Visão geral do Flow Analyzer

O Analisador de fluxo (pré-lançamento) permite entender de maneira rápida e eficiente os fluxos de tráfego da VPC sem precisar escrever consultas SQL complexas para analisar os registros de fluxo de VPC. Com o Flow Analyzer, análise opinativa de tráfego de rede com granularidade de cinco tuplas (IP de origem, IP de destino, porta de origem, porta de destino e protocolo).

Desenvolvido usando a Análise de registros e o BigQuery, o Analisador de fluxos permite analisar em detalhes o tráfego de entrada e saída das suas instâncias de VM. Ele permite monitorar, resolver problemas e otimizar a implantação de rede para melhorar o desempenho e a segurança, o que ajuda a garantir a conformidade e economizar custos.

O Flow Analyzer analisa os dados dos registros de fluxo de VPC armazenados em um bucket de registros (formato de registro). Para usar o Flow Analyzer, selecione um projeto com um bucket de registro que contenha registros de fluxo de VPC. Para mais informações, consulte a Visão geral dos registros de fluxo de VPC. Os registros de fluxo de VPC podem ser usados para monitoramento de rede, perícia forense, análise de segurança em tempo real e otimização dos gastos.

O Analisador de fluxo executa consultas nos campos incluídos nos registros de fluxo de VPC. Para mais informações, consulte Principais propriedades dos registros de fluxo de VPC.

Com o Flow Analyzer, é possível realizar as seguintes tarefas:

  • Criar e executar uma consulta simples nos registros de fluxo de VPC
  • Crie um filtro SQL (usando uma instrução WHERE) para a consulta no Registros de fluxo de VPC
  • Organizar os resultados usando os campos selecionados e ordenar os resultados da consulta usando o tráfego total e os pacotes agregados
  • Visualizar o tráfego nos intervalos de tempo escolhidos
  • Confira os cinco fluxos de tráfego mais altos ao longo do tempo em um formato gráfico, em comparação com o restante do tráfego
  • Ver os recursos com maior tráfego agregado nos itens selecionados duração em formato tabular
  • Confira os detalhes do tráfego entre um par de origem e destino específico nos resultados da consulta.
  • Aprofundar os resultados da consulta usando os campos restantes disponíveis nos Registros de fluxo da VPC

Como funciona

Os registros de fluxo de VPC gravam uma amostra de fluxos de rede enviados e recebidos por recursos da VPC, como instâncias de VM e nós do Google Kubernetes Engine.

Os registros de fluxo podem ser visualizados no Cloud Logging e exportados para qualquer destino compatível com a exportação do Logging. É possível usar a Análise de dados de registros para executar consultas e exibir os resultados da consulta na forma de gráficos e tabelas.

O Analisador de fluxos usa o Log Analytics para permitir que você execute consultas nos registros de fluxo da VPC e saiba mais sobre os fluxos de tráfego, fornecendo informações como o gráfico de fluxos de dados mais altos e uma tabela com detalhes sobre todos os fluxos de dados.

Componentes da consulta

Para analisar e entender seus fluxos de tráfego, execute uma consulta com os registros de fluxo de VPC. O Analisador de fluxos ajuda você a criar a consulta, personalizar as opções de exibição e detalhar para conferir e monitorar seus fluxos de tráfego.

Agregação de tráfego

Para analisar os fluxos de tráfego de VPC, você precisa determinar a abordagem de agregação para filtrar os fluxos entre os recursos. O Flow Analyzer organiza os registros de fluxo para agregação das seguintes maneiras:

  • Origem e destino: esta opção usa os parâmetros SRC e DEST. incluídas nos registros de fluxo de VPC. Essa visualização agrega o tráfego da origem ao destino.
  • Cliente e servidor: essa opção tenta encontrar o iniciador do uma conexão com a Internet. Um recurso com o número de porta menor é considerado no servidor. Ela também considera os recursos com gke_service como servidores, porque os serviços não iniciam solicitações. Essa visualização agrega o tráfego nas duas direções.

Seletor de intervalo

O intervalo de tempo padrão é de uma hora, mas é possível selecionar uma das opções de tempo predefinidas, especificar horários de início e término personalizados ou centralizar o período de acordo com uma data usando o seletor de intervalo de tempo. Por exemplo, se você quiser conferir os dados da semana passada, selecione Última semana no seletor de período.

Também é possível definir suas preferências de fuso horário usando o seletor de período.

Filtros básicos

É possível criar a consulta organizando os fluxos de acordo com os recursos em ambas as direções.

Para usar os filtros, selecione os campos na lista e especifique os valores para esses campos.

É possível adicionar várias expressões de filtro para filtrar fluxos que correspondem aos pares de chave-valor selecionados. Se você selecionar mais filtros para o mesmo campo, um operador OR é usado. Se você selecionar filtros para campos diferentes, um operador E será usado.

