VPC-Flusslogs konfigurieren

Auf dieser Seite wird beschrieben, wie Sie VPC-Flusslogs konfigurieren. Dabei wird davon ausgegangen, dass Sie mit den Konzepten in VPC-Flusslogs und Informationen zu Einträgen von VPC-Flusslogs vertraut sind.

Hinweise

Mit VPC-Flusslogs können Sie Flusslogs für VPC-Subnetze (Virtual Private Cloud), VLAN-Anhänge für Cloud Interconnect (Vorabversion) und Cloud VPN-Tunnel (Vorabversion) konfigurieren.

Führen Sie vor dem Konfigurieren von VPC-Flusslogs die folgenden Aufgaben aus:

So konfigurieren Sie VPC-Flusslogs für ein Subnetz:
1. Aktivieren Sie die Compute Engine API in Ihrem Google Cloud-Projekt.
  
  Compute Engine API aktivieren
2. Sie müssen für das Projekt eine der folgenden Rollen haben:
  - Rolle Compute-Administrator (roles/compute.admin)
  - Rolle Compute-Netzwerkadministrator (roles/compute.networkAdmin)
So konfigurieren Sie VPC-Flusslogs für einen VLAN-Anhang oder einen Cloud VPN-Tunnel:
1. Aktivieren Sie die Network Management API in Ihrem Google Cloud-Projekt.
  
  Network Management API aktivieren
2. Sie benötigen die folgende Rolle für das Projekt: Rolle Network Management Admin (roles/networkmanagement.admin)

VPC-Flusslogs aktivieren

Sie können VPC-Flusslogs jeweils pro Subnetz, VLAN-Anhang oder Cloud VPN-Tunnel aktivieren. Wenn Sie VPC-Fluss-Logs für ein Subnetz aktivieren, aktivieren Sie das Logging für alle VMs im Subnetz.

Sie können die Menge der in Logging geschriebenen Informationen ändern. Weitere Informationen zu den Parametern, die Sie festlegen können, finden Sie unter Logprobenahme und Logverarbeitung. Zum Anpassen von Metadatenfeldern verwenden Sie die Google Cloud CLI oder API.

VPC-Flusslogs für ein Subnetz aktivieren

Sie können VPC-Flusslogs beim Erstellen eines Subnetzes oder für ein vorhandenes Subnetz aktivieren.

VPC-Flusslogs beim Erstellen eines Subnetzes aktivieren

Console

Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

Zur Seite VPC-Netzwerke
Klicken Sie auf das Netzwerk, dem Sie ein Subnetz hinzufügen möchten.
Klicken Sie auf Subnetz hinzufügen.
Wählen Sie für Flusslogs die Option Ein aus.
Optional: Passen Sie das Aggregationsintervall und die folgenden Einstellungen im Abschnitt Erweiterte Einstellungen an:
- Ob die Log-Filterung konfiguriert werden soll. Standardmäßig ist Nur Logs aufbewahren, die einem Filter entsprechen deaktiviert.
- Ob Metadaten in die endgültigen Logeinträge einbezogen werden sollen. Standardmäßig umfasst Metadatenannotationen alle Felder.
- Die sekundäre Stichprobenrate. 50% bedeutet, dass die Hälfte der Einträge beibehalten wird, die durch die primäre Stichprobenerhebung von Flusslogs generiert wurden. Die primäre Samplingrate für Flussprotokolle ist nicht konfigurierbar. Weitere Informationen finden Sie unter Stichprobenerhebung und Verarbeitung von Logs.
Füllen Sie die anderen Felder je nach Bedarf aus.
Klicken Sie auf Hinzufügen.

gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Führen Sie dazu diesen Befehl aus:
```
gcloud compute networks subnets create SUBNET_NAME \
   --enable-flow-logs \
   [--logging-aggregation-interval=AGGREGATION_INTERVAL] \
   [--logging-flow-sampling=SAMPLE_RATE] \
   [--logging-filter-expr=FILTER_EXPRESSION] \
   [--logging-metadata=LOGGING_METADATA] \
   [--logging-metadata-fields=METADATA_FIELDS] \
   [other flags as needed]
```
Ersetzen Sie Folgendes:
- AGGREGATION_INTERVAL: das Aggregationsintervall für Flusslogs in diesem Subnetz. Das Intervall kann 5 Sekunden (Standard), 30 Sekunden, 1 Minute, 5 Minuten, 10 Minuten oder 15 Minuten betragen.
- SAMPLE_RATE: die sekundäre Flussabtastrate. Das Fluss-Sampling kann auf einen Wert zwischen 0.0 (kein Sampling) und 1.0 (alle Logs) festgelegt werden. Der Standardwert ist 0.5. Weitere Informationen finden Sie unter Stichprobenerhebung und Verarbeitung von Logs.
- FILTER_EXPRESSION: ein Ausdruck, der definiert, welche Logs Sie behalten möchten. Der Ausdruck ist auf maximal 2.048 Zeichen beschränkt. Weitere Informationen finden Sie unter Logfilterung.
- LOGGING_METADATA: Die Metadatenannotationen, die in den Logs enthalten sein sollen:
  - Verwenden Sie include-all, um alle Metadatenannotationen einzuschließen.
  - Verwenden Sie exclude-all zum Ausschließen aller Metadatenannotationen (Standard)
  - Verwenden Sie custom zum Hinzufügen einer benutzerdefinierten Liste von Metadatenfeldern, die Sie in METADATA_FIELDS angeben.
  Hinweis: Wenn für ein Subnetz vor dem 1. März 2021 Fluss-Logging aktiviert war und LOGGING_METADATA nie explizit konfiguriert wurde, ist der Standardwert für LOGGING_METADATA include-all.
- METADATA_FIELDS: eine durch Kommas getrennte Liste von Metadatenfeldern, die Sie in die Logs aufnehmen möchten. Beispiel: src_instance,dst_instance Kann nur festgelegt werden, wenn LOGGING_METADATA auf custom gesetzt ist.

API

Aktivieren Sie VPC-Flusslogs, wenn Sie ein neues Subnetz erstellen.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks
{
  "logConfig": {
    "aggregationInterval": "AGGREGATION_INTERVAL",
    "flowSampling": SAMPLING_RATE,
    "filterExpr": EXPRESSION,
    "metadata": METADATA_SETTING,
    "metadataFields": METADATA_FIELDS,
    "enable": true
  },
  "ipCidrRange": "IP_RANGE",
  "network": "NETWORK_URL",
  "name": "SUBNET_NAME"
}

Ersetzen Sie Folgendes:

PROJECT_ID: Die ID des Projekts, in dem das Subnetz erstellt wird.
REGION: Die Region, in der das Subnetz erstellt wird.
AGGREGATION_INTERVAL: das Aggregationsintervall für Flusslogs in diesem Subnetz. Das Intervall kann auf einen der folgenden Werte festgelegt werden: INTERVAL_5_SEC, INTERVAL_30_SEC, INTERVAL_1_MIN, INTERVAL_5_MIN, INTERVAL_10_MIN oder INTERVAL_15_MIN.
SAMPLING_RATE: die Flussabtastrate. Das Fluss-Sampling kann auf einen Wert zwischen 0.0 (kein Sampling) und 1.0 (alle Logs) festgelegt werden. Der Standardwert ist .0.5.
EXPRESSION ist der Filterausdruck, mit dem Sie filtern, welche Logs tatsächlich geschrieben werden. Der Ausdruck ist auf maximal 2.048 Zeichen beschränkt. Weitere Informationen finden Sie unter Logfilterung.
METADATA_SETTING: Die Metadatenannotationen, die in den Logs enthalten sein sollen:
- Verwenden Sie INCLUDE_ALL_METADATA, um alle Metadatenannotationen einzuschließen.
- Verwenden Sie EXCLUDE_ALL_METADATA zum Ausschließen aller Metadatenannotationen (Standard)
- Verwenden Sie CUSTOM_METADATA zum Hinzufügen einer benutzerdefinierten Liste von Metadatenfeldern, die Sie in METADATA_FIELDS angeben.
Hinweis: Wenn für ein Subnetz vor dem 1. März 2021 Fluss-Logging aktiviert war und METADATA_SETTING nie explizit konfiguriert wurde, ist der Standardwert für METADATA_SETTING INCLUDE_ALL_METADATA.
METADATA_FIELDS: Die Metadatenfelder, die Sie erfassen möchten, wenn Sie metadata: CUSTOM_METADATA festgelegt haben. Dies ist eine durch Kommas getrennte Liste von Metadatenfeldern, z. B. src_instance, src_vpc.project_id.
IP_RANGE ist der primäre interne IP-Adressbereich des Subnetzes.
NETWORK_URL: die URL des Virtual Private Cloud-Netzwerks, in dem das Subnetz erstellt wird.
SUBNET_NAME: Ein Name für das Subnetz.

