Accedi ai log di flusso
Questa pagina descrive come accedere ai log di flusso utilizzando Cloud Logging.
Accedere ai log di flusso in Esplora log
Puoi visualizzare i log di flusso VPC utilizzando il metodo Esplora log. Nella Esplora log, puoi utilizzare filtri delle risorse e query per visualizzare i log di flusso.
Configura IAM
Per configurare il controllo dell'accesso per il logging, consulta guida al controllo dell'accesso per Logging.
Accedi ai log di flusso utilizzando i filtri delle risorse
Per visualizzare tutti i log di flusso o i log di flusso per una subnet specifica, consulta quanto segue sezioni. Puoi anche visualizzare questi log utilizzando le query di Esplora log, come descritto in Accedere ai log di flusso utilizzando le query.
Accedi a tutti i log di flusso
Console
Nella console Google Cloud, vai alla pagina Esplora log.
Fai clic su Tutte le risorse.
Nell'elenco Seleziona risorsa, fai clic su Subnet, quindi fai clic su Applica.
Fai clic su Nome log.
Nell'elenco Seleziona nomi log, fai clic su vpc_flows e quindi su Applica.
Accedi ai log di flusso per una subnet specifica
Console
Nella console Google Cloud, vai alla pagina Esplora log.
Fai clic su Tutte le risorse.
Nell'elenco Seleziona risorsa, fai clic su Subnet.
Nell'elenco ID subnet, seleziona la subnet e fai clic su Applica.
Nell'elenco Seleziona nomi log, fai clic su vpc_flows e quindi su Applica.
Accedi ai log di flusso utilizzando le query
Console
Nella console Google Cloud, vai alla pagina Esplora log.
Se non vedi il campo Editor query nel riquadro Query, fai clic sul Pulsante di attivazione/disattivazione Mostra query.
Inserisci una query nel campo dell'editor di query. Ad esempio, per visualizzare i log di flusso per una subnet specifica, inserisci la seguente query,
PROJECT_ID
con il tuo ID progetto eSUBNET_NAME
con la tua subnet:resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" resource.labels.subnetwork_name="SUBNET_NAME"
Per altri esempi di query che puoi eseguire per visualizzare i log di flusso, consulta Esempi di query di Esplora log per i log di flusso VPC.
Fai clic su Esegui query.
Esempi di query di Esplora log per i log di flusso VPC
La tabella seguente fornisce esempi di query di Esplora log che puoi eseguilo per visualizzare i log di flusso.
Log da visualizzare | Query |
---|---|
Tutti i log | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" |
Log per una subnet specifica | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" resource.labels.subnetwork_name="SUBNET_NAME" |
Log per una specifica istanza di macchina virtuale (VM) | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" jsonPayload.src_instance.vm_name="VM_NAME" |
Log per il traffico verso un intervallo di subnet specifico | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" ip_in_net(jsonPayload.connection.dest_ip, SUBNET_RANGE) |
Log per uno specifico cluster Google Kubernetes Engine (GKE) | resource.type="k8s_cluster" logName="projects/PROJECT_ID/logs/vpc_flows" resource.labels.cluster_name="CLUSTER_NAME" |
Log solo per il traffico in uscita da una subnet | logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" AND jsonPayload.reporter="SRC" AND jsonPayload.src_vpc.subnetwork_name="SUBNET_NAME" AND (jsonPayload.dest_vpc.subnetwork_name!="SUBNET_NAME" OR NOT jsonPayload.dest_vpc.subnetwork_name:*) |
Log di tutto il traffico in uscita da una rete Virtual Private Cloud (VPC) | logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" AND jsonPayload.reporter="SRC" AND jsonPayload.src_vpc.vpc_name="VPC_NAME" AND (jsonPayload.dest_vpc.vpc_name!="VPC_NAME" OR NOT jsonPayload.dest_vpc:*) |
Log per una singola porta di destinazione | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" jsonPayload.connection.dest_port=PORT jsonPayload.connection.protocol=PROTOCOL |
Log per più porte di destinazione | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" jsonPayload.connection.dest_port=(PORT1 OR PORT2) jsonPayload.connection.protocol=PROTOCOL |
Sostituisci quanto segue:
PROJECT_ID
: l'ID progetto.SUBNET_NAME
: il nome della subnet.VM_NAME
: il nome della VM.SUBNET_RANGE
: un intervallo CIDR, ad esempio192.168.1.0/24
.CLUSTER_NAME
: il nome del tuo cluster GKE.VPC_NAME
: il nome della tua rete VPC.PORT1
ePORT2
: le porte di destinazione.PROTOCOL
: il protocollo di comunicazione.
Esegui il routing dei log in BigQuery, Pub/Sub e destinazioni personalizzate
Puoi instradare i log di flusso da Logging a una destinazione di tua scelta come descritto Panoramica del routing e dell'archiviazione nella sezione Logging documentazione. Consulta la sezione precedente per alcuni esempi di filtri.
Risoluzione dei problemi
Nessun vpc_flows
viene visualizzato in Logging per la risorsa gce_subnetwork
- Conferma che il logging sia abilitato per il una subnet.
- I flussi VPC sono supportati solo per le reti VPC. Se hai una rete legacy, non vedrai alcun log.
- Nelle reti VPC condivisi, i log vengono visualizzati solo in il progetto host, non i progetti di servizio. Assicurati di cercare nel progetto host.
- I filtri di esclusione di Logging bloccano i log specificati.
Assicurati che non esistano regole di esclusione che ignorano i log di flusso VPC:
- Vai a Router dei log.
- Nella sezione Altre azioni per il bucket di logging, fai clic su Visualizza dettagli sink.
- Assicurati che non esistano regole di esclusione che potrebbero ignorare i log di flusso VPC.
Nessun valore RTT o byte in alcuni log
- Le misurazioni RTT potrebbero mancare se non è stato campionato un numero sufficiente di pacchetti acquisire RTT. Questo è più probabile per le connessioni a basso volume.
- I valori RTT sono disponibili solo per i flussi TCP.
- Alcuni pacchetti vengono inviati senza payload. Se i pacchetti con solo intestazione fossero campionati, il valore dei byte sarà 0.
Alcuni flussi sono mancanti
- I pacchetti in entrata vengono campionati dopo il traffico in entrata Regole firewall VPC. Accertati che non sono presenti regole firewall in entrata che negano i pacchetti previsti da registrare. Se non sai se VPC le regole firewall bloccano i pacchetti in entrata, puoi abilitare Logging delle regole firewall e e l'analisi dei log.
- Sono supportati solo i protocolli TCP, UDP, ICMP, ESP e GRE. Log di flusso VPC non supporta altri protocolli.
- I log sono campionati. Alcuni pacchetti i flussi a basso volume potrebbero non essere accolti.
Annotazioni GKE mancanti in alcuni log
Assicurati che il cluster GKE sia una versione supportata.
Log mancanti per alcuni flussi GKE
Assicurati che l'opzione Intranodo visibilità sia abilitata. nel cluster. In caso contrario, i flussi tra i pod sullo stesso nodo non vengono registrati.
Passaggi successivi
- Visualizza la documentazione di Logging
- Visualizza Sink di Logging documentazione