Se usó la API de Cloud Translation para traducir esta página.

Descripción general de Flow Analyzer

Flow Analyzer (versión preliminar) te permite comprender de forma rápida y eficiente los flujos de tráfico de tu VPC sin necesidad de escribir consultas SQL complejas para analizar los registros de flujo de VPC. Flow Analyzer te permite realizar un análisis de tráfico de red con opinión con granularidad de 5 tuplas (IP de origen, IP de destino, puerto de origen, puerto de destino y protocolo).

Desarrollado con Log Analytics y potenciado por BigQuery, Flow Analyzer permite realizar un análisis detallado del tráfico entrante y saliente de tus instancias de VM. Te permite supervisar, solucionar problemas y optimizar tu implementación de redes para obtener un mejor rendimiento y una mayor seguridad, lo que ayuda a garantizar el cumplimiento y ahorrar en costos.

El Analizador de flujo analiza los datos de los registros de flujo de VPC almacenados en un bucket de registros (formato de registro). Para usar Flow Analyzer, debes seleccionar un proyecto con un bucket de registros que contenga registros de flujo de VPC. Para obtener más información, consulta la descripción general de los registros de flujo de VPC. Los registros de flujo de VPC se pueden usar para la supervisión de redes, la detección de intrusiones, el análisis de seguridad en tiempo real y la optimización de gastos.

El analizador de flujos ejecuta consultas en los campos incluidos en los registros de flujo de VPC. Para obtener más información, consulta Propiedades clave de los registros de flujo de VPC.

Con Flow Analyzer, puedes realizar las siguientes tareas:

Compila y ejecuta una consulta simple en los registros de flujo de VPC
Compila un filtro de SQL (con una sentencia WHERE) para la consulta en los registros de flujo de VPC
Organiza los resultados con los campos seleccionados y ordénalos con el tráfico total y los paquetes agregados
Consulta el tráfico en los intervalos de tiempo elegidos
Consulta los cinco flujos de tráfico más altos a lo largo del tiempo en formato gráfico, en comparación con el resto del tráfico
Consulta los recursos con el tráfico más alto agregado durante el período seleccionado en formato tabular
Consulta los detalles del tráfico entre un par de origen y destino específicos en los resultados de la consulta
Desglosa los resultados de la consulta con los campos restantes disponibles en los registros de flujo de VPC

Cómo funciona

Los registros de flujo de VPC registran una muestra de flujos de red que envían y reciben los recursos de VPC, como instancias de VM y nodos de Google Kubernetes Engine.

Los registros de flujo se pueden ver en Cloud Logging y se pueden exportar a cualquier destino que admita la exportación de Logging. Puedes usar Log Analytics para ejecutar consultas que analicen los datos de registros y, luego, mostrar los resultados de las consultas en forma de gráficos y tablas.

Flow Analyzer usa Log Analytics para permitirte ejecutar consultas en los registros de flujo de VPC y obtener más información sobre los flujos de tráfico, ya que proporciona información como el gráfico de flujos de datos más altos y una tabla que proporciona detalles sobre todos los flujos de datos.

Componentes de consulta

Para analizar y comprender tus flujos de tráfico, debes ejecutar una consulta en los registros de flujo de VPC. El analizador de flujos te ayuda a crear la consulta, personalizar las opciones de visualización y desglosar los datos para ver y supervisar tus flujos de tráfico.

Agregación de tráfico

Para analizar los flujos de tráfico de VPC, debes determinar el enfoque de agregación para filtrar los flujos entre los recursos. Flow Analyzer organiza los registros de flujo para la agregación de las siguientes maneras:

Origen y destino: Esta opción usa la información SRC y DEST incluida en los registros de flujo de VPC. Esta vista agrega el tráfico de la fuente al destino.
Cliente y servidor: Esta opción intenta encontrar el iniciador de la conexión. Un recurso con el número de puerto más pequeño se considera el servidor. También considera los recursos con la definición gke_service como los servidores, ya que los servicios no inician solicitudes. Esta vista agrega el tráfico en ambas direcciones.

Selector de intervalo de tiempo

El intervalo de tiempo predeterminado es de una hora, pero puedes seleccionar entre opciones de tiempo predeterminadas, especificar una hora de inicio y finalización personalizadas, o centrar el intervalo de tiempo alrededor de una marca de tiempo específica con el selector de intervalo de tiempo. Por ejemplo, si deseas ver los datos de la semana anterior, selecciona Última semana en el selector de período.

También puedes configurar tus preferencias de zona horaria con el selector de intervalo de tiempo.

Filtros básicos

Para crear la consulta, organiza los flujos según los recursos en ambas direcciones.

Para usar los filtros, selecciona los campos de la lista y especifica valores para estos campos.

Puedes agregar varias expresiones de filtro para filtrar flujos que coincidan con los pares clave-valor seleccionados. Si seleccionas más filtros para el mismo campo, se usa un operador OR. Si seleccionas filtros para diferentes campos, se usa un operador Y.