Weitere Informationen finden Sie in der Methode subnetworks.insert.

Terraform

Sie können ein Terraform-Modul verwenden, um benutzerdefinierte VPC-Netzwerke und Subnetze zu erstellen.

Im folgenden Beispiel werden drei Subnetze so erstellt:

subnet-01 hat VPC-Flusslogs deaktiviert. Wenn Sie ein Subnetz erstellen, werden VPC-Flusslogs deaktiviert, sofern Sie sie nicht explizit aktivieren.
Für subnet-02 sind VPC-Flusslogs mit den Standard-Einstellungen aktiviert.
subnet-03 hat VPC-Flusslogs mit einigen benutzerdefinierten Einstellungen aktiviert.

module "test-vpc-module" {
  source       = "terraform-google-modules/network/google"
  version      = "~> 9.0"
  project_id   = var.project_id # Replace this with your project ID in quotes
  network_name = "my-custom-mode-network"
  mtu          = 1460

  subnets = [
    {
      subnet_name   = "subnet-01"
      subnet_ip     = "10.10.10.0/24"
      subnet_region = "us-west1"
    },
    {
      subnet_name           = "subnet-02"
      subnet_ip             = "10.10.20.0/24"
      subnet_region         = "us-west1"
      subnet_private_access = "true"
      subnet_flow_logs      = "true"
    },
    {
      subnet_name               = "subnet-03"
      subnet_ip                 = "10.10.30.0/24"
      subnet_region             = "us-west1"
      subnet_flow_logs          = "true"
      subnet_flow_logs_interval = "INTERVAL_10_MIN"
      subnet_flow_logs_sampling = 0.7
      subnet_flow_logs_metadata = "INCLUDE_ALL_METADATA"
      subnet_flow_logs_filter   = "false"
    }
  ]
}

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

Aktivieren Sie VPC-Flusslogs für ein vorhandenes Subnetz.

Console

Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

Zur Seite VPC-Netzwerke
Klicken Sie auf das Subnetz, das Sie aktualisieren möchten.
Klicken Sie auf Bearbeiten.
Wählen Sie für Flusslogs die Option Ein aus.
Optional: Passen Sie das Aggregationsintervall und die folgenden Einstellungen im Abschnitt Erweiterte Einstellungen an:
- Ob die Log-Filterung konfiguriert werden soll. Standardmäßig ist Nur Logs aufbewahren, die einem Filter entsprechen deaktiviert.
- Ob Metadaten in die endgültigen Logeinträge einbezogen werden sollen. Standardmäßig umfasst Metadatenannotationen alle Felder.
- Die sekundäre Stichprobenrate. 50% bedeutet, dass die Hälfte der Einträge beibehalten wird, die durch die primäre Stichprobenerhebung von Flusslogs generiert wurden. Die primäre Samplingrate für Flussprotokolle ist nicht konfigurierbar. Weitere Informationen finden Sie unter Stichprobenerhebung und Verarbeitung von Logs.
Klicken Sie auf Speichern.

gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Führen Sie dazu diesen Befehl aus:
```
gcloud compute networks subnets update SUBNET_NAME \
   --enable-flow-logs \
   [--logging-aggregation-interval=AGGREGATION_INTERVAL] \
   [--logging-flow-sampling=SAMPLE_RATE] \
   [--logging-filter-expr=FILTER_EXPRESSION] \
   [--logging-metadata=LOGGING_METADATA] \
   [--logging-metadata-fields=METADATA_FIELDS] \
   [other flags as needed]
```
Ersetzen Sie Folgendes:
- AGGREGATION_INTERVAL: das Aggregationsintervall für Flusslogs in diesem Subnetz. Das Intervall kann 5 Sekunden (Standard), 30 Sekunden, 1 Minute, 5 Minuten, 10 Minuten oder 15 Minuten betragen.
- SAMPLE_RATE: die sekundäre Flussabtastrate. Das Fluss-Sampling kann auf einen Wert zwischen 0.0 (kein Sampling) und 1.0 (alle Logs) festgelegt werden. Der Standardwert ist 0.5. Weitere Informationen finden Sie unter Stichprobenerhebung und Verarbeitung von Logs.
- FILTER_EXPRESSION: ein Ausdruck, der definiert, welche Logs Sie behalten möchten. Der Ausdruck ist auf maximal 2.048 Zeichen beschränkt. Weitere Informationen finden Sie unter Logfilterung.
- LOGGING_METADATA: Die Metadatenannotationen, die in den Logs enthalten sein sollen:
  - Verwenden Sie include-all, um alle Metadatenannotationen einzuschließen.
  - Verwenden Sie exclude-all zum Ausschließen aller Metadatenannotationen (Standard)
  - Verwenden Sie custom zum Hinzufügen einer benutzerdefinierten Liste von Metadatenfeldern, die Sie in METADATA_FIELDS angeben.
  Hinweis: Wenn für ein Subnetz vor dem 1. März 2021 Fluss-Logging aktiviert war und LOGGING_METADATA nie explizit konfiguriert wurde, ist der Standardwert für LOGGING_METADATA include-all.
- METADATA_FIELDS: eine durch Kommas getrennte Liste von Metadatenfeldern, die Sie in die Logs aufnehmen möchten. Beispiel: src_instance,dst_instance Kann nur festgelegt werden, wenn LOGGING_METADATA auf custom gesetzt ist.

API

Aktivieren Sie VPC-Flusslogs für ein vorhandenes Subnetz.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    "enable": true
    ...other logging fields.
  },
  "fingerprint": "SUBNETWORK_FINGERPRINT"
}

Ersetzen Sie Folgendes:

PROJECT_ID: die ID des Projekts, in dem sich das Subnetz befindet befindet.
REGION: die Region, in der sich das Subnetz befindet.
SUBNET_NAME: Der Name des vorhandenen Subnetzes.
SUBNET_FINGERPRINT: die Fingerabdruck-ID für das bestehende Subnetz, die Sie beim Beschreiben des Subnetzes erhalten.
Informationen zu den anderen Logging-Feldern finden Sie unter VPC-Flusslogs beim Erstellen eines Subnetzes aktivieren.

Weitere Informationen finden Sie in der Methode subnetworks.patch.

VPC-Flusslogs für einen VLAN-Anhang aktivieren

Console

Öffnen Sie in der Google Cloud Console die Seite Interconnect.

Seite "Interconnect" aufrufen
Wählen Sie auf dem Tab VLAN-Anhänge einen oder mehrere VLAN-Anhänge aus und klicken Sie dann oben in der Liste in der Auswahlleiste auf Flusslogs verwalten.
Klicken Sie unter Flussprotokolle verwalten auf Neue Konfiguration hinzufügen.
Geben Sie einen Namen für die neue VPC-Flusslogkonfiguration ein.
Optional: Passen Sie das Aggregationsintervall und die Einstellungen im Abschnitt Erweiterte Einstellungen an:
- Ob die Log-Filterung konfiguriert werden soll. Standardmäßig ist Nur Logs aufbewahren, die einem Filter entsprechen deaktiviert.
- Ob Metadaten in die endgültigen Logeinträge einbezogen werden sollen. Standardmäßig umfasst Metadatenannotationen alle Felder.
- Die sekundäre Stichprobenrate. 100% bedeutet, dass alle Einträge beibehalten werden, die durch die primäre Stichprobenerhebung von Flusslogs generiert wurden. Die primäre Samplingrate für Flussprotokolle ist nicht konfigurierbar. Weitere Informationen finden Sie unter Stichprobenerhebung und Verarbeitung von Logs.
Klicken Sie auf Speichern.

API

Verwenden Sie die Methode projects.locations.vpcFlowLogsConfigs.create, um eine VPC-Flusslogkonfiguration für einen VLAN-Anhang zu erstellen.

