Logs und Messwerte ansehen

Cloud VPN-Gateways senden Logging-Informationen an Cloud Logging und Cloud VPN-Tunnel senden Monitoring-Messwerte an Cloud Monitoring. Auf dieser Seite werden Logs und Messwerte erläutert und wie Sie diese aufrufen können.

Zur Überwachung der VPN-Tunnel-Nutzung können Sie Benachrichtigungen zur Bandbreite des VPN-Tunnels definieren. Diese Monitoring-Methode wird für Produktionsarbeitslasten empfohlen.

Logs ansehen

Cloud VPN-Gateways senden bestimmte Logs an Cloud Logging. Cloud VPN-Logeinträge enthalten hilfreiche Informationen für das Monitoring und die Fehlerbehebung bei Ihren VPN-Tunneln. Beispiele:

Allgemeine Informationen, die in Google Cloud-Logs angezeigt werden, wie Wichtigkeit, Projekt-ID, Projektnummer und Zeitstempel.
Andere Informationen, die je nach Logeintrag unterschiedlich sind.

Eine Liste hilfreicher Logs finden Sie unter VPN-Logs.

Console

So rufen Sie Logs für Cloud VPN auf:

Rufen Sie in der Google Cloud Console die Seite Logs-Explorer auf.

Zum Log-Explorer

VPN-Logs sind über das VPN-Gateway indexiert, von dem sie erstellt wurden:
- Zum Aufrufen aller VPN-Logs wählen Sie im ersten Drop-down-Menü Cloud VPN-Gateway aus und klicken Sie auf Alle gateway_id.
- Zum Aufrufen von Logs für nur ein Gateway wählen Sie einen einzelnen Gateway-Namen aus dem Menü aus.
boolean Logfelder werden normalerweise nur angezeigt, wenn sie den Wert true haben. Wenn ein boolesches Feld einen Wert false hat, erscheint dieses Feld nicht im Log.
Für Logfelder wird eine UTF-8-Codierung erzwungen. Zeichen, bei denen es sich nicht um UTF-8-Zeichen handelt, werden durch Fragezeichen ersetzt.

Logs weiterleiten

Sie können für die Cloud VPN-Ressourcenlogs das Routing von logbasierten Logging-Messwerten konfigurieren.

Cloud Logging speichert Cloud VPN-Logs nur für 30 Tage. Wenn Sie Ihre Logs länger aufbewahren möchten, müssen Sie sie weiterleiten. Sie können Cloud VPN-Logs zur Analyse in Pub/Sub oder BigQuery weiterleiten.

Messwerte aufrufen

Mit Cloud Monitoring können Sie Messwerte aufrufen und Benachrichtigungen in Verbindung mit Ihren VPN-Tunneln erstellen.

Zusätzlich zu den vordefinierten Dashboards in Cloud Monitoring haben Sie die Möglichkeit, mit der Monitoring API oder mit der Google Cloud Console benutzerdefinierte Dashboards zu erstellen, Benachrichtigungen einzurichten und Messwerte abzurufen.

Monitoring-Dashboards aufrufen

In den folgenden Abschnitten werden die verschiedenen Möglichkeiten zum Aufrufen von Monitoring-Dashboards für Cloud VPN erläutert.

Messwerte in der Monitoring-VPN-Ressource aufrufen

Console

So rufen Sie die Messwerte einer überwachten Ressource mit der Monitoring-VPN-Ressource auf:

Rufen Sie in der Google Cloud Console die Seite Monitoring auf.

Zu Monitoring
Wenn im Navigationsbereich von Monitoring Ressourcen angezeigt wird, wählen Sie erst Ressourcen und dann VPN aus. Um das Dashboard für ein bestimmtes Gateway aufzurufen, klicken Sie auf dessen Namen in der Liste.
Alternativ können Sie auch Dashboards und dann das Dashboard mit dem Namen VPN auswählen. In der Karte Inventar finden Sie eine Liste der VPNs. Um das Dashboard für ein bestimmtes Gateway aufzurufen, klicken Sie in der Liste auf dessen Namen.

