Log aliran akses

Halaman ini menjelaskan cara mengakses log aliran data dengan menggunakan Cloud Logging.

Mengakses log aliran di Logs Explorer

Anda dapat melihat log alur dengan menggunakan Logs Explorer. Di Logs Explorer, Anda dapat menggunakan filter dan kueri resource untuk melihat log aliran data Anda. Log yang dihasilkan oleh Log Aliran VPC dikelompokkan sebagai berikut:

  • Log aliran traffic untuk subnet tersedia di compute.googleapis.com/vpc_flows log.
  • Log aliran untuk lampiran VLAN dan tunnel Cloud VPN tersedia di log networkmanagement.googleapis.com/vpc_flows (Pratinjau).

Mengonfigurasi IAM

Guna mengonfigurasi kontrol akses untuk logging, lihat panduan kontrol akses untuk Logging.

Mengakses log aliran dengan menggunakan filter resource

Untuk melihat log aliran dalam project Google Cloud dengan menggunakan filter resource, lihat bagian berikut ini. Anda juga dapat melihat log ini menggunakan Logs Explorer seperti yang dijelaskan dalam Mengakses log alur menggunakan kueri.

Mengakses log aliran untuk semua subnet

Konsol

  1. Di Konsol Google Cloud, buka halaman Logs Explorer.

    Buka Logs Explorer

  2. Klik All resources.

  3. Di daftar Select resource, klik Subnetwork, lalu klik Ajukan permohonan.

  4. Klik All log names.

  5. Di daftar Select log names, temukan Compute Engine, klik vpc_flows, lalu klik Apply.

Mengakses log aliran untuk subnet tertentu

Konsol

  1. Di Konsol Google Cloud, buka halaman Logs Explorer.

    Buka Logs Explorer

  2. Klik All resources.

  3. Di daftar Select resource, klik Subnetwork.

  4. Dalam daftar Subnetwork ID, pilih subnetwork, lalu klik Ajukan permohonan.

  5. Klik All log names.

  6. Di daftar Select log names, temukan Compute Engine, klik vpc_flows, lalu klik Apply.

Mengakses log aliran untuk semua lampiran VLAN dan tunnel Cloud VPN

Konsol

  1. Di Konsol Google Cloud, buka halaman Logs Explorer.

    Buka Logs Explorer

  2. Klik All resources.

  3. Di daftar Select resource, klik VPC Flow Logs Config, lalu lalu klik Terapkan.

Mengakses log aliran untuk lampiran VLAN atau tunnel Cloud VPN tertentu

Konsol

  1. Di Konsol Google Cloud, buka halaman Logs Explorer.

    Buka Logs Explorer

  2. Klik All resources.

  3. Di daftar Select resource, klik VPC Flow Logs Config, lalu memilih konfigurasi VPC Flow Logs yang mengumpulkan log alur untuk lampiran VLAN atau tunnel Cloud VPN yang ingin dilihat.

  4. Klik Terapkan.

Mengakses log aliran menggunakan kueri

Konsol

  1. Di Konsol Google Cloud, buka halaman Logs Explorer.

    Buka Logs Explorer

  2. Jika Anda tidak melihat kolom editor kueri di panel Query, klik Tombol Tampilkan kueri.

  3. Di kolom editor kueri, masukkan kueri:

    • Agar dapat melihat log aliran untuk subnet, kueri harus menargetkan compute.googleapis.com. Misalnya, untuk melihat log aliran data untuk subnet tertentu, masukkan kueri berikut, yang menggantikan PROJECT_ID dengan ID project Google Cloud Anda dan SUBNET_NAME dengan subnetwork Anda:

      resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
resource.labels.subnetwork_name="SUBNET_NAME"

    • Guna melihat log aliran untuk lampiran VLAN atau tunnel Cloud VPN, kueri harus menargetkan networkmanagement.googleapis.com. Misalnya, guna melihat log aliran untuk tunnel Cloud VPN sumber tertentu, masukkan kueri berikut:

      resource.type="vpc_flow_logs_config"
logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows"
jsonPayload.reporter="src_gateway"
labels.target_resource_name="projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME"

      Ganti kode berikut:

      • PROJECT_ID: project ID Google Cloud
      • REGION: region tunnel Cloud VPN
      • NAME: nama tunnel Cloud VPN

    Untuk contoh kueri lainnya yang dapat Anda jalankan guna melihat log alur, lihat Contoh kueri Logs Explorer untuk Log Aliran VPC.

  4. Klik Run query.

Contoh kueri Logs Explorer untuk Log Aliran VPC

Tabel berikut memberikan contoh kueri Logs Explorer yang dapat Anda jalankan untuk melihat log alur Anda di project Google Cloud.

