Accéder aux journaux de flux
Cette page explique comment accéder aux journaux de flux à l'aide de Cloud Logging.
Accéder aux journaux de flux dans l'explorateur de journaux
Vous pouvez afficher les journaux de flux VPC à l'aide de l'explorateur de journaux. Dans l'explorateur de journaux, vous pouvez utiliser des filtres de ressources et des requêtes pour afficher vos journaux de flux.
Configurer IAM
Pour configurer le contrôle des accès pour Logging, consultez le guide du contrôle des accès pour Logging.
Accéder aux journaux de flux à l'aide de filtres de ressources
Pour afficher tous les journaux de flux ou les journaux de flux d'un sous-réseau spécifique, consultez les sections suivantes. Vous pouvez également afficher ces journaux à l'aide des requêtes de l'explorateur de journaux, comme décrit dans Accéder aux journaux de flux à l'aide de requêtes.
Accéder à tous les journaux de flux
Console
Dans Google Cloud Console, accédez à la page Explorateur de journaux.
Cliquez sur Toutes les ressources.
Dans la liste Sélectionner une ressource, cliquez sur Sous-réseau, puis sur Appliquer.
Cliquez sur Nom du journal.
Dans la liste Sélectionner les noms des journaux, cliquez sur vpc_flows, puis sur Appliquer.
Accéder aux journaux de flux d'un sous-réseau spécifique
Console
Dans Google Cloud Console, accédez à la page Explorateur de journaux.
Cliquez sur Toutes les ressources.
Dans la liste Sélectionner une ressource, cliquez sur Sous-réseau.
Dans la liste ID de sous-réseau, sélectionnez le sous-réseau, puis cliquez sur Appliquer.
Dans la liste Sélectionner les noms des journaux, cliquez sur vpc_flows, puis sur Appliquer.
Accéder aux journaux de flux à l'aide de requêtes
Console
Dans Google Cloud Console, accédez à la page Explorateur de journaux.
Si le champ de l'éditeur de requête n'apparaît pas dans le volet Query (Requête), cliquez sur le bouton Show query (Afficher la requête).
Dans le champ de l'éditeur de requête, saisissez une requête. Par exemple, pour afficher les journaux de flux d'un sous-réseau spécifique, saisissez la requête suivante en remplaçant
PROJECT_IDpar l'ID de votre projet etSUBNET_NAMEpar votre sous-réseau :resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" resource.labels.subnetwork_name="SUBNET_NAME"
Pour obtenir d'autres exemples de requêtes que vous pouvez exécuter pour afficher vos journaux de flux, consultez la section Exemples de requêtes de l'explorateur de journaux pour les journaux de flux VPC.
Cliquez sur Exécuter la requête.
Exemples de requêtes de l'explorateur de journaux pour les journaux de flux VPC
Le tableau suivant fournit des exemples de requêtes d'explorateur de journaux que vous pouvez utiliser pour afficher vos journaux de flux.
| Journaux que vous souhaitez afficher | Requête |
|---|---|
| Tous les journaux | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" |
| Journaux d'un sous-réseau spécifique | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" resource.labels.subnetwork_name="SUBNET_NAME" |
| Journaux d'une instance de machine virtuelle (VM) spécifique | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" jsonPayload.src_instance.vm_name="VM_NAME" |
| Journaux du trafic vers une plage de sous-réseau spécifique | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" ip_in_net(jsonPayload.connection.dest_ip, SUBNET_RANGE) |
| Journaux d'un cluster Google Kubernetes Engine (GKE) spécifique | resource.type="k8s_cluster" logName="projects/PROJECT_ID/logs/vpc_flows" resource.labels.cluster_name="CLUSTER_NAME" |
| Journaux du trafic sortant d'un sous-réseau | logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" AND jsonPayload.reporter="SRC" AND jsonPayload.src_vpc.subnetwork_name="SUBNET_NAME" AND (jsonPayload.dest_vpc.subnetwork_name!="SUBNET_NAME" OR NOT jsonPayload.dest_vpc.subnetwork_name:*) |
| Journaux de l'ensemble du trafic sortant d'un réseau cloud privé virtuel (VPC) | logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" AND jsonPayload.reporter="SRC" AND jsonPayload.src_vpc.vpc_name="VPC_NAME" AND (jsonPayload.dest_vpc.vpc_name!="VPC_NAME" OR NOT jsonPayload.dest_vpc:*) |
| Journaux d'un port de destination individuel | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" jsonPayload.connection.dest_port=PORT jsonPayload.connection.protocol=PROTOCOL |
| Journaux pour plusieurs ports de destination | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" jsonPayload.connection.dest_port=(PORT1 OR PORT2) jsonPayload.connection.protocol=PROTOCOL |
Remplacez les éléments suivants :
PROJECT_ID: ID du projet.SUBNET_NAME: nom de votre sous-réseau.VM_NAME: nom de votre VM.SUBNET_RANGE: plage CIDR, telle que192.168.1.0/24.CLUSTER_NAME: nom de votre cluster GKE.VPC_NAME: nom de votre réseau VPC.PORT1etPORT2: ports de destination.PROTOCOL: protocole de communication.
