Configurar os registros de fluxo de VPC

Nesta página, descrevemos como configurar os registros de fluxo de VPC. Ele pressupõe que você é conhecer os conceitos descritos em Registros de fluxo de VPC e Sobre os registros de fluxo de VPC.

Antes de começar

Com os Registros de fluxo de VPC, é possível configurar registros de fluxo para sub-redes de nuvem privada virtual (VPC), anexos da VLAN para o Cloud Interconnect (Pré-lançamento) e túneis do Cloud VPN (pré-lançamento).

Antes de configurar os Registros de fluxo de VPC, conclua as seguintes tarefas:

Se você quiser configurar os Registros de fluxo de VPC para uma sub-rede, faça isto:
1. Ative a API Compute Engine no projeto do Google Cloud.
  
  Ative a API Compute Engine
2. Verifique se você tem um dos seguintes papéis no projeto:
  - Papel de Administrador do Compute (roles/compute.admin)
  - Papel de Administrador da rede do Compute (roles/compute.networkAdmin)
Se você quiser configurar os Registros de fluxo de VPC para um anexo da VLAN ou um túnel do Cloud VPN, faça isto:
1. Ative a API Network Connectivity no projeto do Google Cloud.
  
  Ativar a API Network Management
2. Verifique se você tem o seguinte papel no projeto: papel de Administrador de gerenciamento de rede (roles/networkmanagement.admin).

Ativar VPC Flow Logs

Os Registros de fluxo de VPC são ativados por sub-rede, anexo da VLAN ou túnel do Cloud VPN. Quando você ativa os Registros de fluxo de VPC para uma sub-rede, os registros são ativados para todas as VMs na sub-rede.

É possível modificar a quantidade de informações gravadas na geração de registros. Para detalhes sobre os parâmetros que podem ser controlados, consulte Amostragem e processamento de registros. Para personalizar campos de metadados, use a CLI do Google Cloud ou a API.

Ativar Registros de fluxo de VPC para uma sub-rede

É possível ativar os Registros de fluxo de VPC ao criar uma sub-rede ou para uma sub-rede existente.

Ativar registros de fluxo de VPC ao criar uma sub-rede

Console

No Console do Google Cloud, acesse a página Redes VPC.

Acessar redes VPC
Clique na rede em que você quer adicionar uma sub-rede.
Clique em Add subnet.
Em Registros de fluxo, selecione Ativado.
Opcional: ajuste o Intervalo de agregação e qualquer uma das seguintes configurações na seção Configurações avançadas:
- Se a filtragem de registros será configurada. A opção Manter apenas os registros que correspondem a um filtro fica desmarcada por padrão.
- Defina se os metadados serão incluídos nas entradas de registro finais. Por padrão, Anotações de metadados contém todos os campos.
- A Taxa de amostragem secundária. 50% significa que metade das entradas geradas pelo processo de amostragem do registro de fluxo principal são mantidas. A taxa de amostragem do registro de fluxo principal não é configurável. Para mais informações, consulte Amostragem e processamento de registros.
Preencha outros campos conforme apropriado.
Clique em Adicionar.

gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Execute este comando:
```
gcloud compute networks subnets create SUBNET_NAME \
   --enable-flow-logs \
   [--logging-aggregation-interval=AGGREGATION_INTERVAL] \
   [--logging-flow-sampling=SAMPLE_RATE] \
   [--logging-filter-expr=FILTER_EXPRESSION] \
   [--logging-metadata=LOGGING_METADATA] \
   [--logging-metadata-fields=METADATA_FIELDS] \
   [other flags as needed]
```
Substitua:
- AGGREGATION_INTERVAL: o intervalo de agregação para registros de fluxo nessa sub-rede. O intervalo de tempo pode ser configurado para: 5 s (padrão), 30 s, 1 min, 5 min, 10 min ou 15 min.
- SAMPLE_RATE: a taxa de amostragem de fluxo secundário. A amostragem de fluxo secundário pode ser definida desde 0.0 (sem amostragem) até 1.0 (todos os registros). O padrão é 0.5. Para mais informações, consulte Amostragem e processamento de registros.
- FILTER_EXPRESSION: uma expressão que define quais registros você quer manter. A expressão tem um limite de 2.048 caracteres. Para detalhes, consulte Filtragem de registros.
- LOGGING_METADATA: as anotações de metadados que você quer incluir nos registros:
  - Use include-all para incluir todas as anotações de metadados.
  - Use exclude-all para excluir todas as anotações de metadados (padrão).
  - Use custom para incluir uma lista personalizada de campos de metadados especificados em METADATA_FIELDS.
  Observação: se uma sub-rede teve a geração de registros de fluxo ativada a qualquer momento antes de 1º de março de 2021 e se LOGGING_METADATA nunca foi explicitamente configurado, o valor padrão de LOGGING_METADATA é include-all.
- METADATA_FIELDS: uma lista separada por vírgulas de campos de metadados que você quer incluir nos registros. Por exemplo, src_instance,dst_instance. Só poderá ser definido se LOGGING_METADATA estiver definido como custom.