POST https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs
{
  "name": "CONFIG_NAME"
  "interconnectAttachment": "VLAN_ATTACHMENT"
  "description": "DESCRIPTION"
  "state": "STATE"
  "aggregationInterval": "AGGREGATION_INTERVAL",
  "flowSampling": "SAMPLE_RATE",
  "filterExpr": "FILTER_EXPRESSION",
  "metadata": "LOGGING_METADATA",
  "metadataFields": "METADATA_FIELDS"
}

Ersetzen Sie Folgendes:

PROJECT_ID: die ID des Google Cloud-Projekts, in dem Sie die VPC-Flussprotokollkonfiguration erstellen möchten. Muss sich im selben Projekt wie der VLAN-Anhang befinden.
CONFIG_NAME: ein Name für die VPC-Flusslogkonfiguration.
VLAN_ATTACHMENT: Der VLAN-Anhang, den Sie protokollieren möchten, im Format projects/PROJECT_ID/regions/REGION/interconnectAttachments/NAME:
- PROJECT_ID: die ID des Google Cloud-Projekts, zu dem der VLAN-Anhang gehört.
- REGION: die Region des VLAN-Anhangs.
- NAME: der Name des VLAN-Anhangs.
DESCRIPTION: Optionale Beschreibung der VPC-Flusslogkonfiguration.
STATE: Der Status der VPC-Flusslogkonfiguration. Dieser Parameter muss auf ENABLED festgelegt sein. Wenn Sie die Erfassung von Flussprotokollen pausieren möchten, können Sie den Status nach dem Erstellen der Konfiguration wie unter Konfigurationsparameter für VLAN-Anhänge und Cloud VPN-Tunnel aktualisieren beschrieben auf DISABLED ändern.
AGGREGATION_INTERVAL: das Aggregationsintervall für Flussprotokolle, die von dieser Konfiguration generiert werden. Das Intervall kann auf einen der folgenden Werte festgelegt werden: INTERVAL_5_SEC (Standard), INTERVAL_30_SEC, INTERVAL_1_MIN, INTERVAL_5_MIN, INTERVAL_10_MIN oder INTERVAL_15_MIN.
SAMPLE_RATE: die sekundäre Flussabtastrate. Die sekundäre Flussstichprobenerhebung kann auf einen Wert zwischen größer als 0.0 bis 1.0 (alle Logs) festgelegt werden. Der Standardwert ist 1.0. Weitere Informationen finden Sie unter Stichprobenerhebung und Verarbeitung von Logs.
FILTER_EXPRESSION: ein Ausdruck, der definiert, welche Logs Sie behalten möchten. Der Ausdruck ist auf maximal 2.048 Zeichen beschränkt. Weitere Informationen finden Sie unter Logfilterung.
LOGGING_METADATA: Die Metadatenannotationen, die in den Logs enthalten sein sollen:
- Verwenden Sie INCLUDE_ALL_METADATA zum Einschließen aller Metadatenannotationen (Standard)
- Verwenden Sie EXCLUDE_ALL_METADATA zum Ausschließen aller Metadatenannotationen
- Verwenden Sie CUSTOM_METADATA zum Hinzufügen einer benutzerdefinierten Liste von Metadatenfeldern, die Sie in METADATA_FIELDS angeben.
METADATA_FIELDS: eine durch Kommas getrennte Liste von Metadatenfeldern, die Sie in die Logs aufnehmen möchten. Beispiel: src_instance,dst_instance. Kann nur festgelegt werden, wenn LOGGING_METADATA auf CUSTOM_METADATA gesetzt ist.

Sie können für einen einzelnen VLAN-Anhang mehrere VPC-Flusslogkonfigurationen hinzufügen. Für jede VPC-Flusslogkonfiguration wird ein separater Satz von Flusslogs generiert.

VPC-Flusslogs für einen Cloud VPN-Tunnel aktivieren

Console

Rufen Sie in der Google Cloud Console die Seite VPN auf.

