Mengakses log alur
Halaman ini menjelaskan cara mengakses log alur menggunakan Cloud Logging.
Mengakses log alur di Logs Explorer
Anda dapat melihat log alur menggunakan Logs Explorer. Di Logs Explorer, Anda dapat menggunakan filter dan kueri resource untuk melihat log alur. Log yang dihasilkan oleh Log Aliran VPC dikelompokkan sebagai berikut:
- Log alur untuk subnet tersedia di log
compute.googleapis.com/vpc_flows
. - Log alur untuk lampiran VLAN dan tunnel Cloud VPN
tersedia di log
networkmanagement.googleapis.com/vpc_flows
(Pratinjau).
Mengonfigurasi IAM
Guna mengonfigurasi kontrol akses untuk logging, lihat panduan kontrol akses untuk Logging.
Mengakses log alur menggunakan filter resource
Untuk melihat log alur di project Google Cloud menggunakan filter resource, lihat bagian berikut. Anda juga dapat melihat log ini menggunakan kueri Logs Explorer, seperti yang dijelaskan dalam Mengakses log alur menggunakan kueri.
Mengakses log alur untuk semua subnet
Konsol
Di Konsol Google Cloud, buka halaman Logs Explorer.
Klik Semua fasilitas.
Di daftar Select resource, klik Subnetwork, lalu klik Apply.
Klik Semua nama log.
Dalam daftar Select log names, temukan Compute Engine, klik vpc_flows, lalu klik Apply.
Mengakses log alur untuk subnet tertentu
Konsol
Di Konsol Google Cloud, buka halaman Logs Explorer.
Klik Semua fasilitas.
Di daftar Select resource, klik Subnetwork.
Dalam daftar Subnetwork ID, pilih subnetwork, lalu klik Apply.
Klik Semua nama log.
Dalam daftar Select log names, temukan Compute Engine, klik vpc_flows, lalu klik Apply.
Mengakses log alur untuk semua lampiran VLAN dan tunnel Cloud VPN
Konsol
Di Konsol Google Cloud, buka halaman Logs Explorer.
Klik Semua fasilitas.
Dalam daftar Select resource, klik VPC Flow Logs Config, lalu klik Apply.
Mengakses log alur untuk lampiran VLAN atau tunnel Cloud VPN tertentu
Konsol
Di Konsol Google Cloud, buka halaman Logs Explorer.
Klik Semua fasilitas.
Dalam daftar Select resource, klik VPC Flow Logs Config dan pilih konfigurasi VPC Flow Logs yang mengumpulkan log aliran untuk lampiran VLAN atau tunnel Cloud VPN yang ingin Anda lihat.
Klik Terapkan.
Mengakses log alur menggunakan kueri
Konsol
Di Konsol Google Cloud, buka halaman Logs Explorer.
Jika Anda tidak melihat kolom editor kueri di panel Kueri, klik tombol Show query.
Di kolom editor kueri, masukkan kueri:
Untuk melihat log alur untuk subnet, kueri harus menargetkan
compute.googleapis.com
. Misalnya, untuk melihat log alur untuk subnet tertentu, masukkan kueri berikut, dengan menggantiPROJECT_ID
dengan project ID Google Cloud Anda danSUBNET_NAME
dengan subnetwork Anda:resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" resource.labels.subnetwork_name="SUBNET_NAME"
Untuk melihat log alur untuk lampiran VLAN atau tunnel Cloud VPN, kueri harus menargetkan
networkmanagement.googleapis.com
. Misalnya, untuk melihat log alur untuk tunnel Cloud VPN sumber tertentu, masukkan kueri berikut:resource.type="vpc_flow_logs_config" logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" jsonPayload.reporter="src_gateway" labels.target_resource_name="projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME"
Ganti kode berikut:
PROJECT_ID
: project ID Google CloudREGION
: region tunnel Cloud VPNNAME
: nama tunnel Cloud VPN
Untuk contoh kueri lainnya yang dapat Anda jalankan untuk melihat log aliran, lihat Contoh kueri Logs Explorer untuk Log Aliran VPC.
Klik Run query.
Contoh kueri Logs Explorer untuk Log Aliran VPC
Tabel berikut memberikan contoh kueri Logs Explorer yang dapat Anda jalankan untuk melihat log alur di project Google Cloud.
