Logs und Messwerte ansehen

Cloud VPN-Gateways senden Logging-Informationen an Cloud Logging und Cloud VPN-Tunnel senden Monitoring-Messwerte an Cloud Monitoring. Auf dieser Seite werden Logs und Messwerte erläutert und wie Sie diese aufrufen können.

Logs ansehen

Cloud VPN-Gateways senden bestimmte Logs an Cloud Logging. Cloud VPN-Logeinträge enthalten hilfreiche Informationen für das Monitoring und die Fehlerbehebung bei Ihren VPN-Tunneln. Beispiele:

  • Allgemeine Informationen, die in Google Cloud-Logs angezeigt werden, wie Wichtigkeit, Projekt-ID, Projektnummer und Zeitstempel.
  • Andere Informationen, die je nach Logeintrag unterschiedlich sind.

Eine Liste hilfreicher Logs finden Sie unter VPN-Logs.

Console

So rufen Sie Logs für Cloud VPN auf:

  • Rufen Sie in der Google Cloud Console die Seite Logs-Explorer auf.

    Zum Log-Explorer

    VPN-Logs sind über das VPN-Gateway indexiert, von dem sie erstellt wurden:

    • Zum Aufrufen aller VPN-Logs wählen Sie im ersten Drop-down-Menü Cloud VPN-Gateway aus und klicken Sie auf Alle gateway_id.
    • Zum Aufrufen von Logs für nur ein Gateway wählen Sie einen einzelnen Gateway-Namen aus dem Menü aus.
  • Boolesche Logfelder werden normalerweise nur angezeigt, wenn sie den Wert true haben. Wenn ein boolesches Feld einen Wert false hat, erscheint dieses Feld nicht im Log.

  • Für Logfelder wird eine UTF-8-Codierung erzwungen. Zeichen, bei denen es sich nicht um UTF-8-Zeichen handelt, werden durch Fragezeichen ersetzt.

Export von Logs

Sie können für die Cloud VPN-Ressourcenlogs den Export von logbasierten Logging-Messwerten konfigurieren.

Cloud Logging speichert Cloud VPN-Logs nur für 30 Tage. Wenn Sie Ihre Logs länger aufbewahren möchten, müssen Sie sie exportieren. Sie können Cloud VPN-Logs für die Analyse in Pub/Sub oder BigQuery exportieren.

Messwerte ansehen

Mit Cloud Monitoring können Sie Messwerte aufrufen und Benachrichtigungen in Verbindung mit Ihren VPN-Tunneln erstellen.

Zusätzlich zu den vordefinierten Dashboards in Cloud Monitoring haben Sie die Möglichkeit, mit der Monitoring API oder mit der Cloud Console benutzerdefinierte Dashboards zu erstellen, Benachrichtigungen einzurichten und Messwerte abzurufen.

Monitoring-Dashboards aufrufen

In den folgenden Abschnitten werden die verschiedenen Möglichkeiten zum Aufrufen von Monitoring-Dashboards für Cloud VPN erläutert.

Messwerte in der Monitoring-VPN-Ressource aufrufen

Console

So rufen Sie die Messwerte einer überwachten Ressource mit der Monitoring-VPN-Ressource auf:

  1. Rufen Sie in der Google Cloud Console die Seite Monitoring auf.

    Zu Monitoring

  2. Wenn im Navigationsbereich von Monitoring Ressourcen angezeigt wird, wählen Sie erst Ressourcen und dann VPN aus. Um das Dashboard für ein bestimmtes Gateway aufzurufen, klicken Sie auf dessen Namen in der Liste.

  3. Alternativ können Sie auch Dashboards und dann das Dashboard mit dem Namen VPN auswählen. In der Karte Inventar finden Sie eine Liste der VPNs. Um das Dashboard für ein bestimmtes Gateway aufzurufen, klicken Sie in der Liste auf dessen Namen.

Messwerte in Metrics Explorer aufrufen

Console

So rufen Sie mit dem Metrics Explorer die Messwerte für eine überwachte Ressource auf:

  1. Rufen Sie in der Google Cloud Console die Seite Monitoring auf.

    Zu Monitoring

    Wenn Sie Cloud Monitoring noch nie verwendet haben, wird beim ersten Zugriff auf Monitoring in der Google Cloud Console automatisch ein Arbeitsbereich erstellt und Ihr Projekt mit diesem Arbeitsbereich verknüpft. Wenn Ihr Projekt nicht mit einem Arbeitsbereich verknüpft ist, wird ein Dialogfeld angezeigt, in dem Sie entweder einen Arbeitsbereich erstellen oder dieses Projekt zu einem vorhandenen Arbeitsbereich hinzufügen können. Wir empfehlen, einen Arbeitsbereich zu erstellen. Klicken Sie nach der Auswahl auf Hinzufügen.