Zu VPN
Wählen Sie auf dem Tab Cloud VPN-Tunnel einen oder mehrere Cloud VPN-Tunnel aus und klicken Sie dann oben in der Liste in der Auswahlleiste auf Flusslogs verwalten.
Klicken Sie unter Flussprotokolle verwalten auf Neue Konfiguration hinzufügen.
Geben Sie einen Namen für die neue VPC-Flusslogkonfiguration ein.
Optional: Passen Sie das Aggregationsintervall und die Einstellungen im Abschnitt Erweiterte Einstellungen an:
- Ob die Log-Filterung konfiguriert werden soll. Standardmäßig ist Nur Logs aufbewahren, die einem Filter entsprechen deaktiviert.
- Ob Metadaten in die endgültigen Logeinträge einbezogen werden sollen. Standardmäßig umfasst Metadatenannotationen alle Felder.
- Die sekundäre Stichprobenrate. 100% bedeutet, dass alle Einträge beibehalten werden, die durch die primäre Stichprobenerhebung von Flusslogs generiert wurden. Die primäre Samplingrate für Flussprotokolle ist nicht konfigurierbar. Weitere Informationen finden Sie unter Stichprobenerhebung und Verarbeitung von Logs.
Klicken Sie auf Speichern.

API

Verwenden Sie die Methode projects.locations.vpcFlowLogsConfigs.create, um eine VPC-Flusslogkonfiguration für einen Cloud VPN-Tunnel zu erstellen.

POST https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs
{
  "name": "CONFIG_NAME"
  "vpnTunnel": "VPN_TUNNEL"
  "description": "DESCRIPTION"
  "state": "STATE"
  "aggregationInterval": "AGGREGATION_INTERVAL",
  "flowSampling": "SAMPLE_RATE",
  "filterExpr": "FILTER_EXPRESSION",
  "metadata": "LOGGING_METADATA",
  "metadataFields": "METADATA_FIELDS"
}

Ersetzen Sie Folgendes:

PROJECT_ID: die ID des Google Cloud-Projekts, in dem Sie die VPC-Flussprotokollkonfiguration erstellen möchten. Muss sich im selben Projekt wie der Cloud VPN-Tunnel befinden.
CONFIG_NAME: ein Name für die VPC-Flusslogkonfiguration.
VPN_TUNNEL: Der Cloud VPN-Tunnel, den Sie protokollieren möchten, im Format projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME:
- PROJECT_ID: die ID des Google Cloud-Projekts, zu dem der Cloud VPN-Tunnel gehört.
- REGION: die Region des Cloud VPN-Tunnels.
- NAME: Name des Cloud VPN-Tunnels.
DESCRIPTION: Optionale Beschreibung der VPC-Flusslogkonfiguration.
STATE: Der Status der VPC-Flusslogkonfiguration. Dieser Parameter muss auf ENABLED festgelegt sein. Wenn Sie die Erfassung von Flussprotokollen pausieren möchten, können Sie den Status nach dem Erstellen der Konfiguration wie unter Konfigurationsparameter für VLAN-Anhänge und Cloud VPN-Tunnel aktualisieren beschrieben auf DISABLED ändern.
AGGREGATION_INTERVAL: das Aggregationsintervall für Flussprotokolle, die von dieser Konfiguration generiert werden. Das Intervall kann auf einen der folgenden Werte festgelegt werden: INTERVAL_5_SEC (Standard), INTERVAL_30_SEC, INTERVAL_1_MIN, INTERVAL_5_MIN, INTERVAL_10_MIN oder INTERVAL_15_MIN.
SAMPLE_RATE: die sekundäre Flussabtastrate. Die sekundäre Flussstichprobenerhebung kann auf einen Wert zwischen größer als 0.0 bis 1.0 (alle Logs) festgelegt werden. Der Standardwert ist 1.0. Weitere Informationen finden Sie unter Stichprobenerhebung und Verarbeitung von Logs.
FILTER_EXPRESSION: ein Ausdruck, der definiert, welche Logs Sie behalten möchten. Der Ausdruck ist auf maximal 2.048 Zeichen beschränkt. Weitere Informationen finden Sie unter Logfilterung.
LOGGING_METADATA: Die Metadatenannotationen, die in den Logs enthalten sein sollen:
- Verwenden Sie INCLUDE_ALL_METADATA zum Einschließen aller Metadatenannotationen (Standard)
- Verwenden Sie EXCLUDE_ALL_METADATA zum Ausschließen aller Metadatenannotationen
- Verwenden Sie CUSTOM_METADATA zum Hinzufügen einer benutzerdefinierten Liste von Metadatenfeldern, die Sie in METADATA_FIELDS angeben.
METADATA_FIELDS: eine durch Kommas getrennte Liste von Metadatenfeldern, die Sie in die Logs aufnehmen möchten. Beispiel: src_instance,dst_instance. Kann nur festgelegt werden, wenn LOGGING_METADATA auf CUSTOM_METADATA gesetzt ist.