Messwerte in Metrics Explorer aufrufen

Console

So rufen Sie mit dem Metrics Explorer die Messwerte für eine überwachte Ressource auf:

Rufen Sie in der Google Cloud Console die Seite Metrics Explorer auf:
Zum Metrics Explorer

Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.
Maximieren Sie im Element Messwert das Menü Messwert auswählen, geben Sie Cloud VPN in die Filterleiste ein und wählen Sie dann über die Untermenüs einen bestimmten Ressourcentyp und Messwert aus:
1. Wählen Sie im Menü Aktive Ressourcen die Option Cloud VPN aus. Dieser Ressourcentyp ist entweder für klassische VPN-Gateways oder für HA VPN-Gateways gültig.
2. Einen Messwert wählen Sie in den Menüs Aktive Messwertkategorien und Aktive Messwerte aus. Eine vollständige Liste der Messwerte finden Sie unter Liste der Cloud VPN-Messwerte.
3. Klicken Sie auf Anwenden.
Verwenden Sie das Element Filter, um Zeitreihen aus der Anzeige zu entfernen.
Verwenden Sie zum Kombinieren von Zeitreihen die Menüs im Element Aggregation. Wenn Sie beispielsweise die CPU-Auslastung für Ihre VMs basierend auf ihrer Zone anzeigen möchten, legen Sie das erste Menü auf Mittelwert und das zweite Menü auf Zone fest.

Alle Zeitreihen werden angezeigt, wenn das erste Menü des Elements Aggregation auf Nicht aggregiert gesetzt ist. Die Standardeinstellungen für das Element Aggregation werden durch den ausgewählten Messwerttyp bestimmt.
Gehen Sie für Kontingente und andere Messwerte, die eine Stichprobe pro Tag melden, so vor:
1. Legen Sie im Bereich Anzeige den Widget-Typ auf Gestapeltes Balkendiagramm fest.
2. Legen Sie als Zeitraum mindestens eine Woche fest.

Messwerte aus einem VPN-Tunnel aufrufen

Sie können auch Messwerte in der Google Cloud Console aufrufen, indem Sie auf den Tab Monitoring für einen Tunnel klicken. Auf diesem Tab sind verschiedene Zeitachsengrafiken enthalten.

Monitoring-Benachrichtigungen definieren

Console

Sie können Benachrichtigungsrichtlinien erstellen, um Messwerte zu beobachten und sich informieren zu lassen, wenn diese gegen eine Bedingung verstoßen.

Rufen Sie in der Google Cloud Console die Seite Benachrichtigungen auf:
Zu Benachrichtigungen

Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.
Wenn Sie keine Benachrichtigungskanäle erstellt haben und Benachrichtigungen erhalten möchten, klicken Sie auf Benachrichtigungskanäle bearbeiten und fügen Sie Benachrichtigungskanäle hinzu. Kehren Sie nach dem Hinzufügen der Kanäle zur Seite Benachrichtigungen zurück.
Klicken Sie auf der Seite Benachrichtigungen auf Richtlinie erstellen.
Maximieren Sie zum Auswählen des Messwerts das Menü Messwert auswählen und gehen Sie dann so vor:
1. Um das Menü auf relevante Einträge zu beschränken, geben Sie in die Filterleiste Cloud VPN gateway ein. Wenn nach dem Filtern des Menüs keine Ergebnisse angezeigt werden, deaktivieren Sie die Option Nur aktive Ressourcen und Messwerte anzeigen.
2. Wählen Sie als Ressourcentyp Cloud VPN-Gateway aus.
3. Wählen Sie eine Messwertkategorie und einen Messwert aus und klicken Sie dann auf Übernehmen.
Klicken Sie auf Next (Weiter).
Die Einstellungen auf der Seite Benachrichtigungstrigger konfigurieren bestimmen, wann die Benachrichtigung ausgelöst wird. Wählen Sie einen Bedingungstyp aus und geben Sie ggf. einen Schwellenwert an. Weitere Informationen finden Sie unter Benachrichtigungsrichtlinien mit Messwertschwellen erstellen.
Klicken Sie auf Next (Weiter).
Optional: Klicken Sie auf Benachrichtigungskanäle, um Benachrichtigungen zu Ihrer Benachrichtigungsrichtlinie hinzuzufügen. Wählen Sie im Dialogfeld einen oder mehrere Benachrichtigungskanäle aus dem Menü aus und klicken Sie dann auf OK.
Optional: Aktualisieren Sie die Dauer bis zur automatischen Schließung von Vorfällen. Dieses Feld bestimmt, wann Monitoring Vorfälle ohne Messwertdaten schließt.
Optional: Klicken Sie auf Dokumentation und geben Sie alle Informationen ein, die in einer Benachrichtigung angezeigt werden sollen.
Klicken Sie auf Name der Benachrichtigung und geben Sie einen Namen für die Benachrichtigungsrichtlinie ein.
Klicken Sie auf Richtlinie erstellen.

