Accede a los registros de flujo

En esta página, se describe cómo acceder a los registros de flujo mediante Cloud Logging.

Accede a los registros de flujo en el Explorador de registros

Puedes ver los registros de flujo con el Explorador de registros. Con el Explorador de registros, puedes usar los filtros de recursos y consultas para ver tus registros de flujo. Los registros que generan los registros de flujo de VPC se agrupan de la siguiente manera:

  • Los registros de flujo de las subredes están disponibles en el registro compute.googleapis.com/vpc_flows.
  • Los registros de flujo para los adjuntos de VLAN y los túneles de Cloud VPN están disponibles en el registro networkmanagement.googleapis.com/vpc_flows (versión preliminar).

Configura IAM

Si deseas configurar el control de acceso para el registro, consulta la Guía de control de acceso para Logging.

Accede a los registros de flujo mediante filtros de recursos

Para ver los registros de flujo en un proyecto de Google Cloud con filtros de recursos, consulta las siguientes secciones. También puedes ver estos registros con las consultas del Explorador de registros como se describe en Accede a los registros de flujo mediante consultas.

Accede a los registros de flujo de todas las subredes

Console

  1. En la consola de Google Cloud, ve a la página Explorador de registros.

    Ir al Explorador de registros

  2. Haz clic en Todos los recursos.

  3. En la lista Seleccionar recurso, haz clic en Subred y, luego, en Aplicar.

  4. Haz clic en Todos los nombres de registro.

  5. En la lista Seleccionar nombres de registro, busca Compute Engine, haz clic en vpc_flows y, luego, en Aplicar.

Accede a los registros de flujo de una subred específica

Console

  1. En la consola de Google Cloud, ve a la página Explorador de registros.

    Ir al Explorador de registros

  2. Haz clic en Todos los recursos.

  3. En la lista Seleccionar recurso, haz clic en Subred.

  4. En la lista ID de subred, selecciona la subred y, luego, haz clic en Aplicar.

  5. Haz clic en Todos los nombres de registro.

  6. En la lista Seleccionar nombres de registro, busca Compute Engine, haz clic en vpc_flows y, luego, en Aplicar.

Accede a los registros de flujo de todos los adjuntos de VLAN y los túneles de Cloud VPN

Console

  1. En la consola de Google Cloud, ve a la página Explorador de registros.

    Ir al Explorador de registros

  2. Haz clic en Todos los recursos.

  3. En la lista Seleccionar recurso, haz clic en Configuración de registros de flujo de VPC y, luego, en Aplicar.

Accede a los registros de flujo de un adjunto de VLAN o un túnel de Cloud VPN específicos

Console

  1. En la consola de Google Cloud, ve a la página Explorador de registros.

    Ir al Explorador de registros

  2. Haz clic en Todos los recursos.

  3. En la lista Seleccionar recurso, haz clic en Configuración de registros de flujo de VPC y selecciona la configuración de registros de flujo de VPC que recopila registros de flujo para el adjunto de VLAN o el túnel de Cloud VPN que deseas ver.

  4. Haz clic en Aplicar.

Accede a los registros de flujo mediante consultas

Console

  1. En la consola de Google Cloud, ve a la página Explorador de registros.

    Ir al Explorador de registros

  2. Si no ves el campo del editor de consultas en el panel Consulta, haz clic en el botón de activar o desactivar Mostrar consulta.

