Cloudflare Docs
Support
Support
Visit Support on GitHub
Set theme to dark (⇧+D)

Comprendre Cloudflare Network Analytics v1

Découvrez comment Magic Transit et Cloudflare Spectrum (BYOIP et non-BYOIP) utilisent les données Network Analytics au niveau du compte pour explorer les détails du trafic des couches 3 et 4 et des attaques DDoS.

​​ Dans cet article


​​ Aperçu

L’accès à Network Analytics nécessite les éléments suivants :

L’écran Network Analytics de Cloudflare permet de suivre en temps quasi réel les tendances du trafic des couches réseau et transport et les attaques DDoS Network Analytics affiche des données au niveau des paquets et des bits, qui sont les mêmes que celles fournies par l’API GraphQL Analytics.

Volet Analytics présentant la synthèse des paquets par type

Network Analytics accélère la signalisation et l’examen du trafic malveillant. Vous pouvez filtrer les données en fonction des paramètres suivants :

  • Mesure d’atténuation prise par Cloudflare
  • Adresse IP, port, ASN de la source
  • Adresse IP et port de la destination
  • Ville et pays du datacenter Cloudflare où le trafic a été observé
  • Taille, type, taux et durée de l’attaque
  • Indicateur TCP
  • Version IP
  • Protocole

Utilisez Network Analytics pour identifier rapidement les informations essentielles :

  • Principaux vecteurs d’attaque ciblant le réseau
  • Atténuation du trafic au fil du temps, ventilée par mesure
  • Source de l’attaque, par pays ou datacenter

​​ Consultation des données Network Analytics

Vous pouvez accéder à l’écran Network Analytics à partir de la page d’accueil de votre compte Cloudflare.

Pour accéder à l’écran Network Analytics veuillez procéder comme suit :

  1. Connectez-vous à votre compte Cloudflare.
  2. Si vous avez accès à plusieurs comptes, sélectionnez le compte qui a accès à Magic Transit ou Spectrum.
  3. Sur la page d’accueil du compte, cliquez sur Network Analytics.

​​ Accès aux données Network Analytics

​​ Titre, récapitulatif et volets latéraux

Le haut de page et les panneaux latéraux présentent un résumé de l’activité au cours de la période sélectionnée dans la liste déroulante période.

Titre et volet latéral synthétisant l’activité des dernières 24 heures

Le titre indique le nombre total de paquets ou de bits et le nombre d’attaques détectées. Lorsqu’une attaque est en cours, le titre affiche le débit maximal de paquets (ou de bits), plutôt que le nombre total. Lorsqu’une attaque est en cours, le titre affiche le débit maximal de paquets (ou de bits), plutôt que le nombre total.

Pour afficher les données, cliquez sur le panneau latéral Paquets ou Bits.

​​ Définir l’intervalle d’affichage

Utilisez la liste déroulante période pour modifier la période pour laquelle l’analyse de réseau affiche les données. Lorsque vous sélectionnez une période, la totalité des informations sont actualisées en fonction de celle-ci.

Lorsque vous sélectionnez 30 dernières minutes, l’écran Network Analytics affiche les données des 30 dernières minutes, en les rafraîchissant toutes les 20 secondes. Une notification Live apparaît à côté de la liste déroulante des statistiques pour vous indiquer que les données sont mises à jour automatiquement :

Rafraîchissement automatique activé dans Network Analytics

Si vous sélectionnez l’option Période déterminée, vous pouvez déterminer une période allant jusqu’à 30 jours, située à n’importe quel moment de l’année précédente.

​​ Afficher par débit moyen ou volume total

Choisissez une statistique dans la liste déroulante pour basculer entre Taux moyen et Total

​​ Afficher les événements d’annonce/retrait de préfixe IP

Activez Afficher les annotations pour afficher ou masquer les annotations relatives aux événements liés aux préfixes IP annoncés/retirés dans la base de données à l’écran Network Analytics . Cliquez sur chaque annotation pour obtenir plus de détails.

