Log di flusso VPC

I log di flusso VPC registrano un campione di flussi di rete inviati e ricevuti istanze di macchine virtuali (VM), incluse le istanze utilizzati come nodi di Google Kubernetes Engine. Questi log possono essere usati per il monitoraggio della rete, le indagini forensi, l'analisi della sicurezza in tempo reale e e ottimizzare le spese.

Puoi visualizzare i log di flusso in Cloud Logging e può esportare i log in qualsiasi destinazione supportata dalle funzionalità di esportazione di Cloud Logging.

I log di flusso vengono aggregati per connessione da di Compute Engine ed esportate in tempo reale. Iscrivendoti a Pub/Sub, puoi analizzare i log di flusso utilizzando flussi di dati in tempo reale su quelle di livello inferiore.

Casi d'uso

Monitoraggio della rete

I log di flusso VPC offrono visibilità in tempo reale sulla velocità effettiva di rete e prestazioni ottimali. Puoi:

  • Monitora la rete VPC
  • Esegui diagnostica di rete
  • Filtra i log di flusso per VM e applicazioni per comprendere variazioni del traffico
  • Comprendere la crescita del traffico per la previsione della capacità

Informazioni sull'utilizzo della rete e sull'ottimizzazione delle spese legate al traffico di rete

Puoi analizzare l'utilizzo della rete con i log di flusso VPC. Puoi analizza i flussi di rete per:

  • Traffico tra regioni e zone
  • Traffico verso paesi specifici su Internet
  • Speaker principali

In base all'analisi, è possibile ottimizzare le spese legate al traffico di rete.

Analisi forensi della rete

Puoi utilizzare i log di flusso VPC per la network forensics. Ad esempio: Se si verifica un incidente, puoi esaminare quanto segue:

  • Quali IP hanno comunicato con chi e quando
  • Eventuali IP compromessi analizzando tutti i flussi di rete in entrata e in uscita

Analisi della sicurezza in tempo reale

Puoi utilizzare le API per l'inserimento di flussi di dati in tempo reale (tramite Pub/Sub) e si integra con SIEM (Informazioni sulla sicurezza ed eventi Gestione) sistemi diversi. Ciò può fornire monitoraggio in tempo reale, correlazione di eventi, analisi e avvisi di sicurezza.

Specifiche

  • I log di flusso VPC fanno parte di Andromeda, il software che alimenta reti VPC. I log di flusso VPC non introducono ritardi una riduzione delle prestazioni quando è abilitata.
  • I log di flusso VPC funzionano con le reti VPC, non con le reti legacy. Puoi abilitare o disabilitare i log di flusso VPC per subnet. Se l'opzione viene attivata per una subnet, Log di flusso VPC raccoglie i dati da tutte le istanze VM al suo interno una subnet.
  • Esempi di log di flusso VPC le interfacce TCP, UDP, ICMP, ESP e dei flussi GRE. Vengono campionati sia i flussi in entrata che quelli in uscita. Questi flussi possono essere all'interno di Google Cloud o tra Google Cloud e altre reti. Se un flusso viene acquisito tramite campionamento, Log di flusso VPC genera un log per il flusso. Ogni record di flusso include le informazioni descritte Sezione Formato record.
  • I log di flusso VPC interagiscono con le regole firewall nei seguenti modi:
    • I pacchetti in uscita vengono campionati prima delle regole firewall in uscita. Anche se una regola firewall in uscita nega i pacchetti in uscita, possono essere campionate dai log di flusso VPC.
    • I pacchetti in entrata vengono campionati dopo le regole firewall in entrata. Se una regola firewall in entrata nega i pacchetti in entrata, che non vengono campionate dai log di flusso VPC.
  • Puoi usare i filtri in Log di flusso VPC per generare solo determinati log.
  • I log di flusso VPC supportano VM con più interfacce di rete. Devi abilitare i log di flusso VPC per ogni subnet, in ogni che contiene un'interfaccia di rete.
  • Per registrare i flussi tra i pod sullo stesso nodo Google Kubernetes Engine (GKE), devi abilitare l'opzione Intranode visibilità per nel cluster.
  • I log di flusso VPC non vengono creati da risorse non VM come Cloud Run o endpoint on-premise.

