ログと指標の表示

Cloud VPN ゲートウェイはログ情報を Cloud Logging に送信し、Cloud VPN トンネルはモニタリング指標を Cloud Monitoring に送信します。このページでは、ログと指標、およびログと指標の表示方法について説明します。

ログの表示

Cloud VPN ゲートウェイは特定のログを Cloud Logging に送信します。Cloud VPN ログエントリには、VPN トンネルのモニタリングとデバッグに有用な次のような情報が含まれています。

  • 重大度、プロジェクト ID、プロジェクト番号、タイムスタンプなど、ほとんどの Google Cloud ログで表示される一般情報。
  • ログエントリによって異なるその他の情報。

有用なログの一覧については、VPN ログをご覧ください。

コンソール

Cloud VPN のログを表示する手順は次のとおりです。

  • Google Cloud Console の [ログ エクスプローラ] ページに移動します。

    [ログ エクスプローラ] に移動

    VPN ログは、作成元である VPN ゲートウェイによってインデックスに登録されます。

    • VPN のすべてのログを表示するには、最初のプルダウン メニューで [Cloud VPN ゲートウェイ] を選択し、[All gateway_id] をクリックします。
    • 1 つのゲートウェイのログのみを表示するには、メニューから 1 つのゲートウェイの名前を選択します。
  • ブール型のログフィールドは、通常、フィールド値が true の場合にのみ表示されます。ブール フィールドの値が false の場合、そのフィールドはログから省略されます。

  • ログフィールドには UTF-8 エンコードが適用されます。UTF-8 以外の文字列は、疑問符に置き換えられます。

ログのエクスポート

Cloud VPN リソースログのログベースの指標のエクスポートを構成できます。

Cloud Logging では、Cloud VPN ログは 30 日間のみ保存されます。それよりも長い期間ログを保持するには、ログをエクスポートする必要があります。 Cloud VPN ログは、Pub/Sub または BigQuery にエクスポートして分析できます。

指標の表示

VPN トンネルに関連する指標を表示し、アラートを作成するには、Cloud Monitoring を使用します。

Cloud Monitoring の事前定義されたダッシュボードに加えて、カスタム ダッシュボードを作成して、アラートをセットアップし、Monitoring API または Cloud Console を使用して指標に対するクエリを行うことができます。

モニタリング ダッシュボードの表示

以降のセクションでは、Cloud VPN のモニタリング ダッシュボードを表示する他の方法を説明します。

Monitoring VPN リソースで指標を表示する

コンソール

Monitoring VPN リソースを使用してモニタリング対象リソースの指標を表示するには、次の手順を行います。

  1. Google Cloud Console で、[モニタリング] ページに移動します。

    [モニタリング] に移動

  2. Monitoring のナビゲーション パネルに [リソース] が表示されている場合は [リソース] を選択し、次に [VPN] を選択します。特定のゲートウェイのダッシュボードを表示するには、リストでダッシュボードを見つけて、ダッシュボード名をクリックします。

  3. それ以外の場合は、[ダッシュボード] を選択し、[VPN] という名前のダッシュボードを選択します。[Inventory] カードには、VPN のリストが含まれています。特定のゲートウェイのダッシュボードを表示するには、リストでダッシュボードを見つけて、ダッシュボード名をクリックします。

Metrics Explorer で指標を表示する

コンソール

Metrics Explorer を使用してモニタリング対象リソースの指標を表示する手順は次のとおりです。

  1. Google Cloud Console で、[Monitoring] ページに移動します。

    [Monitoring] に移動

    Cloud Monitoring を初めて使用する場合は、Google Cloud Console の [Monitoring] への最初のアクセス時に、ワークスペースが自動的に作成され、プロジェクトがそのワークスペースに関連付けられます。それ以外の場合に、プロジェクトがワークスペースに関連付けられていないときは、ダイアログが表示され、新しいワークスペースを作成するか、このプロジェクトを既存のワークスペースに追加できるようになります。ワークスペースを作成することをおすすめします。選択したら、[Add] をクリックします。

  2. [Monitoring] のナビゲーション パネルで、 [Metrics Explorer] をクリックします。
  3. [Metric] タブが選択されていることを確認します。
  4. [Find resource type and metric] フィールドで、リソースと指標をメニューから選択するか、リソースと指標の名前を入力します。次の情報を使用して、フィールドに入力します。
    1. [リソース] として、「Cloud VPN」と入力するか選択します。このリソースタイプは、Classic VPN ゲートウェイまたは HA VPN ゲートウェイで有効です。
    2. Cloud VPN の指標リストから指標名を入力するか、メニューに表示される指標を選択します。
  5. データの表示方法を変更するには、[Filter]、[Group By]、[Aggregator] の各メニューを使用します。たとえば、リソースラベルや指標ラベルごとにグループ化できます。詳しくは、指標の選択をご覧ください。

