Registros de fluxo de acesso

Nesta página, descrevemos como acessar os registros de fluxo usando o Cloud Logging.

Registros de fluxo de acesso na Análise de registros

Para ver os registros de fluxo, use a Análise de registros. Na Análise de registros, é possível usar filtros e consultas de recursos para ver os registros de fluxo. Os registros gerados pelos Registros de fluxo de VPC são agrupados da seguinte maneira:

  • Os registros de fluxo para sub-redes estão disponíveis no registro compute.googleapis.com/vpc_flows.
  • Os registros de fluxo para anexos da VLAN e túneis do Cloud VPN estão disponíveis no registro networkmanagement.googleapis.com/vpc_flows (Pré-lançamento).

Configurar o IAM

Para configurar o controle de acesso para geração de registros, consulte o guia de controle de acesso do Logging.

Acessar registros de fluxo usando filtros de recursos

Para ver os registros de fluxo em um projeto do Google Cloud usando filtros de recursos, consulte as próximas seções. Também é possível usar as consultas da Análise de registros para ver esses registros, conforme descrito em Acessar registros de fluxo usando consultas.

Acessar registros de fluxo de todas as sub-redes

Console

  1. No console do Google Cloud, acesse a página do Explorador de registros.

    Acessar o Explorador de registros

  2. Clique em Todos os recursos.

  3. Na lista Selecionar recurso, clique em Sub-rede e em Aplicar.

  4. Clique em Todos os nomes de registro.

  5. Na lista Selecionar nomes de registro, encontre Compute Engine, clique em vpc_flows e depois em Aplicar.

Acessar registros de fluxo de uma sub-rede específica

Console

  1. No console do Google Cloud, acesse a página do Explorador de registros.

    Acessar o Explorador de registros

  2. Clique em Todos os recursos.

  3. Na lista Selecionar recurso, clique em Sub-rede.

  4. Na lista ID da sub-rede, selecione a sub-rede e depois clique em Aplicar.

  5. Clique em Todos os nomes de registro.

  6. Na lista Selecionar nomes de registro, encontre Compute Engine, clique em vpc_flows e depois em Aplicar.

Acessar registros de fluxo de todos os anexos da VLAN e túneis do Cloud VPN

Console

  1. No console do Google Cloud, acesse a página do Explorador de registros.

    Acessar o Explorador de registros

  2. Clique em Todos os recursos.

  3. Na lista Selecionar recurso, clique em Configuração dos Registros de fluxo de VPC e em Aplicar.

Acessar registros de fluxo de um anexo da VLAN ou túnel do Cloud VPN específico

Console

  1. No console do Google Cloud, acesse a página do Explorador de registros.

    Acessar o Explorador de registros

  2. Clique em Todos os recursos.

  3. Na lista Selecionar recurso, clique em Configuração dos Registros de fluxo de VPC e selecione a configuração dos Registros de fluxo de VPC que coleta os registros de fluxo para o anexo da VLAN ou o túnel do Cloud VPN que você quer ver.

  4. Clique em Aplicar.

Acessar registros de fluxo usando consultas

Console

  1. No console do Google Cloud, acesse a página do Explorador de registros.

    Acessar o Explorador de registros

  2. Se você não vir o campo do editor de consultas no painel Consulta, clique no botão de alternância Mostrar consulta.

  3. Insira uma consulta no campo do editor de consultas:

    • Para ver registros de fluxo de sub-redes, a consulta precisa ser direcionada a compute.googleapis.com. Por exemplo, para ver registros de fluxo para uma sub-rede específica, insira a consulta a seguir, substituindo PROJECT_ID pelo ID do projeto do Google Cloud e SUBNET_NAME pela sub-rede:

      resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
resource.labels.subnetwork_name="SUBNET_NAME"

    • Para ver registros de fluxo de anexos da VLAN ou túneis do Cloud VPN, a consulta precisa ser direcionada a networkmanagement.googleapis.com. Por exemplo, para ver os registros de fluxo de um túnel de origem do Cloud VPN específico, insira a seguinte consulta:

      resource.type="vpc_flow_logs_config"
logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows"
jsonPayload.reporter="src_gateway"
labels.target_resource_name="projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME"

      Substitua:

      • PROJECT_ID: o ID do projeto do Google Cloud
      • REGION: a região do túnel do Cloud VPN
      • NAME: o nome do túnel do Cloud VPN

    Para mais exemplos de consultas que podem ser executadas para visualizar seus registros de fluxo, consulte Exemplos de consultas da Análise de registros para registros de fluxo de VPC.

  4. Clique em Executar consulta.

Exemplos de consultas da Análise de registros para registros de fluxo de VPC

A tabela a seguir mostra exemplos de consultas da Análise de registros que podem ser executadas para ver os registros de fluxo em um projeto do Google Cloud.

