Accede a los registros de flujo
En esta página, se describe cómo acceder a los registros de flujo mediante Cloud Logging.
Accede a los registros de flujo en el Explorador de registros
Puedes ver los registros de flujo con el Explorador de registros. Con el Explorador de registros, puedes usar los filtros de recursos y consultas para ver tus registros de flujo. Los registros que generan los registros de flujo de VPC se agrupan de la siguiente manera:
- Los registros de flujo de las subredes están disponibles en el registro
compute.googleapis.com/vpc_flows. - Los registros de flujo para los adjuntos de VLAN y los túneles de Cloud VPN están disponibles en el registro
networkmanagement.googleapis.com/vpc_flows(versión preliminar).
Configura IAM
Si deseas configurar el control de acceso para el registro, consulta la Guía de control de acceso para Logging.
Accede a los registros de flujo mediante filtros de recursos
Para ver los registros de flujo en un proyecto de Google Cloud con filtros de recursos, consulta las siguientes secciones. También puedes ver estos registros con las consultas del Explorador de registros como se describe en Accede a los registros de flujo mediante consultas.
Accede a los registros de flujo de todas las subredes
Console
En la consola de Google Cloud, ve a la página Explorador de registros.
Haz clic en Todos los recursos.
En la lista Seleccionar recurso, haz clic en Subred y, luego, en Aplicar.
Haz clic en Todos los nombres de registro.
En la lista Seleccionar nombres de registro, busca Compute Engine, haz clic en vpc_flows y, luego, en Aplicar.
Accede a los registros de flujo de una subred específica
Console
En la consola de Google Cloud, ve a la página Explorador de registros.
Haz clic en Todos los recursos.
En la lista Seleccionar recurso, haz clic en Subred.
En la lista ID de subred, selecciona la subred y, luego, haz clic en Aplicar.
Haz clic en Todos los nombres de registro.
En la lista Seleccionar nombres de registro, busca Compute Engine, haz clic en vpc_flows y, luego, en Aplicar.
Accede a los registros de flujo de todos los adjuntos de VLAN y los túneles de Cloud VPN
Console
En la consola de Google Cloud, ve a la página Explorador de registros.
Haz clic en Todos los recursos.
En la lista Seleccionar recurso, haz clic en Configuración de registros de flujo de VPC y, luego, en Aplicar.
Accede a los registros de flujo de un adjunto de VLAN o un túnel de Cloud VPN específicos
Console
En la consola de Google Cloud, ve a la página Explorador de registros.
Haz clic en Todos los recursos.
En la lista Seleccionar recurso, haz clic en Configuración de registros de flujo de VPC y selecciona la configuración de registros de flujo de VPC que recopila registros de flujo para el adjunto de VLAN o el túnel de Cloud VPN que deseas ver.
Haz clic en Aplicar.
Accede a los registros de flujo mediante consultas
Console
En la consola de Google Cloud, ve a la página Explorador de registros.
Si no ves el campo del editor de consultas en el panel Consulta, haz clic en el botón de activar o desactivar Mostrar consulta.
En el campo del editor de consultas, ingresa una consulta:
Para ver los registros de flujo de las subredes, la consulta debe orientarse a
compute.googleapis.com. Por ejemplo, para ver los registros de flujo para una subred específica, ingresa la siguiente consulta, reemplazandoPROJECT_IDpor el ID del proyecto ySUBNET_NAMEpor tu subred:resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" resource.labels.subnetwork_name="SUBNET_NAME"
Para ver los registros de flujo de los adjuntos de VLAN o los túneles de Cloud VPN, la consulta debe orientarse a
networkmanagement.googleapis.com. Por ejemplo, para ver los registros de flujo de un túnel de Cloud VPN de origen específico, ingresa la siguiente consulta:resource.type="vpc_flow_logs_config" logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" jsonPayload.reporter="src_gateway" labels.target_resource_name="projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME"
Reemplaza lo siguiente:
PROJECT_ID: El ID del proyecto de Google CloudREGION: la región del túnel de Cloud VPNNAME: el nombre del túnel de Cloud VPN
Si quieres ver más ejemplos de consultas que puedes ejecutar para ver tus registros de flujo, visita Ejemplos de consultas del Explorador de registros para registros de flujo de VPC.
Haz clic en Ejecutar consulta.
Ejemplos de consultas del Explorador de registros para registros de flujo de VPC
En la siguiente tabla, se proporcionan ejemplos de consultas del Explorador de registros que puedes ejecutar para ver tus registros de flujo en un proyecto de Google Cloud.
