Zugriff auf Flusslogs
Auf dieser Seite wird beschrieben, wie Sie mit Cloud Logging auf Flusslogs zugreifen.
Auf Flusslogs im Log-Explorer zugreifen
Sie können VPC-Flusslogs mit dem Log-Explorer aufrufen. Im Log-Explorer können Sie Ressourcenfilter und Abfragen verwenden, um Ihre Flusslogs anzuzeigen.
IAM konfigurieren
Informationen zum Konfigurieren der Zugriffssteuerung für das Logging finden Sie im Leitfaden zur Zugriffssteuerung für Logging.
Mit Ressourcenfiltern auf Flusslogs zugreifen
In den folgenden Abschnitten finden Sie alle Flusslogs oder Flusslogs für ein bestimmtes Subnetz. Sie können diese Logs auch mit Log-Explorer-Abfragen aufrufen, wie unter Mit Abfragen auf Flusslogs zugreifen beschrieben.
Alle Flusslogs aufrufen
Console
Rufen Sie in der Google Cloud Console die Seite Log-Explorer auf.
Klicken Sie auf Alle Ressourcen.
Klicken Sie in der Liste Ressource auswählen auf Subnetzwerk und dann auf Übernehmen.
Klicken Sie auf Logname.
Klicken Sie in der Liste Lognamen auswählen auf vpc_flows und dann auf Übernehmen.
Auf Flusslogs für ein bestimmtes Subnetz zugreifen
Console
Rufen Sie in der Google Cloud Console die Seite Log-Explorer auf.
Klicken Sie auf Alle Ressourcen.
Klicken Sie in der Liste Ressource auswählen auf Subnetzwerk.
Wählen Sie in der Liste Subnetzwerk-ID das Subnetz aus und klicken Sie auf Übernehmen.
Klicken Sie in der Liste Lognamen auswählen auf vpc_flows und dann auf Übernehmen.
Mit Abfragen auf Flusslogs zugreifen
Console
Rufen Sie in der Google Cloud Console die Seite Log-Explorer auf.
Wenn das Feld "Abfrageeditor" im Bereich Abfrage nicht angezeigt wird, klicken Sie auf Abfrage anzeigen.
Geben Sie im Feld des Abfrageeditors eine Abfrage ein. Wenn Sie beispielsweise Flusslogs für ein bestimmtes Subnetz aufrufen möchten, geben Sie die folgende Abfrage ein und ersetzen Sie dabei
PROJECT_IDdurch Ihre Projekt-ID undSUBNET_NAMEdurch Ihr Subnetzwerk:resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" resource.labels.subnetwork_name="SUBNET_NAME"
Weitere Beispiele für Abfragen, die Sie zum Aufrufen Ihrer Flusslogs ausführen können, finden Sie unter Beispiele für Log-Explorer-Abfragen für VPC-Flusslogs.
Klicken Sie auf Abfrage ausführen.
Beispiele für Log-Explorer-Abfragen für VPC-Flusslogs
Die folgende Tabelle enthält Beispiele für Log-Explorer-Abfragen, die Sie zum Aufrufen Ihrer Flusslogs ausführen können.
| Logs, die Sie aufrufen möchten | Abfrage |
|---|---|
| Alle Logs | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" |
| Logs für ein bestimmtes Subnetz | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" resource.labels.subnetwork_name="SUBNET_NAME" |
| Logs für eine bestimmte VM | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" jsonPayload.src_instance.vm_name="VM_NAME" |
| Logs für Traffic zu einem bestimmten Subnetzbereich | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" ip_in_net(jsonPayload.connection.dest_ip, SUBNET_RANGE) |
| Logs für einen bestimmten GKE-Cluster | resource.type="k8s_cluster" logName="projects/PROJECT_ID/logs/vpc_flows" resource.labels.cluster_name="CLUSTER_NAME" |
| Logs nur für ausgehenden Traffic aus einem Subnetz | logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" AND jsonPayload.reporter="SRC" AND jsonPayload.src_vpc.subnetwork_name="SUBNET_NAME" AND (jsonPayload.dest_vpc.subnetwork_name!="SUBNET_NAME" OR NOT jsonPayload.dest_vpc.subnetwork_name:*) |
| Logs für den gesamten ausgehenden Traffic von einem VPC-Netzwerk | logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" AND jsonPayload.reporter="SRC" AND jsonPayload.src_vpc.vpc_name="VPC_NAME" AND (jsonPayload.dest_vpc.vpc_name!="VPC_NAME" OR NOT jsonPayload.dest_vpc:*) |
| Logs für einen einzelnen Zielport | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" jsonPayload.connection.dest_port=PORT jsonPayload.connection.protocol=PROTOCOL |
| Logs für mehrere Zielports | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" jsonPayload.connection.dest_port=(PORT1 OR PORT2) jsonPayload.connection.protocol=PROTOCOL |
Ersetzen Sie Folgendes:
PROJECT_ID: Projekt-ID.SUBNET_NAME: der Name Ihres SubnetzwerksVM_NAMEist der Name Ihrer VM.SUBNET_RANGE: ein CIDR-Bereich, z. B.192.168.1.0/24.CLUSTER_NAME: der Name Ihres GKE-Clusters.VPC_NAME: der Name des VPC-Netzwerks.PORT1undPORT2: die Zielports.PROTOCOL: das Kommunikationsprotokoll.
