Analizza i flussi di traffico

Utilizzando Flow Analyzer, puoi eseguire le seguenti operazioni:

  • Crea ed esegui una query semplice sui log di flusso VPC
  • Crea un filtro SQL (utilizzando un'istruzione WHERE) per la query su VPC Flow Logs
  • Organizza i risultati utilizzando i campi selezionati e ordina i risultati della query utilizzando il traffico totale e i pacchetti aggregati
  • Visualizzare il traffico negli intervalli di tempo scelti
  • Visualizza i cinque flussi di traffico più elevati nel tempo in formato grafico, rispetto al resto del traffico.
  • Visualizza le risorse con il traffico più elevato aggregato per la durata selezionata in formato tabellare
  • Visualizzare i dettagli del traffico tra una coppia di origine e destinazione specifica dai risultati della query
  • Visualizza in dettaglio i risultati della query utilizzando i campi rimanenti disponibili nei log di flusso VPC

Prima di iniziare

  1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  2. Abilita i log di flusso VPC.

Ruoli e autorizzazioni richiesti

Poiché Flow Analyzer legge i dati per conto dell'utente, assicurati di disporre di autorizzazioni sufficienti per leggere il bucket contenente i log. Inoltre, è necessario eseguire l'upgrade del bucket per utilizzare Analisi dei log.

  • Per consentire a un utente di leggere i log nei bucket, utilizza la pagina Esplora log. Utilizza la pagina Log Analytics per concedere uno dei seguenti ruoli:

    • Per accedere alla visualizzazione _Default nel bucket _Default, concedi il ruolo Visualizzatore log (roles/logging.viewer).
    • Per accedere a tutti i log nel bucket di log _Default, inclusi i log di accesso ai dati, concedi il ruolo Visualizzatore log privati (roles/logging.privateLogViewer).

    Per ulteriori informazioni, consulta la sezione Ruoli di logging.

  • Per consentire a un utente di leggere i log archiviati in un bucket definito dall'utente, concedi il ruolo Accessor visualizzazione log (roles/logging.viewAccessor). Puoi limitare l'autorizzazione a una visualizzazione log specifica. Per ulteriori informazioni, vedi Controllare l'accesso a una visualizzazione dei log.

  • In alternativa, crea un ruolo personalizzato che conceda le seguenti autorizzazioni:

    • logging.buckets.get
    • logging.buckets.list
    • logging.logEntries.list
    • logging.logs.list
    • resourcemanager.projects.get

Creare ed eseguire una query

Per creare ed eseguire una query utilizzando i filtri di base:

Console

  1. Nella console Google Cloud , vai alla pagina Analizzatore di flussi.

    Vai a Flow Analyzer

  2. Fai clic su Bucket di origine e procedi nel seguente modo:

    1. Nel campo Bucket di log, seleziona il bucket di log contenente i log di flusso per cui vuoi eseguire query. Per impostazione predefinita, i log di flusso vengono archiviati nel bucket di log _Default.
    2. Nel campo Visualizzazione del bucket di log, seleziona una visualizzazione dei log.
    3. (Facoltativo) Se vuoi eseguire query sui log di flusso associati a una configurazione specifica dei log di flusso VPC, procedi nel seguente modo:
      1. Seleziona la casella di controllo Seleziona una configurazione specifica.
      2. Nell'elenco Configurazioni log, seleziona una o più configurazioni dei log di flusso VPC. L'opzione Log di flusso configurati per le subnet seleziona tutti i log di flusso per tutte le subnet nel bucket dei log.

  3. Nel menu Aggregazione del traffico, seleziona una delle seguenti opzioni:

    • Origine - Destinazione: aggrega il traffico dall'origine alla destinazione.
    • Client-server: aggrega il traffico in entrambe le direzioni considerando le risorse con numeri di porta più bassi e definizioni di servizio o con proprietà di servizio GKE come server.

    Per saperne di più, consulta Aggregazione del traffico.

  4. Nel selettore dell'intervallo di tempo, imposta l'intervallo di tempo della query. L'intervallo di tempo predefinito è un'ora. Puoi selezionare un intervallo di tempo preimpostato, specificare un'ora di inizio e di fine personalizzata o selezionare un intervallo di tempo intorno a un'ora specifica.

  5. Negli elenchi Filtro, seleziona uno o più filtri di query. Ogni filtro corrisponde a un campo dei log di flusso VPC. Per ulteriori informazioni su questi campi, vedi Formato del record. Se non selezioni alcun filtro, Flow Analyzer mostra i risultati della query per tutti i flussi nel periodo di tempo selezionato.