Weitere Informationen finden Sie unter Benachrichtigungen.

Benachrichtigungen zur Bandbreite des VPN-Tunnels definieren

Um Benachrichtigungsrichtlinien für die unter Netzwerkbandbreite festgelegten Byte pro Sekunde (Byte/s) und für die Pakete pro Sekunde (PPS) zu erstellen, verwenden Sie die Monitoring Query Language (MQL).

Folgen Sie beim Eingeben der Abfragen der Anleitung unter MQL-Benachrichtigungsrichtlinien erstellen (Konsole) und prüfen Sie die folgenden Beispiele.

Für Konfigurationen mit Aktiv/Aktiv-Tunneln, die die Standardeinstellung sind, empfiehlt Google, für Ihre VPN-Tunnel einen Nutzungsschwellenwert von 50% festzulegen. Durch Festlegen von 50 % Benachrichtigungsrichtlinien für die Bandbreitennutzung Ihres VPN-Tunnels wird sichergestellt, dass im Falle eines Tunnel-Failovers ausreichende Kapazitäten vorhanden sind.

Abfrage für Byte/s: Diese Beispielabfrage benachrichtigt Sie, wenn die Summe von sent_bytes_count und received_bytes_count 50 % des Limits von 3 Gbit/s (375 Mbit/s) für einen bestimmten VPN-Tunnel überschreitet. "MBy" legt Megabyte als Maßeinheit fest. Der Wert von 187.5 "MBy" wird automatisch auf den Vergleich mit val() mit der Einheit "Bytes" skaliert. Die Ausrichtungsrate sollte entsprechend skaliert werden, um die erforderlichen Daten zu erfassen. Sie kann auf mindestens eine Sekunde (1 s) eingestellt und hochskaliert werden, wenn mehr Stichprobenpunkte über einen längeren Zeitraum von Tagen benötigt werden.
```
fetch vpn_gateway
| { metric vpn.googleapis.com/network/sent_bytes_count
; metric vpn.googleapis.com/network/received_bytes_count }
| align rate (1m)
| filter (metric.tunnel_name == 'TUNNEL_NAME')
| outer_join 0,0
| value val(0) + val(1)
| condition val() > 187.5 "MBy/s"
```

Abfrage für PPS: Diese Beispielabfrage benachrichtigt Sie, wenn die Summe von sent_packets_count und received_packets_count 50 % der maximalen empfohlenen Paketrate von 250.000 PPS für einen bestimmten VPN-Tunnel überschreitet.

fetch vpn_gateway
| { metric vpn.googleapis.com/network/sent_packets_count
; metric vpn.googleapis.com/network/received_packets_count }
| align rate (1m)
| filter (metric.tunnel_name == 'TUNNEL_NAME')
| outer_join 0,0
| value val(0) + val(1)
| condition val() > 125000 "{packets}/s"

Weitere Informationen zu MQL finden Sie unter Einführung in Monitoring Query Language.

Benutzerdefinierte Monitoring-Dashboards definieren

Console

So erstellen Sie benutzerdefinierte Monitoring-Dashboards über Cloud VPN-Messwerte:

Rufen Sie in der Google Cloud Console die Seite Monitoring auf.

