Analizza i flussi di traffico

Con Flow Analyzer puoi eseguire le seguenti attività:

  • Crea ed esegui una query semplice sui log di flusso VPC
  • Crea un filtro SQL (utilizzando un'istruzione WHERE) per la query sui log di flusso VPC
  • Organizza i risultati utilizzando i campi selezionati e ordina i risultati della query utilizzando il traffico totale e i pacchetti aggregati
  • Visualizzare il traffico a intervalli di tempo scelti
  • Visualizzare i cinque flussi di traffico più elevati nel tempo in formato grafico, rispetto al resto del traffico
  • Visualizza le risorse con il traffico più elevato aggregate per la durata selezionata in un formato tabulare
  • Visualizzare i dettagli del traffico tra una coppia di origine e destinazione specifica dai risultati della query
  • Esegui drill-down dei risultati della query utilizzando i campi rimanenti disponibili nei log di flusso VPC

Prima di iniziare

  1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  2. Abilita i log di flusso VPC.

Ruoli e autorizzazioni richiesti

Poiché Flow Analyzer legge i dati per conto dell'utente, assicurati di disporre delle autorizzazioni sufficienti per leggere il bucket contenente i log. Per utilizzare Analisi dei log, è necessario eseguire l'upgrade anche del bucket.

  • Per consentire a un utente di leggere i log nei bucket, utilizza la pagina Esplora log. Utilizza la pagina Log Analytics per concedere uno dei seguenti ruoli:

    • Per accedere alla visualizzazione _Default nel bucket _Default, concedi il ruolo Visualizzatore log (roles/logging.viewer).
    • Per accedere a tutti i log nel bucket di log _Default, inclusi i log di accesso ai dati, concedi il ruolo Visualizzatore log privati (roles/logging.privateLogViewer).

    Per ulteriori informazioni, consulta la sezione Ruoli di registrazione.

  • Per consentire a un utente di leggere i log archiviati in un bucket definito dall'utente, concedi il ruolo Accesso alla visualizzazione dei log (roles/logging.viewAccessor). Puoi limitare l'autorizzazione a una specifica visualizzazione dei log. Per ulteriori informazioni, consulta Controllare l'accesso a una visualizzazione dei log.

  • In alternativa, crea un ruolo personalizzato che conceda le seguenti autorizzazioni:

    • logging.buckets.get
    • logging.buckets.list
    • logging.logEntries.list
    • logging.logs.list
    • resourcemanager.projects.get

Crea ed esegui una query

Per creare ed eseguire una query utilizzando i filtri di base, segui questi passaggi:

Console

  1. Nella console Google Cloud, vai alla pagina Strumento di analisi dei flussi.

    Vai a Flow Analyzer

  2. Fai clic su Bucket di origine e segui quanto segue:

    1. Nel campo Bucket dei log, seleziona il bucket dei log contenente i log di flusso per cui vuoi eseguire una query. Per impostazione predefinita, i log dei flussi vengono archiviati nel bucket dei log _Default.
    2. Nel campo Visualizzazione del bucket di log, seleziona una visualizzazione dei log.
    3. (Facoltativo) Se vuoi eseguire query sui log di flusso associati a una configurazione specifica dei log di flusso VPC:
      1. Seleziona la casella di controllo Seleziona una configurazione specifica.
      2. Nell'elenco Configurazioni log, seleziona una o più configurazioni dei log di flusso VPC. L'opzione Log di flusso configurati per le subnet seleziona tutti i log di flusso per tutte le subnet nel bucket dei log.

  3. Nel menu Aggregazione del traffico, seleziona una delle seguenti opzioni:

    • Origine - Destinazione: aggrega il traffico dall'origine alla destinazione.
    • Client - Server: aggrega il traffico in entrambe le direzioni tenendo conto delle risorse con numeri di porta e definizioni di servizio inferiori o avendo proprietà di servizio GKE come server.

    Per ulteriori informazioni, consulta la sezione Aggregazione del traffico.

  4. Nel selettore dell'intervallo di tempo, imposta l'intervallo di tempo della query. L'intervallo di tempo predefinito è un'ora. Puoi selezionare un intervallo di tempo preimpostato, specificare un'ora di inizio e di fine personalizzate o selezionare un intervallo di tempo intorno a un'ora specifica.

