Cloudflare Docs
Support
Support
Visit Support on GitHub
Set theme to dark (⇧+D)

Cloudflare Network Analytics v1

​​ Información general

Para acceder a Network Analytics sigue los siguientes pasos:

La vista de Network Analytics de Cloudflare proporciona visibilidad casi en tiempo real de los patrones de tráfico de las capas de red y de transporte, así como de los ataques DDoS. Network Analytics visualiza datos a nivel de paquete y de bits. Son los mismos datos disponibles a través de la API de GraphQL Analytics.

Panel de Analytics que muestra el resumen de paquetes por tipo

La herramienta Network Analytics acelera la elaboración de informes y la investigación del tráfico malicioso. Puedes filtrar los datos por los siguientes parámetros:

  • Mitigación realizada por Cloudflare
  • IP, puerto y ASN de origen
  • IP y puerto de destino
  • La ciudad y el país del centro de datos de Cloudflare donde se observó el tráfico
  • Tamaño, tipo, tasa y duración del ataque
  • Marca de TCP 
  • Versión de IP
  • Protocolo

Utiliza Network Analytics para identificar rápidamente la información clave:

  • Principales vectores de ataque dirigidos a la red. 
  • Mitigación del tráfico a lo largo del tiempo, desglosado por acción. 
  • Origen de los ataques, por país o centro de datos.

​​ Acceder a Network Analytics

Puedes acceder a la vista de Network Analytics desde la página de inicio de tu cuenta de Cloudflare.

Para acceder a la vista de Network Analytics, sigue estos pasos:

  1. Inicia sesión en tu cuenta de Cloudflare.
  2. Si tienes acceso a varias cuentas, selecciona una cuenta que tenga acceso a Magic Transit o Spectrum.
  3. En la página de Inicio de la cuenta, haz clic en Network Analytics.

​​ Explorar Network Analytics

​​ Resumen del encabezado y paneles laterales

El encabezado y los paneles laterales ofrecen un resumen de la actividad durante el periodo seleccionado en la lista desplegable periodo.

Título y panel lateral que resume la actividad de las últimas 24 horas

El encabezado proporciona el total de paquetes o bits y el número de ataques detectados y mitigados. Cuando está ocurriendo un ataque, el encabezado muestra la tasa máxima de paquetes (o bits), pero no el recuento total.

Para cambiar la vista de los datos, pulsa en los paneles laterales de Paquetes o Bits.

​​ Establecer el periodo de visualización

Utiliza la lista desplegable Periodo para cambiar el intervalo de tiempo en el cual Network Analytics muestra los datos. Cuando seleccionas un periodo de tiempo, se actualiza la vista completa para reflejar tu elección.

Cuando se selecciona Últimos 30 minutos, la vista Network Analytics muestra los datos de los últimos 30 minutos, actualizándose cada 20 segundos. Aparece una notificación Live junto a la lista desplegable de estadísticas para informarte de que la vista se sigue actualizando automáticamente:

Actualización automática habilitada en Network Analytics

Si seleccionas la opción Rango personalizado , puede especificar un rango de tiempo de hasta 30 días a lo largo de cualquier periodo de los últimos 365 días.

​​ Visualización por tasa media o por volumen total 

Elige una estadística de la lista desplegable para alternar entre los gráficos de Promedio y Recuento total

​​ Mostrar anuncios de prefijos de IP/eventos de retirada

Activa la opción Mostrar anotaciones para mostrar u ocultar las anotaciones de los eventos de prefijos IP anunciados/retirados en la vista Network Analytics . Haga clic en cada anotación para obtener más detalles.

Botón de alternancia para mostrar las anotaciones en el gráfico de Network Analytics

​​ Resumen de los detalles de los paquetes 

Haz clic y arrastra el ratón sobre una región del gráfico para ampliarlo. Con esta técnica, puedes acercarte a un rango de tiempo de tan solo 3 minutos.

Ampliación de los detalles de los paquetes

Para hacer zoom, pulsa el icono X del selector de intervalo de tiempo.


​​ Aplicar filtros a los datos

Puedes aplicar múltiples filtros y exclusiones para ajustar el alcance de los datos mostrados en Network Analytics.

Los filtros afectan a todos los datos que se muestran en la página de Network Analytics.

Hay dos formas de filtrar los datos de Network Analytics: utilizar el botón Añadir filtro o hacer clic en uno de los filtros de estadísticas.

​​ Usar el botón Añadir filtro

Haz clic en el botón Añadir filtro para abrir la ventana emergente Nuevo filtro. Especifica un campo, un operador y un valor para completar la expresión de filtro. Pulsa Aplicar para actualizar la vista.

Al aplicar los filtros, ten en cuenta lo siguiente:

  • Los caracteres comodín no son compatibles.
  • No necesitas entrecomillar valores.
  • Cuando especifiques un número de aviso de envío por adelantado (ASN), no incluyas el prefijo AS. Por ejemplo, introduce 1423 en lugar de AS1423.