Por exemplo, se você selecionar dois valores de endereço IP: 1.2.3.4 e 10.20.10.30, e dois valores de País: US e France, a seguinte lógica de filtro será aplicada à consulta:

(IP=1.2.3.4 OR IP=10.20.10.30) AND (País=US OR País=France)

Se você tentar modificar os filtros de endpoint ou alterar o tráfego os resultados podem variar. É preciso executar novamente a consulta para resultados atualizados.

Para criar e executar a consulta usando os filtros básicos, consulte Criar e executar a consulta.

Filtros SQL

Para criar consultas complexas, use filtros SQL. Usando consultas complexas, pode realizar tarefas como as seguintes:

  1. Comparar valores de campos entre si
  2. Criar uma lógica booleana complexa usando as operações AND/OR e OR aninhadas
  3. Como realizar operações complexas em endereços IP usando funções do BigQuery

As consultas de filtro do SQL usam a sintaxe do SQL do BigQuery. Para mais informações, consulte a sintaxe SQL do BigQuery.

Para conferir a sintaxe e os exemplos de expressão de filtro, clique em Sintaxe e exemplos de expressão de filtro.

Para criar e executar a consulta usando filtros SQL, veja Crie e execute uma consulta SQL.

Resultados da consulta

Os resultados da consulta incluem os seguintes componentes:

  • Gráfico de fluxos de dados mais altos: exibe as cinco principais listas o tráfego flui ao longo do tempo junto com o restante do tráfego. Você pode identificar tendências, como picos de tráfego, usando este gráfico.
  • Tabela "Todos os fluxos de dados": mostra os principais fluxos de tráfego até 10.000 linhas agregadas durante a duração selecionada. Essa tabela mostra os campos selecionados para organizar os fluxos ao definir os filtros da consulta.

Opções de exibição

Depois de executar a consulta, você pode refinar ainda mais os resultados usando as várias opções de exibição. O gráfico e a tabela são atualizados para refletir opções selecionadas. Para selecionar as opções personalizadas e executar a consulta, consulte Personalizar opções de exibição.

Tipos de métricas

Você pode escolher uma das seguintes métricas.

  • Bytes enviados: contém informações sobre os volumes de payload e não inclui cabeçalhos. O valor dessa métrica pode ser zero porque alguns pacotes têm apenas cabeçalhos e não incluem nenhum payload.

  • Pacotes enviados: indica o número de pacotes enviados da origem para o ao destino.

Para os dois tipos de métrica, é possível escolher outras agregações.

Agregação de métricas

É possível conferir a agregação de métricas das seguintes maneiras:

Se você selecionar Bytes enviados como a métrica e Origem e destino como a agregação de tráfego, as seguintes opções estão disponíveis:

  • Tráfego total: sempre ativada por padrão, mostra o tráfego total do período escolhido.
  • Taxa média de tráfego: mostra a taxa média de tráfego (em bytes por segundo) para o período escolhido, calculado apenas para o alinhamento em que o tráfego foi observado. Para mais informações, consulte Período de alinhamento:
  • Taxa de tráfego mediana: exibe a taxa de tráfego mediana (em bytes por segundo) para o período escolhido, calculado apenas para o alinhamento em que o tráfego foi observado. Para mais informações, consulte Período de alinhamento.
  • Taxa de tráfego P95: mostra a taxa de tráfego do percentil 95 em bytes por segundo para o período escolhido, calculada apenas para os períodos de alinhamento em que o tráfego foi observado. Para mais informações, consulte Período de alinhamento.
  • Taxa máxima de tráfego: mostra a taxa máxima de tráfego em bytes por segundo para o período escolhido.

Se você selecionar Pacotes enviados como a métrica e Origem e destino como a agregação de tráfego, as seguintes opções estão disponíveis:

  • Pacotes agregados: mostra a contagem de pacotes enviados no período escolhido. período Ativado por padrão.
  • Taxa média de pacotes: exibe a taxa média de pacotes do calculado apenas para os períodos de alinhamento durante os quais o o tráfego foi observado. Para mais informações, consulte Período de alinhamento:
  • Taxa de pacotes mediana: mostra a taxa de pacotes mediana para o período escolhido, calculada apenas para os períodos de alinhamento em que o tráfego foi observado. Para mais informações, consulte Período de alinhamento.
  • Taxa de pacotes P95: mostra a taxa de pacotes do percentil 95 para o período escolhido, calculada apenas para os períodos de alinhamento em que o tráfego foi observado. Para mais informações, consulte Período de alinhamento:
  • Taxa máxima de pacotes: mostra a taxa máxima de pacotes para o período escolhido.

