Page principale

Requêtes

Pour affiner votre recherche et visualiser le trafic entre des endpoints précis, agrégez et filtrez les connexions agrégées au sein de votre réseau en appliquant des tags. Vous pouvez sélectionner des tags pour la source et la destination via la barre de recherche en haut de la page.

La capture d’écran suivante montre la vue par défaut, qui agrège la source et la destination en fonction du tag service. Ainsi, chaque ligne du tableau représente les connexions service-service agrégées sur une période d’une heure.

contexte

L’exemple suivant montre toutes les connexions agrégées entre les adresses IP des services de la région us-east-1 et les zones de disponibilité :

Tableau des connexions agrégées filtré

Vous pouvez définir la période d’agrégation du trafic à l’aide du sélecteur d’intervalle en haut à droite de la page :

Intervalle NPM

Volets des facettes

Les volets des facettes reflètent les tags définis dans la requête de la barre de recherche. Basculez entre ces volets à l’aide des onglets Source et Destination situés en haut de la page :

Volet Destination

Facettes personnalisées

Agrégez et filtrez vos données de trafic à l’aide de n’importe quel tag sur la page Network de Datadog. Une liste d’inclusion est fournie par défaut pour les tags. Elle se trouve dans le menu déroulant de la barre de recherche :

Menu déroulant

Cette liste comprend notamment les tags service, availability zone, env, environment, pod, host, ip et port. Si vous souhaitez agréger ou filtrer le trafic en fonction d’un tag qui n’est pas répertorié dans la liste, ajoutez-le en tant que facette personnalisée :

  1. Cliquez sur le bouton + en haut à droite des volets de facettes.
  2. Saisissez le tag à partir duquel vous souhaitez créer une facette personnalisée.
  3. Cliquez sur Create.

Une fois votre facette personnalisée créée, utilisez ce tag pour filtrer et agréger le trafic depuis la page Network et Map. Toutes les facettes personnalisées sont accessibles sous la section Custom des volets de facettes.

Recherche avec un wildcard

Afin d’effectuer une recherche avec un wildcard pour plusieurs caractères, utilisez le symbole * comme illustré ci-dessous :

  • service:web* renvoie tous les services qui commencent par « web ».
  • service:*web renvoient tous les services qui se terminent par « web ».
  • service:*web* renvoie tous les services qui contiennent le texte « web ».

Les wildcards peuvent être utilisés au sein d’une facette avec cette syntaxe. La requête suivante renvoie tous les services se terminant par le texte « mongo » :

service:*mongo

Pour en savoir plus, consultez la documentation relative à la syntaxe de recherche.

Données réseau

données réseau

Les métriques de votre réseau sont affichées dans les graphiques et le tableau associé. Toutes les métriques envoyées et reçues correspondant aux valeurs de la source :

  • Métriques envoyées : mesurent les valeurs des flux allant de la source vers la destination, du point de vue de la source.
  • Métriques reçues : mesurent les valeurs des flux allant de la destination vers la source, du point de vue de la source.

Lorsqu’une perte de paquets importante se produit, les valeurs affichées peuvent être différentes pour sent_metric(source to destination) et received_metric(destination to source). Dans ce cas, si la destination envoie un grand nombre d’octets vers la source, les connexions agrégées qui partent de la destination comprennent ces octets, mais les connexions agrégées qui partent de la source ne les voient pas comme reçus.

Remarque : les données sont recueillies toutes les 30 secondes, agrégées dans des compartiments de 5 minutes et conservées pendant 14 jours.

Métriques

Charge réseau

Les métriques relatives à la charge réseau suivantes sont disponibles :

MétriqueDescription
VolumeNombre d’octets envoyés ou reçus sur une période donnée. Mesuré en octets (ou en l’un de ses multiples) dans les deux directions.
ThroughputLe taux de transfert des octets envoyés ou reçus sur une période donnée. Mesuré en octets par seconde, dans les deux directions.

TCP

TCP est un protocole orienté connexion qui assure la transmission des paquets dans le bon ordre. Les métriques TCP suivantes sont disponibles :

MétriqueDescription
TCP RetransmitsUne retransmission TCP signifie qu’un échec a été détecté et que la transmission a été renouvelée pour garantir la bonne livraison des données. Cette métrique représente le nombre de retransmissions à partir de la source.
TCP LatencyCette métrique mesure la durée lissée d’aller-retour TCP, à savoir le délai entre l’envoi et la réception d’une trame TCP.
TCP JitterCette métrique mesure la variance entre les durées lissées d’aller-retour TCP.
Established ConnectionsLe nombre de connexions TCP établies. Calculé en nombre de connexions par seconde à partir de la source.
Closed ConnectionsLe nombre de connexions TCP fermées. Calculé en nombre de connexions par seconde à partir de la source.