API

Ative os registros de fluxo de VPC quando criar uma nova sub-rede.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks
{
  "logConfig": {
    "aggregationInterval": "AGGREGATION_INTERVAL",
    "flowSampling": SAMPLING_RATE,
    "filterExpr": EXPRESSION,
    "metadata": METADATA_SETTING,
    "metadataFields": METADATA_FIELDS,
    "enable": true
  },
  "ipCidrRange": "IP_RANGE",
  "network": "NETWORK_URL",
  "name": "SUBNET_NAME"
}

Substitua:

PROJECT_ID: o ID do projeto em que a sub-rede será criado.
REGION: a região em que a sub-rede será criada.
AGGREGATION_INTERVAL: o intervalo de agregação para registros de fluxo na sub-rede. O intervalo pode ser definido como qualquer um dos seguintes: INTERVAL_5_SEC, INTERVAL_30_SEC, INTERVAL_1_MIN, INTERVAL_5_MIN, INTERVAL_10_MIN ou INTERVAL_15_MIN.
SAMPLING_RATE: a taxa de amostragem de fluxo. A amostragem de fluxo pode ser definida de 0.0 (sem amostragem) a 1.0 (todos os registros). O padrão é .0.5.
EXPRESSION: é a expressão de filtro usada para filtrar quais registros realmente serão gravados. A expressão tem um limite de 2.048 caracteres. Para detalhes, consulte Filtragem de registros.
METADATA_SETTING: as anotações de metadados que você quer incluir nos registros:
- Use INCLUDE_ALL_METADATA para incluir todas as anotações de metadados.
- Use EXCLUDE_ALL_METADATA para excluir todas as anotações de metadados (padrão).
- Use CUSTOM_METADATA para incluir uma lista personalizada de campos de metadados especificados em METADATA_FIELDS.
Observação: se uma sub-rede teve a geração de registros de fluxo ativada a qualquer momento antes de 1º de março de 2021 e se METADATA_SETTING nunca foi explicitamente configurado, o valor padrão de METADATA_SETTING é INCLUDE_ALL_METADATA.
METADATA_FIELDS: os campos de metadados que você quer capturar depois de definir metadata: CUSTOM_METADATA. Esta é uma lista separada por vírgulas de campos de metadados, como src_instance, src_vpc.project_id.
IP_RANGE: o intervalo de endereços IP principal da sub-rede.
NETWORK_URL: é o URL da rede de nuvem privada virtual em que a sub-rede será criada.
SUBNET_NAME: um nome para a sub-rede.

Para mais informações, consulte o método subnetworks.insert.

Terraform

Use um módulo do Terraform para criar uma rede VPC e sub-redes de modo personalizado.

O exemplo a seguir cria três sub-redes da seguinte maneira:

subnet-01 tem registros de fluxo de VPC desativados. Quando você cria uma sub-rede, os registros de fluxo de VPC são desativados, a menos que você os ative explicitamente.
subnet-02 tem registros de fluxo de VPC ativados com as configurações padrão de registro de fluxo.
subnet-03 tem registros de fluxo de VPC ativados com algumas configurações personalizadas.

module "test-vpc-module" {
  source       = "terraform-google-modules/network/google"
  version      = "~> 9.0"
  project_id   = var.project_id # Replace this with your project ID in quotes
  network_name = "my-custom-mode-network"
  mtu          = 1460

  subnets = [
    {
      subnet_name   = "subnet-01"
      subnet_ip     = "10.10.10.0/24"
      subnet_region = "us-west1"
    },
    {
      subnet_name           = "subnet-02"
      subnet_ip             = "10.10.20.0/24"
      subnet_region         = "us-west1"
      subnet_private_access = "true"
      subnet_flow_logs      = "true"
    },
    {
      subnet_name               = "subnet-03"
      subnet_ip                 = "10.10.30.0/24"
      subnet_region             = "us-west1"
      subnet_flow_logs          = "true"
      subnet_flow_logs_interval = "INTERVAL_10_MIN"
      subnet_flow_logs_sampling = 0.7
      subnet_flow_logs_metadata = "INCLUDE_ALL_METADATA"
      subnet_flow_logs_filter   = "false"
    }
  ]
}

Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.

Ativar registros de fluxo de VPC para uma sub-rede atual

Console

No Console do Google Cloud, acesse a página Redes VPC.

