Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica di Flow Analyzer

Lo strumento di analisi del flusso (anteprima) consente di comprendere in modo rapido ed efficiente i flussi di traffico della VPC senza dover scrivere query SQL complesse per analizzare i log di flusso VPC. Flow Analyzer ti consente di eseguire un'analisi del traffico di rete con opinioni con granularità a 5 tuple (IP di origine, IP di destinazione, porta di origine, porta di destinazione e protocollo).

Sviluppato utilizzando Analisi dei log e basato su BigQuery, lo strumento Flow Analyzer consente un'analisi approfondita del traffico in entrata e in uscita delle tue istanze VM. Ti consente di monitorare, risolvere i problemi e ottimizzare il deployment di rete per migliorare le prestazioni e la sicurezza, il che contribuisce a garantire la conformità e a risparmiare sui costi.

Flow Analyzer analizza i dati dei log di flusso VPC archiviati in un bucket di log (formato record). Per utilizzare Flow Analyzer, devi selezionare un progetto con un bucket dei log contenente i log di flusso VPC. Per ulteriori informazioni, consulta la panoramica dei log di flusso VPC. I log di flusso VPC possono essere utilizzati per il monitoraggio della rete, l'analisi forense, l'analisi della sicurezza in tempo reale e l'ottimizzazione delle spese.

Flow Analyzer esegue query sui campi inclusi nei log di flusso VPC. Per ulteriori informazioni, consulta Proprietà chiave dei log di flusso VPC.

Con Flow Analyzer puoi eseguire le seguenti attività:

Crea ed esegui una query semplice sui log di flusso VPC
Crea un filtro SQL (utilizzando un'istruzione WHERE) per la query sui log di flusso VPC
Organizza i risultati utilizzando i campi selezionati e ordina i risultati della query utilizzando il traffico totale e i pacchetti aggregati
Visualizza il traffico a intervalli di tempo scelti
Visualizzare i cinque flussi di traffico più elevati nel tempo in formato grafico, rispetto al resto del traffico
Visualizza le risorse con il traffico più elevato aggregate per la durata selezionata in un formato tabulare
Visualizza i dettagli del traffico tra una coppia di origine e destinazione specifica dai risultati della query
Esegui drill-down dei risultati della query utilizzando i campi rimanenti disponibili nei log di flusso VPC

Come funziona

I log di flusso VPC registrano un campione di flussi di rete inviati e ricevuti dalle risorse VPC, come le istanze VM e i nodi Google Kubernetes Engine.

I log dei flussi possono essere visualizzati in Cloud Logging e possono essere esportati in qualsiasi destinazione supportata dalle funzionalità di esportazione di Logging. Puoi utilizzare Log Analytics per eseguire query che analizzano i dati dei log e poi visualizzare i risultati sotto forma di grafici e tabelle.

Flow Analyzer utilizza Analisi dei log per consentirti di eseguire query sui log di flusso VPC e scoprire di più sui flussi di traffico fornendo informazioni come il grafico dei flussi di dati più elevati e una tabella che fornisce dettagli su tutti i flussi di dati.

Componenti della query

Per analizzare e comprendere i flussi di traffico, devi eseguire una query sui log di flusso VPC. Lo strumento di analisi dei flussi ti aiuta a creare la query, personalizzare le opzioni di visualizzazione e visualizzare e monitorare i flussi di traffico.

Aggregazione del traffico

Per analizzare i flussi di traffico VPC, devi determinare l'approccio di aggregazione per filtrare i flussi tra le risorse. Flow Analyzer organizza i log di flusso per l'aggregazione nei seguenti modi:

Origine e destinazione: questa opzione utilizza le informazioni SRC e DEST incluse nei log di flusso VPC. Questa visualizzazione aggrega il traffico dall'origine alla destinazione.
Client e server: questa opzione tenta di trovare l'iniziatore della connessione. Una risorsa con numero di porta più basso è considerata il server. Inoltre, considera le risorse con definizione gke_service come server perché i servizi non avviano le richieste. Questa visualizzazione aggrega il traffico in entrambe le direzioni.

