Registros de fluxo de acesso
Nesta página, descrevemos como acessar os registros de fluxo usando o Cloud Logging.
Registros de fluxo de acesso na Análise de registros
Para ver os registros de fluxo, use a Análise de registros. Na Análise de registros, é possível usar filtros e consultas de recursos para ver os registros de fluxo. Os registros gerados pelos Registros de fluxo de VPC são agrupados da seguinte maneira:
- Os registros de fluxo para sub-redes estão disponíveis no registro
compute.googleapis.com/vpc_flows
. - Os registros de fluxo para anexos da VLAN e túneis do Cloud VPN estão disponíveis no registro
networkmanagement.googleapis.com/vpc_flows
(Pré-lançamento).
Configurar o IAM
Para configurar o controle de acesso para geração de registros, consulte o guia de controle de acesso do Logging.
Acessar registros de fluxo usando filtros de recursos
Para ver os registros de fluxo em um projeto do Google Cloud usando filtros de recursos, consulte as próximas seções. Também é possível usar as consultas da Análise de registros para ver esses registros, conforme descrito em Acessar registros de fluxo usando consultas.
Acessar registros de fluxo de todas as sub-redes
Console
No console do Google Cloud, acesse a página do Explorador de registros.
Clique em Todos os recursos.
Na lista Selecionar recurso, clique em Sub-rede e em Aplicar.
Clique em Todos os nomes de registro.
Na lista Selecionar nomes de registro, encontre Compute Engine, clique em vpc_flows e depois em Aplicar.
Acessar registros de fluxo de uma sub-rede específica
Console
No console do Google Cloud, acesse a página do Explorador de registros.
Clique em Todos os recursos.
Na lista Selecionar recurso, clique em Sub-rede.
Na lista ID da sub-rede, selecione a sub-rede e depois clique em Aplicar.
Clique em Todos os nomes de registro.
Na lista Selecionar nomes de registro, encontre Compute Engine, clique em vpc_flows e depois em Aplicar.
Acessar registros de fluxo de todos os anexos da VLAN e túneis do Cloud VPN
Console
No console do Google Cloud, acesse a página do Explorador de registros.
Clique em Todos os recursos.
Na lista Selecionar recurso, clique em Configuração dos Registros de fluxo de VPC e em Aplicar.
Acessar registros de fluxo de um anexo da VLAN ou túnel do Cloud VPN específico
Console
No console do Google Cloud, acesse a página do Explorador de registros.
Clique em Todos os recursos.
Na lista Selecionar recurso, clique em Configuração dos Registros de fluxo de VPC e selecione a configuração dos Registros de fluxo de VPC que coleta os registros de fluxo para o anexo da VLAN ou o túnel do Cloud VPN que você quer ver.
Clique em Aplicar.
Acessar registros de fluxo usando consultas
Console
No console do Google Cloud, acesse a página do Explorador de registros.
Se você não vir o campo do editor de consultas no painel Consulta, clique no botão de alternância Mostrar consulta.
Insira uma consulta no campo do editor de consultas:
Para ver registros de fluxo de sub-redes, a consulta precisa ser direcionada a
compute.googleapis.com
. Por exemplo, para ver registros de fluxo para uma sub-rede específica, insira a consulta a seguir, substituindoPROJECT_ID
pelo ID do projeto do Google Cloud eSUBNET_NAME
pela sub-rede:resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" resource.labels.subnetwork_name="SUBNET_NAME"
Para ver registros de fluxo de anexos da VLAN ou túneis do Cloud VPN, a consulta precisa ser direcionada a
networkmanagement.googleapis.com
. Por exemplo, para ver os registros de fluxo de um túnel de origem do Cloud VPN específico, insira a seguinte consulta:resource.type="vpc_flow_logs_config" logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" jsonPayload.reporter="src_gateway" labels.target_resource_name="projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME"
Substitua:
PROJECT_ID
: o ID do projeto do Google CloudREGION
: a região do túnel do Cloud VPNNAME
: o nome do túnel do Cloud VPN
Para mais exemplos de consultas que podem ser executadas para visualizar seus registros de fluxo, consulte Exemplos de consultas da Análise de registros para registros de fluxo de VPC.
Clique em Executar consulta.
Exemplos de consultas da Análise de registros para registros de fluxo de VPC
A tabela a seguir mostra exemplos de consultas da Análise de registros que podem ser executadas para ver os registros de fluxo em um projeto do Google Cloud.