Acessar redes VPC
Clique na sub-rede que você quer atualizar.
Clique em Editar.
Em Registros de fluxo, selecione Ativado.
Opcional: ajuste o Intervalo de agregação e qualquer uma das seguintes configurações na seção Configurações avançadas:
- Se a filtragem de registros será configurada. A opção Manter apenas os registros que correspondem a um filtro fica desmarcada por padrão.
- Defina se os metadados serão incluídos nas entradas de registro finais. Por padrão, Anotações de metadados contém todos os campos.
- A Taxa de amostragem secundária. 50% significa que metade das entradas geradas pelo processo de amostragem do registro de fluxo principal são mantidas. A taxa de amostragem do registro de fluxo principal não é configurável. Para mais informações, consulte Amostragem e processamento de registros.
Clique em Salvar.

gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Execute este comando:
```
gcloud compute networks subnets update SUBNET_NAME \
   --enable-flow-logs \
   [--logging-aggregation-interval=AGGREGATION_INTERVAL] \
   [--logging-flow-sampling=SAMPLE_RATE] \
   [--logging-filter-expr=FILTER_EXPRESSION] \
   [--logging-metadata=LOGGING_METADATA] \
   [--logging-metadata-fields=METADATA_FIELDS] \
   [other flags as needed]
```
Substitua:
- AGGREGATION_INTERVAL: o intervalo de agregação para registros de fluxo nessa sub-rede. O intervalo de tempo pode ser configurado para: 5 s (padrão), 30 s, 1 min, 5 min, 10 min ou 15 min.
- SAMPLE_RATE: a taxa de amostragem de fluxo secundário. A amostragem de fluxo secundário pode ser definida desde 0.0 (sem amostragem) até 1.0 (todos os registros). O padrão é 0.5. Para mais informações, consulte Amostragem e processamento de registros.
- FILTER_EXPRESSION: uma expressão que define quais registros você quer manter. A expressão tem um limite de 2.048 caracteres. Para detalhes, consulte Filtragem de registros.
- LOGGING_METADATA: as anotações de metadados que você quer incluir nos registros:
  - Use include-all para incluir todas as anotações de metadados.
  - Use exclude-all para excluir todas as anotações de metadados (padrão).
  - Use custom para incluir uma lista personalizada de campos de metadados especificados em METADATA_FIELDS.
  Observação: se uma sub-rede teve a geração de registros de fluxo ativada a qualquer momento antes de 1º de março de 2021 e se LOGGING_METADATA nunca foi explicitamente configurado, o valor padrão de LOGGING_METADATA é include-all.
- METADATA_FIELDS: uma lista separada por vírgulas de campos de metadados que você quer incluir nos registros. Por exemplo, src_instance,dst_instance. Só poderá ser definido se LOGGING_METADATA estiver definido como custom.

API

Ative os registros de fluxo de VPC para uma sub-rede existente.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    "enable": true
    ...other logging fields.
  },
  "fingerprint": "SUBNETWORK_FINGERPRINT"
}

Substitua:

PROJECT_ID: o ID do projeto em que a sub-rede está localizada.
REGION: a região em que a sub-rede está localizada.
SUBNET_NAME: o nome da sub-rede atual.
SUBNET_FINGERPRINT: o ID de impressão digital da sub-rede atual, que é fornecido quando você descreve uma sub-rede.
Para os outros campos de geração de registros, consulte Ativar os registros de fluxo de VPC quando você cria uma sub-rede.

Para mais informações, consulte o método subnetworks.patch.

Ativar os Registros de fluxo de VPC para um anexo da VLAN

Console

No console do Google Cloud, abra a página Interconnect.

Acessar interconexão
Na guia Anexos da VLAN, selecione um ou mais anexos da VLAN e clique em Gerenciar registros de fluxo na barra de seleção, na parte superior da lista.
Em Gerenciar registros de fluxo, clique em Adicionar nova configuração.
Insira um Nome para a nova configuração dos Registros de fluxo de VPC.
Opcional: ajuste o Intervalo de agregação e qualquer uma das configurações na seção Configurações avançadas:
- Se a filtragem de registros será configurada. A opção Manter apenas os registros que correspondem a um filtro fica desmarcada por padrão.
- Defina se os metadados serão incluídos nas entradas de registro finais. Por padrão, Anotações de metadados contém todos os campos.
- A Taxa de amostragem secundária. 100% significa que todas as entradas geradas pelo processo de amostragem de registro de fluxo principal são mantidas. A taxa de amostragem do registro de fluxo principal não é configurável. Para mais informações, consulte Amostragem e processamento de registros.
Clique em Salvar.

API

Para criar uma configuração de Registros de fluxo de VPC para um anexo da VLAN, use o método projects.locations.vpcFlowLogsConfigs.create.