Registros que você quer visualizar Consulta
Todos os registros de fluxo 
resource.type=("gce_subnetwork" OR "vpc_flow_logs_config")
logName=("projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" OR
"projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows")
Consultas de sub-redes
Registros de todas as sub-redes 
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
Registros de uma sub-rede específica 
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
resource.labels.subnetwork_name="SUBNET_NAME"
Registros de uma instância de máquina virtual (VM) específica 
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
(jsonPayload.src_instance.vm_name="VM_NAME" OR
jsonPayload.dest_instance.vm_name="VM_NAME")
Registros de tráfego para um intervalo de sub-rede específico 
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
ip_in_net(jsonPayload.connection.dest_ip, SUBNET_RANGE)
Registros de um cluster específico do Google Kubernetes Engine (GKE) 
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
(jsonPayload.src_gke_details.cluster.cluster_name="CLUSTER_NAME" OR
jsonPayload.dest_gke_details.cluster.cluster_name="CLUSTER_NAME")
Registros apenas do tráfego de saída de uma sub-rede 
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" AND
jsonPayload.reporter="SRC" AND
jsonPayload.src_vpc.subnetwork_name="SUBNET_NAME" AND
(jsonPayload.dest_vpc.subnetwork_name!="SUBNET_NAME"
 OR NOT jsonPayload.dest_vpc.subnetwork_name:*)
Registros de todo o tráfego de saída de uma rede de nuvem privada virtual (VPC) 
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" AND
jsonPayload.reporter="SRC" AND
jsonPayload.src_vpc.vpc_name="VPC_NAME" AND
(jsonPayload.dest_vpc.vpc_name!="VPC_NAME" OR NOT jsonPayload.dest_vpc:*)
Registros de uma porta de destino individual 
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
jsonPayload.connection.dest_port=PORT
jsonPayload.connection.protocol=PROTOCOL
Registros para várias portas de destino 
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
jsonPayload.connection.dest_port=(PORT1 OR PORT2)
jsonPayload.connection.protocol=PROTOCOL
Consultas de anexos da VLAN para túneis do Cloud Interconnect e do Cloud VPN (Pré-lançamento)
Registros de todos os anexos da VLAN e túneis do Cloud VPN 
resource.type="vpc_flow_logs_config"
logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows"
Registros para uma configuração específica dos Registros de fluxo da VPC 
resource.type="vpc_flow_logs_config"
logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows"
resource.labels.name="CONFIG_NAME"
Registros de um túnel de origem do Cloud VPN específico 
resource.type="vpc_flow_logs_config"
logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows"
jsonPayload.reporter="src_gateway"
labels.target_resource_name="projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME"
Registros de todos os anexos da VLAN de destino 
resource.type="vpc_flow_logs_config"
logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows"
jsonPayload.reporter="dest_gateway"
jsonPayload.dest_gateway.type="INTERCONNECT_ATTACHMENT"
Registros de todos os anexos da VLAN de destino em uma região específica 
resource.type="vpc_flow_logs_config"
logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows"
jsonPayload.reporter="dest_gateway"
jsonPayload.dest_gateway.type="INTERCONNECT_ATTACHMENT"
jsonPayload.dest_gateway.location="REGION"

Substitua:

  • PROJECT_ID: o ID do projeto do Google Cloud.
  • SUBNET_NAME: o nome da sub-rede.
  • VM_NAME: o nome da VM.
  • SUBNET_RANGE: um intervalo CIDR, como 192.168.1.0/24.
  • CLUSTER_NAME: o nome do cluster do GKE.
  • VPC_NAME: o nome da rede VPC.
  • PORT1 e PORT2: as portas de destino.
  • PROTOCOL: o protocolo de comunicação.
  • CONFIG_NAME: o nome da configuração dos registros de fluxo da VPC para o anexo da VLAN ou túnel do Cloud VPN que você quer ver.
  • REGION: a região do anexo da VLAN ou do túnel do Cloud VPN.
  • NAME: o nome do túnel do Cloud VPN.

Rotear registros para o BigQuery, o Pub/Sub e destinos personalizados

É possível rotear registros de fluxo do Logging para um destino de sua escolha, conforme descrito na Visão geral de roteamento e armazenamento na documentação do Logging. Consulte a seção anterior, por exemplo, os filtros.

Solução de problemas

Nenhum vpc_flows aparece no Logging para o recurso gce_subnetwork

  • Confirme se a geração de registros está ativada para a sub-rede especificada.
  • Os fluxos de VPC são compatíveis apenas com redes VPC. Se você tiver uma rede legada, não verá nenhum registro.
  • Em redes VPC compartilhadas, os registros só aparecem no projeto host, não nos projetos de serviço. Procure os registros no projeto host.
  • Os filtros de exclusão do Logging bloqueiam registros especificados. Verifique se não há regras de exclusão que descartem os registros de fluxo de VPC:
    1. Acesse o roteador de registros.
    2. No menu Mais ações do bucket de geração de registros, clique em Visualizar detalhes do coletor.
    3. Verifique se não há regras de exclusão que possam descartar os registros de fluxo de VPC.
  • Use a API ou CLI do Google Cloud para determinar se uma configuração de filtragem de registros está filtrando todo o tráfego em uma determinada sub-rede. Por exemplo, se filterExpr estiver definido como false, você não verá registros.

Nenhum valor de RTT ou byte em alguns dos registros

  • As medições de RTT talvez não sejam mostradas se não houver uma amostra com pacotes suficientes para capturar o RTT. É mais provável que isso aconteça para conexões de baixo volume.
  • Os valores RTT estão disponíveis apenas para fluxos TCP relatados por VMs.
  • Alguns pacotes são enviados sem payload. Se os pacotes somente de cabeçalho foram incluídos na amostra, o valor dos bytes será 0.

Alguns fluxos estão ausentes

  • Os pacotes de entrada são amostrados depois das regras de firewall de entrada. Verifique se não há regras de firewall de entrada que neguem os pacotes que você espera que sejam registrados. Se você não tiver certeza se as regras de firewall da VPC estão bloqueando pacotes de entrada, ative a geração de registros de regras de firewall e inspecione os registros.
  • Somente protocolos TCP, UDP, ICMP, ESP e GRE são compatíveis. Os registros de fluxo de VPC não são compatíveis com nenhum outro protocolo.
  • Os registros são amostrados. Alguns pacotes em fluxos de volume muito baixo podem não ser mostrados.

Anotações do GKE ausentes em alguns registros

Verifique se o cluster do GKE é uma versão compatível.

Registros ausentes para alguns fluxos do GKE

Verifique se a Visibilidade intranós está ativada no cluster. Caso contrário, os fluxos entre os pods no mesmo nó não serão registrados.

A seguir