​​ Utilizar un filtro de estadísticas

Para filtrar en función del tipo de datos asociados con una de las estadísticas de Network Analytics, utiliza los botones Filtrar y Excluir que se muestran al desplazar el puntero sobre la estadística. 

En este ejemplo, al hacer clic en el botón Filtrar se reduce el alcance de la vista a solo el tráfico asociado con la acción Permitir.

​​ Crear una regla de firewall mágico a partir de los filtros aplicados

Puedes crear una regla Magic Firewall que bloquee todo el tráfico que coincida con los filtros seleccionados en Network Analytics. Los filtros admitidos actualmente son:

  • IP de destino
  • Protocolo
  • Centro de datos de origen
  • IP de origen
  • Marca de TCP

Otros tipos de filtros de Network Analytics no se añadirán a la nueva definición de reglas. Sin embargo, puedes configurar aún más la regla en Magic Firewall.

Haz lo siguiente:

1. Aplica uno o más filtros en Network Analytics.

2. Haz clic en Crear regla de firewall mágico

Creación de un enlace de regla de cortafuegos en Network Analytics

Aparecerá el editor de reglas de firewall mágico con los filtros y valores seleccionados.

3. Revisa la definición de regla en el editor de reglas de firewall mágico.

Haz clic en Añadir.

​​ Campos, operadores y valores compatibles 

La siguiente tabla muestra los campos, los operadores y los valores que puedes utilizar para filtrar Network Analytics.

CampoOperadoresValor
Acción

|

Equivale

No equivale

|

- Permitir: se permite el tráfico a través de los sistemas automatizados de protección DDoS de Cloudflare. También puede incluir el tráfico mitigado por las reglas de firewall, flowtrackd y reglas de capa 7.

- Bloquear: el tráfico es bloqueado por los sistemas automatizados de protección DDoS de Cloudflare.

- Seguimiento de conexión: se aplica exclusivamente a la capa 7, ya que Magic Transit está excluido del ámbito de aplicación y nunca se ejecuta el seguimiento de conexión para los prefijos de Magic Transit.

- Limitación de velocidad: se puede aplicar por IP de origen, subred o cualquier conexión. La decisión se toma mediante programación basándose en la tecnología heurística.

- Supervisión: ataques que han sido identificados, pero que solo se ha optado por observar y no mitigar con reglas.

| |

Id. de ataque

|

Equivale

No equivale

|

Número de ataque

| |

Tipo de ataque

|

Equivale

No equivale

|

Ataque de inundación UDP

Ataque de inundación SYN

Ataque de inundación ACK

Ataque de inundación RST

Ataque de inundación LDAP

Ataque de inundación marca de TCP

Ataque de inundación FIN

Ataque de inundación GRE

Ataque de inundación ICMP

| |

IP de destino

|

Equivale

No equivale

|

Dirección IP

| |

Puerto de destino

|

Equivale

No equivale

Mayor que

Mayor o igual que

Menor que

Menor o igual que

|

Número de puerto

Intervalo de puertos

| |

Rango de IP de destino

|

Equivale

No equivale

|

Rango y máscara de IP

| |

Versión de IP

|

Equivale

No equivale

|

4 o 6

| |

Protocolo

|

Equivale

No equivale

|

TCP

UDP

ICMP

GRE

| |

ASN de origen

|

Equivale

No equivale

|

Número de AS

| |

País de origen

|

Equivale

No equivale

|

Nombre de país

| |

Centro de datos de origen

|

Equivale

No equivale

|

Ubicación del centro de datos

| |

IP de origen

|

Equivale

No equivale

|

Dirección IP

| |

Puerto de origen

|

Equivale

No equivale

Mayor que

Mayor o igual que

Menor que

Menor o igual que

|

Número de puerto

Intervalo de puertos

| |

Marca de TCP

|

Equivale

No equivale

Incluye

|

SYN, SYN-ACK, FIN, ACK, RST

|


​​ Seleccionar una dimensión para trazar

Puedes trazar los datos de Network Analytics a lo largo de una variedad de dimensiones. Por defecto, Network Analytics muestra los datos desglosados por acción.

Selecciona una de las pestañas de Resumen para ver los datos con una dimensión diferente.

Visualización de datos en distintas dimensiones

Puedes elegir entre estas opciones:

  • Acción
  • Tipo de ataque
  • IP de destino
  • Puerto de destino
  • Versión de IP
  • Protocolo
  • ASN de origen
  • País de origen
  • Centro de datos de origen
  • IP de origen
  • Puerto de origen
  • Marca de TCP

​​ Compartir los filtros de Network Analytics 

Cuando añades filtros y especificas un intervalo de tiempo en Network Analytics, la URL del panel de Cloudflare cambia para reflejar los parámetros.