    Se selezioni più di un valore per lo stesso filtro, viene utilizzato un operatore OR. Se selezioni più di un filtro nello stesso elenco Filtro, viene utilizzato un operatore AND. Ad esempio, se selezioni due valori per l'indirizzo IP, 10.10.0.10 e 10.10.0.20, e due valori per il paese, usa e fra, alla query viene applicata la seguente logica di filtro: (IP=10.10.0.10 OR IP=10.10.0.20) AND (Country=usa OR Country=fra).

  6. Seleziona la modalità di organizzazione dei risultati della query utilizzando gli elenchi Organizza flussi per o lascia i valori predefiniti.

  7. Fai clic su Esegui nuova query.

    Il grafico Flussi di dati più elevati e la tabella Tutti i flussi di dati vengono aggiornati.

    Puoi utilizzare il riquadro Opzioni di visualizzazione per personalizzare i risultati della query. Per saperne di più, vedi Opzioni di visualizzazione. Per selezionare le opzioni personalizzate, consulta Personalizzare le opzioni di visualizzazione.

Crea ed esegui una query SQL

Per creare ed eseguire una query in Flow Analyzer utilizzando i filtri SQL, fai quanto segue:

Console

  1. Nella console Google Cloud , vai alla pagina Analizzatore di flussi.

    Vai a Flow Analyzer

  2. Seleziona un bucket di log. Se prevedi di utilizzare il bucket dei log _Default, puoi saltare questo passaggio.

  3. Per impostare l'intervallo di tempo della query, utilizza il selettore dell'intervallo di tempo o seleziona Esegui nuovamente nel periodo selezionato.

  4. Nel menu Aggregazione del traffico, seleziona una delle seguenti opzioni:

    • Origine - Destinazione: aggrega il traffico dall'origine alla destinazione.
    • Client - Server: aggrega il traffico in entrambe le direzioni considerando le risorse con numeri di porta più bassi e le definizioni di servizio come server.

    Per saperne di più, consulta Aggregazione del traffico.

  5. Fai clic su Filtri SQL.

  6. Inserisci la query di filtro SQL utilizzando la sintassi SQL di BigQuery.

  7. Per visualizzare la sintassi e gli esempi delle espressioni di filtro, fai clic su Sintassi ed esempi delle espressioni di filtro.

  8. Organizza il flusso utilizzando i campi. Seleziona un campo per organizzare i dettagli del flusso.

  9. Fai clic su Esegui nuova query.

    Il grafico Flussi di dati più elevati e la tabella Tutti i flussi di dati vengono aggiornati.

    Puoi utilizzare il riquadro Opzioni di visualizzazione per personalizzare i risultati della query. Per saperne di più, vedi Opzioni di visualizzazione. Per selezionare le opzioni personalizzate, consulta Personalizzare le opzioni di visualizzazione.

Personalizzare le opzioni di visualizzazione

Per visualizzare i dettagli specifici dei flussi di traffico, puoi personalizzare le opzioni di visualizzazione. Per saperne di più sulle varie opzioni di visualizzazione disponibili, consulta Opzioni di visualizzazione.

Console

  1. Crea la query.
    1. Seleziona un bucket di log. Se prevedi di utilizzare il bucket _Default per i log, puoi saltare questo passaggio.
    2. Per impostare l'intervallo di tempo della query, utilizza il selettore dell'intervallo di tempo o seleziona Esegui nuovamente nel periodo selezionato.
    3. Seleziona i filtri.
    4. Seleziona i campi per organizzare i risultati.
  2. Esegui la query.
  3. Seleziona il tipo di metrica: Byte inviati o Pacchetti inviati.

  4. Seleziona un'opzione di aggregazione delle metriche.

    Se selezioni Byte inviati come metrica, scegli una delle seguenti opzioni:

    1. Traffico totale: il traffico totale per il periodo di tempo scelto. Abilitato per impostazione predefinita.
    2. Frequenza di traffico media: la frequenza di traffico media per il periodo di tempo scelto. Calcolato solo per i periodi di allineamento durante i quali è stato osservato il traffico.
    3. Frequenza mediana di traffico: la frequenza mediana di traffico per il periodo di tempo scelto. Calcolato solo per i periodi di allineamento durante i quali è stato osservato il traffico.
    4. Frequenza di traffico P95: la frequenza di traffico del 95° percentile per il periodo di tempo scelto. Calcolato solo per i periodi di allineamento durante i quali è stato osservato il traffico.
    5. Frequenza massima di traffico: la frequenza massima di traffico per il periodo di tempo scelto.