Raccolta dei log

I log di flusso vengono raccolti a intervalli specifici per ogni connessione VM. Tutti I pacchetti raccolti per un determinato intervallo per una determinata connessione vengono aggregati per un determinato periodo di tempo (intervallo di aggregazione) in una singola voce di log del flusso. Questi dati vengono quindi inviati a Logging.

Per impostazione predefinita, i log vengono archiviati in Logging per 30 giorni. Se Se vuoi conservare i log per un periodo di tempo più lungo, puoi impostare una periodo di conservazione o esportarle in un ambiente destinazione.

Campionamento ed elaborazione dei log

Google Cloud campiona i pacchetti che escono ed entrano in una VM per generare il flusso logaritmi. Non tutti i pacchetti vengono acquisiti nel relativo record di log. Circa 1 su ogni Vengono acquisiti 30 pacchetti, ma la frequenza di campionamento potrebbe essere inferiore a seconda in base al carico della VM. Non puoi regolare questo tasso.

Dopo aver generato i log di flusso, Google Cloud li elabora in base alla seguente procedura:

  1. Filtri: puoi indicare che solo i log che soddisfano i criteri specificati vengono generati. Ad esempio, puoi filtrare in modo che per una particolare VM o solo i log con un determinato valore di metadati mentre le altre vengono generate. Per ulteriori informazioni, vedi Filtro dei log.
  2. Aggregazione: le informazioni relative ai pacchetti campionati vengono aggregate in un intervallo di aggregazione configurabile per produrre una voce di log di flusso.
  3. Campionamento dei log di flusso: si tratta di un secondo processo di campionamento. Voci di log di flusso vengono ulteriormente campionati in base a un parametro configurabile della frequenza di campionamento.
  4. Metadati: se questa opzione è disattivata, tutte le annotazioni dei metadati vengono ignorate. Se Se vuoi conservare i metadati, puoi specificare che tutti i campi insieme di campi specificato. Per ulteriori informazioni, consulta la sezione Metadati annotazioni.
  5. Write to Logging: le voci di log finali vengono scritte in in Cloud Logging.

Poiché i log di flusso VPC non acquisiscono tutti i pacchetti, compensano pacchetti persi tramite interpolazione dai pacchetti acquisiti. Questo accade per pacchetti persi a causa delle impostazioni di campionamento iniziale e configurabili dall'utente.

Anche se Google Cloud non acquisisce ogni pacchetto, il record di log acquisisce può essere molto grande. Puoi bilanciare la visibilità del traffico e i costi di archiviazione regolando i seguenti aspetti della raccolta dei log:

  • Intervallo di aggregazione: i pacchetti campionati per un intervallo di tempo vengono aggregati. in un'unica voce di log. Questo intervallo di tempo può essere di 5 secondi (impostazione predefinita), 30 secondi, 1 minuto, 5 minuti, 10 minuti o 15 minuti.
  • Frequenza di campionamento: prima di essere scritto in Logging, il numero di log possono essere campionati per ridurne il numero. Per impostazione predefinita, la voce di log viene scalato di 0,5 (50%), il che significa che viene mantenuta la metà delle voci. Puoi impostare questo valore da 1.0 (100%, tutte le voci di log vengono mantenute) a 0.0 (0%, non vengono conservati i log).
  • Annotazioni sui metadati: per impostazione predefinita, le voci di log di flusso sono annotate con informazioni sui metadati, ad esempio i nomi delle VM di origine e di destinazione o la regione geografica delle sorgenti e destinazioni esterne. Metadati le annotazioni possono essere disattivate oppure puoi specificare solo determinate annotazioni, per risparmiare spazio di archiviazione.
  • Filtri: per impostazione predefinita, i log vengono generati per ogni flusso nella subnet. Puoi impostare i filtri in modo che vengano visualizzati solo i log che soddisfano determinati criteri generati.

Prezzi

Prezzi standard per Logging, BigQuery o Pub/Sub. Log di flusso VPC i prezzi sono descritti in Prezzi della telemetria di rete.

Passaggi successivi