Routage des journaux vers BigQuery, Pub/Sub et des cibles personnalisées
Vous pouvez acheminer les journaux de flux depuis Logging vers la destination de votre choix, comme décrit dans la section Présentation du routage et du stockage de la documentation de Logging. Pour obtenir des exemples de filtres, consultez la section précédente.
Dépannage
Aucun vpc_flows n'apparaît dans Logging pour la ressource gce_subnetwork.
- Vérifiez que la journalisation est activée pour le sous-réseau donné.
- Les flux VPC ne sont disponibles que pour les réseaux VPC. Si vous travaillez avec un ancien réseau, aucun journal ne s'affichera.
- Pour les réseaux VPC partagés, les journaux apparaissent uniquement dans le projet hôte, et non dans les projets de service. Vérifiez que vous recherchez bien les journaux dans le projet hôte.
- Les filtres d'exclusion de Logging bloquent les journaux indiqués.
Vérifiez qu'aucune règle d'exclusion ne supprime les journaux de flux VPC.
- Accédez au routeur de journaux.
- Dans le menu Autres actions de votre bucket de journaux, cliquez sur Afficher les détails du récepteur.
- Vérifiez qu'il n'existe aucune règle d'exclusion pouvant supprimer les journaux de flux VPC.
Certains journaux n'affichent aucune valeur de type DAR ou octet.
- Les mesures de latence DAR (délai aller-retour) peuvent être manquantes si un nombre insuffisant de paquets ont été échantillonnés pour capturer cette valeur. Cette situation est davantage susceptible de se produire pour les connexions à faible volume.
- Les valeurs de type DAR ne sont disponibles que pour les flux TCP.
- Certains paquets sont envoyés sans charge utile. Si l'échantillonage n'a sélectionné que des paquets avec uniquement des en-têtes, la valeur de type octet sera égale à 0.
Certains flux sont manquants.
- Les paquets d'entrée sont échantillonnés après les règles de pare-feu VPC d'entrée. Assurez-vous qu'aucune règle de pare-feu d'entrée ne refuse les paquets qui doivent être journalisés. Si vous ne savez pas si les règles de pare-feu VPC bloquent des paquets d'entrée, vous pouvez activer la journalisation des règles de pare-feu et inspecter les journaux correspondants.
- Seuls les protocoles TCP, UDP, ICMP, ESP et GRE sont acceptés. Les journaux de flux VPC ne sont compatibles avec aucun autre protocole.
- Les journaux sont échantillonnés. Certains paquets à très faible volume peuvent donc passer à travers les mailles du filet.
Annotations GKE manquantes dans certains journaux
Assurez-vous que la version de votre cluster GKE est une version compatible.
Journaux manquants pour certains flux GKE
Assurez-vous que la visibilité intranœud est activée dans le cluster. Sinon, les flux entre les pods du même nœud ne sont pas consignés.
Étapes suivantes
- Consultez la documentation de Logging.
- Consultez la documentation sur les récepteurs de journaux.