  2. Klicken Sie im Navigationsbereich von Monitoring auf Metrics Explorer.
  3. Prüfen Sie, ob der Tab Messwert ausgewählt ist.
  4. Treffen Sie im Feld Ressourcentyp und Messwert finden Ihre Auswahl über das Menü oder geben Sie den Namen für die Ressource und den Messwert ein. Verwenden Sie die folgenden Informationen, um die Felder auszufüllen:
    1. Geben Sie Cloud VPN als Ressource ein oder wählen Sie es aus. Dieser Ressourcentyp ist entweder für klassische VPN-Gateways oder für HA VPN-Gateways gültig.
    2. Geben Sie einen Messwertnamen aus der Liste der Cloud VPN-Messwerte ein oder wählen Sie einen Messwert aus, der im Menü angezeigt wird.
  5. Mit den Menüs Filter, Gruppieren nach und Aggregator können Sie die Darstellung der Daten ändern. Sie können beispielsweise nach Ressourcen- oder Messwertlabels gruppieren. Weitere Informationen finden Sie unter Messwerte auswählen.

Messwerte aus einem VPN-Tunnel aufrufen

Sie können auch Messwerte in der Cloud Console aufrufen. Dazu klicken Sie für einen Tunnel auf den Tab Monitoring. Auf diesem Tab sind verschiedene Zeitachsengrafiken enthalten.

Monitoring-Benachrichtigungen definieren

Console

Sie können Benachrichtigungsrichtlinien erstellen, um Messwerte zu beobachten und sich informieren zu lassen, wenn diese gegen eine Bedingung verstoßen.

So erstellen Sie eine Benachrichtigungsrichtlinie, die eine oder mehrere Cloud VPN-Gateway-Ressourcen überwacht:

  1. Rufen Sie in der Google Cloud Console die Seite Monitoring auf.

    Zu Monitoring

    Wenn Sie Cloud Monitoring noch nie verwendet haben, wird beim ersten Zugriff auf Monitoring in der Google Cloud Console automatisch ein Arbeitsbereich erstellt und Ihr Projekt mit diesem Arbeitsbereich verknüpft. Wenn Ihr Projekt nicht mit einem Arbeitsbereich verknüpft ist, wird ein Dialogfeld angezeigt, in dem Sie entweder einen Arbeitsbereich erstellen oder dieses Projekt zu einem vorhandenen Arbeitsbereich hinzufügen können. Wir empfehlen, einen Arbeitsbereich zu erstellen. Klicken Sie nach der Auswahl auf Hinzufügen.

  2. Wählen Sie im Navigationsbereich für das Monitoring Benachrichtigungen und dann Richtlinie erstellen aus.
  3. Klicken Sie auf Bedingung hinzufügen:
    1. Die Einstellungen im Bereich Ziel geben die Ressource und den Messwert an, die überwacht werden sollen. Wählen Sie im Feld Ressourcentyp und Messwert suchen die Ressource Cloud VPN-Gateway aus. Wählen Sie als Nächstes einen Messwert aus der Messwertliste aus.
    2. Die Einstellungen im Bereich Konfiguration der Benachrichtigungsrichtlinie geben an, wann die Benachrichtigung ausgelöst wird. Die meisten Felder in diesem Bereich sind bereits mit Standardwerten gefüllt. Weitere Informationen zu den Feldern in diesem Bereich finden Sie in der Dokumentation zu Benachrichtigungsrichtlinien unter Konfiguration.
    3. Klicken Sie auf Hinzufügen.
  4. Klicken Sie auf Weiter, um zum Abschnitt "Benachrichtigungen" zu gelangen.
  5. Optional: Klicken Sie auf Benachrichtigungskanäle, um Benachrichtigungen zu Ihrer Benachrichtigungsrichtlinie hinzuzufügen. Wählen Sie im Dialogfeld einen oder mehrere Benachrichtigungskanäle aus dem Menü aus und klicken Sie dann auf OK.