POST https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs
{
  "name": "CONFIG_NAME"
  "interconnectAttachment": "VLAN_ATTACHMENT"
  "description": "DESCRIPTION"
  "state": "STATE"
  "aggregationInterval": "AGGREGATION_INTERVAL",
  "flowSampling": "SAMPLE_RATE",
  "filterExpr": "FILTER_EXPRESSION",
  "metadata": "LOGGING_METADATA",
  "metadataFields": "METADATA_FIELDS"
}

Substitua:

PROJECT_ID: o ID do projeto do Google Cloud em que você quer criar a configuração dos Registros de fluxo de VPC. Precisa estar no mesmo projeto que o anexo da VLAN.
CONFIG_NAME: um nome para a configuração dos Registros de fluxo de VPC.
VLAN_ATTACHMENT: o anexo da VLAN que você quer registrar, no formato projects/PROJECT_ID/regions/REGION/interconnectAttachments/NAME:
- PROJECT_ID: o ID do projeto do Google Cloud ao qual o anexo da VLAN pertence.
- REGION: a região do anexo da VLAN.
- NAME: o nome do anexo da VLAN.
DESCRIPTION: descrição opcional da configuração dos Registros de fluxo de VPC.
STATE: o estado da configuração dos Registros de fluxo de VPC. Esse parâmetro precisa ser definido como ENABLED. Se você quiser pausar a coleta de registros de fluxo, mude o estado para DISABLED depois de criar a configuração conforme descrito em Atualizar parâmetros de configuração para anexos da VLAN e túneis do Cloud VPN.
AGGREGATION_INTERVAL: o intervalo de agregação para registros de fluxo gerados por essa configuração. O intervalo pode ser definido como qualquer um dos seguintes: INTERVAL_5_SEC (padrão), INTERVAL_30_SEC, INTERVAL_1_MIN, INTERVAL_5_MIN, INTERVAL_10_MIN ou INTERVAL_15_MIN.
SAMPLE_RATE: a taxa de amostragem de fluxo secundário. A amostragem de fluxo secundário pode ser definida desde um valor superior a 0.0 até 1.0 (todos os registros). O padrão é 1.0. Para mais informações, consulte Amostragem e processamento de registros.
FILTER_EXPRESSION: uma expressão que define quais registros você quer manter. A expressão tem um limite de 2.048 caracteres. Para detalhes, consulte Filtragem de registros.
LOGGING_METADATA: as anotações de metadados que você quer incluir nos registros:
- Use INCLUDE_ALL_METADATA para incluir todas as anotações de metadados (padrão).
- Use EXCLUDE_ALL_METADATA para excluir todas as anotações de metadados.
- Use CUSTOM_METADATA para incluir uma lista personalizada de campos de metadados especificados em METADATA_FIELDS.
METADATA_FIELDS: uma lista separada por vírgulas de campos de metadados que você quer incluir nos registros. Por exemplo, src_instance,dst_instance. Só poderá ser definido se LOGGING_METADATA estiver definido como CUSTOM_METADATA.

É possível adicionar mais de uma configuração de Registros de fluxo de VPC para um único anexo da VLAN. Cada configuração de Registros de fluxo de VPC gera um conjunto separado de registros de fluxo.

Ativar os Registros de fluxo de VPC para um túnel do Cloud VPN

Console

No Console do Google Cloud, acesse a página VPN.

Acessar a VPN
Na guia Túneis do Cloud VPN, selecione um ou mais túneis do Cloud VPN e clique em Gerenciar registros de fluxo na barra de seleção, na parte superior da lista.
Em Gerenciar registros de fluxo, clique em Adicionar nova configuração.
Insira um Nome para a nova configuração dos Registros de fluxo de VPC.
Opcional: ajuste o Intervalo de agregação e qualquer uma das configurações na seção Configurações avançadas:
- Se a filtragem de registros será configurada. A opção Manter apenas os registros que correspondem a um filtro fica desmarcada por padrão.
- Defina se os metadados serão incluídos nas entradas de registro finais. Por padrão, Anotações de metadados contém todos os campos.
- A Taxa de amostragem secundária. 100% significa que todas as entradas geradas pelo processo de amostragem de registro de fluxo principal são mantidas. A taxa de amostragem do registro de fluxo principal não é configurável. Para mais informações, consulte Amostragem e processamento de registros.
Clique em Salvar.

API

Para criar uma configuração de Registros de fluxo de VPC para um túnel do Cloud VPN, use o método projects.locations.vpcFlowLogsConfigs.create.

POST https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs
{
  "name": "CONFIG_NAME"
  "vpnTunnel": "VPN_TUNNEL"
  "description": "DESCRIPTION"
  "state": "STATE"
  "aggregationInterval": "AGGREGATION_INTERVAL",
  "flowSampling": "SAMPLE_RATE",
  "filterExpr": "FILTER_EXPRESSION",
  "metadata": "LOGGING_METADATA",
  "metadataFields": "METADATA_FIELDS"
}

Substitua:

PROJECT_ID: o ID do projeto do Google Cloud em que você quer criar a configuração dos Registros de fluxo de VPC. Precisa estar no mesmo projeto que o túnel do Cloud VPN.
CONFIG_NAME: um nome para a configuração dos Registros de fluxo de VPC.
VPN_TUNNEL: o túnel do Cloud VPN que você quer registrar, no formato projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME:
- PROJECT_ID: o ID do projeto do Google Cloud a que o túnel do Cloud VPN pertence.
- REGION: a região do túnel do Cloud VPN.
- NAME: o nome do túnel do Cloud VPN.
DESCRIPTION: descrição opcional da configuração dos Registros de fluxo de VPC.
STATE: o estado da configuração dos Registros de fluxo de VPC. Esse parâmetro precisa ser definido como ENABLED. Se você quiser pausar a coleta de registros de fluxo, mude o estado para DISABLED depois de criar a configuração conforme descrito em Atualizar parâmetros de configuração para anexos da VLAN e túneis do Cloud VPN.
AGGREGATION_INTERVAL: o intervalo de agregação para registros de fluxo gerados por essa configuração. O intervalo pode ser definido como qualquer um dos seguintes: INTERVAL_5_SEC (padrão), INTERVAL_30_SEC, INTERVAL_1_MIN, INTERVAL_5_MIN, INTERVAL_10_MIN ou INTERVAL_15_MIN.
SAMPLE_RATE: a taxa de amostragem de fluxo secundário. A amostragem de fluxo secundário pode ser definida desde um valor superior a 0.0 até 1.0 (todos os registros). O padrão é 1.0. Para mais informações, consulte Amostragem e processamento de registros.
FILTER_EXPRESSION: uma expressão que define quais registros você quer manter. A expressão tem um limite de 2.048 caracteres. Para detalhes, consulte Filtragem de registros.
LOGGING_METADATA: as anotações de metadados que você quer incluir nos registros:
- Use INCLUDE_ALL_METADATA para incluir todas as anotações de metadados (padrão).
- Use EXCLUDE_ALL_METADATA para excluir todas as anotações de metadados.
- Use CUSTOM_METADATA para incluir uma lista personalizada de campos de metadados especificados em METADATA_FIELDS.
METADATA_FIELDS: uma lista separada por vírgulas de campos de metadados que você quer incluir nos registros. Por exemplo, src_instance,dst_instance. Só poderá ser definido se LOGGING_METADATA estiver definido como CUSTOM_METADATA.

É possível adicionar mais de uma configuração de Registros de fluxo de VPC para um único túnel do Cloud VPN. Cada configuração de Registros de fluxo de VPC gera um conjunto separado de registros de fluxo.

Veja o status da configuração dos Registros de fluxo de VPC

É possível ver:

quais sub-redes têm os Registros de fluxo de VPC ativados;
quais anexos da VLAN e túneis do Cloud VPN têm os Registros de fluxo de VPC ativados (Pré-lançamento).

Ver quais sub-redes de uma rede têm os Registros de fluxo de VPC ativados

É possível ver quais sub-redes em uma rede VPC têm os Registros de fluxo de VPC ativados. Para ver todas as sub-redes em um projeto do Google Cloud que têm os Registros de fluxo de VPC ativados, consulte Ver as configurações dos Registros de fluxo de VPC.

Console

No Console do Google Cloud, acesse a página Redes VPC.

Acessar redes VPC
Clique na rede VPC em que você quer ver as sub-redes.
Clique na guia Sub-redes e visualize a coluna Registros de fluxo para ver se a geração de registros esteja ativada ou desativada.

gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

Execute este comando:

gcloud compute networks subnets list \
   --project PROJECT_ID \
   --network="NETWORK" \
   --format="csv(name,region,logConfig.enable)"

Substitua:

PROJECT_ID é o ID do projeto que você está consultando.
NETWORK: o nome da rede que contém as sub-redes.

Ver quais anexos e túneis em um projeto têm os Registros de fluxo de VPC ativados

É possível verificar quais anexos da VLAN e túneis do Cloud VPN em um projeto do Google Cloud têm os Registros de fluxo de VPC ativados. Para ver todas as configurações dos Registros de fluxo de VPC para anexos da VLAN e túneis do Cloud VPN em um projeto do Google Cloud, consulte Ver as configurações dos Registros de fluxo de VPC.

Console

No console do Google Cloud, faça isto:

Para ver quais anexos da VLAN têm os Registros de fluxo de VPC ativados, faça isto:
1. Acesse a página Interconexão.
  
  Acessar interconexão
2. Clique na guia Anexo da VLAN e confira a coluna Registros de fluxo para ver se a geração de registros está ativada ou desativada.
Para ver quais túneis do Cloud VPN têm os Registros de fluxo de VPC ativados:
1. Acesse a página VPN.
  
  Acessar a VPN
2. Clique na guia Túneis do Cloud VPN e confira a coluna Registros de fluxo para ver se a geração de registros está ativada ou desativada.