VPN トンネル内から取得した指標を表示する

トンネルの [モニタリング] タブをクリックして、Cloud Console で指標を表示することもできます。このタブにはさまざまな時系列のグラフが表示されます。

モニタリング アラートの定義

コンソール

アラート ポリシーを作成して指標の値をモニタリングすると、条件に違反した場合に通知できます。

1 つ以上の Cloud VPN ゲートウェイ リソースをモニタリングするアラート ポリシーを作成するには、次の操作を行います。

  1. Google Cloud Console で、[モニタリング] ページに移動します。

    [Monitoring] に移動

    Cloud Monitoring を初めて使用する場合は、Google Cloud Console の [Monitoring] への最初のアクセス時に、ワークスペースが自動的に作成され、プロジェクトがそのワークスペースに関連付けられます。それ以外の場合に、プロジェクトがワークスペースに関連付けられていないときは、ダイアログが表示され、新しいワークスペースを作成するか、このプロジェクトを既存のワークスペースに追加できるようになります。ワークスペースを作成することをおすすめします。選択したら、[Add] をクリックします。

  2. Monitoring のナビゲーション パネルで [アラート] を選択し、次に [Create Policy] を選択します。
  3. [Add Condition] をクリックします。
    1. [ターゲット] ペインの設定で、モニタリングするリソースと指標を指定します。[Find resource type and metric] フィールドで、Cloud VPN ゲートウェイのリソースを選択します。次に、指標リストから指標を選択します。
    2. アラート ポリシーの [Configuration] ペインの設定で、アラートがトリガーされるタイミングを決定します。このペインのほとんどのフィールドにはデフォルト値が入力されています。ペインのフィールドの詳細については、アラート ポリシーのドキュメントの構成をご覧ください。
    3. [追加] をクリックします。
  4. 通知セクションに移動するには、[次へ] をクリックします。
  5. (省略可)アラート ポリシーに通知を追加するには、[通知チャネル] をクリックします。ダイアログで、メニューから 1 つ以上の通知チャネルを選択し、[OK] をクリックします。

    追加する通知チャネルが一覧にない場合は、[通知チャネルを管理] をクリックします。新しいブラウザタブの [通知チャネル] ページが表示されます。このページで、構成された通知チャンネルを更新できます。更新が完了したら、元のタブに戻って 更新アイコンをクリックし、アラート ポリシーに追加する通知チャンネルを選択します。

  6. ドキュメントのセクションに移動するには、[次へ] をクリックします。
  7. [名前] をクリックし、アラート ポリシーの名前を入力します。
  8. (省略可)[Documentation] をクリックして、通知メッセージに追加する情報を入力します。
  9. [保存] をクリックします。
詳細については、アラート ポリシーをご覧ください。

VPN トンネル帯域幅アラートの定義

ネットワーク帯域幅で説明している 1 秒あたりのバイト数(bps)と 1 秒あたりのパケット数(pps)に関するアラート ポリシーを作成するには、Monitoring Query Language(MQL)を使用します。

クエリを入力する場合は、MQL アラート ポリシー(コンソール)の作成の手順に沿って操作し、以下の例を参照してください。

  • bps のクエリ: 次のサンプルクエリでは、特定の VPN トンネルで sent_bytes_countreceived_bytes_count の合計が、3 Gbps(375 MBps)の上限の 80% を超えると通知されます。"MBy" には、測定単位として MB を指定します。300 "MBy" の値は、単位 "Bytes"val() に合わせて自動的にスケーリングされます。

    fetch vpn_gateway
    | { metric vpn.googleapis.com/network/sent_bytes_count
    ; metric vpn.googleapis.com/network/received_bytes_count }
    | filter (metric.tunnel_name == 'TUNNEL_NAME')
    | outer_join 0,0
    | value val(0) + val(1)
    | condition val() > 300 "MBy"
    
  • pps のクエリ: 次のサンプルクエリでは、特定の VPN トンネルで sent_packets_countreceived_packets_count の合計が、推奨の最大パケットレート(250,000 pps)の 80% を超えると通知されます。

    fetch vpn_gateway
    | { metric vpn.googleapis.com/network/sent_packets_count
    ; metric vpn.googleapis.com/network/received_packets_count }
    | filter (metric.tunnel_name == 'TUNNEL_NAME')
    | outer_join 0,0
    | value val(0) + val(1)
    | condition val() > 200000
    

