Halaman ini diterjemahkan oleh Cloud Translation API.

Mengambil error Kontrol Layanan VPC dari log audit

Halaman ini menjelaskan cara menemukan error Kontrol Layanan VPC menggunakan Cloud Logging.

Kontrol Layanan VPC membantu mengurangi risiko pemindahan data yang tidak sah dengan mengisolasi layanan Google Cloud multi-tenant. Untuk mengetahui informasi selengkapnya, lihat Ringkasan Kontrol Layanan VPC.

Menentukan apakah error disebabkan oleh Kontrol Layanan VPC

Kontrol Layanan VPC dapat mengubah properti Google Cloud dan memiliki efek beruntun di seluruh layanan. Hal ini dapat menyulitkan proses debug masalah, terutama jika Anda tidak tahu apa yang harus dicari.

Perubahan perimeter layanan dapat memerlukan waktu hingga 30 menit untuk diterapkan dan berlaku. Setelah perubahan diterapkan, akses ke layanan yang dibatasi di perimeter tidak diizinkan untuk melintasi batas perimeter kecuali jika diberi otorisasi secara eksplisit.

Untuk menentukan apakah error terkait dengan Kontrol Layanan VPC, periksa apakah Anda telah mengaktifkan Kontrol Layanan VPC dan menerapkannya ke project dan layanan yang Anda coba gunakan. Untuk memverifikasi apakah project dan layanan dilindungi oleh Kontrol Layanan VPC, periksa kebijakan Kontrol Layanan VPC di tingkat hierarki resource tersebut.

Pertimbangkan contoh skenario saat Anda secara tidak langsung menggunakan layanan yang ditandai sebagai layanan terbatas oleh Kontrol Layanan VPC dalam project yang berada di dalam perimeter layanan. Dalam kasus tersebut, Kontrol Layanan VPC mungkin menolak akses.

Biasanya, layanan menyebarkan pesan error dari dependensinya. Jika Anda mengalami salah satu error berikut, hal ini menunjukkan adanya masalah dengan Kontrol Layanan VPC.

Cloud Storage: 403: Request violates VPC Service Controls.
BigQuery: 403: VPC Service Controls: Request is prohibited by organization's policy.
Layanan lainnya: 403: Request is prohibited by organization's policy.

Menggunakan ID unik error

Tidak seperti konsol Google Cloud, alat command line gcloud menampilkan ID unik untuk error VPC Service Controls. Untuk menemukan entri log untuk error lainnya, filter log menggunakan metadata.

Error yang dihasilkan oleh Kontrol Layanan VPC menyertakan ID unik yang digunakan untuk mengidentifikasi log audit yang relevan.

Untuk mendapatkan informasi tentang error menggunakan ID unik, lakukan hal berikut:

Di konsol Google Cloud, buka halaman Cloud Logging untuk project di dalam perimeter layanan yang memicu error.

Buka Cloud Logging
Di kolom filter penelusuran, masukkan ID unik error.

Anda dapat melihat entri log yang relevan.

Memfilter log menggunakan metadata

Anda dapat menggunakan Logs Explorer untuk menemukan error yang terkait dengan Kontrol Layanan VPC. Anda dapat menggunakan bahasa kueri Logging untuk mengambil log. Untuk informasi tentang cara membuat kueri, lihat Membuat kueri menggunakan bahasa kueri Logging.

Konsol

Untuk mendapatkan error Kontrol Layanan VPC dalam 24 jam terakhir di Logging, lakukan hal berikut:

Di konsol Google Cloud, buka halaman Cloud Logging.

Buka Cloud Logging
Pastikan Anda berada dalam project yang berada di dalam perimeter layanan.

Di kolom filter penelusuran, masukkan hal berikut:

protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"

Di menu Resource, pilih Audited Resource.
Di menu pemilih rentang waktu, pilih Last 24 hours.
Opsional: Untuk menemukan error Kontrol Layanan VPC yang telah terjadi selama periode yang berbeda, gunakan menu pemilih rentang waktu.

gcloud

Untuk mendapatkan error Kontrol Layanan VPC dalam 24 jam terakhir, jalankan perintah berikut:
```
gcloud logging read 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"'
```
Secara default, perintah read dibatasi hingga 24 jam terakhir. Untuk mendapatkan log Kontrol Layanan VPC untuk periode yang berbeda, gunakan salah satu perintah berikut:
Untuk mengambil log yang dibuat dalam jangka waktu tertentu dari tanggal saat ini, jalankan perintah berikut:
```
gcloud logging read \
'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"' \
  --freshness=DURATION
```
DURATION adalah periode waktu yang diformat. Untuk mengetahui informasi selengkapnya tentang pemformatan, lihat format waktu dan durasi relatif untuk gcloud CLI.

Untuk mengambil semua error Kontrol Layanan VPC yang telah terjadi dalam minggu terakhir, jalankan perintah berikut:

gcloud logging read \
'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"' \
  --freshness=7d

Untuk mengambil log yang dibuat antara tanggal tertentu, jalankan perintah berikut:

gcloud logging read \
'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" AND
timestamp>="START_DATETIME" AND
timestamp<="END_DATETIME"'

START_DATETIME dan END_DATETIME adalah string tanggal dan waktu yang diformat. Untuk mengetahui informasi selengkapnya tentang pemformatan, lihat format tanggal dan waktu absolut untuk gcloud CLI.

Misalnya, untuk mendapatkan semua error Kontrol Layanan VPC yang terjadi antara 22 Maret 2019 dan 26 Maret 2019:

gcloud logging read \
'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" AND
  timestamp>="2019-03-22T23:59:59Z" AND
  timestamp<="2019-03-26T00:00:00Z"'