Para compartir tu vista de datos, copia la URL y envíala a otros usuarios para que puedan trabajar con la misma vista.

Selección de la URL de la página de Network Analytics


​​ Ver el registro de actividad

El registro de actividad de Network Analytics muestra hasta 500 eventos del registro en el intervalo de tiempo seleccionado actualmente, con 10 resultados por página por vista de intervalo de tiempo. (La API de GraphQL Analytics no tiene esta limitación). 

Para mostrar los detalles del evento, haz clic en el widget de expansión asociado a los eventos.

​​ Configurar columnas

Para configurar qué columnas se muestran en el registro de actividad, haz clic en el botón Editar columnas

Esta opción es especialmente interesante cuando quieres identificar un ataque DDoS, durante el cual puedes especificar los atributos que desees, como las direcciones IP, la tasa de bits máxima y el Id. del ataque, entre otros.

​​ Ver elementos principales

Los paneles País de origen, Origen y Destino muestran los elementos principales de cada vista.

Para seleccionar el número de elementos que se van a mostrar, utiliza la lista desplegable asociada con la vista.

Para ver los principales centros de datos, selecciona Centro de datos en la lista desplegable de la vista País de origen. La vista Centro de datos de origen reemplaza a la vista País de origen.


​​ Exportar datos de registro e informes

​​ Exportar los datos del registro de actividades 

Puedes exportar simultáneamente hasta 500 eventos sin procesar del registro de actividad. Esta opción es útil cuando se necesita combinar y analizar los datos de Cloudflare con los datos almacenados en un sistema o base de datos independiente, como un sistema de gestión de eventos e información de seguridad (SIEM).

Para exportar los datos de registro, haz clic en Exportar.

Elige el formato CSV o JSON para representar los datos exportados. El nombre del archivo descargado reflejará el intervalo de tiempo seleccionado, utilizando este patrón:

network-analytics-attacks-[start time]-[end time].json

​​ Exportar un informe de Network Analytics 

Para imprimir o descargar un informe desde Network Analytics, sigue estos pasos:

Haz clic en Imprimir informe. La interfaz de impresión de tu navegador web muestra opciones para imprimir o guardar como PDF.


​​ Limitaciones

Actualmente, Network Analytics tiene las siguientes limitaciones:


​​ Recursos relacionados


​​ Preguntas frecuentes

​​ ¿Cuánto tiempo conserva Cloudflare los datos en el portal de Network Analytics?

Si utilizas Network Analytics v2 (NAv2), puedes consultar datos con una antigüedad de 90 días.

Network Analytics utiliza nodos GraphQL para incluir datos en flujos de IP de 1 minuto, 1 hora y 1 día. Por ejemplo, el nodo ipFlows1mGroups almacena datos con un intervalo de agregación de minutos.

Para identificar el intervalo de datos históricos que puedes consultar, mira esta tabla. Usa la columna notOlderThan como indicador del tiempo de retención.

| Nodo de datos GraphQL

|

maxDuration*

|

notOlderThan**

|

selección de intervalo de tiempo en Network Analytics

|

Número de puntos de datos

ipFlows1mGroups

|

25 horas

|

30 días

|

30 minutos

|

30

| |

6 horas

|

71

| |

12 horas

|

48

| |

24 horas

|

96

| |

ipFlows1dGroups

|

6 meses

|

1 año

|

1 semana

|

168

| |

1 mes

|

30

|

*maxDuration delimita la franja horaria que puede solicitarse en una consulta (varía según el nodo de datos).

**notOlderThan limita cuánto puede retroceder en el tiempo la consulta en el registro. Es indicativo del tiempo que permanecen los datos en nuestra base de datos. 

Cuando trabajes con los registros de ataques en el panel de control, ten en cuenta lo siguiente:

  • Los registros de los ataques se almacenan con marcas de tiempo de inicio y fin, estadísticas de paquetes y bits para la tasa de datos mínima, máxima y media, así como los totales, el tipo de ataque y la acción realizada. 
  • Las direcciones IP de origen se consideran información de identificación personal. Por lo tanto, Cloudflare solo los almacena durante 30 días. Después de este tiempo, las direcciones IP de origen se descartan y los registros se agrupan primero en grupos de 1 hora y luego en grupos de 1 día. Los resúmenes de 1 hora se almacenan 6 meses. Los resúmenes de 1 día se almacenan 1 año.

Para obtener más información sobre la consulta y el acceso a los datos de registros, consulta la página web API GraphQL Analytics

​​ ¿Por qué Network Analytics indica que la dirección IP de destino no está disponible?

La dirección IP de destino se indica como No disponible si no se incluyó en la firma en tiempo real generada por nuestros sistemas de protección contra DDoS

Para ver la dirección IP de destino, filtra por Id. de ataque y desplázate hasta la sección Destino en las listas de elementos principales. Cuando filtras por un Id. de ataque específico, todo el panel de control de Network Analytics se convierte en un informe de ataque.