Zu Monitoring
Klicken Sie im Monitoring-Navigationsbereich auf Dashboards und dann auf Dashboard erstellen.
Der Schieberegler für Bearbeiten muss sich in der Position Ein befinden.
Klicken Sie in der Diagrammbibliothek auf das Widget, das Sie dem Dashboard hinzufügen möchten. Sie können das Widget auch aus der Bibliothek in den Grafikbereich ziehen.
Konfigurieren Sie das Widget in dessen Konfigurationsbereich. Dieser wird angezeigt, wenn das Dashboard bearbeitet werden kann und das Widget ausgewählt ist.
Klicken Sie zum Aktivieren der Diagrammbibliothek in der Symbolleiste des Dashboards auf Diagramm hinzufügen. Wiederholen Sie die vorherigen Schritte für jedes Widget, das Sie dem Dashboard hinzufügen möchten.
Wählen Sie Messwerte und Filter aus. Bei Messwerten lautet der Ressourcentyp Cloud VPN-Gateway.

Weitere Informationen zum Konfigurieren des Widgets finden Sie unter Dashboard-Widget hinzufügen.

Weitere Informationen zum Einrichten benutzerdefinierter Dashboards erhalten Sie unter Benutzerdefinierte Dashboards verwalten.

Monitoring-Messwerte für Cloud VPN ansehen

Die folgenden Messwerte für Cloud VPN werden an Monitoring gemeldet. Messwerte, die keine einzelnen Ereignisse sind, beziehen sich auf das Zeitintervall.

Den Strings vom Typ "metric type" in dieser Tabelle muss vpn.googleapis.com/ vorangestellt werden. Dieses Präfix wurde in den Einträgen der Tabelle weggelassen. Verwenden Sie beim Abfragen eines Labels das Präfix metric.labels.. Beispiel: metric.labels.LABEL="VALUE".

Messwerttyp ^Startphase Anzeigename
Art, Typ, Einheit Überwachte Ressourcen	Beschreibung Labels
`gateway/connections` ^GA Anzahl der Verbindungen
`GAUGE`, `INT64`, `1` vpn_gateway	Gibt die Anzahl der HA-Verbindungen pro VPN-Gateway an. Alle 60 Sekunden wird eine Stichprobe erstellt. Nach der Stichprobe werden bis zu 60 Sekunden keine Daten angezeigt. `configured_for_sla`: (BOOL) Gibt an, ob die HA-Verbindung für das SLA vollständig konfiguriert ist. `gcp_service_health`: (BOOL) Gibt an, ob die Google Cloud-Seite der HA-Verbindung vollständig funktionsfähig ist. `end_to_end_health`: (BOOL) Gibt an, ob die HA-Verbindung durchgehend funktionsfähig ist.
`network/dropped_received_packets_count` ^GA Eingehende Pakete wurden verworfen
`DELTA`, `INT64`, `1` vpn_gateway	Eingehende Pakete (von Peer-VPN empfangen), die für den Tunnel verworfen wurden. Alle 60 Sekunden wird eine Stichprobe erstellt. Nach der Stichprobe werden bis zu 180 Sekunden lang keine Daten angezeigt. `tunnel_name` ist der Name des Tunnels. `gateway_name` ist der Name des Gateways, das den Tunnel verwaltet.
`network/dropped_sent_packets_count` ^GA Ausgehende Pakete wurden verworfen
`DELTA`, `INT64`, `1` vpn_gateway	Ausgehende Pakete (an Peer-VPN-weitergeleitet), die für den Tunnel verworfen wurden. Alle 60 Sekunden wird eine Stichprobe erstellt. Nach der Stichprobe werden bis zu 180 Sekunden lang keine Daten angezeigt. `tunnel_name` ist der Name des Tunnels. `gateway_name` ist der Name des Gateways, das den Tunnel verwaltet.
`network/received_bytes_count` ^GA Eingehende Byte
`DELTA`, `INT64`, `By` vpn_gateway	Eingehende Byte (von Peer-VPN empfangen) für den Tunnel. Alle 60 Sekunden wird eine Stichprobe erstellt. Nach der Stichprobe werden bis zu 180 Sekunden lang keine Daten angezeigt. `tunnel_name` ist der Name des Tunnels. `gateway_name` ist der Name des Gateways, das den Tunnel verwaltet.
`network/received_packets_count` ^GA Empfangene Pakete
`DELTA`, `INT64`, `{packets}` vpn_gateway	Eingehende Pakete (von Peer-VPN empfangen) für den Tunnel. Alle 60 Sekunden wird eine Stichprobe erstellt. Nach der Stichprobe werden bis zu 60 Sekunden keine Daten angezeigt. `status`: Bereitstellungsstatus, z. B. [erfolgreich, überschritten, gedrosselt]. `tunnel_name` ist der Name des Tunnels.
`network/sent_bytes_count` ^GA Gesendete Byte
`DELTA`, `INT64`, `By` vpn_gateway	Ausgehende Byte (zu Peer-VPN weitergeleitet) für den Tunnel. Alle 60 Sekunden wird eine Stichprobe erstellt. Nach der Stichprobe werden bis zu 180 Sekunden lang keine Daten angezeigt. `tunnel_name` ist der Name des Tunnels. `gateway_name` ist der Name des Gateways, das den Tunnel verwaltet.
`network/sent_packets_count` ^GA Gesendete Pakete
`DELTA`, `INT64`, `{packets}` vpn_gateway	Ausgehende Pakete (zu Peer-VPN weitergeleitet) für den Tunnel. Alle 60 Sekunden wird eine Stichprobe erstellt. Nach der Stichprobe werden bis zu 60 Sekunden keine Daten angezeigt. `status`: Bereitstellungsstatus, z. B. [erfolgreich, überschritten, gedrosselt]. `tunnel_name` ist der Name des Tunnels.
`tunnel_established` ^GA Tunnel eingerichtet
`GAUGE`, `DOUBLE`, `1` vpn_gateway	Gibt an, dass die Tunneleinrichtung erfolgreich war, wenn der Wert größer als 0 ist. Alle 60 Sekunden wird eine Stichprobe erstellt. Nach der Stichprobe werden bis zu 180 Sekunden lang keine Daten angezeigt. `tunnel_name` ist der Name des Tunnels. `gateway_name` ist der Name des Gateways, das den Tunnel verwaltet.
`vpn_tunnel/gateway_ip_version` ^GA Gateway-IP-Version
`GAUGE`, `BOOL`, vpn_tunnel	Die IP-Version des HA VPN-Gateways. Alle 60 Sekunden wird eine Stichprobe erstellt. Nach der Stichprobe werden bis zu 60 Sekunden keine Daten angezeigt. `gateway_ip_version`: Die IP-Version des HA VPN-Gateways.