Log yang ingin Anda lihat Kueri
Semua log aliran 
resource.type=("gce_subnetwork" OR "vpc_flow_logs_config")
logName=("projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" OR
"projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows")
Kueri untuk subnet
Log untuk semua subnet 
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
Log untuk subnet tertentu 
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
resource.labels.subnetwork_name="SUBNET_NAME"
Log untuk instance virtual machine (VM) tertentu 
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
(jsonPayload.src_instance.vm_name="VM_NAME" OR
jsonPayload.dest_instance.vm_name="VM_NAME")
Mencatat traffic ke rentang subnetwork tertentu 
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
ip_in_net(jsonPayload.connection.dest_ip, SUBNET_RANGE)
Log untuk cluster Google Kubernetes Engine (GKE) tertentu 
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
(jsonPayload.src_gke_details.cluster.cluster_name="CLUSTER_NAME" OR
jsonPayload.dest_gke_details.cluster.cluster_name="CLUSTER_NAME")
Membuat log hanya untuk traffic keluar dari subnetwork 
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" AND
jsonPayload.reporter="SRC" AND
jsonPayload.src_vpc.subnetwork_name="SUBNET_NAME" AND
(jsonPayload.dest_vpc.subnetwork_name!="SUBNET_NAME"
 OR NOT jsonPayload.dest_vpc.subnetwork_name:*)
Mencatat semua traffic keluar dari jaringan Virtual Private Cloud (VPC) 
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" AND
jsonPayload.reporter="SRC" AND
jsonPayload.src_vpc.vpc_name="VPC_NAME" AND
(jsonPayload.dest_vpc.vpc_name!="VPC_NAME" OR NOT jsonPayload.dest_vpc:*)
Log untuk masing-masing port tujuan 
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
jsonPayload.connection.dest_port=PORT
jsonPayload.connection.protocol=PROTOCOL
Log untuk beberapa port tujuan 
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
jsonPayload.connection.dest_port=(PORT1 OR PORT2)
jsonPayload.connection.protocol=PROTOCOL
Kueri terkait lampiran VLAN untuk tunnel Cloud Interconnect dan Cloud VPN (Pratinjau)
Log untuk semua lampiran VLAN dan tunnel Cloud VPN 
resource.type="vpc_flow_logs_config"
logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows"
Log untuk konfigurasi Log Aliran VPC tertentu 
resource.type="vpc_flow_logs_config"
logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows"
resource.labels.name="CONFIG_NAME"
Log untuk tunnel Cloud VPN sumber tertentu 
resource.type="vpc_flow_logs_config"
logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows"
jsonPayload.reporter="src_gateway"
labels.target_resource_name="projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME"
Log untuk semua lampiran VLAN tujuan 
resource.type="vpc_flow_logs_config"
logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows"
jsonPayload.reporter="dest_gateway"
jsonPayload.dest_gateway.type="INTERCONNECT_ATTACHMENT"
Log untuk semua lampiran VLAN tujuan di region tertentu 
resource.type="vpc_flow_logs_config"
logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows"
jsonPayload.reporter="dest_gateway"
jsonPayload.dest_gateway.type="INTERCONNECT_ATTACHMENT"
jsonPayload.dest_gateway.location="REGION"

Ganti kode berikut:

  • PROJECT_ID: ID project Google Cloud.
  • SUBNET_NAME: nama subnetwork.
  • VM_NAME: nama VM.
  • SUBNET_RANGE: rentang CIDR, seperti 192.168.1.0/24.
  • CLUSTER_NAME: nama cluster GKE.
  • VPC_NAME: Nama jaringan VPC.
  • PORT1 dan PORT2: port tujuan.
  • PROTOCOL: protokol komunikasi.
  • CONFIG_NAME: nama Log Aliran VPC untuk lampiran VLAN atau tunnel Cloud VPN ingin dilihat.
  • REGION: region lampiran VLAN atau tunnel Cloud VPN.
  • NAME: nama tunnel Cloud VPN.

Merutekan log ke BigQuery, Pub/Sub, dan target kustom

Anda dapat merutekan log alur dari Logging ke tujuan pilihan Anda seperti yang dijelaskan dalam Ringkasan perutean dan penyimpanan dalam dokumentasi Logging. Lihat bagian sebelumnya untuk contoh filter.

Pemecahan masalah

Tidak ada vpc_flows yang muncul di Logging untuk resource gce_subnetwork

  • Pastikan logging diaktifkan untuk subnet tertentu.
  • Alur VPC hanya didukung untuk jaringan VPC. Jika memiliki jaringan lama, Anda tidak akan melihat log apa pun.
  • Di jaringan VPC Bersama, log hanya muncul di project host, bukan project layanan. Pastikan Anda mencari mencatat log di project host.
  • Filter pengecualian logging memblokir log yang ditentukan. Pastikan tidak ada aturan pengecualian yang menghapus Log Aliran VPC:
    1. Buka Router log.
    2. Di Tindakan lainnya untuk bucket logging Anda, klik View sink details.
    3. Pastikan tidak ada aturan pengecualian yang mungkin menghapus Log Aliran VPC.
  • Gunakan Google Cloud CLI atau API untuk menentukan apakah log pemfilteran memfilter semua lalu lintas di subnet tertentu. Misalnya, jika filterExpr disetel ke false, Anda tidak melihat log apa pun.

Tidak ada nilai RTT atau byte di beberapa log

  • Pengukuran RTT mungkin tidak ada jika sampel yang diambil tidak cukup untuk menangkap RTT. Hal ini lebih mungkin terjadi untuk koneksi bervolume rendah.
  • Nilai RTT hanya tersedia untuk alur TCP yang dilaporkan dari VM.
  • Beberapa paket dikirim tanpa payload. Jika paket khusus header diambil sampelnya, nilai byte-nya akan menjadi 0.

Beberapa alur tidak ada

  • Paket masuk diambil sampelnya setelah aturan firewall VPC masuk. Pastikan tidak ada aturan firewall masuk yang menolak paket yang Anda harapkan untuk dicatat. Jika tidak yakin apakah aturan firewall VPC memblokir paket masuk atau tidak, Anda dapat mengaktifkan Logging Aturan Firewall dan memeriksa log.
  • Hanya protokol TCP, UDP, ICMP, ESP, dan GRE yang didukung. Log Alur VPC tidak mendukung protokol lainnya.
  • Log diambil sampelnya. Beberapa paket dalam alur volume sangat rendah mungkin terlewat.

Anotasi GKE tidak ada di beberapa log

Pastikan cluster GKE Anda merupakan versi yang didukung.

Log tidak ada untuk beberapa alur GKE

Pastikan Visibilitas intranode diaktifkan di cluster. Jika tidak, alur antar Pod pada node yang sama tidak dicatat dalam log.

Langkah selanjutnya