la requête.
    1. Sélectionnez un bucket de journaux. Si vous prévoyez d'utiliser le bucket de journaux _Default, vous pouvez ignorer cette étape.
    2. Pour définir la période de votre requête, utilisez le sélecteur de période ou sélectionnez Exécuter de nouveau pour la période sélectionnée.
    3. Sélectionnez les filtres.
    4. Sélectionnez les champs à utiliser pour organiser les résultats.
  2. Exécutez la requête.

  3. Dans le tableau Tous les flux de données, cliquez sur Afficher les détails pour un flux.

    La page Détails du flux qui s'affiche affiche toutes les ressources correspondant aux filtres sélectionnés et le trafic de ces ressources.

Analyser les flux de trafic

Vous pouvez affiner davantage le trafic des ressources sélectionnées. Avec Flow Analyzer, vous pouvez examiner en détail les résultats de la requête à l'aide des autres champs disponibles dans les journaux de flux VPC. Pour en savoir plus, consultez la section Détail du flux de répartition ou d'analyse.

Pour analyser les flux de trafic à l'aide de plusieurs champs, procédez comme suit:

Console

  1. Créez la requête.
    1. Sélectionnez un bucket de journaux. Si vous prévoyez d'utiliser le bucket de journaux _Default, vous pouvez ignorer cette étape.
    2. Pour définir la période de votre requête, utilisez le sélecteur de période ou sélectionnez Exécuter de nouveau pour la période sélectionnée.
    3. Sélectionnez les filtres.
    4. Sélectionnez les champs à utiliser pour organiser les résultats.
  2. Exécutez la requête.

  3. Dans le tableau Tous les flux de données, cliquez sur Afficher les détails pour un flux.

    La page Détails du flux qui s'affiche affiche toutes les ressources correspondant aux filtres sélectionnés et le trafic de ces ressources.

  4. Dans la liste Développer par, sélectionnez un champ pour effectuer un zoom avant.

  5. Pour comparer le trafic actuel au trafic passé, cliquez sur le bouton Comparer à une période antérieure. Cette fonctionnalité vous permet d'afficher six lignes: trois lignes continues pour les trois principaux flux de trafic issus de l'analyse détaillée et trois lignes en pointillés dans les couleurs correspondantes représentant le trafic passé.

Étape suivante