Período de alinhamento

Você pode escolher de 5 segundos a 1 dia para o período dos detalhes na gráfico. O modo automático seleciona o período ideal de alinhamento de acordo com o do período selecionado.

Cada ponto na linha do tempo representa dados agregados de um período de tempo específico. A duração desse período é chamada de período de alinhamento.

O desempenho diminui com a diminuição do valor do período de alinhamento. Para valores mais altos do período de alinhamento, o gráfico se torna menos granular. Talvez você não consiga ver picos curtos com valores mais altos.

Para durações maiores, um período de alinhamento menor não é útil. Para exemplo, se você selecionar o alinhamento de 1 minuto para um período de 30 dias, o Flow Analyzer gera mais de 43 mil pontos de dados. Como esse número é 10 vezes maior que os pixels de exibição 4K, não será possível visualizar todos os detalhes, e algumas opções são desativadas por períodos de tempo maiores.

Para mais informações sobre como a amostragem é feita e o período de alinhamento é determinados a exibir os resultados da consulta, consulte Métricas e período de alinhamento.

Ponto de amostragem

Para a comunicação de rede de VM para VM, os registros de fluxo estão disponíveis (com amostragem aplicada) nas VMs que enviam e recebem tráfego. Se as duas VMs de endpoint estiverem em sub-redes com os registros de fluxo de VPC ativados, o mesmo fluxo será informado duas vezes. Você pode escolher uma das quatro abordagens a seguir para determinar quais registros de fluxo de VPC contribuem para as métricas calculadas e como elas são avaliadas:

  • Endpoint de origem: o número de bytes enviados ou pacotes enviados e relatado em o endpoint de origem de um fluxo
  • Endpoint de destino: o número de bytes ou pacotes enviados informados no endpoint de destino de um fluxo.
  • Soma do endpoint de origem e destino: a soma dos bytes ou pacotes enviados informados por ambos os endpoints de um fluxo.
  • Média do endpoint de origem e destino: uma média de bytes enviados ou pacotes enviados informados por ambos os endpoints de um fluxo, se as informações de origem e destino estiverem disponíveis nos registros de fluxo da VPC.

Eliminação de duplicação de tráfego

Para evitar que o tráfego informado nas VMs de origem e de destino seja contabilizado duas vezes, escolha a opção de amostragem Média do endpoint de origem e de destino. O Flow Analyzer identifica fluxos equivalentes dentro de cada alinhamento e calcula as médias dos valores de métricas informados (contagem de bytes) e contagem de pacotes).

Para períodos de alinhamento em que os fluxos equivalentes são informados em SRC e DEST, todo o tráfego atribuído a um determinado período de alinhamento é dividido por dois.

Mais detalhes do fluxo

Na tabela Todos os fluxos de dados, clique em Mostrar detalhes em qualquer fluxo. O painel Detalhes do fluxo é exibido. Esse painel fornece informações como fonte, destino, tráfego e possíveis opções de detalhamento.

É possível detalhar dividindo um fluxo de tráfego selecionado usando uma . Por exemplo, se um fluxo incluir detalhes genéricos sobre um tráfego de 1.000 GiB da zona X do Google Cloud para a zona Y, é possível detalhar usando outra como o endereço IP de origem. Os resultados incluem vários endereços IP que compõem o fluxo original.

Os campos que aparecem no componente de detalhamento são selecionados da seguinte maneira:

  • Quando você acessa os detalhes do fluxo, o Flow Analyzer executa várias consultas. Cada consulta tenta detalhar o fluxo selecionado usando os campos disponíveis nos registros de fluxo de VPC e que ainda não foram usadas na consulta original. Por exemplo, se a consulta executada já incluir os detalhes do endereço IP, não é preciso executar a consulta com esse campo novamente nem detalhar usando este campo.
  • Se alguma das consultas adicionais retornar um único valor de campo, ele será adicionado à seção de detalhes de origem e destino, mesmo que não seja buscado anteriormente.
  • Se algum dos resultados da consulta incluir mais de um valor de campo, o campo correspondente vai aparecer na lista de detalhamento.

Ao selecionar um campo na lista de detalhamento, a tabela e o gráfico de detalhamento são atualizados para mostrar os três principais fluxos de tráfego.

Também é possível usar o botão Comparar com o passado. Selecione este recurso para ver seis linhas: três linhas sólidas para os três maiores apresentadores do detalhamento e três linhas tracejadas com cores correspondentes que representam o trânsito anterior.

Para detalhar os fluxos de tráfego usando mais campos, consulte Detalhar os fluxos de tráfego.

Explorar na Análise de Registros

Você pode conferir a consulta SQL bruta no Log Analytics.

Para análises avançadas, você pode modificar diretamente o código SQL usado para visualizar as do tráfego de entrada. O recurso Analisar na Análise de registros direciona você para a página Análise de registros com uma consulta preenchida.

A seguir