MQL の詳細については、Monitoring クエリ言語の概要をご覧ください。

モニタリング カスタム ダッシュボードの定義

コンソール

Cloud VPN の指標にカスタムの Monitoring ダッシュボードを作成する手順は次のとおりです。

  1. Google Cloud Console で、[モニタリング] ページに移動します。

    [モニタリング] に移動

  2. Monitoring のナビゲーション パネルで、[ダッシュボード] をクリックし、[ダッシュボードを作成] をクリックします。

  3. [編集] 切り替えボタンが [オン] の位置にあることを確認します。

  4. ダッシュボードに追加するグラフ ライブラリのウィジェットをクリックします。ライブラリからグラフ領域にウィジェットをドラッグすることもできます。

  5. ダッシュボードが編集可能であり、ウィジェットが選択された際に表示される、ウィジェットの構成ペインでウィジェットを構成します。

  6. ダッシュボードのツールバーで、グラフ ライブラリをアクティブにするには、[グラフを追加] をクリックします。ダッシュボードに追加するウィジェットごとに、前の手順を繰り返します。

  7. 指標とフィルタを選択します。指標のリソースタイプは Cloud VPN Gateway です。

ウィジェットの構成の詳細については、ダッシュボードにウィジェットを追加するをご覧ください。

カスタム ダッシュボードの設定の詳細については、カスタム ダッシュボードをご覧ください。

Cloud VPN の Monitoring の指標を表示する

Cloud VPN の次の指標が Monitoring に報告されます。個別のイベントではない指標は、期間に関する指標です。

次の表の指標タイプの文字列には、vpn.googleapis.com/ という接頭辞を付ける必要があります。この接頭辞は表内で省略されています。

指標タイプリリース ステージ
表示名
種類、タイプ、単位
モニタリング対象リソース
説明
ラベル
gateway/connections GA
接続数
GAUGE、 INT64、 1
vpn_gateway
VPN ゲートウェイあたりの HA 接続の数を示します。60 秒ごとにサンプリングされます。サンプリング後、データは最長 60 秒間表示されません。
configured_for_sla: (BOOL) HA 接続が完全に SLA 用に構成されているかどうかを示します。
gcp_service_health: (BOOL) HA 接続の Google Cloud 側が完全に機能しているかどうかを示します。
end_to_end_health: (BOOL) HA 接続がエンドツーエンドで機能しているかどうかを示します。
network/dropped_received_packets_count 一般提供
破棄された受信パケット
DELTA、 INT64、 1
vpn_gateway
トンネルで破棄された上り(内向き、ピア VPN からの受信)パケット。60 秒ごとにサンプリングされます。サンプリング後、データは最長 180 秒間表示されません。
tunnel_name: トンネルの名前。
gateway_name: トンネルを管理するゲートウェイの名前。
network/dropped_sent_packets_count 一般提供
送信パケットがドロップされる
DELTA、 INT64、 1
vpn_gateway
トンネルで破棄された下り(外向き、ピア VPN への転送)パケット。60 秒ごとにサンプリングされます。サンプリング後、データは最長 180 秒間表示されません。
tunnel_name: トンネルの名前。
gateway_name: トンネルを管理するゲートウェイの名前。
network/received_bytes_count GA
受信バイト数
DELTA、 INT64、 By
vpn_gateway
トンネルの上り(内向き、ピア VPN からの受信)バイト。60 秒ごとにサンプリングされます。サンプリング後、データは最長 180 秒間表示されません。
tunnel_name: トンネルの名前。
gateway_name: トンネルを管理するゲートウェイの名前。
network/received_packets_count GA
受信パケット数
DELTA、 INT64、 {packets}
vpn_gateway
トンネルの上り(内向き、ピア VPN からの受信)パケット。60 秒ごとにサンプリングされます。サンプリング後、データは最長 60 秒間表示されません。
status: 配信ステータス。たとえば、[successful, exceed_mtu, throttled]。
tunnel_name: トンネルの名前。
network/sent_bytes_count GA
送信バイト数
DELTA、 INT64、 By
vpn_gateway
トンネルの下り(外向き、ピア VPN への転送)バイト。60 秒ごとにサンプリングされます。サンプリング後、データは最長 180 秒間表示されません。
tunnel_name: トンネルの名前。
gateway_name: トンネルを管理するゲートウェイの名前。
network/sent_packets_count 一般提供
送信パケット
DELTA、 INT64、 {packets}
vpn_gateway
トンネルの下り(外向き、ピア VPN への転送)パケット。60 秒ごとにサンプリングされます。サンプリング後、データは最長 60 秒間表示されません。
status: 配信ステータス。たとえば、[successful, exceed_mtu, throttled]。
tunnel_name: トンネルの名前。
tunnel_established 一般提供
確立したトンネル
GAUGE、 DOUBLE、 1
vpn_gateway
> 0 の場合は、成功したトンネル確立を示しています。60 秒ごとにサンプリングされます。サンプリング後、データは最長 180 秒間表示されません。
tunnel_name: トンネルの名前。
gateway_name: トンネルを管理するゲートウェイの名前。