Selettore dell'intervallo di tempo

L'intervallo di tempo predefinito è di un'ora, ma puoi scegliere tra le opzioni di tempo preimpostate, specificare un'ora di inizio e di fine personalizzata o centrare l'intervallo di tempo su un timestamp specifico utilizzando il selettore dell'intervallo di tempo. Ad esempio, se vuoi visualizzare i dati della settimana precedente, seleziona Ultima settimana dal selettore dell'intervallo di tempo.

Puoi anche impostare le preferenze relative al fuso orario utilizzando il selettore dell'intervallo di tempo.

Filtri di base

Puoi creare la query organizzando i flussi in base alle risorse in entrambe le direzioni.

Per utilizzare i filtri, seleziona i campi dall'elenco e specifica i valori per questi campi.

Puoi aggiungere più espressioni per filtrare i flussi che corrispondono alle coppie chiave-valore selezionate. Se selezioni più filtri per lo stesso campo, viene utilizzato un operatore OR. Se selezioni filtri per campi diversi, viene utilizzato un operatore AND.

Ad esempio, se selezioni due valori per l'indirizzo IP (1.2.3.4 e 10.20.10.30) e due valori per il paese (US e France), alla query viene applicata la seguente logica di filtro:

(IP=1.2.3.4 OR IP=10.20.10.30) AND (Country=US OR Country=France)

Se provi a modificare i filtri degli endpoint o le opzioni di traffico, i risultati potrebbero variare. Devi eseguire di nuovo la query per visualizzare i risultati aggiornati.

Per creare ed eseguire la query utilizzando i filtri di base, consulta Creare ed eseguire la query.

Filtri SQL

Per creare query complesse, puoi utilizzare i filtri SQL. Con le query complesse, puoi eseguire attività come:

Confrontare i valori dei campi tra loro
Creare una logica booleana complessa utilizzando operazioni AND/OR e OR nidificate
Eseguire operazioni complesse sugli indirizzi IP utilizzando le funzioni BigQuery

Le query di filtro SQL utilizzano la sintassi SQL di BigQuery. Per ulteriori informazioni, consulta la sintassi SQL di BigQuery.

Per visualizzare la sintassi e gli esempi delle espressioni di filtro, fai clic su Sintassi ed esempi delle espressioni di filtro.

Per creare ed eseguire la query utilizzando i filtri SQL, consulta Creare ed eseguire una query SQL.

Risultati delle query

I risultati della query includono i seguenti componenti:

Grafico dei flussi di dati più elevati: mostra i cinque flussi di traffico più elevati nel tempo, insieme al resto del traffico. Puoi identificare tendenze come picchi di traffico utilizzando questo grafico.
Tabella Tutti i flussi di dati: mostra i principali flussi di traffico fino a 10.000 righe aggregate per la durata selezionata. Questa tabella mostra i campi selezionati per organizzare i flussi durante la definizione dei filtri per la query.

Opzioni di visualizzazione

Dopo aver eseguito la query, puoi perfezionare ulteriormente i risultati utilizzando le varie opzioni di visualizzazione. Sia il grafico che la tabella vengono aggiornati in base alle opzioni appena selezionate. Per selezionare le opzioni personalizzate ed eseguire la query, consulta Personalizzare le opzioni di visualizzazione.

Tipi di metriche

Puoi scegliere di visualizzare uno dei seguenti tipi di metriche.

Byte inviati: contiene informazioni sui volumi del payload e non include le intestazioni. Questo valore della metrica può essere zero perché alcuni pacchetti contengono solo intestazioni e non includono alcun payload.

Nota: non puoi utilizzare questa metrica per stimare i costi perché i dati sono campionati e non includono le intestazioni.
Pacchetti inviati: indica il numero di pacchetti inviati dall'origine alla destinazione.