Die Tabelle wurde am 27.06.2024 um 18:22:22 Uhr (UTC) erstellt.

Messwerte für HA-Verbindungsstatus ansehen

Die folgenden Messwerte geben an, ob die Verbindung für ein HA VPN-Gateway fehlerfrei ist und ob ihre Konfiguration das SLA von 99,99 % erfüllt.

Wenn Sie beim Erstellen eines Diagramms den Ressourcentyp mit Cloud VPN-Gateway und den Messwert mit Anzahl der Verbindungen angeben, sind diese Labels im Feld Filter enthalten. Weitere Informationen finden Sie unter Messwerte, Filter und Aggregation.

Status	Beschreibung
`configured_for_sla`	Gibt an, ob die HA-Verbindung vollständig konfiguriert wurde. Das bedeutet, dass die Verbindung die erforderliche Anzahl von Tunneln enthält und ordnungsgemäß mit einem Cloud Router verbunden ist.
`gcp_service_health`	Gibt an, ob die HA-Verbindung auf der Google Cloud-Seite ordnungsgemäß funktioniert. Beispielsweise ist der Tunnel zugewiesen.
`end_to_end_health`	Gibt an, ob Pakete innerhalb der HA-Verbindung erfolgreich gesendet und empfangen werden.

Messwerte in Netzwerktopologie ansehen

Sie können Netzwerktopologie verwenden, um Ihre Netzwerkkonfiguration zu prüfen und Netzwerkprobleme zu beheben.

Netzwerktopologie blendet Durchsatzwerte zu jeder Verbindung ein. Mit diesem Feature können Sie schnell die Menge an Traffic sehen, der zwischen Entitäten übertragen wird, z. B. der Traffic, der die VPN-Tunnel zwischen Google Cloud und dem lokalen Netzwerk durchläuft.

