Mengakses log alur

Halaman ini menjelaskan cara mengakses log alur menggunakan Cloud Logging.

Mengakses log alur di Logs Explorer

Anda dapat melihat log alur menggunakan Logs Explorer. Di Logs Explorer, Anda dapat menggunakan filter dan kueri resource untuk melihat log alur. Log yang dihasilkan oleh Log Aliran VPC dikelompokkan sebagai berikut:

  • Log alur untuk subnet tersedia di log compute.googleapis.com/vpc_flows.
  • Log alur untuk lampiran VLAN dan tunnel Cloud VPN tersedia di log networkmanagement.googleapis.com/vpc_flows (Pratinjau).

Mengonfigurasi IAM

Guna mengonfigurasi kontrol akses untuk logging, lihat panduan kontrol akses untuk Logging.

Mengakses log alur menggunakan filter resource

Untuk melihat log alur di project Google Cloud menggunakan filter resource, lihat bagian berikut. Anda juga dapat melihat log ini menggunakan kueri Logs Explorer, seperti yang dijelaskan dalam Mengakses log alur menggunakan kueri.

Mengakses log alur untuk semua subnet

Konsol

  1. Di Konsol Google Cloud, buka halaman Logs Explorer.

    Buka Logs Explorer

  2. Klik Semua fasilitas.

  3. Di daftar Select resource, klik Subnetwork, lalu klik Apply.

  4. Klik Semua nama log.

  5. Dalam daftar Select log names, temukan Compute Engine, klik vpc_flows, lalu klik Apply.

Mengakses log alur untuk subnet tertentu

Konsol

  1. Di Konsol Google Cloud, buka halaman Logs Explorer.

    Buka Logs Explorer

  2. Klik Semua fasilitas.

  3. Di daftar Select resource, klik Subnetwork.

  4. Dalam daftar Subnetwork ID, pilih subnetwork, lalu klik Apply.

  5. Klik Semua nama log.

  6. Dalam daftar Select log names, temukan Compute Engine, klik vpc_flows, lalu klik Apply.

Mengakses log alur untuk semua lampiran VLAN dan tunnel Cloud VPN

Konsol

  1. Di Konsol Google Cloud, buka halaman Logs Explorer.

    Buka Logs Explorer

  2. Klik Semua fasilitas.

  3. Dalam daftar Select resource, klik VPC Flow Logs Config, lalu klik Apply.

Mengakses log alur untuk lampiran VLAN atau tunnel Cloud VPN tertentu

Konsol

  1. Di Konsol Google Cloud, buka halaman Logs Explorer.

    Buka Logs Explorer

  2. Klik Semua fasilitas.

  3. Dalam daftar Select resource, klik VPC Flow Logs Config dan pilih konfigurasi VPC Flow Logs yang mengumpulkan log aliran untuk lampiran VLAN atau tunnel Cloud VPN yang ingin Anda lihat.

  4. Klik Terapkan.

Mengakses log alur menggunakan kueri

Konsol

  1. Di Konsol Google Cloud, buka halaman Logs Explorer.

    Buka Logs Explorer

  2. Jika Anda tidak melihat kolom editor kueri di panel Kueri, klik tombol Show query.

  3. Di kolom editor kueri, masukkan kueri:

    • Untuk melihat log alur untuk subnet, kueri harus menargetkan compute.googleapis.com. Misalnya, untuk melihat log alur untuk subnet tertentu, masukkan kueri berikut, dengan mengganti PROJECT_ID dengan project ID Google Cloud Anda dan SUBNET_NAME dengan subnetwork Anda:

      resource.type="gce_subnetwork"
      logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
      resource.labels.subnetwork_name="SUBNET_NAME"
      
    • Untuk melihat log alur untuk lampiran VLAN atau tunnel Cloud VPN, kueri harus menargetkan networkmanagement.googleapis.com. Misalnya, untuk melihat log alur untuk tunnel Cloud VPN sumber tertentu, masukkan kueri berikut:

      resource.type="vpc_flow_logs_config"
      logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows"
      jsonPayload.reporter="src_gateway"
      labels.target_resource_name="projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME"
      

      Ganti kode berikut:

      • PROJECT_ID: project ID Google Cloud
      • REGION: region tunnel Cloud VPN
      • NAME: nama tunnel Cloud VPN

    Untuk contoh kueri lainnya yang dapat Anda jalankan untuk melihat log aliran, lihat Contoh kueri Logs Explorer untuk Log Aliran VPC.

  4. Klik Run query.

Contoh kueri Logs Explorer untuk Log Aliran VPC

Tabel berikut memberikan contoh kueri Logs Explorer yang dapat Anda jalankan untuk melihat log alur di project Google Cloud.