Per entrambi i tipi di metriche, puoi scegliere ulteriori aggregazioni delle metriche.

Aggregazione delle metriche

Puoi visualizzare l'aggregazione delle metriche nei seguenti modi.

Se selezioni Byte inviati come metrica e Origine e destinazione come aggregazione del traffico, sono disponibili le seguenti opzioni:

Traffico totale: è sempre attiva per impostazione predefinita e mostra il traffico totale per il periodo di tempo scelto.
Tasso di traffico medio: mostra il tasso di traffico medio (in byte al secondo) per il periodo di tempo scelto, calcolato solo per i periodi di allineamento durante i quali è stato osservato il traffico. Per ulteriori informazioni, consulta Periodo di allineamento.
Tasso di traffico mediano: mostra il tasso di traffico mediano (in byte al secondo) per il periodo di tempo scelto, calcolato solo per i periodi di allineamento durante i quali è stato osservato il traffico. Per ulteriori informazioni, consulta Periodo di allineamento.
Frequenza di traffico P95: mostra la frequenza di traffico del 95° percentile in byte al secondo per il periodo di tempo scelto, calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico. Per ulteriori informazioni, consulta Periodo di allineamento.
Frequenza massima di traffico: mostra la frequenza massima di traffico in byte al secondo per il periodo di tempo scelto.

Se selezioni Pacchetti inviati come metrica e Sorgente e destinazione come aggregazione del traffico, sono disponibili le seguenti opzioni:

Pacchetti aggregati: mostra il numero di pacchetti inviati per il periodo di tempo scelto. Questa opzione è abilitata per impostazione predefinita.
Tasso di pacchetti medio: mostra la frequenza media dei pacchetti per il periodo di tempo scelto, calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico. Per ulteriori informazioni, consulta Periodo di allineamento.
Frequenza mediana di pacchetti: mostra la frequenza mediana di pacchetti per il periodo di tempo scelto, calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico. Per ulteriori informazioni, consulta Periodo di allineamento.
Frequenza di pacchetti P95: mostra la frequenza di pacchetti del 95° percentile per il periodo di tempo scelto, calcolata solo per i periodi di allineamento durante i quali è stato osservato il traffico. Per ulteriori informazioni, consulta Periodo di allineamento.
Tasso di pacchetti massimo: mostra la frequenza massima di pacchetti per il periodo di tempo scelto.

Periodo allineamento

Puoi scegliere un intervallo di tempo compreso tra 5 secondi e 1 giorno per i dettagli nel grafico. La modalità automatica seleziona il periodo di allineamento ottimale in base alla lunghezza del periodo selezionato.

Ogni punto della sequenza temporale rappresenta i dati aggregati per un determinato periodo di tempo. La durata di questo periodo è chiamata periodo di allineamento.

Il rendimento diminuisce con la diminuzione del valore del periodo di allineamento. Per valori più elevati del periodo di allineamento, il grafico diventa meno granulare. Potresti non essere in grado di visualizzare picchi brevi con valori più elevati.

Per durate temporali lunghe, un periodo di allineamento più breve non è utile. Ad esempio, se selezioni l'allineamento di 1 minuto per un periodo di 30 giorni, Flow Analyzer genera più di 43.000 punti dati. Poiché è 10 volte superiore ai pixel del display 4K, non potrai visualizzare tutti i dettagli e alcune opzioni sono disattivate per durate temporali lunghe.

Per ulteriori informazioni su come viene eseguito il campionamento e su come viene determinato il periodo di allineamento per visualizzare i risultati della query, consulta Metriche e periodo di allineamento.