    Wenn ein hinzuzufügender Benachrichtigungskanal nicht aufgeführt ist, klicken Sie auf Benachrichtigungskanäle verwalten. Die Seite Benachrichtigungskanäle wird in einem neuen Browsertab angezeigt. Auf dieser Seite können Sie die konfigurierten Benachrichtigungskanäle aktualisieren. Wenn Sie damit fertig sind, kehren Sie zum ursprünglichen Tab zurück, klicken Sie auf Aktualisieren und wählen Sie dann die Benachrichtigungskanäle aus, die zur Benachrichtigungsrichtlinie hinzugefügt werden sollen.

  6. Klicken Sie auf Weiter, um zum Abschnitt „Dokumentation“ zu gelangen.
  7. Klicken Sie auf Name und geben Sie einen Namen für die Benachrichtigungsrichtlinie ein.
  8. Optional: Klicken Sie auf Dokumentation und tragen Sie alle Informationen ein, die in einer Benachrichtigung angezeigt werden sollen.
  9. Klicken Sie auf Speichern.
Weitere Informationen finden Sie unter Benachrichtigungen.

Benachrichtigungen zur Bandbreite des VPN-Tunnels definieren

Um Benachrichtigungsrichtlinien für die unter Netzwerkbandbreite festgelegten Byte pro Sekunde (Byte/s) und für die Pakete pro Sekunde (PPS) zu erstellen, verwenden Sie die Monitoring Query Language (MQL).

Folgen Sie beim Eingeben der Abfragen der Anleitung unter MQL-Benachrichtigungsrichtlinien erstellen (Konsole) und prüfen Sie die folgenden Beispiele:

  • Abfrage für Byte/s: Diese Beispielabfrage benachrichtigt Sie, wenn die Summe von sent_bytes_count und received_bytes_count 80 % des Limits von 3 Gbit/s (375 Mbit/s) für einen bestimmten VPN-Tunnel überschreitet. "MBy" legt Megabyte als Maßeinheit fest. Der Wert von 300 "MBy" wird automatisch auf den Vergleich mit val() mit der Einheit "Bytes" skaliert.

    fetch vpn_gateway
    | { metric vpn.googleapis.com/network/sent_bytes_count
    ; metric vpn.googleapis.com/network/received_bytes_count }
    | filter (metric.tunnel_name == 'TUNNEL_NAME')
    | outer_join 0,0
    | value val(0) + val(1)
    | condition val() > 300 "MBy"
    
  • Abfrage für PPS: Diese Beispielabfrage benachrichtigt Sie, wenn die Summe von sent_packets_count und received_packets_count 80 % der maximalen empfohlenen Paketrate von 250.000 PPS für einen bestimmten VPN-Tunnel überschreitet.

    fetch vpn_gateway
    | { metric vpn.googleapis.com/network/sent_packets_count
    ; metric vpn.googleapis.com/network/received_packets_count }
    | filter (metric.tunnel_name == 'TUNNEL_NAME')
    | outer_join 0,0
    | value val(0) + val(1)
    | condition val() > 200000
    

Weitere Informationen zu MQL finden Sie unter Einführung in Monitoring Query Language.

Benutzerdefinierte Monitoring-Dashboards definieren

Console

So erstellen Sie benutzerdefinierte Monitoring-Dashboards über Cloud VPN-Messwerte:

  1. Rufen Sie in der Google Cloud Console die Seite Monitoring auf.

    Zu Monitoring

  2. Klicken Sie im Monitoring-Navigationsbereich auf Dashboards und dann auf Dashboard erstellen.

  3. Der Schieberegler für Bearbeiten muss sich in der Position Ein befinden.

  4. Klicken Sie in der Diagrammbibliothek auf das Widget, das Sie dem Dashboard hinzufügen möchten. Sie können das Widget auch aus der Bibliothek in den Grafikbereich ziehen.

  5. Konfigurieren Sie das Widget in dessen Konfigurationsbereich. Dieser wird angezeigt, wenn das Dashboard bearbeitet werden kann und das Widget ausgewählt ist.

  6. Klicken Sie zum Aktivieren der Diagrammbibliothek in der Symbolleiste des Dashboards auf Diagramm hinzufügen. Wiederholen Sie die vorherigen Schritte für jedes Widget, das Sie dem Dashboard hinzufügen möchten.

  7. Wählen Sie Messwerte und Filter aus. Bei Messwerten lautet der Ressourcentyp Cloud VPN-Gateway.

Weitere Informationen zum Konfigurieren des Widgets finden Sie unter Widget einem Dashboard hinzufügen.

Weitere Informationen zum Einrichten benutzerdefinierter Dashboards erhalten Sie unter Benutzerdefinierte Dashboards.

