Analizzare i flussi di traffico

Con Flow Analyzer puoi eseguire le seguenti attività:

  • Crea ed esegui una query semplice sui log di flusso VPC
  • Crea un filtro SQL (utilizzando un'istruzione WHERE) per la query sui log di flusso VPC
  • Organizza i risultati utilizzando i campi selezionati e ordina i risultati della query utilizzando il traffico totale e i pacchetti aggregati
  • Visualizzare il traffico a intervalli di tempo scelti
  • Visualizzare i cinque flussi di traffico più elevati nel tempo in formato grafico, rispetto al resto del traffico
  • Visualizza le risorse con il traffico più elevato aggregate per la durata selezionata in un formato tabulare
  • Visualizzare i dettagli del traffico tra una coppia di origine e destinazione specifica dai risultati della query
  • Esegui drill-down dei risultati della query utilizzando i campi rimanenti disponibili nei log di flusso VPC

Prima di iniziare

  1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  2. Abilita i log di flusso VPC quando crei una subnet o abilita i log di flusso VPC per una subnet esistente.

Ruoli e autorizzazioni richiesti

Poiché Flow Analyzer legge i dati per conto dell'utente, assicurati di disporre delle autorizzazioni sufficienti per leggere il bucket contenente i log. Per utilizzare Analisi dei log, è necessario eseguire l'upgrade anche del bucket.

  • Per consentire a un utente di leggere i log nei bucket, utilizza la pagina Esplora log. Utilizza la pagina Log Analytics per concedere uno dei seguenti ruoli:

    • Per accedere alla visualizzazione _Default nel bucket _Default, concedi il ruolo Visualizzatore log (roles/logging.viewer).
    • Per accedere a tutti i log nel bucket di log _Default, inclusi i log di accesso ai dati, concedi il ruolo Visualizzatore log privati (roles/logging.privateLogViewer).

    Per ulteriori informazioni, consulta la sezione Ruoli di registrazione.

  • Per consentire a un utente di leggere i log archiviati in un bucket definito dall'utente, concedi il ruolo Accesso alla visualizzazione dei log (roles/logging.viewAccessor). Puoi limitare l'autorizzazione a una specifica visualizzazione dei log. Per ulteriori informazioni, consulta Controllare l'accesso a una visualizzazione dei log.

  • In alternativa, crea un ruolo personalizzato che conceda le seguenti autorizzazioni:

    • logging.buckets.get
    • logging.buckets.list
    • logging.logEntries.list
    • logging.logs.list
    • resourcemanager.projects.get

Crea ed esegui la query

Per creare ed eseguire la query, segui questi passaggi:

Console

  1. Nella console Google Cloud, vai alla pagina Strumento di analisi dei flussi.

    Vai a Flow Analyzer

  2. Seleziona un bucket di log. Se intendi utilizzare il bucket dei log _Default, puoi saltare questo passaggio.

  3. Nel menu Aggregazione del traffico, seleziona una delle seguenti opzioni:

    • Origine - Destinazione: aggrega il traffico dall'origine alla destinazione.
    • Client - Server: aggrega il traffico in entrambe le direzioni tenendo conto delle risorse con numeri di porta e definizioni di servizio inferiori o avendo proprietà di servizio GKE come server.

    Per ulteriori informazioni, consulta la sezione Aggregazione del traffico.

  4. Per impostare l'intervallo di tempo della query, utilizza il selettore dell'intervallo di tempo. L'intervallo di tempo predefinito è di un'ora, ma puoi selezionare una delle opzioni di tempo predefinite. Puoi specificare un'ora di inizio e di fine personalizzata oppure scegliere l'intervallo di tempo intorno a un'ora specifica.

  5. Fai clic su Esegui nuovamente nel periodo selezionato nel grafico.

  6. Nei campi di origine e destinazione o client e server, seleziona un campo dall'elenco dei campi.

  7. Aggiungi una o più espressioni per filtrare i flussi che corrispondono alle coppie chiave-valore selezionate utilizzando la chiave come campo selezionato.