Por ejemplo, si seleccionas dos valores de dirección IP: 1.2.3.4 y 10.20.10.30 y dos valores de País: US y France, se aplica la siguiente lógica de filtros a la consulta:

(IP=1.2.3.4 O IP=10.20.10.30) Y (País=US O País=France)

Si intentas modificar los filtros de extremos o cambiar las opciones de tráfico, los resultados pueden variar. Debes volver a ejecutar la consulta para ver los resultados actualizados.

Para compilar y ejecutar la consulta con los filtros básicos, consulta Cómo compilar y ejecutar la consulta.

Filtros de SQL

Para crear consultas complejas, puedes usar filtros de SQL. Con las consultas complejas, puedes realizar tareas como las siguientes:

Comparación de valores de campos entre sí
Cómo compilar una lógica booleana compleja con operaciones AND/OR y OR anidadas
Cómo realizar operaciones complejas en direcciones IP con funciones de BigQuery

Las consultas de filtro de SQL usan la sintaxis de SQL de BigQuery. Para obtener más información, consulta la sintaxis de SQL de BigQuery.

Para ver la sintaxis y ejemplos de las expresiones de filtro, haz clic en Sintaxis y ejemplos de las expresiones de filtro.

Para compilar y ejecutar la consulta con filtros de SQL, consulta Cómo compilar y ejecutar una consulta de SQL.

Resultados de la consulta

Los resultados de la consulta incluyen los siguientes componentes:

Gráfico de flujos de datos más altos: Muestra los cinco flujos de tráfico más altos a lo largo del tiempo, junto con el resto del tráfico. Con este gráfico, puedes detectar tendencias, como aumentos repentinos del tráfico.
Tabla Todos los flujos de datos: Muestra los principales flujos de tráfico, hasta 10,000 filas, agregados durante la duración seleccionada. En esta tabla, se muestran los campos seleccionados para organizar los flujos mientras se definen los filtros de la consulta.

Opciones de visualización

Después de ejecutar la consulta, puedes definir mejor los resultados con las diversas opciones de visualización. Tanto el gráfico como la tabla se actualizan para reflejar las opciones seleccionadas recientemente. Para seleccionar las opciones personalizadas y ejecutar la consulta, consulta Cómo personalizar las opciones de visualización.

Tipos de métricas

Puedes elegir ver uno de los siguientes tipos de métricas.

Bytes enviados: Contiene información sobre los volúmenes de carga útil y no incluye encabezados. El valor de esta métrica puede ser cero porque algunos paquetes solo tienen encabezados y no incluyen ninguna carga útil.

Nota: No puedes usar esta métrica para estimar los costos porque los datos se toman de una muestra y no incluyen encabezados.
Paquetes enviados: Indica la cantidad de paquetes que se enviaron desde el origen hacia el destino.

Para ambos tipos de métricas, puedes elegir agregaciones de métricas adicionales.

Agregación de métricas

Puedes ver la agregación de métricas de las siguientes maneras.

Si seleccionas Bytes enviados como la métrica y Fuente y destino como la agregación de tráfico, las siguientes opciones están disponibles:

Tráfico total: Siempre está habilitado de forma predeterminada y muestra el tráfico total del período seleccionado.
Tasa de tráfico promedio: Muestra la tasa de tráfico promedio (en bytes por segundo) del período elegido, calculada solo para los períodos de alineación durante los cuales se observó el tráfico. Para obtener más información, consulta Período de alineación.
Tasa de tráfico mediana: Muestra la tasa de tráfico mediana (en bytes por segundo) para el período elegido, calculada solo para los períodos de alineación durante los cuales se observó el tráfico. Para obtener más información, consulta Período de alineación.
Porcentaje de tráfico del P95: Muestra el porcentaje de tráfico del percentil 95 en bytes por segundo para el período elegido, calculado solo para los períodos de alineación durante los cuales se observó el tráfico. Para obtener más información, consulta Período de alineación.
Tasa de tráfico máxima: Muestra la tasa de tráfico máxima en bytes por segundo para el período elegido.

Si seleccionas Paquetes enviados como la métrica y Origen y destino como la agregación de tráfico, las siguientes opciones estarán disponibles:

Paquetes agregados: Muestra el recuento de paquetes enviados para el período elegido. Habilitados de forma predeterminada.
Tasa promedio de paquetes: Muestra la tasa promedio de paquetes para el período elegido, calculada solo para los períodos de alineación durante los cuales se observó el tráfico. Para obtener más información, consulta Período de alineación.
Tasa mediana de paquetes: Muestra la tasa mediana de paquetes para el período elegido, calculada solo para los períodos de alineación durante los cuales se observó el tráfico. Para obtener más información, consulta Período de alineación.
Tasa de paquetes P95: Muestra la tasa de paquetes del percentil 95 para el período elegido, calculada solo para los períodos de alineación durante los cuales se observó el tráfico. Para obtener más información, consulta Período de alineación.
Tasa máxima de paquetes: Muestra la tasa máxima de paquetes para el período elegido.