  5. Negli elenchi Filtro, seleziona uno o più filtri di query. Ogni filtro corrisponde a un campo dei log di flusso VPC. Per ulteriori informazioni su questi campi, consulta Formato record. Se non selezioni alcun filtro, lo strumento di analisi dei flussi mostra i risultati della query per tutti i flussi nel periodo di tempo selezionato.

    Se selezioni più di un valore per lo stesso filtro, viene utilizzato un operatore OR. Se selezioni più di un filtro nello stesso elenco Filtro, viene utilizzato un operatore AND. Ad esempio, se selezioni due valori per l'indirizzo IP (10.10.0.10 e 10.10.0.20) e due valori per il paese (usa e fra), alla query viene applicata la seguente logica di filtro:(IP=10.10.0.10 OR IP=10.10.0.20) AND (Country=usa OR Country=fra).

  6. Seleziona la modalità di organizzazione dei risultati della query utilizzando gli elenchi Organizza flussi per o lascia i valori predefiniti.

  7. Fai clic su Esegui nuova query.

    Il grafico Flui di dati più elevati e la tabella Tutti i flussi di dati vengono aggiornati.

    Puoi utilizzare il riquadro Opzioni di visualizzazione per personalizzare i risultati della query. Per ulteriori informazioni, consulta Opzioni di visualizzazione. Per selezionare le opzioni personalizzate, consulta Personalizzare le opzioni di visualizzazione.

Crea ed esegui una query SQL

Per creare ed eseguire una query in Flow Analyzer utilizzando i filtri SQL, procedi nel seguente modo:

Console

  1. Nella console Google Cloud, vai alla pagina Strumento di analisi dei flussi.

    Vai a Flow Analyzer

  2. Seleziona un bucket di log. Se prevedi di utilizzare il bucket dei log _Default, puoi saltare questo passaggio.

  3. Per impostare l'intervallo di tempo della query, utilizza il selettore dell'intervallo di tempo o seleziona Esegui nuovamente nel periodo selezionato.

  4. Nel menu Aggregazione del traffico, seleziona una delle seguenti opzioni:

    • Origine - Destinazione: aggrega il traffico dall'origine alla destinazione.
    • Client - Server: aggrega il traffico in entrambe le direzioni considerando come server le risorse con numeri di porta e definizioni di servizio inferiori.

    Per ulteriori informazioni, consulta la sezione Aggregazione del traffico.

  5. Fai clic su Filtri SQL.

  6. Inserisci la query di filtro SQL utilizzando la sintassi SQL di BigQuery.

  7. Per visualizzare la sintassi e gli esempi delle espressioni di filtro, fai clic su Sintassi ed esempi delle espressioni di filtro.

  8. Organizza il flusso utilizzando i campi. Seleziona un campo per organizzare i dettagli del flusso.

  9. Fai clic su Esegui nuova query.

    Il grafico Flui di dati più elevati e la tabella Tutti i flussi di dati vengono aggiornati.

    Puoi utilizzare il riquadro Opzioni di visualizzazione per personalizzare i risultati della query. Per ulteriori informazioni, consulta Opzioni di visualizzazione. Per selezionare le opzioni personalizzate, consulta Personalizzare le opzioni di visualizzazione.

Personalizzare le opzioni di visualizzazione

Per visualizzare dettagli specifici dei flussi di traffico, puoi personalizzare le opzioni di visualizzazione. Per ulteriori informazioni sulle varie opzioni di visualizzazione disponibili, consulta Opzioni di visualizzazione.

Console

  1. Crea la query.
    1. Seleziona un bucket di log. Se prevedi di utilizzare il bucket dei log _Default, puoi saltare questo passaggio.
    2. Per impostare l'intervallo di tempo della query, utilizza il selettore dell'intervallo di tempo o seleziona Esegui nuovamente nel periodo selezionato.
    3. Seleziona i filtri.
    4. Seleziona i campi per organizzare i risultati.
  2. Esegui la query.
  3. Seleziona il tipo di metrica: Bytes inviati o Pacchetti inviati.

  4. Seleziona un'opzione di aggregazione delle metriche.

    Se selezioni Byte inviati come metrica, scegli una delle seguenti opzioni:

    1. Traffico totale: il traffico totale per il periodo di tempo scelto. Abilitato per impostazione predefinita.
    2. Tasso di traffico medio: il tasso di traffico medio per il periodo di tempo scelto. Calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico.
    3. Frequenza mediana di traffico: la frequenza mediana di traffico per il periodo di tempo scelto. Calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico.
    4. Frequenza di traffico P95: la frequenza di traffico del 95° percentile per il periodo di tempo scelto. Calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico.
    5. Frequenza massima di traffico: la frequenza massima di traffico per il periodo di tempo scelto.