Punto di campionamento

Per le comunicazioni di rete da VM a VM, i log di flusso sono disponibili (con il campionamento applicato) sia nelle VM che inviano sia in quelle che ricevono il traffico. Se entrambe le VM endpoint si trovano in subnet in cui sono attivati i log di flusso VPC, lo stesso flusso viene registrato due volte. Puoi scegliere uno dei seguenti quattro approcci per determinare quali log di flusso VPC contribuiscono alle metriche calcolate e come vengono valutate:

Endpoint di origine: il numero di byte inviati o pacchetti inviati registrati all'endpoint di origine di un flusso
Endpoint di destinazione: il numero di byte inviati o pacchetti inviati registrati all'endpoint di destinazione di un flusso
Somma di endpoint di origine e di destinazione: la somma dei byte inviati o dei pacchetti inviati registrati da entrambi gli endpoint di un flusso
Media tra endpoint di origine e di destinazione: una media di byte inviati o pacchetti inviati registrati da entrambi gli endpoint di un flusso se sia le informazioni sulla fonte che quelle sulla destinazione sono disponibili nei log di flusso VPC

Deduplicazione del traffico

Per evitare che il traffico registrato nelle VM di origine e di destinazione venga conteggiato due volte, puoi scegliere l'opzione di campionamento Media dell'endpoint di origine e di destinazione. Flow Analyzer identifica i flussi equivalenti all'interno di ciascun periodo di allineamento e calcola le medie dei valori delle metriche registrate (conteggio byte e conteggio pacchetti).

Per i periodi di allineamento in cui vengono registrati flussi equivalenti sia in SRC che in DEST, tutto il traffico attribuito a un determinato periodo di allineamento viene diviso per due.

Visualizza i dettagli del flusso

Nella tabella Tutti i flussi di dati, fai clic su Mostra dettagli per qualsiasi flusso. Viene visualizzato il riquadro Dettagli del flusso. Questo riquadro fornisce informazioni quali sorgente, destinazione, traffico e possibili opzioni di visualizzazione in dettaglio.

Puoi visualizzare i dettagli suddividendo un flusso di traffico selezionato utilizzando un campo aggiuntivo. Ad esempio, se un flusso include dettagli generici sul traffico di 1000 GiB dalla zona X di Google Cloud alla zona Y,puoi visualizzare i dettagli utilizzando un altro campo, ad esempio l'indirizzo IP di origine. I risultati includono diversi indirizzi IP che costituiscono il flusso originale.

I campi visualizzati nel componente di visualizzazione dettagliata vengono selezionati come segue:

Quando accedi ai dettagli del flusso, Flow Analyzer esegue diverse query. Ogni query tenta di visualizzare in dettaglio il flusso selezionato utilizzando i campi disponibili nei log dei flussi VPC e non ancora utilizzati nella query originale. Ad esempio, se la query eseguita include già i dettagli dell'indirizzo IP, non è necessario eseguire di nuovo la query con questo campo e non puoi visualizzare dettagli più approfonditi utilizzando questo campo.
Se una delle query aggiuntive restituisce un singolo valore di campo, viene aggiunta alla sezione dei dettagli di origine e destinazione anche se non viene recuperata in precedenza.
Se uno dei risultati della query include più di un valore di campo, il campo corrispondente viene visualizzato nell'elenco di visualizzazione dettagliata.

Quando selezioni un campo nell'elenco di visualizzazione in dettaglio, la tabella e il grafico di visualizzazione in dettaglio vengono aggiornati per mostrare i tre principali flussi di traffico.

Puoi anche utilizzare l'opzione di attivazione/disattivazione Confronta con i dati precedenti. Seleziona questa funzionalità per visualizzare sei linee: tre linee continue per i tre talker principali della visualizzazione in dettaglio e tre linee tratteggiate nei colori corrispondenti che rappresentano il traffico passato.

Per visualizzare in dettaglio i flussi di traffico utilizzando più campi, consulta Visualizzare in dettaglio i flussi di traffico.

Esplora in Analisi dei log

Puoi visualizzare la query SQL non elaborata in Analisi dei log.

Per l'analisi avanzata, puoi modificare direttamente il codice SQL utilizzato per visualizzare il traffico. La funzionalità Esplora in Analisi dei log ti reindirizza alla pagina Analisi dei log con una query precompilata.