Ver as configurações dos Registros de fluxo de VPC

Quando você configura os Registros de fluxo de VPC para uma sub-rede, um anexo da VLAN ou um túnel do Cloud VPN, o Google Cloud cria uma configuração de Registros de fluxo de VPC para sua sub-rede, anexo da VLAN ou túnel de VPN usando os valores de configuração que você definiu. Um único anexo da VLAN ou túnel do Cloud VPN pode ter uma ou mais configurações de Registros de fluxo de VPC. Uma sub-rede com os Registros de fluxo de VPC ativados só pode ter uma configuração de Registros de fluxo de VPC.

É possível ver quais anexos da VLAN e túneis do Cloud VPN têm os registros de fluxo ativados ou desativados verificando o status das respectivas configurações dos Registros de fluxo de VPC. Se o status de uma configuração de Registros de fluxo de VPC estiver ativado, isso significa que os registros de fluxo do anexo da VLAN ou do túnel do Cloud VPN que usa essa configuração estão ativados. As configurações dos Registros de fluxo de VPC para sub-redes não podem ser desativadas, apenas excluídas.

Console

No console do Google Cloud, acesse a página Logs de fluxo de VPC.

Acessar Registros de fluxo de VPC
Clique na guia Sub-redes, Anexos da VLAN ou Túneis de VPN.
- Sub-redes lista as sub-redes que têm uma configuração ativa dos Registros de fluxo de VPC.
- Anexos da VLAN lista os anexos da VLAN para o Cloud Interconnect que têm configurações ativas ou pausadas dos Registros de fluxo de VPC.
- Túneis de VPN lista túneis do Cloud VPN com configurações ativas ou pausadas dos Registros de fluxo de VPC.

API

Para ver as configurações dos Registros de fluxo de VPC, use os métodos projects.locations.vpcFlowLogsConfigs.list e projects.locations.vpcFlowLogsConfigs.get.

Veja todas as configurações dos Registros de fluxo de VPC.

GET https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs

Acesse uma única configuração dos Registros de fluxo de VPC.

GET https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME

Substitua:

PROJECT_ID: o ID do projeto do Google Cloud que contém a configuração ou as configurações dos Registros de fluxo de VPC que você quer ver.
CONFIG_NAME: o nome da configuração dos Registros de fluxo de VPC.

Atualizar a configuração dos Registros de fluxo de VPC

É possível modificar os parâmetros de amostragem de registros. Para informações sobre os parâmetros podem ser controlados, consulte Amostragem e processamento de registros. Para personalizar campos de metadados, use gcloud CLI ou a API.

Atualizar parâmetros de configuração para sub-redes

Console

No Console do Google Cloud, acesse a página Redes VPC.

Acessar redes VPC
Em Sub-redes no projeto atual, clique na sub-rede que você quer atualizar.
Clique em Editar.
Opcional: ajuste qualquer uma das seguintes configurações:
- O intervalo de agregação Por padrão, o intervalo de agregação é definido como 5 segundos.
- Se a filtragem de registros será configurada. A opção Manter apenas os registros que correspondem a um filtro fica desmarcada por padrão.
- Defina se os metadados serão incluídos nas entradas de registro finais. Por padrão, Anotações de metadados contém todos os campos.
- A Taxa de amostragem secundária. 50% significa que metade das entradas geradas pelo processo de amostragem do registro de fluxo principal são mantidas. A taxa de amostragem do registro de fluxo principal não é configurável. Para mais informações, consulte Amostragem e processamento de registros.
Clique em Salvar.

Outra possibilidade é atualizar os parâmetros de configuração dos Registros de fluxo de VPC usando o menu Gerenciar registros de fluxo em Sub-redes no projeto atual na página Redes VPC.

gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Execute este comando:
```
gcloud compute networks subnets update SUBNET_NAME \
   [--logging-aggregation-interval=AGGREGATION_INTERVAL] \
   [--logging-flow-sampling=SAMPLE_RATE] \
   [--logging-filter-expr=FILTER_EXPRESSION] \
   [--logging-metadata=LOGGING_METADATA] \
   [--logging-metadata-fields=METADATA_FIELDS] \
```
Substitua:
- AGGREGATION_INTERVAL: o intervalo de agregação para registros de fluxo nessa sub-rede. O intervalo de tempo pode ser configurado para: 5 s (padrão), 30 s, 1 min, 5 min, 10 min ou 15 min.
- SAMPLE_RATE: a taxa de amostragem de fluxo secundário. A amostragem de fluxo secundário pode ser definida desde 0.0 (sem amostragem) até 1.0 (todos os registros). O padrão é 0.5. Para mais informações, consulte Amostragem e processamento de registros.
- FILTER_EXPRESSION: é uma expressão que define quais registros você quer manter. A expressão tem um limite de 2.048 caracteres. Para detalhes, consulte Filtragem de registros.
- LOGGING_METADATA: as anotações de metadados que você quer incluir nos registros:
  - Use include-all para incluir todas as anotações de metadados.
  - Use exclude-all para excluir todas as anotações de metadados (padrão).
  - Use custom para incluir uma lista personalizada de campos de metadados especificados em METADATA_FIELDS.
  Observação: se uma sub-rede teve a geração de registros de fluxo ativada a qualquer momento antes de 1º de março de 2021 e se LOGGING_METADATA nunca foi explicitamente configurado, o valor padrão de LOGGING_METADATA é include-all.
- METADATA_FIELDS: uma lista separada por vírgulas de campos de metadados que você quer incluir nos registros. Por exemplo, src_instance,dst_instance. Só poderá ser definido se LOGGING_METADATA estiver definido como custom.