表の生成時間: 2021-04-01 14:57:28 UTC。

HA 接続の状態指標を表示する

次の指標は、HA VPN ゲートウェイの接続が正常な状態であり、構成が 99.99% の SLA を満たしているかどうかを示します。

グラフを作成する際に、リソースタイプと指標を Cloud VPN ゲートウェイ接続数として指定した場合は、これらのラベルを [フィルタ] フィールドで確認できます。詳細については、グラフ化するデータの選択をご覧ください。

ステータス 説明
configured_for_sla HA 接続が完全に構成されているかどうか、つまり、接続に必要な数のトンネルが含まれ、Cloud Router に正しく接続されているかどうかを示します。
gcp_service_health HA 接続が Google Cloud 側で正常に機能しているかどうかを示します。たとえば、トンネルの割り当てです。
end_to_end_health HA 接続内でパケットが正常に送受信されたかどうかを示します。

破棄の理由を確認する

Cloud VPN ゲートウェイがパケットをドロップした場合、ゲートウェイはドロップの理由を提供します。

理由 説明 トラフィックのソース
dont_fragment_icmp 破棄されたパケットが、do not fragment ビットが設定されている MTU より大きいサイズの ICMP パケットだった。そのようなパケットは path-mtu-discovery に使用されます。 Google Cloud VM
exceeds_mtu UDP または ESP の下り(外向き)パケットの最初のフラグメントが、MTU よりも大きく、do not fragment ビットが設定されている。 Google Cloud VM
dont_fragment_nonfirst_fragment UDP または ESP 下り(外向き)パケットのフラグメントが存在するものの、これは最初のフラグメントではなく、MTU よりも大きく、do not fragment ビットが設定されている。 Google Cloud VM
Sent packets::invalid なんらかの点でパケットが無効であったか、破損していた(パケットに無効な IP ヘッダーが含まれていた場合など)。 Google Cloud VM
Sent packets::throttled Cloud VPN ゲートウェイへの過度の負荷が原因でパケットがドロップされた。 Google Cloud VM
fragment_received ピアから断片化されたパケットを受信した。 ピア VPN ゲートウェイ
sequence_number_lost 想定されるシーケンス番号より大きな数値のパケットがゲートウェイに着信した。これは、このシーケンス番号より前のシーケンス番号のパケットがドロップされた可能性があることを示しています。 ピア VPN ゲートウェイ
suspected_replay ESP パケットのシーケンス番号と同じ数値のパケットが存在する。 ピア VPN ゲートウェイ
Received packets::invalid なんらかの点でパケットが無効であったか、破損していた(パケットに無効な IP ヘッダーが含まれていた場合など)。 ピア VPN ゲートウェイ
Received packets::throttled Cloud VPN ゲートウェイへの過度の負荷が原因でパケットがドロップされた。 ピア VPN ゲートウェイ
sa_expired セキュリティ アソシエーション(SA)が不明であるパケットを受信した。すでに期限切れになっている SA、またはネゴシエートされていない SA を使用した結果であることが考えられます。 ピア VPN ゲートウェイ
unknown ゲートウェイで分類方法が認識できなかったため、パケットがドロップされた。 任意

次のステップ

  • モニタリングの詳細について、Cloud Monitoring で確認する。
  • ログの収集と Cloud VPN のエクスポートの構成の詳細について、Cloud Logging で確認する。
  • Google Cloud 内およびオンプレミスまたはサードパーティのクラウド ロケーションへのネットワーク スループットの計算について、ネットワーク スループットの計算で確認する。
  • Cloud VPN の使用時に発生する可能性のある一般的な問題を解決する。トラブルシューティングをご覧ください。