Log di flusso VPC

Log di flusso VPC registra un campione di flussi di rete inviati e ricevuti dalle istanze di macchine virtuali (VM), incluse le istanze utilizzate come nodi di Google Kubernetes Engine. Questi log possono essere utilizzati per monitoraggio della rete, analisi forense, analisi della sicurezza in tempo reale e ottimizzazione delle spese.

Puoi visualizzare i log di flusso in Cloud Logging ed esportarli in qualsiasi destinazione supportata dalle funzionalità di esportazione di Cloud Logging.

I log di flusso vengono aggregati per connessione dalle VM di Compute Engine ed esportati in tempo reale. Abbonandoti a Pub/Sub, puoi analizzare i log di flusso utilizzando API di flussi di dati in tempo reale.

Casi d'uso

Monitoraggio della rete

I log di flusso VPC offrono visibilità in tempo reale sulla velocità effettiva e sulle prestazioni della rete. Puoi:

  • Monitora la rete VPC
  • Esegui diagnostica di rete
  • Filtra i log di flusso per VM e applicazione per comprendere le variazioni del traffico
  • Comprendere la crescita del traffico per la previsione della capacità

Informazioni sull'utilizzo della rete e sull'ottimizzazione delle spese legate al traffico di rete

Puoi analizzare l'utilizzo della rete con i log di flusso VPC. Puoi analizzare i flussi di rete per:

  • Traffico tra regioni e zone
  • Traffico verso paesi specifici su Internet
  • Speaker principali

In base all'analisi, è possibile ottimizzare le spese legate al traffico di rete.

Analisi forensi della rete

Puoi utilizzare i log di flusso VPC per la network forensics. Ad esempio, se si verifica un incidente, puoi esaminare quanto segue:

  • Quali IP hanno comunicato con chi e quando
  • Eventuali IP compromessi analizzando tutti i flussi di rete in entrata e in uscita

Analisi della sicurezza in tempo reale

Puoi utilizzare le API di flussi di dati in tempo reale (tramite Pub/Sub) e l'integrazione con i sistemi SIEM (Security Information and Event Management). Ciò può fornire monitoraggio in tempo reale, correlazione di eventi, analisi e avvisi di sicurezza.

Specifiche

  • I log di flusso VPC fanno parte di Andromeda, il software che supporta le reti VPC. Se abilitati, i log di flusso VPC non introducono ritardi o penalizzazioni nelle prestazioni.
  • I log di flusso VPC funzionano con le reti VPC, non con le reti legacy. Puoi abilitare o disabilitare i log di flusso VPC per subnet. Se abilitati per una subnet, Log di flusso VPC raccoglie i dati da tutte le istanze VM in quella subnet.
  • I log di flusso VPC campionano i flussi TCP, UDP, ICMP, ESP e GRE di ogni VM. Vengono campionati sia i flussi in entrata che quelli in uscita. Questi flussi possono avvenire all'interno di Google Cloud o tra Google Cloud e altre reti. Se un flusso viene acquisito tramite campionamento, Log di flusso VPC genera un log per il flusso. Ogni record di flusso include le informazioni descritte nella sezione Formato record.
  • I log di flusso VPC interagiscono con le regole firewall nei seguenti modi:
    • I pacchetti in uscita vengono campionati prima delle regole firewall in uscita. Anche se una regola firewall in uscita nega i pacchetti in uscita, questi possono essere campionati dai log di flusso VPC.
    • I pacchetti in entrata vengono campionati dopo le regole firewall in entrata. Se una regola firewall in entrata nega i pacchetti in entrata, questi non vengono campionati dai log di flusso VPC.
  • Puoi utilizzare filtri nei log di flusso VPC per generare solo determinati log.
  • I log di flusso VPC supportano VM con più interfacce di rete. Devi abilitare Log di flusso VPC per ogni subnet, in ogni VPC, che contiene un'interfaccia di rete.
  • Per registrare i flussi tra i pod sullo stesso nodo Google Kubernetes Engine (GKE), devi abilitare la visibilità tra nodi per il cluster.
  • I log di flusso VPC non vengono generati da risorse non VM come Cloud Run o endpoint on-premise.