    Se selezioni Pacchetti inviati come metrica, scegli una delle seguenti opzioni:

    1. Pacchetti aggregati: il numero aggregato di pacchetti per il periodo di tempo scelto. Abilitato per impostazione predefinita.
    2. Velocità media pacchetti: la velocità media dei pacchetti per il periodo di tempo scelto. Calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico.
    3. Velocità mediana di pacchetti: la velocità mediana di pacchetti per il periodo di tempo scelto. Calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico.
    4. Velocità pacchetti P95: la velocità di pacchetti del 95° percentile per il periodo di tempo scelto. Calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico.
    5. Frequenza massima di pacchetti: la frequenza massima di pacchetti per il periodo di tempo scelto.

    Per ulteriori informazioni sulle varie opzioni di aggregazione delle metriche, consulta Aggregazioni delle metriche.

  5. Seleziona il periodo di allineamento. Per ulteriori informazioni sul periodo di allineamento, consulta Periodo di allineamento.

  6. Scegli un punto di campionamento.

    • Endpoint di origine: il numero di byte inviati o pacchetti inviati come indicato nell'endpoint di origine di un flusso.
    • Endpoint di destinazione: il numero di byte inviati o pacchetti inviati come indicato nell'endpoint di destinazione di un flusso.
    • Somma dell'endpoint di origine e di destinazione: la somma dei byte inviati o dei pacchetti inviati come riportato da entrambi gli endpoint di un flusso.
    • Media tra endpoint di origine e di destinazione: una media di byte inviati o pacchetti inviati come indicato da entrambi gli endpoint di un flusso se i dettagli di origine e destinazione sono disponibili nei log di flusso VPC.

    Per ulteriori informazioni, consulta Punto di campionamento.

Visualizza i dettagli del flusso

Per visualizzare i dettagli di un flusso selezionato nella tabella dei flussi di dati:

Console

  1. Crea la query.
    1. Seleziona un bucket di log. Se prevedi di utilizzare il bucket dei log _Default, puoi saltare questo passaggio.
    2. Per impostare l'intervallo di tempo della query, utilizza il selettore dell'intervallo di tempo o seleziona Esegui nuovamente nel periodo selezionato.
    3. Seleziona i filtri.
    4. Seleziona i campi per organizzare i risultati.
  2. Esegui la query.
  3. Nella tabella Tutti i flussi di dati, fai clic su Dettagli per qualsiasi flusso. La pagina Dettagli flusso visualizzata mostra tutte le risorse corrispondenti ai filtri selezionati e il traffico di queste risorse.

Eseguire drill-down dei flussi di traffico

Puoi perfezionare ulteriormente il traffico delle risorse selezionate. Con Flow Analyzer, puoi visualizzare in dettaglio i risultati della query utilizzando i campi rimanenti disponibili nei log di flusso VPC. Per ulteriori informazioni, consulta Visualizzare i dettagli del flusso.

Per visualizzare in dettaglio i flussi di traffico utilizzando più campi:

Console

  1. Crea la query.
    1. Seleziona un bucket di log. Se prevedi di utilizzare il bucket dei log _Default, puoi saltare questo passaggio.
    2. Per impostare l'intervallo di tempo della query, utilizza il selettore dell'intervallo di tempo o seleziona Esegui nuovamente nel periodo selezionato.
    3. Seleziona i filtri.
    4. Seleziona i campi per organizzare i risultati.
  2. Esegui la query.

  3. Nella tabella Tutti i flussi di dati, fai clic su Dettagli per qualsiasi flusso.

    La pagina Dettagli flusso visualizza tutte le risorse corrispondenti ai filtri selezionati e il traffico di queste risorse.

  4. Nell'elenco Esegui drill-down per, seleziona un campo per eseguire un drill-down.

  5. Per confrontare i dati con quelli precedenti, fai clic sul pulsante di attivazione/disattivazione Confronta con i dati precedenti. Questa funzionalità ti consente di visualizzare sei linee: tre linee continue per i tre principali flussi di traffico del drill-down e tre linee tratteggiate nei colori corrispondenti che rappresentano il traffico passato.

Passaggi successivi