Accede a los registros de flujo

En esta página, se describe cómo acceder a los registros de flujo mediante Cloud Logging.

Accede a los registros de flujo en el Explorador de registros

Puedes ver los registros de flujo de VPC con el Explorador de registros. Con el Explorador de registros, puedes usar los filtros de recursos y consultas para ver tus registros de flujo.

Configura IAM

Si deseas configurar el control de acceso para el registro, consulta la Guía de control de acceso para Logging.

Accede a los registros de flujo mediante filtros de recursos

Para ver todos los registros de flujo o los de una subred específica, consulta las siguientes secciones. También puedes ver estos registros con las consultas del Explorador de registros como se describe en Accede a los registros de flujo mediante consultas.

Accede a todos los registros

Console

  1. En la consola de Google Cloud, ve a la página Explorador de registros.

    Ir al Explorador de registros

  2. Haz clic en Todos los recursos.

  3. En la lista Seleccionar recurso, haz clic en Subred y, luego, en Aplicar.

  4. Haz clic en Nombre del registro.

  5. En la lista Seleccionar nombres de registro, haz clic en vpc_flows y, luego, en Aplicar.

Accede a los registros de flujo de una subred específica

Console

  1. En la consola de Google Cloud, ve a la página Explorador de registros.

    Ir al Explorador de registros

  2. Haz clic en Todos los recursos.

  3. En la lista Seleccionar recurso, haz clic en Subred.

  4. En la lista ID de subred, selecciona la subred y, luego, haz clic en Aplicar.

  5. En la lista Seleccionar nombres de registro, haz clic en vpc_flows y, luego, en Aplicar.

Accede a los registros de flujo mediante consultas

Console

  1. En la consola de Google Cloud, ve a la página Explorador de registros.

    Ir al Explorador de registros

  2. Si no ves el campo del editor de consultas en el panel Consulta, haz clic en el botón de activar o desactivar Mostrar consulta.

  3. En el campo del editor de consultas, ingresa una consulta. Por ejemplo, para ver los registros de flujo para una subred específica, ingresa la siguiente consulta, reemplazando PROJECT_ID por el ID del proyecto y SUBNET_NAME por tu subred:

    resource.type="gce_subnetwork"
    logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
    resource.labels.subnetwork_name="SUBNET_NAME"
    

    Si quieres ver más ejemplos de consultas que puedes ejecutar para ver tus registros de flujo, visita Ejemplos de consultas del Explorador de registros para registros de flujo de VPC.

  4. Haz clic en Ejecutar consulta.

Ejemplos de consultas del Explorador de registros para registros de flujo de VPC

En la siguiente tabla, se proporcionan ejemplos de consultas del Explorador de registros que puedes ejecutar para ver tus registros de flujo.

Registros que quieres ver Consulta
Todos los registros
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
Registros de una subred específica
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
resource.labels.subnetwork_name="SUBNET_NAME"
Registros para una instancia de máquina virtual (VM) específica
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
jsonPayload.src_instance.vm_name="VM_NAME"
Registros de tráfico a un rango de subred específico
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
ip_in_net(jsonPayload.connection.dest_ip, SUBNET_RANGE)
Registros de un clúster específico de Google Kubernetes Engine (GKE)
resource.type="k8s_cluster"
logName="projects/PROJECT_ID/logs/vpc_flows"
resource.labels.cluster_name="CLUSTER_NAME"
Registros solo del tráfico de salida desde una subred
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" AND
jsonPayload.reporter="SRC" AND
jsonPayload.src_vpc.subnetwork_name="SUBNET_NAME" AND
(jsonPayload.dest_vpc.subnetwork_name!="SUBNET_NAME"
 OR NOT jsonPayload.dest_vpc.subnetwork_name:*)
Registros de todo el tráfico de salida de una red de nube privada virtual (VPC)
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" AND
jsonPayload.reporter="SRC" AND
jsonPayload.src_vpc.vpc_name="VPC_NAME" AND
(jsonPayload.dest_vpc.vpc_name!="VPC_NAME" OR NOT jsonPayload.dest_vpc:*)
Registros para un puerto de destino individual
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
jsonPayload.connection.dest_port=PORT
jsonPayload.connection.protocol=PROTOCOL
Registros para varios puertos de destino
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
jsonPayload.connection.dest_port=(PORT1 OR PORT2)
jsonPayload.connection.protocol=PROTOCOL

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto.
  • SUBNET_NAME: Es el nombre de tu subred.
  • VM_NAME: El nombre de tu VM.
  • SUBNET_RANGE: Es un rango CIDR, como 192.168.1.0/24.
  • CLUSTER_NAME: Es el nombre del clúster de GKE.
  • VPC_NAME: El nombre de tu red de VPC
  • PORT1 y PORT2: Son los puertos de destino.
  • PROTOCOL: Es el protocolo de comunicación.

Enruta registros a BigQuery, Pub/Sub y orientaciones personalizadas

Puedes enrutar registros de flujo desde Logging a un destino de tu elección, como se describe en la Descripción general del enrutamiento y el almacenamiento en la documentación de Logging. Consulta la sección anterior para ver ejemplos de filtros.

Soluciona problemas

Ningún vpc_flows aparece en Logging en el recurso gce_subnetwork

  • Confirma que el registro esté habilitado para la subred determinada.
  • Los flujos de VPC solo se admiten en redes de VPC. Si tienes una red heredada, no verás ningún registro.
  • En redes de VPC compartida, los registros solo aparecen en el proyecto host y no en el proyecto de servicio. Asegúrate de buscar los registros en el proyecto host.
  • Los filtros de exclusión de registros bloquean los registros especificados. Asegúrate de que ninguna regla de exclusión descarte los registros de flujo de VPC:
    1. Ir a Enrutador de registros
    2. En , haz clic en el menú Más acciones de tu bucket de registro, haz clic en Ver detalles del receptor.
    3. Asegúrate de que no haya ninguna regla de exclusión que pueda descartar los registros de flujo de VPC.

Los valores de RTT o de bytes no aparecen en algunos registros

  • Es posible que falten mediciones de RTT si no se realizó una muestra de una cantidad suficiente de paquetes que capture el RTT. Esto es más frecuente en conexiones con poco volumen.
  • Los valores de RTT solo están disponibles para los flujos TCP.
  • Algunos paquetes se envían sin carga útil. Si solo se realizaron muestras sobre paquetes de solo encabezado, el valor en bytes será 0.

Faltan algunos flujos

  • Los paquetes de entrada se muestrean después de las reglas de firewall de entrada. Asegúrate de que no haya ninguna regla de firewall de entrada que rechace los paquetes que esperas que se registren. Si no sabes si las reglas de firewall de VPC bloquean los paquetes de entrada, puedes habilitar Registro de reglas de firewall e inspeccionar los registros.
  • Solo se admiten los protocolos TCP, UDP, ICMP, ESP y GRE. Los registros de flujo de VPC no admiten ningún otro protocolo.
  • Los registros se muestrean. Algunos paquetes en flujos de volumen muy bajo pueden pasarse por alto.

Faltan anotaciones de GKE en algunos registros

Asegúrate de que tu clúster de GKE sea una versión compatible.

Faltan registros para algunos flujos de GKE

Asegúrate de que la Visibilidad dentro de los nodos esté habilitada en el clúster. De lo contrario, los flujos entre los Pods del mismo nodo no se registran.

¿Qué sigue?