Registros de fluxo de acesso

Nesta página, descrevemos como acessar os registros de fluxo usando o Cloud Logging.

Registros de fluxo de acesso na Análise de registros

Para ver os registros de fluxo de VPC, use a Análise de registros. Na função Análise de registros, use filtros e consultas de recursos para conferir seus registros de fluxo.

Configurar o IAM

Para configurar o controle de acesso para geração de registros, consulte o guia de controle de acesso do Logging.

Acessar registros de fluxo usando filtros de recursos

Para visualizar todos os registros de fluxo de uma sub-rede específica, consulte: mais importantes. Também é possível usar as consultas da Análise de registros, conforme descrito em Registros de fluxo de acesso usando consultas.

Acessar todos os registros de fluxos

Console

  1. No console do Google Cloud, acesse a página do Explorador de registros.

    Acessar o Explorador de registros

  2. Clique em Todos os recursos.

  3. Na lista Selecionar recurso, clique em Sub-rede e em Aplicar.

  4. Clique em Nome do registro.

  5. Na lista Selecionar nomes de registro, clique em vpc_flows e depois em Aplicar.

Acessar registros de fluxo de uma sub-rede específica

Console

  1. No console do Google Cloud, acesse a página do Explorador de registros.

    Acessar o Explorador de registros

  2. Clique em Todos os recursos.

  3. Na lista Selecionar recurso, clique em Sub-rede.

  4. Na lista ID da sub-rede, selecione a sub-rede e depois clique em Aplicar.

  5. Na lista Selecionar nomes de registro, clique em vpc_flows e depois em Aplicar.

Acessar registros de fluxo usando consultas

Console

  1. No console do Google Cloud, acesse a página do Explorador de registros.

    Acessar o Explorador de registros

  2. Se você não vir o campo do editor de consultas no painel Consulta, clique no botão de alternância Mostrar consulta.

  3. Insira uma consulta no campo "Editor de consultas". Por exemplo, para consultar registros de fluxo para uma sub-rede específica, insira a consulta a seguir, substituindo PROJECT_ID pelo ID do projeto; SUBNET_NAME pela sub-rede:

    resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
resource.labels.subnetwork_name="SUBNET_NAME"

    Para mais exemplos de consultas que podem ser executadas para visualizar seus registros de fluxo, consulte Exemplos de consultas da Análise de registros para registros de fluxo de VPC.

  4. Clique em Executar consulta.

Exemplos de consultas da Análise de registros para registros de fluxo de VPC

A tabela a seguir mostra exemplos de consultas da Análise de registros que podem ser para visualizar os registros de fluxo.

Registros que você quer visualizar Consulta
Todos os registros 
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
Registros de uma sub-rede específica 
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
resource.labels.subnetwork_name="SUBNET_NAME"
Registros de uma instância de máquina virtual (VM) específica 
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
jsonPayload.src_instance.vm_name="VM_NAME"
Registros de tráfego para um intervalo de sub-rede específico 
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
ip_in_net(jsonPayload.connection.dest_ip, SUBNET_RANGE)
Registros de um cluster específico do Google Kubernetes Engine (GKE) 
resource.type="k8s_cluster"
logName="projects/PROJECT_ID/logs/vpc_flows"
resource.labels.cluster_name="CLUSTER_NAME"
Registros apenas do tráfego de saída de uma sub-rede 
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" AND
jsonPayload.reporter="SRC" AND
jsonPayload.src_vpc.subnetwork_name="SUBNET_NAME" AND
(jsonPayload.dest_vpc.subnetwork_name!="SUBNET_NAME"
 OR NOT jsonPayload.dest_vpc.subnetwork_name:*)
Registros de todo o tráfego de saída de uma rede de nuvem privada virtual (VPC) 
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" AND
jsonPayload.reporter="SRC" AND
jsonPayload.src_vpc.vpc_name="VPC_NAME" AND
(jsonPayload.dest_vpc.vpc_name!="VPC_NAME" OR NOT jsonPayload.dest_vpc:*)
Registros de uma porta de destino individual 
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
jsonPayload.connection.dest_port=PORT
jsonPayload.connection.protocol=PROTOCOL
Registros para várias portas de destino 
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
jsonPayload.connection.dest_port=(PORT1 OR PORT2)
jsonPayload.connection.protocol=PROTOCOL

Substitua:

  • PROJECT_ID: o ID do projeto;
  • SUBNET_NAME: o nome da sub-rede.
  • VM_NAME: o nome da VM.
  • SUBNET_RANGE: um intervalo CIDR, como 192.168.1.0/24.
  • CLUSTER_NAME: o nome do cluster do GKE.
  • VPC_NAME: o nome da sua rede VPC.
  • PORT1 e PORT2: as portas de destino.
  • PROTOCOL: o protocolo de comunicação.

Rotear registros para o BigQuery, o Pub/Sub e destinos personalizados

É possível rotear registros de fluxo do Logging para um destino de sua escolha, conforme descrito na Visão geral de roteamento e armazenamento na documentação do Logging. Consulte a seção anterior, por exemplo, os filtros.

Solução de problemas

Nenhum vpc_flows aparece no Logging para o recurso gce_subnetwork

  • Confirme se a geração de registros está ativada para a sub-rede especificada.
  • Os fluxos de VPC são compatíveis apenas com redes VPC. Se você tiver uma rede legada, não verá nenhum registro.
  • Em redes VPC compartilhadas, os registros só aparecem no projeto host, não nos projetos de serviço. Procure os registros no projeto host.
  • Os filtros de exclusão do Logging bloqueiam registros especificados. Verifique se não há regras de exclusão que descartem os registros de fluxo de VPC:
    1. Acesse o roteador de registros.
    2. No menu Mais ações do bucket de geração de registros, clique em Visualizar detalhes do coletor.
    3. Verifique se não há regras de exclusão que possam descartar os registros de fluxo de VPC.

Nenhum valor de RTT ou byte em alguns dos registros

  • As medições de RTT talvez não sejam mostradas se não houver uma amostra com pacotes suficientes para capturar o RTT. É mais provável que isso aconteça para conexões de baixo volume.
  • Valores RTT estão disponíveis apenas para fluxos TCP.
  • Alguns pacotes são enviados sem payload. Se os pacotes somente de cabeçalho foram incluídos na amostra, o valor dos bytes será 0.

Alguns fluxos estão ausentes

  • Os pacotes de entrada são amostrados depois das regras de firewall de entrada. Verifique se não há regras de firewall de entrada que neguem os pacotes que você espera que sejam registrados. Se você não tiver certeza se as regras de firewall da VPC estão bloqueando pacotes de entrada, ative a geração de registros de regras de firewall e inspecione os registros.
  • Somente protocolos TCP, UDP, ICMP, ESP e GRE são compatíveis. Os registros de fluxo de VPC não são compatíveis com nenhum outro protocolo.
  • Os registros são amostrados. Alguns pacotes em fluxos de volume muito baixo podem não ser mostrados.

Anotações do GKE ausentes em alguns registros

Verifique se o cluster do GKE é uma versão compatível.

Registros ausentes para alguns fluxos do GKE

Verifique se a Visibilidade intranós está ativada no cluster. Caso contrário, os fluxos entre os pods no mesmo nó não serão registrados.

A seguir