    Se selezioni più filtri per lo stesso campo, viene utilizzato un operatore OR. Se selezioni filtri per campi diversi, viene utilizzato un operatore AND. Ad esempio, se selezioni due valori per l'indirizzo IP (1.2.3.4 e 10.20.10.30) e due valori per il paese (US e France), alla query viene applicata la seguente logica di filtro:

    (IP=1.2.3.4 OPPURE IP=10.20.10.30) AND (Paese=US OPPURE Paese=France)

  8. Organizza il flusso utilizzando i campi. Seleziona un campo per organizzare i dettagli del flusso.

  9. Fai clic su Esegui nuova query.

    Il grafico Flusso di dati più elevato e la tabella Tutti i flussi di dati vengono aggiornati.

  10. Utilizza le opzioni di visualizzazione per personalizzare i risultati della query. Per ulteriori informazioni sulle varie opzioni di visualizzazione disponibili, consulta Opzioni di visualizzazione. Per selezionare le opzioni personalizzate, consulta Personalizzare le opzioni di visualizzazione.

  11. Quando hai finito di apportare modifiche alle opzioni di visualizzazione, fai clic su OK.

  12. Fai clic su Esegui di nuovo per eseguire di nuovo la query con le opzioni di visualizzazione selezionate.

Crea ed esegui una query SQL

Per creare ed eseguire una query in Flow Analyzer utilizzando le opzioni di filtro SQL, procedi nel seguente modo:

  1. Nella console Google Cloud, vai alla pagina Strumento di analisi dei flussi.

    Vai a Flow Analyzer

  2. Seleziona un bucket di log. Se prevedi di utilizzare il bucket dei log _Default, puoi saltare questo passaggio.

  3. Per impostare l'intervallo di tempo della query, utilizza il selettore dell'intervallo di tempo o selezionare Esegui nuovamente nel periodo selezionato.

  4. Nel menu Aggregazione del traffico, seleziona una delle seguenti opzioni:

    • Origine - Destinazione: aggrega il traffico dall'origine alla destinazione.

    • Client - Server: aggrega il traffico in entrambe le direzioni considerando come server le risorse con numeri di porta e definizioni di servizio inferiori.

      Per ulteriori informazioni, consulta la sezione Aggregazione del traffico.

  5. Fai clic su Filtri SQL.

  6. Inserisci la query di filtro SQL utilizzando la sintassi SQL di BigQuery.

  7. Per visualizzare la sintassi e gli esempi delle espressioni di filtro, fai clic su Sintassi ed esempi delle espressioni di filtro.

  8. Organizza il flusso utilizzando i campi. Seleziona un campo per organizzare i dettagli del flusso.

  9. Fai clic su Esegui nuova query.

    Il grafico Flusso di dati più elevato e la tabella Tutti i flussi di dati vengono aggiornati.

  10. Utilizza le opzioni di visualizzazione per personalizzare i risultati della query. Per ulteriori informazioni sulle varie opzioni di visualizzazione disponibili, consulta Opzioni di visualizzazione. Per selezionare le opzioni personalizzate, consulta Personalizzare le opzioni di visualizzazione.

  11. Quando hai finito di apportare modifiche alle opzioni di visualizzazione, fai clic su OK.

  12. Per eseguire di nuovo la query con le opzioni di visualizzazione selezionate, fai clic su Esegui di nuovo.

Personalizzare le opzioni di visualizzazione

Per visualizzare dettagli specifici dei flussi di traffico, puoi personalizzare le opzioni di visualizzazione. Per ulteriori informazioni sulle varie opzioni di visualizzazione disponibili, consulta Opzioni di visualizzazione.

Console

  1. Crea la query.
    1. Seleziona un bucket di log. Se prevedi di utilizzare il bucket dei log _Default, puoi saltare questo passaggio.
    2. Per impostare l'intervallo di tempo della query, utilizza il selettore dell'intervallo di tempo o seleziona Esegui nuovamente nel periodo selezionato.
    3. Seleziona i filtri.
    4. Seleziona i campi per organizzare i risultati.
  2. Esegui la query.
  3. Seleziona il tipo di metrica: Byte inviati o Pacchetti inviati.

  4. Seleziona un'opzione di aggregazione delle metriche.

    Se selezioni Byte inviati come metrica, scegli una delle seguenti opzioni:

    1. Traffico totale: il traffico totale per il periodo di tempo scelto. Questa opzione è abilitata per impostazione predefinita.
    2. Tasso di traffico medio: il tasso di traffico medio per il periodo di tempo scelto. Calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico.
    3. Frequenza mediana di traffico: la frequenza mediana di traffico per il periodo di tempo scelto. Calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico.
    4. Frequenza di traffico P95: la frequenza di traffico del 95° percentile per il periodo di tempo scelto. Calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico.
    5. Frequenza massima di traffico: la frequenza massima di traffico per il periodo di tempo scelto.