Registros que você quer visualizar | Consulta |
---|---|
Todos os registros de fluxo | resource.type=("gce_subnetwork" OR "vpc_flow_logs_config") logName=("projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" OR "projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows") |
Consultas de sub-redes | |
Registros de todas as sub-redes | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" |
Registros de uma sub-rede específica | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" resource.labels.subnetwork_name="SUBNET_NAME" |
Registros de uma instância de máquina virtual (VM) específica | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" (jsonPayload.src_instance.vm_name="VM_NAME" OR jsonPayload.dest_instance.vm_name="VM_NAME") |
Registros de tráfego para um intervalo de sub-rede específico | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" ip_in_net(jsonPayload.connection.dest_ip, SUBNET_RANGE) |
Registros de um cluster específico do Google Kubernetes Engine (GKE) | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" (jsonPayload.src_gke_details.cluster.cluster_name="CLUSTER_NAME" OR jsonPayload.dest_gke_details.cluster.cluster_name="CLUSTER_NAME") |
Registros apenas do tráfego de saída de uma sub-rede | logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" AND jsonPayload.reporter="SRC" AND jsonPayload.src_vpc.subnetwork_name="SUBNET_NAME" AND (jsonPayload.dest_vpc.subnetwork_name!="SUBNET_NAME" OR NOT jsonPayload.dest_vpc.subnetwork_name:*) |
Registros de todo o tráfego de saída de uma rede de nuvem privada virtual (VPC) | logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" AND jsonPayload.reporter="SRC" AND jsonPayload.src_vpc.vpc_name="VPC_NAME" AND (jsonPayload.dest_vpc.vpc_name!="VPC_NAME" OR NOT jsonPayload.dest_vpc:*) |
Registros de uma porta de destino individual | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" jsonPayload.connection.dest_port=PORT jsonPayload.connection.protocol=PROTOCOL |
Registros para várias portas de destino | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" jsonPayload.connection.dest_port=(PORT1 OR PORT2) jsonPayload.connection.protocol=PROTOCOL |
Consultas de anexos da VLAN para túneis do Cloud Interconnect e do Cloud VPN (Pré-lançamento) | |
Registros de todos os anexos da VLAN e túneis do Cloud VPN | resource.type="vpc_flow_logs_config" logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" |
Registros para uma configuração específica dos Registros de fluxo da VPC | resource.type="vpc_flow_logs_config" logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" resource.labels.name="CONFIG_NAME" |
Registros de um túnel de origem do Cloud VPN específico | resource.type="vpc_flow_logs_config" logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" jsonPayload.reporter="src_gateway" labels.target_resource_name="projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME" |
Registros de todos os anexos da VLAN de destino | resource.type="vpc_flow_logs_config" logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" jsonPayload.reporter="dest_gateway" jsonPayload.dest_gateway.type="INTERCONNECT_ATTACHMENT" |
Registros de todos os anexos da VLAN de destino em uma região específica | resource.type="vpc_flow_logs_config" logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" jsonPayload.reporter="dest_gateway" jsonPayload.dest_gateway.type="INTERCONNECT_ATTACHMENT" jsonPayload.dest_gateway.location="REGION" |
Substitua:
PROJECT_ID
: o ID do projeto do Google Cloud.SUBNET_NAME
: o nome da sub-rede.VM_NAME
: o nome da VM.SUBNET_RANGE
: um intervalo CIDR, como192.168.1.0/24
.CLUSTER_NAME
: o nome do cluster do GKE.VPC_NAME
: o nome da rede VPC.PORT1
ePORT2
: as portas de destino.PROTOCOL
: o protocolo de comunicação.CONFIG_NAME
: o nome da configuração dos registros de fluxo da VPC para o anexo da VLAN ou túnel do Cloud VPN que você quer ver.REGION
: a região do anexo da VLAN ou do túnel do Cloud VPN.NAME
: o nome do túnel do Cloud VPN.
Rotear registros para o BigQuery, o Pub/Sub e destinos personalizados
É possível rotear registros de fluxo do Logging para um destino de sua escolha, conforme descrito na Visão geral de roteamento e armazenamento na documentação do Logging. Consulte a seção anterior, por exemplo, os filtros.
Solução de problemas
Nenhum vpc_flows
aparece no Logging para o recurso gce_subnetwork
- Confirme se a geração de registros está ativada para a sub-rede especificada.
- Os fluxos de VPC são compatíveis apenas com redes VPC. Se você tiver uma rede legada, não verá nenhum registro.
- Em redes VPC compartilhadas, os registros só aparecem no projeto host, não nos projetos de serviço. Procure os registros no projeto host.
- Os filtros de exclusão do Logging bloqueiam registros especificados.
Verifique se não há regras de exclusão que descartem os registros de fluxo de VPC:
- Acesse o roteador de registros.
- No menu Mais ações do bucket de geração de registros, clique em Visualizar detalhes do coletor.
- Verifique se não há regras de exclusão que possam descartar os registros de fluxo de VPC.
- Use a API ou CLI do Google Cloud para determinar se uma configuração de filtragem de registros está filtrando todo o tráfego em uma determinada sub-rede. Por exemplo, se
filterExpr
estiver definido comofalse
, você não verá registros.
Nenhum valor de RTT ou byte em alguns dos registros
- As medições de RTT talvez não sejam mostradas se não houver uma amostra com pacotes suficientes para capturar o RTT. É mais provável que isso aconteça para conexões de baixo volume.
- Os valores RTT estão disponíveis apenas para fluxos TCP relatados por VMs.
- Alguns pacotes são enviados sem payload. Se os pacotes somente de cabeçalho foram incluídos na amostra, o valor dos bytes será 0.
Alguns fluxos estão ausentes
- Os pacotes de entrada são amostrados depois das regras de firewall de entrada. Verifique se não há regras de firewall de entrada que neguem os pacotes que você espera que sejam registrados. Se você não tiver certeza se as regras de firewall da VPC estão bloqueando pacotes de entrada, ative a geração de registros de regras de firewall e inspecione os registros.
- Somente protocolos TCP, UDP, ICMP, ESP e GRE são compatíveis. Os registros de fluxo de VPC não são compatíveis com nenhum outro protocolo.
- Os registros são amostrados. Alguns pacotes em fluxos de volume muito baixo podem não ser mostrados.
Anotações do GKE ausentes em alguns registros
Verifique se o cluster do GKE é uma versão compatível.
Registros ausentes para alguns fluxos do GKE
Verifique se a Visibilidade intranós está ativada no cluster. Caso contrário, os fluxos entre os pods no mesmo nó não serão registrados.
A seguir
- Veja a documentação do Logging
- Veja a documentação Coletores do Logging