Log yang ingin Anda lihat | Kueri |
---|---|
Semua log aliran | resource.type=("gce_subnetwork" OR "vpc_flow_logs_config") logName=("projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" OR "projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows") |
Kueri untuk subnet | |
Log untuk semua subnet | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" |
Log untuk subnet tertentu | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" resource.labels.subnetwork_name="SUBNET_NAME" |
Log untuk instance virtual machine (VM) tertentu | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" (jsonPayload.src_instance.vm_name="VM_NAME" OR jsonPayload.dest_instance.vm_name="VM_NAME") |
Log untuk traffic ke rentang subnetwork tertentu | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" ip_in_net(jsonPayload.connection.dest_ip, SUBNET_RANGE) |
Log untuk cluster Google Kubernetes Engine (GKE) tertentu | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" (jsonPayload.src_gke_details.cluster.cluster_name="CLUSTER_NAME" OR jsonPayload.dest_gke_details.cluster.cluster_name="CLUSTER_NAME") |
Log hanya untuk traffic keluar dari subnetwork | logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" AND jsonPayload.reporter="SRC" AND jsonPayload.src_vpc.subnetwork_name="SUBNET_NAME" AND (jsonPayload.dest_vpc.subnetwork_name!="SUBNET_NAME" OR NOT jsonPayload.dest_vpc.subnetwork_name:*) |
Log untuk semua traffic keluar dari jaringan Virtual Private Cloud (VPC) | logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" AND jsonPayload.reporter="SRC" AND jsonPayload.src_vpc.vpc_name="VPC_NAME" AND (jsonPayload.dest_vpc.vpc_name!="VPC_NAME" OR NOT jsonPayload.dest_vpc:*) |
Log untuk setiap port tujuan | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" jsonPayload.connection.dest_port=PORT jsonPayload.connection.protocol=PROTOCOL |
Log untuk beberapa port tujuan | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" jsonPayload.connection.dest_port=(PORT1 OR PORT2) jsonPayload.connection.protocol=PROTOCOL |
Kueri untuk lampiran VLAN untuk tunnel Cloud Interconnect dan Cloud VPN (Pratinjau) | |
Log untuk semua lampiran VLAN dan tunnel Cloud VPN | resource.type="vpc_flow_logs_config" logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" |
Log untuk konfigurasi Log Aliran VPC tertentu | resource.type="vpc_flow_logs_config" logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" resource.labels.name="CONFIG_NAME" |
Log untuk tunnel Cloud VPN sumber tertentu | resource.type="vpc_flow_logs_config" logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" jsonPayload.reporter="src_gateway" labels.target_resource_name="projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME" |
Log untuk semua lampiran VLAN tujuan | resource.type="vpc_flow_logs_config" logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" jsonPayload.reporter="dest_gateway" jsonPayload.dest_gateway.type="INTERCONNECT_ATTACHMENT" |
Log untuk semua lampiran VLAN tujuan di region tertentu | resource.type="vpc_flow_logs_config" logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" jsonPayload.reporter="dest_gateway" jsonPayload.dest_gateway.type="INTERCONNECT_ATTACHMENT" jsonPayload.dest_gateway.location="REGION" |
Ganti kode berikut:
PROJECT_ID
: project ID Google Cloud.SUBNET_NAME
: nama subnetwork.VM_NAME
: nama VM.SUBNET_RANGE
: rentang CIDR, seperti192.168.1.0/24
.CLUSTER_NAME
: nama cluster GKE.VPC_NAME
: Nama jaringan VPC.PORT1
danPORT2
: port tujuan.PROTOCOL
: protokol komunikasi.CONFIG_NAME
: nama konfigurasi VPC Flow Logs untuk lampiran VLAN atau tunnel Cloud VPN yang ingin Anda lihat.REGION
: region lampiran VLAN atau tunnel Cloud VPN.NAME
: nama tunnel Cloud VPN.
Merutekan log ke BigQuery, Pub/Sub, dan target kustom
Anda dapat merutekan log alur dari Logging ke tujuan pilihan Anda seperti yang dijelaskan dalam Ringkasan perutean dan penyimpanan dalam dokumentasi Logging. Lihat bagian sebelumnya untuk contoh filter.
Pemecahan masalah
Tidak ada vpc_flows
yang muncul di Logging untuk resource gce_subnetwork
- Pastikan logging diaktifkan untuk subnet tertentu.
- Alur VPC hanya didukung untuk jaringan VPC. Jika memiliki jaringan lama, Anda tidak akan melihat log apa pun.
- Di jaringan VPC Bersama, log hanya muncul di project host, bukan project layanan. Pastikan Anda mencari log di project host.
- Filter pengecualian logging memblokir log yang ditentukan.
Pastikan tidak ada aturan pengecualian yang menghapus Log Aliran VPC:
- Buka Router log.
- Di menu More actions untuk bucket logging, klik View sink details.
- Pastikan tidak ada aturan pengecualian yang mungkin menghapus Log Alur VPC.
- Gunakan Google Cloud CLI atau API untuk menentukan apakah konfigurasi pemfilteran log
memfilter semua traffic di subnet tertentu. Misalnya, jika
filterExpr
ditetapkan kefalse
, Anda tidak akan melihat log apa pun.
Tidak ada nilai RTT atau byte di beberapa log
- Pengukuran RTT mungkin tidak ada jika sampel yang diambil tidak cukup untuk menangkap RTT. Hal ini lebih mungkin terjadi untuk koneksi bervolume rendah.
- Nilai RTT hanya tersedia untuk alur TCP yang dilaporkan dari VM.
- Beberapa paket dikirim tanpa payload. Jika paket khusus header diambil sampelnya, nilai byte-nya akan menjadi 0.
Beberapa alur tidak ada
- Paket masuk diambil sampelnya setelah aturan firewall VPC masuk. Pastikan tidak ada aturan firewall masuk yang menolak paket yang Anda harapkan untuk dicatat. Jika tidak yakin apakah aturan firewall VPC memblokir paket masuk atau tidak, Anda dapat mengaktifkan Logging Aturan Firewall dan memeriksa log.
- Hanya protokol TCP, UDP, ICMP, ESP, dan GRE yang didukung. Log Alur VPC tidak mendukung protokol lainnya.
- Log diambil sampelnya. Beberapa paket dalam alur volume sangat rendah mungkin terlewat.
Anotasi GKE tidak ada di beberapa log
Pastikan cluster GKE Anda merupakan versi yang didukung.
Log tidak ada untuk beberapa alur GKE
Pastikan Visibilitas intranode diaktifkan di cluster. Jika tidak, alur antar Pod pada node yang sama tidak dicatat dalam log.
Langkah selanjutnya
- Lihat dokumentasi Logging
- Lihat dokumentasi Logging sink