Bouton permettant d’afficher les annotations dans le graphique Network Analytics

​​ Effectuer un zoom sur le récapitulatif des paquets

Cliquez et faites glisser la souris sur une zone du diagramme pour effectuer un zoom. Grâce à cette technique, vous pouvez effectuer un zoom sur un intervalle allant jusqu’à 3 minutes.

Zoom sur la synthèse des paquets

Pour faire un zoom arrière, cliquez sur l’icône X du sélecteur de période.


​​ Application de filtres aux données

Vous pouvez appliquer différents filtres et exclusions pour ajuster la portée des données affichées dans Network Analytics.

Les filtres affectent toutes les données affichées sur la page Network Analytics.

Les données de l’analyse réseau peuvent être filtrées de deux manières : en utilisant le bouton Ajouter un filtre ou en cliquant sur l’un des filtres de statistiques.

​​ Utilisation du bouton Ajouter un filtre

Cliquez sur le bouton Ajouter un filtre pour ouvrir le pop-up Nouveau filtre. Définissez un champ, un opérateur et une valeur pour compléter votre expression de filtrage. Cliquez sur Appliquer pour actualiser les données.

Lorsque vous appliquez des filtres, tenez compte les directives suivantes :

  • Les caractères génériques ne sont pas autorisés.
  • Il n’est pas nécessaire de saisir les valeurs entre guillemets.
  • Lorsque vous indiquez un numéro ASN, n’indiquez pas le préfixe AS. Par exemple, saisissez 1423 au lieu de AS1423.

​​ Utilisation d’un filtre de statistiques

Pour effectuer un filtrage en fonction du type de données relatives à l’une des statistiques de Network Analytics, utilisez les boutons Filtrer et Exclure qui s’affichent lorsque vous placez votre pointeur sur la statistique. 

Dans cet exemple, en cliquant sur le bouton Filtrer, vous n’affichez que le trafic associé à l’action Autoriser.

​​ Créez une règle Magic Firewall à partir des filtres appliqués

Vous pouvez créer une règle Magic Firewall afin de bloquer tout le trafic correspondant aux filtres sélectionnés dans Network Analytics. Les filtres pris en charge actuellement sont les suivants :

  • Destination IP (IP de destination)
  • Protocole
  • Source data center (Datacenter source)
  • Source IP (IP source)
  • Indicateurs TCP

Les autres types de filtres Network Analytics ne seront pas ajoutés à la nouvelle définition de règle. Vous pouvez cependant configurer plus en détail la règle dans Magic Firewall.

Procédez comme suit :

1. Appliquez un ou plusieurs filtres dans Network Analytics.

2. Cliquez sur Create Magic Firewall rule

Création d’un lien de règle de pare-feu dans Network Analytics

L’éditeur de règles Magic Firewall s’affiche avec les filtres et les valeurs sélectionnés.

3. Vérifiez la définition de la règle dans l’éditeur de règles de Magic Firewall.

4. Cliquez sur Add new.

​​ Champs, opérateurs et valeurs de filtre pris en charge

Le tableau ci-dessous présente la sélection de champs, d’opérateurs et de valeurs que vous pouvez utiliser pour filtrer les données Network Analytics.