Détection automatique des services cloud

Si vous utilisez des services cloud gérés, comme S3 ou Kinesis, vous pouvez surveiller les performances du trafic entre vos applications internes et ces services. Filtrez votre vue sur une dépendance AWS ou GCP précise pour déterminer la latence, évaluer les performances des bases de données et consulter une vue d’ensemble de votre réseau.

Carte des services cloud

Vous pouvez par exemple :

  • visualiser le flux de données entre votre cluster Kubernetes interne et service:aws.s3 dans la Network Map ;
  • basculer sur la page Network pour isoler les pods qui établissent le plus de connexions au service ; et
  • confirmer que leur requête est bien transmise en analysant les métriques de performance S3, qui sont directement corrélées avec les performances du trafic dans le volet latéral de la dépendance en question, sous l’onglet Integration Metrics.

La solution NPM mappe automatiquement :

  • les appels réseau vers S3 (ces appels peuvent être répartis par s3_bucket), RDS (ces appels peuvent être répartis par rds_instance_type), Kinesis, ELB, Elasticache et d’autres services AWS services ;
  • les appels d’API vers AppEngine, Google DNS, Gmail et d’autres services GCP.

Pour surveiller d’autres endpoints sur lesquels l’Agent ne peut pas être installé (par exemple, des API publiques), depuis la vue d’ensemble du réseau, regroupez la destination en fonction du tag domain.

Résolution du domaine

Depuis la version 7.17, l’Agent convertit les adresses IP en noms de domaine lisibles pour le trafic interne et externe. Le domaine vous permet de surveiller les endpoints de vos fournisseurs de solutions cloud sur lesquelles il n’est pas possible d’installer un Agent Datadog. Il peut s’agir par exemple d’équilibreurs de charge d’application, d’API ou de compartiments S3. Les noms de domaines ne pouvant pas être identifiés, tels que ceux générés par un algorithme depuis un serveur C&C, peuvent être le signe d’une menace pour la sécurité réseau. domain est encodé sous la forme d’un tag dans Datadog. Vous pouvez l’ajouter dans les requêtes de la barre de recherche et dans le volet des facettes afin d’agréger et de filtrer le trafic.

Agrégation de domaine

Remarque : la résolution DNS fonctionne sur les hosts pour lesquels le system probe s’exécute sur l’espace de nommage réseau à la racine. Cela se produit généralement lorsque le system probe est exécuté dans un conteneur, sans passer par le réseau host.

Network Address Translation (NAT)

Le NAT est un outil utilisé par Kubernetes et d’autres systèmes pour acheminer le trafic entre les conteneurs. Lorsque vous analysez une dépendance spécifique (par exemple entre deux services), la présence ou l’absence d’IP pré-NAT peut vous permettre de faire la distinction entre les services natifs à Kubernetes, qui font leur propre routage, et les services qui dépendent de clients externes pour le routage. Cette fonctionnalité ne prend actuellement pas en compte la résolution des passerelles NAT.

Pour afficher les IP pré-NAT et post-NAT, utilisez le paramètre Show pre-NAT IPs dans les paramètres du tableau. Lorsque ce paramètre est désactivé, les IP affichées dans les colonnes Source IP et Dest IP correspondent aux IP post-NAT par défaut. Si plusieurs IP pré-NAT existent pour une même IP post-NAT, les 5 IP pré-NAT les plus courantes s’affichent. Le tag pre_nat.ip fonctionne comme n’importe quel autre tag : vous pouvez donc l’utiliser pour agréger et filtrer le trafic.

IP pré-NAT

ID réseau

Les utilisateurs de la solution NPM peuvent configurer leurs réseaux de façon à ce que leurs plages d’IP se chevauchent. Par exemple, il peut être préférable d’effectuer un déploiement sur plusieurs VPC (clouds privés virtuels) dont les plages d’adresses se chevauchent et qui communiquent uniquement par le biais de répartiteurs de charge ou de passerelles cloud.

Pour correctement classifier les destinations du trafic, la solution NPM fait appel au concept d’ID réseau. Un ID réseau est représenté par un tag et correspond à un identifiant alphanumérique pour un ensemble d’adresses IP qui peuvent communiquer entre elles. Lorsqu’une adresse IP mappée vers plusieurs hosts ayant des ID réseau différents est détectée, cet identifiant est utilisé pour déterminer avec précision le host vers lequel le trafic réseau est acheminé ou duquel il provient.