| Registros que quieres ver | Consulta |
|---|---|
| Todos los registros de flujo |
resource.type=("gce_subnetwork" OR "vpc_flow_logs_config")
logName=("projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" OR
"projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows") |
| Consultas de subredes | |
| Registros de todas las subredes | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" |
| Registros de una subred específica | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" resource.labels.subnetwork_name="SUBNET_NAME" |
| Registros para una instancia de máquina virtual (VM) específica | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" (jsonPayload.src_instance.vm_name="VM_NAME" OR jsonPayload.dest_instance.vm_name="VM_NAME") |
| Registros de tráfico a un rango de subred específico | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" ip_in_net(jsonPayload.connection.dest_ip, SUBNET_RANGE) |
| Registros de un clúster específico de Google Kubernetes Engine (GKE) | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" (jsonPayload.src_gke_details.cluster.cluster_name="CLUSTER_NAME" OR jsonPayload.dest_gke_details.cluster.cluster_name="CLUSTER_NAME") |
| Registros solo del tráfico de salida desde una subred | logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" AND jsonPayload.reporter="SRC" AND jsonPayload.src_vpc.subnetwork_name="SUBNET_NAME" AND (jsonPayload.dest_vpc.subnetwork_name!="SUBNET_NAME" OR NOT jsonPayload.dest_vpc.subnetwork_name:*) |
| Registros de todo el tráfico de salida de una red de nube privada virtual (VPC) | logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" AND jsonPayload.reporter="SRC" AND jsonPayload.src_vpc.vpc_name="VPC_NAME" AND (jsonPayload.dest_vpc.vpc_name!="VPC_NAME" OR NOT jsonPayload.dest_vpc:*) |
| Registros para un puerto de destino individual | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" jsonPayload.connection.dest_port=PORT jsonPayload.connection.protocol=PROTOCOL |
| Registros para varios puertos de destino | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" jsonPayload.connection.dest_port=(PORT1 OR PORT2) jsonPayload.connection.protocol=PROTOCOL |
| Consultas de adjuntos de VLAN para túneles de Cloud Interconnect y Cloud VPN (versión preliminar) | |
| Registros de todos los adjuntos de VLAN y túneles de Cloud VPN | resource.type="vpc_flow_logs_config" logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" |
| Registros de una configuración específica de registros de flujo de VPC | resource.type="vpc_flow_logs_config" logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" resource.labels.name="CONFIG_NAME" |
| Registros de un túnel de Cloud VPN de origen específico | resource.type="vpc_flow_logs_config" logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" jsonPayload.reporter="src_gateway" labels.target_resource_name="projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME" |
| Registros de todos los adjuntos de VLAN de destino | resource.type="vpc_flow_logs_config" logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" jsonPayload.reporter="dest_gateway" jsonPayload.dest_gateway.type="INTERCONNECT_ATTACHMENT" |
| Registros de todos los adjuntos de VLAN de destino en una región específica | resource.type="vpc_flow_logs_config" logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" jsonPayload.reporter="dest_gateway" jsonPayload.dest_gateway.type="INTERCONNECT_ATTACHMENT" jsonPayload.dest_gateway.location="REGION" |
Reemplaza lo siguiente:
PROJECT_ID: el ID del proyecto de Google Cloud.SUBNET_NAME: Es el nombre de la subred.VM_NAME: el nombre de la VM.SUBNET_RANGE: Es un rango CIDR, como192.168.1.0/24.CLUSTER_NAMEes el nombre del clúster de GKE.VPC_NAME: Es el nombre de la red de VPC.PORT1yPORT2: Son los puertos de destino.PROTOCOL: Es el protocolo de comunicación.CONFIG_NAME: Es el nombre de la configuración de los registros de flujo de VPC para el adjunto de VLAN o el túnel de Cloud VPN que deseas ver.REGION: Es la región del adjunto de VLAN o el túnel de Cloud VPN.NAME: Es el nombre del túnel de Cloud VPN.
Enruta registros a BigQuery, Pub/Sub y orientaciones personalizadas
Puedes enrutar registros de flujo desde Logging a un destino de tu elección, como se describe en la Descripción general del enrutamiento y el almacenamiento en la documentación de Logging. Consulta la sección anterior para ver ejemplos de filtros.
Soluciona problemas
Ningún vpc_flows aparece en Logging en el recurso gce_subnetwork
- Confirma que el registro esté habilitado para la subred determinada.
- Los flujos de VPC solo se admiten en redes de VPC. Si tienes una red heredada, no verás ningún registro.
- En redes de VPC compartida, los registros solo aparecen en el proyecto host y no en el proyecto de servicio. Asegúrate de buscar los registros en el proyecto host.
- Los filtros de exclusión de registros bloquean los registros especificados.
Asegúrate de que ninguna regla de exclusión descarte los registros de flujo de VPC:
- Ir a Enrutador de registros
- En , haz clic en el menú Más acciones de tu bucket de registro, haz clic en Ver detalles del receptor.
- Asegúrate de que no haya ninguna regla de exclusión que pueda descartar los registros de flujo de VPC.
- Usa Google Cloud CLI o la API para determinar si una configuración de filtrado de registros filtra todo el tráfico de una subred determinada. Por ejemplo, si
filterExprestá configurado comofalse, no verás ningún registro.
Los valores de RTT o de bytes no aparecen en algunos registros
- Es posible que falten mediciones de RTT si no se realizó una muestra de una cantidad suficiente de paquetes que capture el RTT. Esto es más frecuente en conexiones con poco volumen.
- Los valores de RTT solo están disponibles para los flujos TCP informados desde las VMs.
- Algunos paquetes se envían sin carga útil. Si solo se realizaron muestras sobre paquetes de solo encabezado, el valor en bytes será 0.
Faltan algunos flujos
- Los paquetes de entrada se muestrean después de las reglas de firewall de entrada. Asegúrate de que no haya ninguna regla de firewall de entrada que rechace los paquetes que esperas que se registren. Si no sabes si las reglas de firewall de VPC bloquean los paquetes de entrada, puedes habilitar Registro de reglas de firewall e inspeccionar los registros.
- Solo se admiten los protocolos TCP, UDP, ICMP, ESP y GRE. Los registros de flujo de VPC no admiten ningún otro protocolo.
- Los registros se muestrean. Algunos paquetes en flujos de volumen muy bajo pueden pasarse por alto.
Faltan anotaciones de GKE en algunos registros
Asegúrate de que tu clúster de GKE sea una versión compatible.
Faltan registros para algunos flujos de GKE
Asegúrate de que la Visibilidad dentro de los nodos esté habilitada en el clúster. De lo contrario, los flujos entre los Pods del mismo nodo no se registran.
¿Qué sigue?
- Consulta la documentación de Logging.
- Consulta la documentación sobre los receptores de Logging.