Champ Opérateurs Valeur
Action Est égal à
N’est pas égal à
Autoriser : Trafic autorisé par les systèmes de protection DDoS automatisés de Cloudflare. Cela peut également inclure le trafic atténué par les règles de pare-feu, les règles flowtrackd et les règles de la couche 7.
Bloquer : Le trafic est bloqué par les systèmes de protection DDoS automatisés de Cloudflare.
Suivi des connexions : Ne concerne que la couche 7, car Magic Transit est exclu et aucun suivi de connexion n’est effectué pour les préfixes Magic Transit.
Limitation de débit : elle peut être appliquée en fonction de l’adresse IP source, du sous-réseau ou à n’importe quelle connexion. Cette décision est programmée en fonction de critères heuristiques.
Surveiller : Attaques qui ont été identifiées mais que l’on a choisi d’observer simplement et de ne pas atténuer par une quelconque règle.
Attack ID (ID d’attaque) Est égal à
N’est pas égal à
Numéro d’attaque
Attack Type (Type d’attaque) Est égal à
N’est pas égal à
UDP Flood
SYN Flood
ACK flood
RST Flood
LDAP Flood
Christmas Flood
FIN Flood
GRE Flood
ICMP Flood
Destination IP (IP de destination) Est égal à
N’est pas égal à
Adresse IP
Destination Port (Port de destination) Est égal à
N’est pas égal à
Supérieur à
Supérieur ou égal à
Inférieur à
Inférieur ou égal à
Numéro de port
Plage de ports
Destination IP range (Plage d’IP de destination) Est égal à
N’est pas égal à
Plage d’adresses IP et masque
IP Version (Version IP) Est égal à
N’est pas égal à
4 ou 6
Protocole Est égal à
N’est pas égal à
TCP
UDP
ICMP
GRE
Source ASN (ASN source) Est égal à
N’est pas égal à
Numéro AS
Source Country (Pays source) Est égal à
N’est pas égal à
Nom du pays
Source data center (Datacenter source) Est égal à
N’est pas égal à
Localisation du datacenter
Source IP (IP source) Est égal à
N’est pas égal à
Adresse IP
Source port (Port source) Est égal à
N’est pas égal à
Supérieur à
Supérieur ou égal à
Inférieur à
Inférieur ou égal à
Numéro de port
Plage de ports
TCP Flag (Identifiant TCP) Est égal à
N’est pas égal à
Contient
SYN, SYN-ACK, FIN, ACK, RST

​​ Sélection d’une dimension à tracer

Vous pouvez représenter les données Network Analytics selon différentes dimensions. Par défaut, Network Analytics affiche les données ventilées par action.

Sélectionnez l’un des onglets Résumé pour visualiser les données sous une autre perspective.

Visualisation de données sur plusieurs dimensions

Vous pouvez choisir parmi ces options :

  • Action
  • Type d’attaque
  • Destination IP (IP de destination)
  • Port de destination
  • Version IP
  • Protocole
  • Source ASN (ASN source)
  • Pays d’origine
  • Source data center (Datacenter source)
  • Source IP (IP source)
  • Source port (Port source)
  • Indicateur TCP

​​ Partage de filtres de données Firewall Analytics

Lorsque vous ajoutez des filtres et spécifiez un intervalle dans Firewall Analytics, l’URL change pour refléter ces paramètres.

Pour partager votre vue des données, copiez l’URL et envoyez-la à d’autres utilisateurs afin qu’ils puissent travailler avec la même vue.

Sélection de l’URL de la page Network Analytics


​​ Affichage du journal d’activité

Le journal des activités d’analyse réseau affiche jusqu’à 500 événements dans la période définie, à raison de 10 résultats par page et par intervalle de temps. (L’ API GraphQL Analytics n’a pas cette limitation.) 

Pour afficher les détails des événements, cliquez sur le widget d’agrandissement associé aux événements.

​​ Configuration des colonnes

Pour configurer les colonnes à afficher dans le journal d’activités, cliquez sur le bouton Modifier les colonnes

Cette fonction est particulièrement utile si vous souhaitez identifier une attaque DDoS pendant laquelle vous pouvez spécifier les attributs souhaités, tels que les adresses IP, le débit maximal et l’ID de l’attaque, entre autres.

​​ Affichage des éléments essentiels

Les volets Pays source, Source et Destinationaffichent chacun les principaux éléments.

Pour sélectionner le nombre d’éléments à afficher, utilisez la liste déroulante associée à la vue.

Pour voir les principaux datacenters, sélectionnez Data center dans la liste déroulante du volet Pays source. Le volet Datacenter source remplace le volet Pays source.