Dans AWS et GCP, l’ID réseau est automatiquement défini sur l’ID du VPC. Pour d’autres environnements, l’ID réseau peut être défini manuellement, soit dans le fichier datadog.yaml comme indiqué ci-dessous, soit en ajoutant la variable d’environnement DD_NETWORK_ID aux conteneurs de l’Agent de processus et de l’Agent principal.

network:
   Id: <votre-id-réseau>

Vues enregistrées

Organisez et partagez vos vues représentant les données de votre trafic. Les vues enregistrées facilitent le debugging et favorisent la collaboration. Vous pouvez ainsi créer une vue, l’enregistrer pour l’utiliser ultérieurement avec des requêtes basiques et envoyer son lien à votre équipe afin de partager des données réseau.

Vues enregistrées
  • Pour enregistrer une vue, cliquez sur le bouton + Save et attribuez un nom à la vue. Cela enregistre votre requête actuelle, la configuration du tableau ainsi que les métriques sélectionnées pour les graphiques.
  • Pour charger une vue, cliquez sur Views en haut à gauche afin d’afficher la liste de vues enregistrées, puis sélectionnez une vue.
  • Pour renommer une vue, passez le curseur sur cette vue dans la liste des vues enregistrées, cliquez sur l’icône en forme d’engrenage, puis sur l’option Edit name.
  • Pour partager une vue, passez le curseur sur cette vue dans la liste des vues enregistrées, cliquez sur l’icône représentant un lien, puis sur l’option Copy permalink.

Pour en savoir plus, consultez la section Vues enregistrées.

Tableau

Le tableau Network présente les métriques Volume, Throughput, TCP Retransmits, Round-trip Time (RTT) et RTT variance entre chaque source et chaque destination définies dans votre requête.

Tableau de données

Pour configurer les colonnes de votre tableau, utilisez le bouton Customize en haut à droite.

Configurez le trafic affiché à l’aide du bouton Filter Traffic.

Détails d'un flux

Le trafic externe (vers les IP publiques) et le trafic de l’Agent Datadog sont affichés par défaut. Pour affiner le trafic affiché, vous pouvez désactiver les options Show Datadog Traffic et Show External Traffic.

Trafic non résolu

Les tags des sources et des destinations non résolues ont pour valeur N/A. La non-résolution d’un endpoint de source ou de destination de trafic peut s’expliquer par les raisons suivantes :

  • Les adresses IP source ou destination du host ou du conteneur ne disposent pas des tags source ou destination utilisés pour l’agrégation du trafic.
  • Le endpoint se situe en dehors de votre réseau privé et n’est donc pas tagué par l’Agent Datadog.
  • Le endpoint est un pare-feu, un maillage de service ou une autre entité sur laquelle il n’est pas possible d’installer un Agent Datadog.

Utilisez l’option Show N/A (Unresolved Traffic) en haut à droite du tableau de données pour masquer les connexions agrégées comportant une source ou une destination non résolue (N/A).

Sélectionnez une ligne du tableau de données pour afficher les logs, traces et processus associés d’une connexion agrégée source <=> destination donnée :

Détails d'une connexion agrégée

Volet latéral

Le volet latéral fournit des données de télémétrie contextuelle pour vous aider à débuguer les dépendances réseau. Utilisez les onglets Flows, Logs, Traces et Processes pour déterminer si un nombre élevé de retransmissions ou une augmentation de la latence du trafic entre deux endpoints est attribuable à :

  • un pic de trafic provenant d’un port ou d’une adresse IP en particulier ;
  • des processus lourds monopolisant le processeur ou la mémoire de l’endpoint de destination ;
  • des erreurs d’application dans le code de l’endpoint source.
Détails d'un flux

Tags communs

Les tags de source et de destination communs partagés par les dernières connexions de la dépendance inspectée sont affichés dans la partie supérieure du volet latéral. Utilisez les tags communs pour obtenir des informations de contexte supplémentaires concernant un endpoint défaillant. Par exemple, si vous dépannez une augmentation de la latence des communications vers un service spécifique, des tags de destination communs s’afficheront :

  • avec des données de contexte granulaire indiquant notamment le conteneur, la tâche ou le host vers lequel le trafic est acheminé ;
  • avec des données de contexte plus large indiquant notamment la zone de disponibilité, le compte du fournisseur de cloud ou le déploiement dans lequel le service s’exécute.

Pour aller plus loin