API

Modifique os campos da amostragem de registros para atualizar os comportamentos dos registros de fluxo de VPC.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    ...fields to modify
  },
  "fingerprint": "SUBNETWORK_FINGERPRINT"
}

Substitua:

PROJECT_ID: o ID do projeto em que a sub-rede está localizada.
REGION: a região em que a sub-rede está localizada.
SUBNET_NAME: o nome da sub-rede atual.
SUBNET_FINGERPRINT: o ID de impressão digital da sub-rede atual, que é fornecido quando você descreve uma sub-rede.
Para os campos que podem ser modificados, consulte Ativar os registros de fluxo de VPC quando você cria uma sub-rede.

Para mais informações, consulte o método subnetworks.patch.

Atualizar parâmetros de configuração para anexos da VLAN e túneis do Cloud VPN

Console

No console do Google Cloud, acesse a página Logs de fluxo de VPC.

Acessar Registros de fluxo de VPC
Selecione a guia Anexos da VLAN ou Túneis de VPN:
- Para atualizar os parâmetros dos Registros de fluxo de VPC para anexos da VLAN, selecione Anexos da VLAN.
- Para atualizar os parâmetros dos Registros de fluxo de VPC para túneis do Cloud VPN, selecione Túneis do VPN.
Selecione uma ou mais configurações dos Registros de fluxo de VPC que você quer atualizar e clique em Editar.
Opcional: ajuste qualquer uma das seguintes opções:
- O intervalo de agregação Por padrão, o intervalo de agregação é definido como 5 segundos.
- Define se o Status da configuração dos Registros de fluxo de VPC será ativado ou desativado. O status Ativado significa que a configuração dos Registros de fluxo de VPC selecionada está ativa e gera registros de fluxo.
- Se a filtragem de registros será configurada. A opção Manter apenas os registros que correspondem a um filtro fica desmarcada por padrão.
- Defina se os metadados serão incluídos nas entradas de registro finais. Por padrão, Anotações de metadados contém todos os campos.
- A Taxa de amostragem secundária. 100% significa que todas as entradas geradas pelo processo de amostragem de registro de fluxo principal são mantidas. A taxa de amostragem do registro de fluxo principal não é configurável. Para mais informações, consulte Amostragem e processamento de registros.
Clique em Salvar.

Outra possibilidade é atualizar os parâmetros de configuração dos Registros de fluxo de VPC usando o menu Gerenciar registros de fluxo na guia Anexos da VLAN na página Interconexão e na guia Túneis de VPN na página VPN.

API

Para modificar os parâmetros de configuração dos Registros de fluxo de VPC, use o método projects.locations.vpcFlowLogsConfigs.patch.

Atualize uma configuração dos Registros de fluxo de VPC para um anexo da VLAN.

PATCH https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME
{
  "interconnectAttachment": "VLAN_ATTACHMENT"
  ...fields to modify
}

Atualize uma configuração dos Registros de fluxo de VPC para um túnel do Cloud VPN.

PATCH https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME
{
  "vpnTunnel": "VPN_TUNNEL"
  ...fields to modify
}

Substitua:

PROJECT_ID: o ID do projeto do Google Cloud que contém a configuração dos Registros de fluxo de VPC.
CONFIG_NAME: o nome da configuração dos Registros de fluxo de VPC que você quer atualizar.
VLAN_ATTACHMENT ou VPN_TUNNEL:
- Para atualizar uma configuração dos Registros de fluxo de VPC para um anexo da VLAN, especifique o VLAN_ATTACHMENT no formato projects/PROJECT_ID/regions/REGION/interconnectAttachments/NAME.
- Para atualizar uma configuração dos Registros de fluxo de VPC para um túnel do Cloud VPN, especifique o VPN_TUNNEL no formato projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME.
- Substitua:
  - PROJECT_ID: o ID do projeto do Google Cloud a que o anexo da VLAN ou o túnel do Cloud VPN pertence.
  - REGION: a região do anexo da VLAN ou do túnel do Cloud VPN.
  - NAME: o nome do anexo da VLAN ou do túnel do Cloud VPN.