​​ Exportation des données du fichier journal et des rapports

​​ Exportation de données de fichiers journaux d’activité

Vous pouvez exporter jusqu’à 500 événements bruts à la fois depuis le journal d’activité. Cette option est utile lorsque vous avez besoin de combiner et d’analyser les données Cloudflare avec vos propres données stockées dans un système ou une base de données distincts, tel qu’un système SIEM (Security Information and Event Management System).

Pour exporter les données du journal, cliquez sur Exporter.

Choisissez le format CSV ou JSON pour effectuer le rendu des données exportées. Le nom du fichier téléchargé reflétera l’intervalle sélectionné, suivant ce modèle :

network-analytics-attacks-[start time]-[end time].json

​​ Exportation d’un rapport Network Analytics

Pour imprimer ou télécharger un rapport instantané depuis Network Analytics, veuillez procéder comme suit :

Cliquez sur Imprimer un rapport. L’interface d’impression de votre navigateur affiche les options d’impression ou d’enregistrement au format PDF.


​​ Limitations

Network Analytics comporte actuellement les limitations suivantes :


​​ Ressources associées


​​ FAQ

​​ Combien de temps Cloudflare conserve-t-il les données sur le portail Network Analytics ?

Si vous utilisez Network Analytics v2 (NAv2), la plage de données archivées que vous pouvez consulter couvre une période de 90 jours.

Network Analyticsv1 (NAv1) utilise des nœuds GraphQL pour regrouper les données par flux IP de 1 minute, 1 heure et 1 jour. Par exemple, le nœud ipFlows1mGroups stocke les données dans des agrégations d’une minute.

Pour savoir quelle plage de données archivées vous pouvez consulter, reportez-vous à ce tableau. Utilisez la colonne notOlderThan comme indicateur de la durée de conservation.

| Nœud de données GraphQL

|

maxDuration*

|

notOlderThan**

|

Sélections de d’intervalles dans Network Analytics

|

Nombre de points de données

ipFlows1mGroups

|

25 heures

|

30 jours

|

30 minutes

|

30

| |

6 heures

|

71

| |

12 heures

|

48

| |

24 heures

|

96

| |

ipFlows1dGroups

|

6 mois

|

1 an

|

1 semaine

|

168

| |

1 mois

|

30

|

*maxDuration définit la période de temps pouvant être consultée en une seule fois (varie selon le nœud de données).

**notOlderThan limite la période de recherche dans le fichier. Elle indique la durée de conservation des données dans notre base de données. 

Lorsque vous consultez les fichiers journaux d’attaques du tableau de bord Cloudflare, gardez à l’esprit les points suivants :

  • Les journaux d’attaque sont stockés avec les informations d’horodatage de début et de fin, les statistiques de paquets et de bits pour les débits de données minimum, maximum et moyen, ainsi que les totaux, le type d’attaque et les mesures prises.
  • Les adresses IP source sont considérées comme des informations personnelles identifiables. Par conséquent, Cloudflare les stocke pendant 30 jours seulement. Après 30 jours, les adresses IP sources sont supprimées et les fichiers journaux sont d’abord regroupés par groupes de 1 heure, puis de 1 jour. Les cumuls de 1 heure sont stockés pendant 6 mois. Les cumuls de 1 jour sont conservés pendant 1 an.

Pour plus d’informations sur l’interrogation et l’accès aux données des fichiers journaux, veuillez consulter le site GraphQL Analytics API.

​​ Pourquoi Network Analytics indique-t-il que l’adresse IP de destination est indisponible ?

L’adresse IP de destination est indiquée comme étant indisponible (Unavailable) quand elle n’a pas été incluse dans la signature en temps réel générée par nos systèmes de protection contre les attaques DDoS

Pour afficher l’adresse IP de destination, filtrez par ID d’attaque (Attack ID) et faites défiler jusqu’à la section Destination dans les listes des principaux éléments. Quand vous filtrez en fonction d’un ID d’attaque spécifique, l’intégralité du tableau de bord Network Analytics devient un rapport d’attaque.