Log yang ingin Anda lihat Kueri
Semua log aliran
resource.type=("gce_subnetwork" OR "vpc_flow_logs_config")
logName=("projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" OR
"projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows")
Kueri untuk subnet
Log untuk semua subnet
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
Log untuk subnet tertentu
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
resource.labels.subnetwork_name="SUBNET_NAME"
Log untuk instance virtual machine (VM) tertentu
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
(jsonPayload.src_instance.vm_name="VM_NAME" OR
jsonPayload.dest_instance.vm_name="VM_NAME")
Log untuk traffic ke rentang subnetwork tertentu
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
ip_in_net(jsonPayload.connection.dest_ip, SUBNET_RANGE)
Log untuk cluster Google Kubernetes Engine (GKE) tertentu
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
(jsonPayload.src_gke_details.cluster.cluster_name="CLUSTER_NAME" OR
jsonPayload.dest_gke_details.cluster.cluster_name="CLUSTER_NAME")
Log hanya untuk traffic keluar dari subnetwork
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" AND
jsonPayload.reporter="SRC" AND
jsonPayload.src_vpc.subnetwork_name="SUBNET_NAME" AND
(jsonPayload.dest_vpc.subnetwork_name!="SUBNET_NAME"
 OR NOT jsonPayload.dest_vpc.subnetwork_name:*)
Log untuk semua traffic keluar dari jaringan Virtual Private Cloud (VPC)
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" AND
jsonPayload.reporter="SRC" AND
jsonPayload.src_vpc.vpc_name="VPC_NAME" AND
(jsonPayload.dest_vpc.vpc_name!="VPC_NAME" OR NOT jsonPayload.dest_vpc:*)
Log untuk setiap port tujuan
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
jsonPayload.connection.dest_port=PORT
jsonPayload.connection.protocol=PROTOCOL
Log untuk beberapa port tujuan
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
jsonPayload.connection.dest_port=(PORT1 OR PORT2)
jsonPayload.connection.protocol=PROTOCOL
Kueri untuk lampiran VLAN untuk tunnel Cloud Interconnect dan Cloud VPN (Pratinjau)
Log untuk semua lampiran VLAN dan tunnel Cloud VPN
resource.type="vpc_flow_logs_config"
logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows"
Log untuk konfigurasi Log Aliran VPC tertentu
resource.type="vpc_flow_logs_config"
logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows"
resource.labels.name="CONFIG_NAME"
Log untuk tunnel Cloud VPN sumber tertentu
resource.type="vpc_flow_logs_config"
logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows"
jsonPayload.reporter="src_gateway"
labels.target_resource_name="projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME"
Log untuk semua lampiran VLAN tujuan
resource.type="vpc_flow_logs_config"
logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows"
jsonPayload.reporter="dest_gateway"
jsonPayload.dest_gateway.type="INTERCONNECT_ATTACHMENT"
Log untuk semua lampiran VLAN tujuan di region tertentu
resource.type="vpc_flow_logs_config"
logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows"
jsonPayload.reporter="dest_gateway"
jsonPayload.dest_gateway.type="INTERCONNECT_ATTACHMENT"
jsonPayload.dest_gateway.location="REGION"

Ganti kode berikut:

  • PROJECT_ID: project ID Google Cloud.
  • SUBNET_NAME: nama subnetwork.
  • VM_NAME: nama VM.
  • SUBNET_RANGE: rentang CIDR, seperti 192.168.1.0/24.
  • CLUSTER_NAME: nama cluster GKE.
  • VPC_NAME: Nama jaringan VPC.
  • PORT1 dan PORT2: port tujuan.
  • PROTOCOL: protokol komunikasi.
  • CONFIG_NAME: nama konfigurasi VPC Flow Logs untuk lampiran VLAN atau tunnel Cloud VPN yang ingin Anda lihat.
  • REGION: region lampiran VLAN atau tunnel Cloud VPN.
  • NAME: nama tunnel Cloud VPN.

Merutekan log ke BigQuery, Pub/Sub, dan target kustom

Anda dapat merutekan log alur dari Logging ke tujuan pilihan Anda seperti yang dijelaskan dalam Ringkasan perutean dan penyimpanan dalam dokumentasi Logging. Lihat bagian sebelumnya untuk contoh filter.

Pemecahan masalah

Tidak ada vpc_flows yang muncul di Logging untuk resource gce_subnetwork

  • Pastikan logging diaktifkan untuk subnet tertentu.
  • Alur VPC hanya didukung untuk jaringan VPC. Jika memiliki jaringan lama, Anda tidak akan melihat log apa pun.
  • Di jaringan VPC Bersama, log hanya muncul di project host, bukan project layanan. Pastikan Anda mencari log di project host.
  • Filter pengecualian logging memblokir log yang ditentukan. Pastikan tidak ada aturan pengecualian yang menghapus Log Aliran VPC:
    1. Buka Router log.
    2. Di menu More actions untuk bucket logging, klik View sink details.
    3. Pastikan tidak ada aturan pengecualian yang mungkin menghapus Log Alur VPC.
  • Gunakan Google Cloud CLI atau API untuk menentukan apakah konfigurasi pemfilteran log memfilter semua traffic di subnet tertentu. Misalnya, jika filterExpr ditetapkan ke false, Anda tidak akan melihat log apa pun.

Tidak ada nilai RTT atau byte di beberapa log

  • Pengukuran RTT mungkin tidak ada jika sampel yang diambil tidak cukup untuk menangkap RTT. Hal ini lebih mungkin terjadi untuk koneksi bervolume rendah.
  • Nilai RTT hanya tersedia untuk alur TCP yang dilaporkan dari VM.
  • Beberapa paket dikirim tanpa payload. Jika paket khusus header diambil sampelnya, nilai byte-nya akan menjadi 0.

Beberapa alur tidak ada

  • Paket masuk diambil sampelnya setelah aturan firewall VPC masuk. Pastikan tidak ada aturan firewall masuk yang menolak paket yang Anda harapkan untuk dicatat. Jika tidak yakin apakah aturan firewall VPC memblokir paket masuk atau tidak, Anda dapat mengaktifkan Logging Aturan Firewall dan memeriksa log.
  • Hanya protokol TCP, UDP, ICMP, ESP, dan GRE yang didukung. Log Alur VPC tidak mendukung protokol lainnya.
  • Log diambil sampelnya. Beberapa paket dalam alur volume sangat rendah mungkin terlewat.

Anotasi GKE tidak ada di beberapa log

Pastikan cluster GKE Anda merupakan versi yang didukung.

Log tidak ada untuk beberapa alur GKE

Pastikan Visibilitas intranode diaktifkan di cluster. Jika tidak, alur antar Pod pada node yang sama tidak dicatat dalam log.

Langkah selanjutnya