Monitoring-Messwerte für Cloud VPN aufrufen

Die folgenden Messwerte für Cloud VPN werden an Monitoring gemeldet. Messwerte, die keine einzelnen Ereignisse sind, beziehen sich auf das Zeitintervall.

Den Strings vom Typ "metric type" in dieser Tabelle muss vpn.googleapis.com/ vorangestellt werden. Dieses Präfix wurde in den Einträgen der Tabelle weggelassen.

Messwerttyp Startphase
Anzeigename
Art, Typ, Einheit
Überwachte Ressourcen
Beschreibung
Labels
gateway/connections GA
Anzahl der Verbindungen
GAUGEINT641
vpn_gateway
Gibt die Anzahl der HA-Verbindungen pro VPN-Gateway an. Alle 60 Sekunden wird eine Stichprobe erstellt. Nach der Stichprobe werden bis zu 60 Sekunden keine Daten angezeigt.
configured_for_sla: (BOOL) Gibt an, ob die HA-Verbindung für das SLA vollständig konfiguriert ist.
gcp_service_health: (BOOL) Gibt an, ob die Google Cloud-Seite der HA-Verbindung vollständig funktionsfähig ist.
end_to_end_health: (BOOL) Gibt an, ob die HA-Verbindung durchgehend funktionsfähig ist.
network/dropped_received_packets_count GA
Eingehende Pakete wurden verworfen
DELTAINT641
vpn_gateway
Eingehende Pakete (von Peer-VPN empfangen), die für den Tunnel verworfen wurden. Alle 60 Sekunden wird eine Stichprobe erstellt. Nach der Stichprobe werden bis zu 180 Sekunden lang keine Daten angezeigt.
tunnel_name ist der Name des Tunnels.
gateway_name ist der Name des Gateways, das den Tunnel verwaltet.
network/dropped_sent_packets_count GA
Ausgehende Pakete wurden verworfen
DELTAINT641
vpn_gateway
Ausgehende Pakete (an Peer-VPN-weitergeleitet), die für den Tunnel verworfen wurden. Alle 60 Sekunden wird eine Stichprobe erstellt. Nach der Stichprobe werden bis zu 180 Sekunden lang keine Daten angezeigt.
tunnel_name ist der Name des Tunnels.
gateway_name ist der Name des Gateways, das den Tunnel verwaltet.
network/received_bytes_count GA
Eingehende Byte
DELTAINT64By
vpn_gateway
Eingehende Byte (von Peer-VPN empfangen) für den Tunnel. Alle 60 Sekunden wird eine Stichprobe erstellt. Nach der Stichprobe werden bis zu 180 Sekunden lang keine Daten angezeigt.
tunnel_name ist der Name des Tunnels.
gateway_name ist der Name des Gateways, das den Tunnel verwaltet.
network/received_packets_count GA
Empfangene Pakete
DELTAINT64{packets}
vpn_gateway
Eingehende Pakete (von Peer-VPN empfangen) für den Tunnel. Alle 60 Sekunden wird eine Stichprobe erstellt. Nach der Stichprobe werden bis zu 60 Sekunden keine Daten angezeigt.
status: Bereitstellungsstatus, z. B. [erfolgreich, überschritten, gedrosselt].
tunnel_name ist der Name des Tunnels.
network/sent_bytes_count GA
Gesendete Byte
DELTAINT64By
vpn_gateway
Ausgehende Byte (zu Peer-VPN weitergeleitet) für den Tunnel. Alle 60 Sekunden wird eine Stichprobe erstellt. Nach der Stichprobe werden bis zu 180 Sekunden lang keine Daten angezeigt.
tunnel_name ist der Name des Tunnels.
gateway_name ist der Name des Gateways, das den Tunnel verwaltet.
network/sent_packets_count GA
Gesendete Pakete
DELTAINT64{packets}
vpn_gateway
Ausgehende Pakete (zu Peer-VPN weitergeleitet) für den Tunnel. Alle 60 Sekunden wird eine Stichprobe erstellt. Nach der Stichprobe werden bis zu 60 Sekunden keine Daten angezeigt.
status: Bereitstellungsstatus, z. B. [erfolgreich, überschritten, gedrosselt].
tunnel_name ist der Name des Tunnels.
tunnel_established GA
Tunnel eingerichtet
GAUGEDOUBLE1
vpn_gateway
Gibt an, dass die Tunneleinrichtung erfolgreich war, wenn der Wert größer als 0 ist. Alle 60 Sekunden wird eine Stichprobe erstellt. Nach der Stichprobe werden bis zu 180 Sekunden lang keine Daten angezeigt.
tunnel_name ist der Name des Tunnels.
gateway_name ist der Name des Gateways, das den Tunnel verwaltet.