Logs an BigQuery, Pub/Sub und zu benutzerdefinierten Zielen weiterleiten
Sie können Flusslogs von Logging an ein Ziel Ihrer Wahl weiterleiten, wie in Routing und Speicher – Übersicht in der Logging-Dokumentation beschrieben. Beispiele für Filter finden Sie im vorherigen Abschnitt.
Fehlerbehebung
In Logging werden für die Ressource gce_subnetwork keine vpc_flows angezeigt
- Prüfen Sie, ob das Logging für das jeweilige Subnetz aktiviert ist.
- VPC-Datenflüsse werden nur für VPC-Netzwerke unterstützt. Wenn Sie ein Legacy-Netzwerk haben, werden keine Logs angezeigt.
- In freigegebenen VPC-Netzwerken werden Logs ausschließlich im Hostprojekt, aber nicht in den Dienstprojekten angezeigt. Achten Sie daher darauf, dass Sie im Hostprojekt nach den Logs suchen.
- Ausschlussfilter in Logging sperren bestimmte Logs.
Achten Sie darauf, dass keine Ausschlussregeln vorhanden sind, die VPC-Flusslogs verwerfen.
- Zum Logrouter
- Klicken Sie im -Menü Weitere Aktionen für den Logging-Bucket auf Senkendetails ansehen.
- Achten Sie darauf, dass keine Ausschlussregeln vorhanden sind, die VPC-Flusslogs verwerfen könnten.
Keine RTT- oder Bytewerte für manche Logs
- RTT-Messungen können fehlen, wenn nicht genügend Pakete zur Erfassung von RTT abgetastet wurden. Dies tritt eher bei Verbindungen mit geringem Volumen auf.
- RTT-Werte sind nur für TCP-Flüsse verfügbar.
- Einige Pakete werden ohne Nutzlast gesendet. Wenn Nur-Header-Pakete abgetastet wurden, ist der Bytewert 0.
Einige Datenflüsse fehlen
- Eingehende Pakete werden nach eingehenden VPC-Firewallregeln als Stichprobe erfasst. Achten Sie darauf, dass es keine Firewallregeln für eingehenden Traffic gibt, die die zu protokollierenden Pakete ablehnen. Wenn Sie nicht sicher sind, ob VPC-Firewallregeln eingehende Pakete blockieren, können Sie das Logging von Firewallregeln aktivieren und die Logs prüfen.
- Es werden nur TCP-, UDP-, ICMP-, ESP- und GRE-Protokolle unterstützt. VPC-Flusslogs unterstützen keine anderen Protokolle.
- Es werden Logstichproben erstellt. Einige Pakete in Datenflüssen mit sehr geringem Volumen werden unter Umständen nicht erfasst.
Fehlende GKE-Annotationen in einigen Logs
Sorgen Sie dafür, dass Ihr GKE-Cluster eine unterstützte Version ist.
Fehlende Logs für einige GKE-Abläufe
Prüfen Sie, ob im Knoten knoteninterne Sichtbarkeit aktiviert ist. Andernfalls wird der Traffic zwischen Pods auf demselben Knoten nicht protokolliert.
Nächste Schritte
- Dokumentation zu Logging ansehen
- Dokumentation zu Logging-Senken ansehen