Raccolta dei log

I log di flusso vengono raccolti a intervalli specifici per ogni connessione VM. Tutti i pacchetti raccolti per un determinato intervallo per una determinata connessione vengono aggregati per un periodo di tempo (intervallo di aggregazione) in un'unica voce di log di flusso. Questi dati vengono quindi inviati a Logging.

Per impostazione predefinita, i log vengono archiviati in Logging per 30 giorni. Se vuoi conservare i log per un periodo di tempo più lungo, puoi impostare un periodo di conservazione personalizzato o esportarli in una destinazione supportata.

Campionamento ed elaborazione dei log

Google Cloud campiona i pacchetti che escono ed entrano in una VM per generare log di flusso. Non tutti i pacchetti vengono acquisiti nel relativo record di log. Viene acquisito circa 1 pacchetto su 30, ma questa frequenza di campionamento potrebbe essere inferiore, a seconda del carico della VM. Non puoi regolare questo tasso.

Dopo aver generato i log di flusso, Google Cloud li elabora secondo la seguente procedura:

  1. Filtri: puoi specificare che vengano generati solo i log che corrispondono a criteri specificati. Ad esempio, puoi filtrare in modo che vengano generati solo i log per una determinata VM o solo i log con un determinato valore di metadati, mentre il resto viene eliminato. Per maggiori informazioni, consulta Filtro dei log.
  2. Aggregazione: le informazioni relative ai pacchetti campionati vengono aggregate in base a un intervallo di aggregazione configurabile per produrre una voce di log di flusso.
  3. Campionamento dei log di flusso: si tratta di un secondo processo di campionamento. Le voci di log di flusso vengono ulteriormente campionate in base a un parametro configurabile della frequenza di campionamento.
  4. Metadati: se questa opzione è disattivata, tutte le annotazioni dei metadati vengono ignorate. Se vuoi conservare i metadati, puoi specificare che vengano conservati tutti i campi o un insieme di campi specificato. Per ulteriori informazioni, consulta la sezione Annotazioni dei metadati.
  5. Write to Logging: le voci di log finali vengono scritte in Cloud Logging.

Poiché i log di flusso VPC non acquisiscono tutti i pacchetti, compensano quelli mancanti interpolando dai pacchetti acquisiti. Questo accade per i pacchetti non riconosciuti a causa delle impostazioni di campionamento iniziale e configurabile dall'utente.

Anche se Google Cloud non acquisisce tutti i pacchetti, le acquisizioni dei record di log possono essere piuttosto grandi. Puoi bilanciare le esigenze di visibilità del traffico e costi di archiviazione modificando i seguenti aspetti della raccolta dei log:

  • Intervallo di aggregazione: i pacchetti campionati per un intervallo di tempo vengono aggregati in un'unica voce di log. Questo intervallo di tempo può essere 5 secondi (impostazione predefinita), 30 secondi, 1 minuto, 5 minuti, 10 minuti o 15 minuti.
  • Frequenza di campionamento: prima di essere scritto in Logging, il numero di log può essere campionato per ridurne la quantità. Per impostazione predefinita, il volume voce di log viene scalato di 0,5 (50%), il che significa che viene mantenuta la metà delle voci. Puoi impostarlo da 1.0 (100%, vengono mantenute tutte le voci di log) a 0.0 (0%, non viene mantenuto nessun log).
  • Annotazioni sui metadati: per impostazione predefinita, le voci di log di flusso sono annotate con informazioni sui metadati, ad esempio i nomi delle VM di origine e di destinazione o la regione geografica delle origini e destinazioni esterne. Le annotazioni dei metadati possono essere disattivate oppure puoi specificare solo determinate annotazioni per risparmiare spazio di archiviazione.
  • Filtri: per impostazione predefinita, i log vengono generati per ogni flusso nella subnet. Puoi impostare i filtri in modo che vengano generati solo i log che corrispondono a determinati criteri.

Prezzi

Si applicano prezzi standard per Logging, BigQuery o Pub/Sub. I prezzi dei log di flusso VPC sono descritti in Prezzi della telemetria di rete.

Passaggi successivi