  3. En el campo del editor de consultas, ingresa una consulta:

    • Para ver los registros de flujo de las subredes, la consulta debe orientarse a compute.googleapis.com. Por ejemplo, para ver los registros de flujo para una subred específica, ingresa la siguiente consulta, reemplazando PROJECT_ID por el ID del proyecto y SUBNET_NAME por tu subred:

      resource.type="gce_subnetwork"
      logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
      resource.labels.subnetwork_name="SUBNET_NAME"
      
    • Para ver los registros de flujo de los adjuntos de VLAN o los túneles de Cloud VPN, la consulta debe orientarse a networkmanagement.googleapis.com. Por ejemplo, para ver los registros de flujo de un túnel de Cloud VPN de origen específico, ingresa la siguiente consulta:

      resource.type="vpc_flow_logs_config"
      logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows"
      jsonPayload.reporter="src_gateway"
      labels.target_resource_name="projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME"
      

      Reemplaza lo siguiente:

      • PROJECT_ID: El ID del proyecto de Google Cloud
      • REGION: la región del túnel de Cloud VPN
      • NAME: el nombre del túnel de Cloud VPN

    Si quieres ver más ejemplos de consultas que puedes ejecutar para ver tus registros de flujo, visita Ejemplos de consultas del Explorador de registros para registros de flujo de VPC.

  4. Haz clic en Ejecutar consulta.

Ejemplos de consultas del Explorador de registros para registros de flujo de VPC

En la siguiente tabla, se proporcionan ejemplos de consultas del Explorador de registros que puedes ejecutar para ver tus registros de flujo en un proyecto de Google Cloud.

Registros que quieres ver Consulta
Todos los registros de flujo
resource.type=("gce_subnetwork" OR "vpc_flow_logs_config")
logName=("projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" OR
"projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows")
Consultas de subredes
Registros de todas las subredes
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
Registros de una subred específica
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
resource.labels.subnetwork_name="SUBNET_NAME"
Registros para una instancia de máquina virtual (VM) específica
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
(jsonPayload.src_instance.vm_name="VM_NAME" OR
jsonPayload.dest_instance.vm_name="VM_NAME")
Registros de tráfico a un rango de subred específico
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
ip_in_net(jsonPayload.connection.dest_ip, SUBNET_RANGE)
Registros de un clúster específico de Google Kubernetes Engine (GKE)
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
(jsonPayload.src_gke_details.cluster.cluster_name="CLUSTER_NAME" OR
jsonPayload.dest_gke_details.cluster.cluster_name="CLUSTER_NAME")
Registros solo del tráfico de salida desde una subred
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" AND
jsonPayload.reporter="SRC" AND
jsonPayload.src_vpc.subnetwork_name="SUBNET_NAME" AND
(jsonPayload.dest_vpc.subnetwork_name!="SUBNET_NAME"
 OR NOT jsonPayload.dest_vpc.subnetwork_name:*)
Registros de todo el tráfico de salida de una red de nube privada virtual (VPC)
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" AND
jsonPayload.reporter="SRC" AND
jsonPayload.src_vpc.vpc_name="VPC_NAME" AND
(jsonPayload.dest_vpc.vpc_name!="VPC_NAME" OR NOT jsonPayload.dest_vpc:*)
Registros para un puerto de destino individual
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
jsonPayload.connection.dest_port=PORT
jsonPayload.connection.protocol=PROTOCOL
Registros para varios puertos de destino
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
jsonPayload.connection.dest_port=(PORT1 OR PORT2)
jsonPayload.connection.protocol=PROTOCOL
Consultas de adjuntos de VLAN para túneles de Cloud Interconnect y Cloud VPN (versión preliminar)
Registros de todos los adjuntos de VLAN y túneles de Cloud VPN
resource.type="vpc_flow_logs_config"
logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows"
Registros de una configuración específica de registros de flujo de VPC
resource.type="vpc_flow_logs_config"
logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows"
resource.labels.name="CONFIG_NAME"
Registros de un túnel de Cloud VPN de origen específico
resource.type="vpc_flow_logs_config"
logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows"
jsonPayload.reporter="src_gateway"
labels.target_resource_name="projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME"
Registros de todos los adjuntos de VLAN de destino
resource.type="vpc_flow_logs_config"
logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows"
jsonPayload.reporter="dest_gateway"
jsonPayload.dest_gateway.type="INTERCONNECT_ATTACHMENT"
Registros de todos los adjuntos de VLAN de destino en una región específica
resource.type="vpc_flow_logs_config"
logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows"
jsonPayload.reporter="dest_gateway"
jsonPayload.dest_gateway.type="INTERCONNECT_ATTACHMENT"
jsonPayload.dest_gateway.location="REGION"