Informationen zu den unterstützten Messwerten für jede Verbindung finden Sie in der Referenz zu Messwerten.

Die Messwerte basieren auf den letzten fünf Minuten der aktuell ausgewählten Stunde. Sie können auch bisherige Messwerte für sechs Wochen aufrufen, indem Sie auf einen der Edges klicken.

Weitere Informationen finden Sie unter Datenerfassung und -aktualität.

Console

Rufen Sie in der Google Cloud Console die Seite Netzwerktopologie auf.
Zur Seite "Netzwerktopologie"
Wählen Sie im Bereich der Entitätenauswahl einen Messwert aus dem Drop-down-Menü Edge-Messwert aus.
Wechseln Sie zu einer bestimmten Entitätshierarchie, damit der mit dieser Entität verbundene Traffic angezeigt wird.

Wenn Sie sich beispielsweise die Trafficbandbreite für den VPN-Tunnel zwischen Google Cloud und dem lokalen Netzwerk ansehen möchten, maximieren Sie die Entitäten, bis die Verbindung für den VPN-Tunnel sichtbar ist.
Klicken Sie auf die Entität, um alle ihre Trafficpfade hervorzuheben.

Netzwerktopologie zeigt Messwerte für jede Verbindung an, die den derzeit ausgewählten Messwert unterstützt.

Gründe für das Verwerfen

Wenn ein Cloud VPN-Gateway ein Paket verwirft, gibt das Gateway einen Grund dafür an.

Grund	Beschreibung	Trafficquelle
`dont_fragment_icmp`	Das verworfene Paket war ein ICMP-Paket, das größer als die MTU mit dem Bit `do not fragment` war. Diese Pakete werden für `path-mtu-discovery` verwendet.	Google Cloud-VM
`exceeds_mtu`	Das erste Fragment eines ausgehenden UDP- oder ESP-Pakets ist größer als die MTU und hat das `do not fragment`-Bit.	Google Cloud-VM
`dont_fragment_nonfirst_fragment`	Ein Fragment eines ausgehenden UDP- oder ESP-Pakets, das nicht das erste Fragment und größer als die MTU ist und das `do not fragment`-Bit hat.	Google Cloud-VM
`Sent packets::invalid`	Das Paket war ungültig oder beschädigt. Das Paket hat z. B. möglicherweise einen ungültigen IP-Header.	Google Cloud-VM
`Sent packets::throttled`	Das Paket wurde aufgrund einer zu hohen Belastung auf dem Cloud VPN-Gateway verworfen.	Google Cloud-VM
`fragment_received`	Ein vom Peer gesendetes fragmentiertes Paket wurde empfangen.	Peer-VPN-Gateway
`sequence_number_lost`	Ein Paket mit einer höheren als der erwarteten Sequenznummer ist am Gateway eingegangen, was darauf hinweist, dass ein Paket mit einer früheren Sequenznummer verworfen wurde.	Peer-VPN-Gateway
`suspected_replay`	Ein ESP-Paket mit bereits empfangener Sequenznummer wurde empfangen.	Peer-VPN-Gateway
`Received packets::invalid`	Das Paket war ungültig oder beschädigt. Das Paket hat z. B. möglicherweise einen ungültigen IP-Header.	Peer-VPN-Gateway
`Received packets::throttled`	Das Paket wurde aufgrund einer zu hohen Belastung auf dem Cloud VPN-Gateway verworfen.	Peer-VPN-Gateway
`sa_expired`	Es ist ein Paket mit unbekannter Security Association (SA) eingegangen. Dies kann auf die Verwendung einer SA zurückzuführen sein, die bereits abgelaufen ist oder nie ausgehandelt wurde.	Peer-VPN-Gateway
`unknown`	Das Paket wurde verworfen, aber das Gateway kann den Fehler nicht einordnen.	Beides

Nächste Schritte

Weitere Informationen zum Monitoring finden Sie unter Cloud Monitoring.
Weitere Informationen zum Erfassen von Logs und zum Konfigurieren von Senken für Cloud VPN erhalten Sie unter Cloud Logging.
Informationen zur Behebung häufiger Probleme bei der Verwendung von Cloud VPN finden Sie unter Fehlerbehebung.