    Se selezioni Pacchetti inviati come metrica, scegli una delle seguenti opzioni:

    1. Pacchetti aggregati: il numero aggregato di pacchetti per il periodo di tempo scelto. Abilitato per impostazione predefinita.
    2. Velocità media pacchetti: la velocità media pacchetti per il periodo di tempo scelto. Calcolato solo per i periodi di allineamento durante i quali è stato osservato il traffico.
    3. Frequenza mediana di pacchetti: la frequenza mediana di pacchetti per il periodo di tempo scelto. Calcolato solo per i periodi di allineamento durante i quali è stato osservato il traffico.
    4. Frequenza di pacchetti P95: la frequenza di pacchetti del 95° percentile per il periodo di tempo scelto. Calcolato solo per i periodi di allineamento durante i quali è stato osservato il traffico.
    5. Frequenza massima di pacchetti: la frequenza massima di pacchetti per il periodo di tempo scelto.

    Per saperne di più sulle varie opzioni di aggregazione delle metriche, consulta Aggregazioni delle metriche.

  5. Seleziona il periodo di allineamento. Per saperne di più sul periodo di allineamento, consulta Periodo di allineamento.

  6. Scegli un punto di campionamento.

    • Endpoint di origine: il numero di byte inviati o pacchetti inviati come riportato nell'endpoint di origine di un flusso.
    • Endpoint di destinazione: il numero di byte inviati o pacchetti inviati come riportato nell'endpoint di destinazione di un flusso.
    • Somma dell'endpoint di origine e di destinazione: la somma dei byte inviati o dei pacchetti inviati come segnalato da entrambi gli endpoint di un flusso.
    • Media dell'endpoint di origine e di destinazione: una media dei byte inviati o dei pacchetti inviati come riportato da entrambi gli endpoint di un flusso se i dettagli di origine e destinazione sono disponibili nei log di flusso VPC.

    Per ulteriori informazioni, vedi Punto di campionamento.

Visualizza i dettagli del flusso

Per visualizzare i dettagli del flusso per un flusso selezionato nella tabella dei flussi di dati:

Console

  1. Crea la query.
    1. Seleziona un bucket di log. Se prevedi di utilizzare il bucket _Default per i log, puoi saltare questo passaggio.
    2. Per impostare l'intervallo di tempo della query, utilizza il selettore dell'intervallo di tempo o seleziona Esegui nuovamente nel periodo selezionato.
    3. Seleziona i filtri.
    4. Seleziona i campi per organizzare i risultati.
  2. Esegui la query.
  3. Nella tabella Tutti i flussi di dati, fai clic su Dettagli per un flusso qualsiasi. La pagina Dettagli flusso visualizzata mostra tutte le risorse corrispondenti ai filtri selezionati e il traffico di queste risorse.

Visualizzare in dettaglio i flussi di traffico

Puoi perfezionare ulteriormente il traffico delle risorse selezionate. Utilizzando Flow Analyzer, puoi esaminare in dettaglio i risultati della query utilizzando i campi rimanenti disponibili nei log di flusso VPC. Per ulteriori informazioni, vedi Visualizzare i dettagli del flusso.

Per visualizzare in dettaglio i flussi di traffico utilizzando più campi:

Console

  1. Crea la query.
    1. Seleziona un bucket di log. Se prevedi di utilizzare il bucket _Default per i log, puoi saltare questo passaggio.
    2. Per impostare l'intervallo di tempo della query, utilizza il selettore dell'intervallo di tempo o seleziona Esegui nuovamente nel periodo selezionato.
    3. Seleziona i filtri.
    4. Seleziona i campi per organizzare i risultati.
  2. Esegui la query.

  3. Nella tabella Tutti i flussi di dati, fai clic su Dettagli per un flusso qualsiasi.

    La pagina Dettagli flusso visualizzata mostra tutte le risorse corrispondenti ai filtri selezionati e il traffico di queste risorse.

  4. Nell'elenco Visualizza in dettaglio per, seleziona un campo per visualizzare i dati in dettaglio.

  5. Per confrontare il traffico con quello passato, fai clic sul pulsante di attivazione/disattivazione Confronta con i dati precedenti. Questa funzionalità ti consente di visualizzare sei linee: tre linee continue per i tre flussi di traffico principali dal livello di analisi e tre linee tratteggiate nei colori corrispondenti che rappresentano il traffico passato.

Passaggi successivi