Die Tabelle wurde am 18.03.2021 um 19:23:49 UTC erstellt.

Messwerte zum Hochverfügbarkeitsstatus aufrufen

Die folgenden Messwerte geben an, ob die Verbindung für ein HA VPN-Gateway fehlerfrei ist und ob ihre Konfiguration das SLA von 99,99 % erfüllt.

Wenn Sie beim Erstellen eines Diagramms den Ressourcentyp mit Cloud VPN-Gateway und den Messwert mit Anzahl der Verbindungen angeben, sind diese Labels im Feld Filter enthalten. Weitere Informationen finden Sie unter Daten für das Diagramm auswählen.

Status Beschreibung
configured_for_sla Gibt an, ob die HA-Verbindung vollständig konfiguriert wurde. Das bedeutet, dass die Verbindung die erforderliche Anzahl von Tunneln enthält und ordnungsgemäß mit einem Cloud Router verbunden ist.
gcp_service_health Gibt an, ob die HA-Verbindung auf der Google Cloud-Seite ordnungsgemäß funktioniert. Beispielsweise ist der Tunnel zugewiesen.
end_to_end_health Gibt an, ob Pakete innerhalb der HA-Verbindung erfolgreich gesendet und empfangen werden.

Gründe für das Verwerfen aufrufen

Wenn ein Cloud VPN-Gateway ein Paket verwirft, gibt das Gateway einen Grund dafür an.

Grund Beschreibung Trafficquelle
dont_fragment_icmp Das verworfene Paket war ein ICMP-Paket, das größer als die MTU mit dem Bit do not fragment war. Diese Pakete werden für path-mtu-discovery verwendet. Google Cloud-VM
exceeds_mtu Das erste Fragment eines ausgehenden UDP- oder ESP-Pakets ist größer als die MTU und hat das do not fragment-Bit. Google Cloud-VM
dont_fragment_nonfirst_fragment Ein Fragment eines ausgehenden UDP- oder ESP-Pakets, das nicht das erste Fragment und größer als die MTU ist und das do not fragment-Bit hat. Google Cloud-VM
Sent packets::invalid Das Paket war ungültig oder beschädigt. Das Paket hat z. B. möglicherweise einen ungültigen IP-Header. Google Cloud-VM
Sent packets::throttled Das Paket wurde aufgrund einer zu hohen Belastung auf dem Cloud VPN-Gateway verworfen. Google Cloud-VM
fragment_received Ein vom Peer gesendetes fragmentiertes Paket wurde empfangen. Peer-VPN-Gateway
sequence_number_lost Ein Paket mit einer höheren als der erwarteten Sequenznummer ist am Gateway eingegangen, was darauf hinweist, dass ein Paket mit einer früheren Sequenznummer verworfen wurde. Peer-VPN-Gateway
suspected_replay Ein ESP-Paket mit bereits empfangener Sequenznummer wurde empfangen. Peer-VPN-Gateway
Received packets::invalid Das Paket war ungültig oder beschädigt. Das Paket hat z. B. möglicherweise einen ungültigen IP-Header. Peer-VPN-Gateway
Received packets::throttled Das Paket wurde aufgrund einer zu hohen Belastung auf dem Cloud VPN-Gateway verworfen. Peer-VPN-Gateway
sa_expired Es ist ein Paket mit unbekannter Security Association (SA) eingegangen. Dies kann auf die Verwendung einer SA zurückzuführen sein, die bereits abgelaufen ist oder nie ausgehandelt wurde. Peer-VPN-Gateway
unknown Das Paket wurde verworfen, aber das Gateway kann den Fehler nicht einordnen. Beides

Nächste Schritte

  • Weitere Informationen zum Monitoring finden Sie unter Cloud Monitoring.
  • Weitere Informationen zum Erfassen von Logs und zum Konfigurieren von Exporten für Cloud VPN erhalten Sie unter Cloud Logging.
  • Informationen zum Berechnen des Netzwerkdurchsatzes in Google Cloud und zu Ihren lokalen Cloud- oder Drittanbieter-Standorten finden Sie unter Netzwerkdurchsatz berechnen.
  • Informationen zur Behebung häufiger Probleme bei der Verwendung von Cloud VPN finden Sie unter Fehlerbehebung.