Reemplaza lo siguiente:

  • PROJECT_ID: el ID del proyecto de Google Cloud.
  • SUBNET_NAME: Es el nombre de la subred.
  • VM_NAME: el nombre de la VM.
  • SUBNET_RANGE: Es un rango CIDR, como 192.168.1.0/24.
  • CLUSTER_NAME es el nombre del clúster de GKE.
  • VPC_NAME: Es el nombre de la red de VPC.
  • PORT1 y PORT2: Son los puertos de destino.
  • PROTOCOL: Es el protocolo de comunicación.
  • CONFIG_NAME: Es el nombre de la configuración de los registros de flujo de VPC para el adjunto de VLAN o el túnel de Cloud VPN que deseas ver.
  • REGION: Es la región del adjunto de VLAN o el túnel de Cloud VPN.
  • NAME: Es el nombre del túnel de Cloud VPN.

Enruta registros a BigQuery, Pub/Sub y orientaciones personalizadas

Puedes enrutar registros de flujo desde Logging a un destino de tu elección, como se describe en la Descripción general del enrutamiento y el almacenamiento en la documentación de Logging. Consulta la sección anterior para ver ejemplos de filtros.

Soluciona problemas

Ningún vpc_flows aparece en Logging en el recurso gce_subnetwork

  • Confirma que el registro esté habilitado para la subred determinada.
  • Los flujos de VPC solo se admiten en redes de VPC. Si tienes una red heredada, no verás ningún registro.
  • En redes de VPC compartida, los registros solo aparecen en el proyecto host y no en el proyecto de servicio. Asegúrate de buscar los registros en el proyecto host.
  • Los filtros de exclusión de registros bloquean los registros especificados. Asegúrate de que ninguna regla de exclusión descarte los registros de flujo de VPC:
    1. Ir a Enrutador de registros
    2. En , haz clic en el menú Más acciones de tu bucket de registro, haz clic en Ver detalles del receptor.
    3. Asegúrate de que no haya ninguna regla de exclusión que pueda descartar los registros de flujo de VPC.
  • Usa Google Cloud CLI o la API para determinar si una configuración de filtrado de registros filtra todo el tráfico de una subred determinada. Por ejemplo, si filterExpr está configurado como false, no verás ningún registro.

Los valores de RTT o de bytes no aparecen en algunos registros

  • Es posible que falten mediciones de RTT si no se realizó una muestra de una cantidad suficiente de paquetes que capture el RTT. Esto es más frecuente en conexiones con poco volumen.
  • Los valores de RTT solo están disponibles para los flujos TCP informados desde las VMs.
  • Algunos paquetes se envían sin carga útil. Si solo se realizaron muestras sobre paquetes de solo encabezado, el valor en bytes será 0.

Faltan algunos flujos

  • Los paquetes de entrada se muestrean después de las reglas de firewall de entrada. Asegúrate de que no haya ninguna regla de firewall de entrada que rechace los paquetes que esperas que se registren. Si no sabes si las reglas de firewall de VPC bloquean los paquetes de entrada, puedes habilitar Registro de reglas de firewall e inspeccionar los registros.
  • Solo se admiten los protocolos TCP, UDP, ICMP, ESP y GRE. Los registros de flujo de VPC no admiten ningún otro protocolo.
  • Los registros se muestrean. Algunos paquetes en flujos de volumen muy bajo pueden pasarse por alto.

Faltan anotaciones de GKE en algunos registros

Asegúrate de que tu clúster de GKE sea una versión compatible.

Faltan registros para algunos flujos de GKE

Asegúrate de que la Visibilidad dentro de los nodos esté habilitada en el clúster. De lo contrario, los flujos entre los Pods del mismo nodo no se registran.

¿Qué sigue?