    Se selezioni Pacchetti inviati come metrica, scegli una delle seguenti opzioni:

    1. Pacchetti aggregati: il numero aggregato di pacchetti per il periodo di tempo scelto. Questa opzione è abilitata per impostazione predefinita.
    2. Velocità media pacchetti: la velocità media dei pacchetti per il periodo di tempo scelto. Calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico.
    3. Velocità mediana di pacchetti: la velocità mediana di pacchetti per il periodo di tempo scelto. Calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico.
    4. Velocità di pacchetti P95: la velocità di pacchetti del 95° percentile per il periodo di tempo scelto. Calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico.
    5. Frequenza massima di pacchetti: la frequenza massima di pacchetti per il periodo di tempo scelto.

    Per ulteriori informazioni sulle varie opzioni di aggregazione delle metriche, consulta Aggregazioni delle metriche.

  5. Seleziona il periodo di allineamento. Per ulteriori informazioni sul periodo di allineamento, consulta Periodo di allineamento.

  6. Scegli un punto di campionamento.

    • Endpoint di origine: il numero di byte inviati o pacchetti inviati come indicato nell'endpoint di origine di un flusso.
    • Endpoint di destinazione: il numero di byte inviati o pacchetti inviati come indicato nell'endpoint di destinazione di un flusso.
    • Somma dell'endpoint di origine e di destinazione: la somma dei byte inviati o dei pacchetti inviati come riportato da entrambi gli endpoint di un flusso.
    • Media tra endpoint di origine e di destinazione: una media di byte inviati o pacchetti inviati come indicato da entrambi gli endpoint di un flusso se i dettagli di origine e destinazione sono disponibili nei log di flusso VPC.

    Per ulteriori informazioni, consulta Punto di campionamento.

Visualizza i dettagli del flusso

Per visualizzare i dettagli di un flusso selezionato nella tabella dei flussi di dati:

Console

  1. Crea la query.
    1. Seleziona un bucket di log. Se prevedi di utilizzare il bucket dei log _Default, puoi saltare questo passaggio.
    2. Per impostare l'intervallo di tempo della query, utilizza il selettore dell'intervallo di tempo o seleziona Esegui nuovamente nel periodo selezionato.
    3. Seleziona i filtri.
    4. Seleziona i campi per organizzare i risultati.
  2. Esegui la query.

  3. Nella tabella Tutti i flussi di dati, fai clic su Mostra dettagli per qualsiasi flusso.

    La pagina Dettagli flusso visualizzata mostra tutte le risorse corrispondenti ai filtri selezionati e il traffico di queste risorse.

Eseguire drill-down dei flussi di traffico

Puoi perfezionare ulteriormente il traffico delle risorse selezionate. Con Flow Analyzer, puoi visualizzare in dettaglio i risultati della query utilizzando i campi rimanenti disponibili nei log di flusso VPC. Per ulteriori informazioni, consulta Suddividere o visualizzare i dettagli del flusso.

Per visualizzare in dettaglio i flussi di traffico utilizzando più campi:

Console

  1. Crea la query.
    1. Seleziona un bucket di log. Se prevedi di utilizzare il bucket dei log _Default, puoi saltare questo passaggio.
    2. Per impostare l'intervallo di tempo della query, utilizza il selettore dell'intervallo di tempo o seleziona Esegui nuovamente nel periodo selezionato.
    3. Seleziona i filtri.
    4. Seleziona i campi per organizzare i risultati.
  2. Esegui la query.

  3. Nella tabella Tutti i flussi di dati, fai clic su Mostra dettagli per qualsiasi flusso.

    La pagina Dettagli flusso visualizza tutte le risorse corrispondenti ai filtri selezionati e il traffico di queste risorse.

  4. Nell'elenco Esegui drill-down per, seleziona un campo per eseguire un drill-down.

  5. Per confrontare i dati con quelli precedenti, fai clic sul pulsante di attivazione/disattivazione Confronta con i dati precedenti. Questa funzionalità ti consente di visualizzare sei linee: tre linee continue per i tre principali flussi di traffico del drill-down e tre linee tratteggiate nei colori corrispondenti che rappresentano il traffico passato.

Passaggi successivi