Período de alineación

Puedes elegir entre 5 segundos y 1 día para el intervalo de tiempo de los detalles en el gráfico. El modo automático selecciona el período de alineación óptimo según la duración del período seleccionado.

Cada punto del cronograma representa datos agregados de un período específico. La duración de este período se denomina período de alineación.

El rendimiento disminuye con la disminución del valor del período de alineación. Para valores más altos del período de alineación, el gráfico se vuelve menos detallado. Es posible que no puedas ver picos cortos con valores más altos.

Para duraciones grandes, no es útil un período de alineación más pequeño. Por ejemplo, si seleccionas una alineación de 1 minuto para un período de 30 días, Flow Analyzer genera más de 43,000 datos. Como son 10 veces más que los píxeles de la pantalla 4K, no podrás ver todos los detalles, y algunas opciones estarán inhabilitadas durante largos períodos.

Si deseas obtener más información sobre cómo se realiza el muestreo y se determina el período de alineación para mostrar los resultados de la consulta, consulta Métricas y período de alineación.

Punto de muestreo

Para la comunicación de red de VM a VM, los registros de flujo están disponibles (con el muestreo aplicado) en las VMs que envían y reciben tráfico. Si ambas VMs de extremo están en subredes que tienen habilitados los registros de flujo de VPC, el mismo flujo se informa dos veces. Puedes elegir uno de los siguientes cuatro enfoques para determinar qué registros de flujo de VPC contribuyen a las métricas calculadas y cómo se evalúan:

Extremo de origen: Es la cantidad de bytes o paquetes enviados que se informan en el extremo de origen de un flujo.
Extremo de destino: Es la cantidad de bytes o paquetes enviados que se informan en el extremo de destino de un flujo.
Suma de extremos de origen y destino: Es la suma de bytes enviados o paquetes enviados que registran ambos extremos de un flujo.
Promedio del extremo de origen y destino: Es un promedio de bytes enviados o paquetes enviados que informan ambos extremos de un flujo si la información de origen y destino están disponibles en los registros de flujo de VPC.

Anulación de duplicación de tráfico

Para evitar que el tráfico informado en las VMs de origen y destino se cuente dos veces, puedes elegir la opción de muestreo Promedio del extremo de origen y destino. El analizador de flujos identifica flujos equivalentes dentro de cada período de alineación y calcula los promedios de los valores de las métricas informadas (recuento de bytes y recuento de paquetes).

Para los períodos de alineación en los que se registran flujos equivalentes en SRC y DEST, todo el tráfico atribuido a un período de alineación determinado se divide por dos.

Cómo ver los detalles del flujo

En la tabla Todos los flujos de datos, haz clic en Mostrar detalles para cualquier flujo. Aparecerá el panel Detalles del flujo. Este panel proporciona información como la fuente, el destino, el tráfico y las posibles opciones de desglose.

Para desglosar los datos, divide un flujo de tráfico seleccionado con un campo extra. Por ejemplo, si un flujo incluye detalles genéricos sobre el tráfico de 1,000 GiB de la zona X de Google Cloud a la zona Y, puedes desglosar los datos con otro campo, como la dirección IP de origen. Los resultados incluyen varias direcciones IP que conforman el flujo original.

Los campos que aparecen en el componente de desglose se seleccionan de la siguiente manera:

Cuando accedes a los detalles del flujo, Flow Analyzer ejecuta varias consultas. Cada consulta intenta desglosar el flujo seleccionado con los campos disponibles en los registros de flujo de VPC que aún no se usaron en la consulta original. Por ejemplo, si la consulta ejecutada ya incluye los detalles de la dirección IP, no es necesario que vuelvas a ejecutar la consulta con este campo y no puedes desglosar los datos con este campo.
Si alguna de las consultas adicionales muestra un solo valor de campo, se agrega a la sección de detalles de origen y destino, aunque no se recupere antes.
Si alguno de los resultados de la consulta incluye más de un valor de campo, el campo correspondiente aparecerá en la lista de desglose.

A medida que seleccionas un campo en la lista de desglose, la tabla y el gráfico de desglose se actualizan para mostrar los tres flujos de tráfico principales.

También puedes usar el botón de activación Comparar con períodos anteriores. Selecciona esta función para ver seis líneas: tres líneas sólidas para los tres que generan más tráfico del desglose y tres líneas punteadas en los colores correspondientes que representan el tráfico anterior.

Para desglosar los flujos de tráfico con más campos, consulta Cómo desglosar los flujos de tráfico.

Explorar en Análisis de registros

Puedes ver la consulta en SQL sin procesar en el Análisis de registros.

Para el análisis avanzado, puedes modificar directamente el código SQL que se usa para visualizar el tráfico. La función Explorar en Análisis de registros te dirige a la página Estadísticas de registros con una consulta predeterminada.