Para informações sobre os campos que podem ser modificados, consulte Ativar os Registros de fluxo de VPC para um anexo da VLAN (Pré-lançamento) ou Ativar os Registros de fluxo de VPC para um túnel de VPN (Pré-lançamento).

Interromper a coleta de registros

É possível desativar os Registros de fluxo de VPC para uma sub-rede, o que interrompe a coleta de registros e exclui a configuração dos Registros de fluxo de VPC.

É possível pausar a coleta de registros de um anexo da VLAN ou de um túnel do Cloud VPN desativando todas as configurações ativas dos Registros de fluxo de VPC. Não é possível pausar a coleta de registros de uma sub-rede.

Se você não precisar mais de uma configuração dos Registros de fluxo de VPC, exclua-a. A coleta de registros é interrompida, e a configuração é excluída.

Desativar registros de fluxo de VPC para uma sub-rede

Console

No Console do Google Cloud, acesse a página Redes VPC.

Acessar redes VPC
Clique na sub-rede que você quer atualizar.
Clique em Editar.
Em Registros de fluxo, selecione Desativado.
Clique em Salvar.

gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

Execute este comando:

gcloud compute networks subnets update SUBNET_NAME \
   --no-enable-flow-logs

API

Desative registros de fluxo de VPC em uma sub-rede para interromper a coleta de registros.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    "enable": false
  },
  "fingerprint": "SUBNETWORK_FINGERPRINT"
}

Substitua:

PROJECT_ID: o ID do projeto em que a sub-rede está localizada.
REGION: a região em que a sub-rede está localizada.
SUBNET_NAME: o nome da sub-rede atual.
SUBNET_FINGERPRINT: o ID de impressão digital da sub-rede atual, que é fornecido quando você descreve uma sub-rede.

Para mais informações, consulte o método subnetworks.patch.

Desativar uma configuração dos Registros de fluxo de VPC

Console

No console do Google Cloud, acesse a página Logs de fluxo de VPC.

Acessar Registros de fluxo de VPC
Selecione a guia Anexos da VLAN ou Túneis de VPN:
- Para desativar uma configuração dos Registros de fluxo de VPC para um anexo da VLAN, selecione Anexos da VLAN.
- Para desativar uma configuração dos Registros de fluxo de VPC em um túnel do Cloud VPN, selecione Túneis de VPN.
Observação: não é possível desativar as configurações dos Registros de fluxo de VPC para sub-redes.
Selecione uma ou mais configurações dos Registros de fluxo de VPC que você quer desativar e mude o status da configuração para Desativar ou Desativar tudo. A opção Desativar tudo no menu Alterar status da configuração aparece apenas quando a seleção inclui configurações ativas e inativas dos Registros de fluxo de VPC.

Excluir uma configuração dos Registros de fluxo de VPC

Console

No console do Google Cloud, acesse a página Logs de fluxo de VPC.

Acessar Registros de fluxo de VPC
Selecione a guia Sub-redes, Anexos da VLAN ou Túneis de VPN:
- Para excluir uma configuração dos Registros de fluxo de VPC de uma sub-rede, selecione Sub-redes.
- Para excluir uma configuração dos Registros de fluxo de VPC de um anexo da VLAN, selecione Anexos da VLAN.
- Para excluir uma configuração dos Registros de fluxo de VPC de um túnel do Cloud VPN, selecione Túneis de VPN.
Selecione uma ou mais configurações dos Registros de fluxo de VPC que você quer excluir e clique em Excluir.

API

Para excluir uma configuração dos Registros de fluxo de VPC de um anexo da VLAN ou um túnel do Cloud VPN, use o método projects.locations.vpcFlowLogsConfigs.delete.

DELETE https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME

Substitua:

PROJECT_ID: o ID do projeto do Google Cloud que contém a configuração dos Registros de fluxo de VPC que você quer excluir.
CONFIG_NAME: o nome da configuração dos Registros de fluxo de VPC.

Solução de problemas

Os registros de fluxo de sub-redes aparecem como desativados mesmo depois de ativá-los

Ao configurar uma sub-rede somente proxy para balanceadores de carga de aplicativo internos e usar o comando gcloud compute networks subnets para ativar os Registros de fluxo de VPC, o comando parece ter êxito, mas os registros de fluxo não estão realmente ativados. A flag --enable-flow-logs não entra em vigor quando a flag --purpose=INTERNAL_HTTPS_LOAD_BALANCER também é incluída.

Ao usar o console do Google Cloud ou a API para ativar os registros de fluxo, será exibida a seguinte mensagem de erro: "Valor inválido para o campo 'resource.enableFlowLogs': 'true'. Campo inválido definido na sub-rede com a finalidade INTERNAL_HTTPS_pload_ balanCER."

Como as sub-redes somente proxy não têm VMs, os Registros de fluxo de VPC não são compatíveis. Este é o comportamento esperado.

A seguir

Registros de fluxo de acesso