Accede a los registros de flujo
En esta página, se describe cómo acceder a los registros de flujo mediante Cloud Logging.
Accede a los registros de flujo en el Explorador de registros
Puedes ver los registros de flujo de VPC con el Explorador de registros. Con el Explorador de registros, puedes usar los filtros de recursos y consultas para ver tus registros de flujo.
Configura IAM
Si deseas configurar el control de acceso para el registro, consulta la Guía de control de acceso para Logging.
Accede a los registros de flujo mediante filtros de recursos
Para ver todos los registros de flujo o los de una subred específica, consulta las siguientes secciones. También puedes ver estos registros con las consultas del Explorador de registros como se describe en Accede a los registros de flujo mediante consultas.
Accede a todos los registros
Console
En la consola de Google Cloud, ve a la página Explorador de registros.
Haz clic en Todos los recursos.
En la lista Seleccionar recurso, haz clic en Subred y, luego, en Aplicar.
Haz clic en Nombre del registro.
En la lista Seleccionar nombres de registro, haz clic en vpc_flows y, luego, en Aplicar.
Accede a los registros de flujo de una subred específica
Console
En la consola de Google Cloud, ve a la página Explorador de registros.
Haz clic en Todos los recursos.
En la lista Seleccionar recurso, haz clic en Subred.
En la lista ID de subred, selecciona la subred y, luego, haz clic en Aplicar.
En la lista Seleccionar nombres de registro, haz clic en vpc_flows y, luego, en Aplicar.
Accede a los registros de flujo mediante consultas
Console
En la consola de Google Cloud, ve a la página Explorador de registros.
Si no ves el campo del editor de consultas en el panel Consulta, haz clic en el botón de activar o desactivar Mostrar consulta.
En el campo del editor de consultas, ingresa una consulta. Por ejemplo, para ver los registros de flujo para una subred específica, ingresa la siguiente consulta, reemplazando
PROJECT_IDpor el ID del proyecto ySUBNET_NAMEpor tu subred:resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" resource.labels.subnetwork_name="SUBNET_NAME"
Si quieres ver más ejemplos de consultas que puedes ejecutar para ver tus registros de flujo, visita Ejemplos de consultas del Explorador de registros para registros de flujo de VPC.
Haz clic en Ejecutar consulta.
Ejemplos de consultas del Explorador de registros para registros de flujo de VPC
En la siguiente tabla, se proporcionan ejemplos de consultas del Explorador de registros que puedes ejecutar para ver tus registros de flujo.
| Registros que quieres ver | Consulta |
|---|---|
| Todos los registros | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" |
| Registros de una subred específica | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" resource.labels.subnetwork_name="SUBNET_NAME" |
| Registros para una instancia de máquina virtual (VM) específica | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" jsonPayload.src_instance.vm_name="VM_NAME" |
| Registros de tráfico a un rango de subred específico | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" ip_in_net(jsonPayload.connection.dest_ip, SUBNET_RANGE) |
| Registros de un clúster específico de Google Kubernetes Engine (GKE) | resource.type="k8s_cluster" logName="projects/PROJECT_ID/logs/vpc_flows" resource.labels.cluster_name="CLUSTER_NAME" |
| Registros solo del tráfico de salida desde una subred | logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" AND jsonPayload.reporter="SRC" AND jsonPayload.src_vpc.subnetwork_name="SUBNET_NAME" AND (jsonPayload.dest_vpc.subnetwork_name!="SUBNET_NAME" OR NOT jsonPayload.dest_vpc.subnetwork_name:*) |
| Registros de todo el tráfico de salida de una red de nube privada virtual (VPC) | logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" AND jsonPayload.reporter="SRC" AND jsonPayload.src_vpc.vpc_name="VPC_NAME" AND (jsonPayload.dest_vpc.vpc_name!="VPC_NAME" OR NOT jsonPayload.dest_vpc:*) |
| Registros para un puerto de destino individual | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" jsonPayload.connection.dest_port=PORT jsonPayload.connection.protocol=PROTOCOL |
| Registros para varios puertos de destino | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" jsonPayload.connection.dest_port=(PORT1 OR PORT2) jsonPayload.connection.protocol=PROTOCOL |
Reemplaza lo siguiente:
PROJECT_ID: El ID del proyecto.SUBNET_NAME: Es el nombre de tu subred.VM_NAME: El nombre de tu VM.SUBNET_RANGE: Es un rango CIDR, como192.168.1.0/24.CLUSTER_NAME: Es el nombre del clúster de GKE.VPC_NAME: El nombre de tu red de VPCPORT1yPORT2: Son los puertos de destino.PROTOCOL: Es el protocolo de comunicación.
Enruta registros a BigQuery, Pub/Sub y orientaciones personalizadas
Puedes enrutar registros de flujo desde Logging a un destino de tu elección, como se describe en la Descripción general del enrutamiento y el almacenamiento en la documentación de Logging. Consulta la sección anterior para ver ejemplos de filtros.
Soluciona problemas
Ningún vpc_flows aparece en Logging en el recurso gce_subnetwork
- Confirma que el registro esté habilitado para la subred determinada.
- Los flujos de VPC solo se admiten en redes de VPC. Si tienes una red heredada, no verás ningún registro.
- En redes de VPC compartida, los registros solo aparecen en el proyecto host y no en el proyecto de servicio. Asegúrate de buscar los registros en el proyecto host.
- Los filtros de exclusión de registros bloquean los registros especificados.
Asegúrate de que ninguna regla de exclusión descarte los registros de flujo de VPC:
- Ir a Enrutador de registros
- En , haz clic en el menú Más acciones de tu bucket de registro, haz clic en Ver detalles del receptor.
- Asegúrate de que no haya ninguna regla de exclusión que pueda descartar los registros de flujo de VPC.
Los valores de RTT o de bytes no aparecen en algunos registros
- Es posible que falten mediciones de RTT si no se realizó una muestra de una cantidad suficiente de paquetes que capture el RTT. Esto es más frecuente en conexiones con poco volumen.
- Los valores de RTT solo están disponibles para los flujos TCP.
- Algunos paquetes se envían sin carga útil. Si solo se realizaron muestras sobre paquetes de solo encabezado, el valor en bytes será 0.
Faltan algunos flujos
- Los paquetes de entrada se muestrean después de las reglas de firewall de entrada. Asegúrate de que no haya ninguna regla de firewall de entrada que rechace los paquetes que esperas que se registren. Si no sabes si las reglas de firewall de VPC bloquean los paquetes de entrada, puedes habilitar Registro de reglas de firewall e inspeccionar los registros.
- Solo se admiten los protocolos TCP, UDP, ICMP, ESP y GRE. Los registros de flujo de VPC no admiten ningún otro protocolo.
- Los registros se muestrean. Algunos paquetes en flujos de volumen muy bajo pueden pasarse por alto.
Faltan anotaciones de GKE en algunos registros
Asegúrate de que tu clúster de GKE sea una versión compatible.
Faltan registros para algunos flujos de GKE
Asegúrate de que la Visibilidad dentro de los nodos esté habilitada en el clúster. De lo contrario, los flujos entre los Pods del mismo nodo no se registran.
¿Qué sigue?
- Consulta la documentación de Logging.
- Consulta la documentación sobre los receptores de Logging.