Sie können einem einzelnen Cloud VPN-Tunnel mehrere VPC-Flusslogkonfigurationen hinzufügen. Für jede VPC-Flusslogkonfiguration werden separate Flusslogs generiert.

Konfigurationsstatus von VPC-Flusslogs aufrufen

Sie können Folgendes einsehen:

Für welche Subnetze VPC-Flusslogs aktiviert sind
Für welche VLAN-Anhänge und Cloud VPN-Tunnel VPC-Flusslogs aktiviert sind (Vorabversion)

Ansehen, für welche Subnetze in einem Netzwerk VPC-Flusslogs aktiviert sind

Sie können prüfen, für welche Subnetze in einem VPC-Netzwerk VPC-Flusslogs aktiviert sind. Informationen zum Ansehen aller Subnetze in einem Google Cloud-Projekt, für die VPC-Flusslogs aktiviert sind, finden Sie unter VPC-Flusslogkonfigurationen ansehen.

Console

Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

Zur Seite VPC-Netzwerke
Klicken Sie auf das VPC-Netzwerk, in dem Sie die Subnetze ansehen möchten.
Klicken Sie auf den Tab Subnetze und sehen Sie in der Spalte Flusslogs, ob das Logging aktiviert oder deaktiviert ist.

gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Führen Sie dazu diesen Befehl aus:
```
gcloud compute networks subnets list \
   --project PROJECT_ID \
   --network="NETWORK" \
   --format="csv(name,region,logConfig.enable)"
```
Ersetzen Sie Folgendes:
- PROJECT_ID: die ID des von Ihnen abgefragten Projekts.
- NETWORK: der Name des Netzwerks mit den Subnetzen

Ansehen, für welche Anhänge und Tunnel in einem Projekt VPC-Flusslogs aktiviert sind

Sie können prüfen, für welche VLAN-Anhänge und Cloud VPN-Tunnel in einem Google Cloud-Projekt VPC-Flusslogs aktiviert sind. Informationen zum Aufrufen aller VPC-Flusslogkonfigurationen für VLAN-Anhänge und Cloud VPN-Tunnel in einem Google Cloud-Projekt finden Sie unter VPC-Flusslogkonfigurationen ansehen.

Console

Gehen Sie in der Google Cloud Console so vor:

So rufen Sie auf, für welche VLAN-Anhänge VPC-Flusslogs aktiviert sind:
1. Rufen Sie die Seite Interconnect auf.
  
  Seite "Interconnect" aufrufen
2. Klicken Sie auf den Tab VLAN-Anhänge und sehen Sie in der Spalte Flusslogs nach, ob das Logging aktiviert oder deaktiviert ist.
So rufen Sie auf, für welche Cloud VPN-Tunnel VPC-Flusslogs aktiviert sind:
1. Zur VPN-Seite
  
  Zu VPN
2. Klicken Sie auf den Tab Cloud VPN-Tunnel und sehen Sie in der Spalte Flusslogs nach, ob die Protokollierung aktiviert oder deaktiviert ist.

VPC-Flusslogkonfigurationen aufrufen

Wenn Sie VPC-Flusslogs für ein Subnetz, einen VLAN-Anhang oder einen Cloud VPN-Tunnel konfigurieren, erstellt Google Cloud eine VPC-Flusslogkonfiguration für Ihr Subnetz, Ihren VLAN-Anhang oder Ihren VPN-Tunnel mit den von Ihnen festgelegten Konfigurationswerten. Ein einzelner VLAN-Anhang oder Cloud VPN-Tunnel kann eine oder mehrere VPC-Flusslogkonfigurationen haben. Für ein Subnetz, für das VPC-Flusslogs aktiviert sind, kann es nur eine VPC-Flusslogkonfiguration geben.

Sie können sich ansehen, für welche VLAN-Anhänge und Cloud VPN-Tunnel Flusslogs aktiviert oder deaktiviert sind, indem Sie den Status der VPC-Flusslogkonfigurationen prüfen. Wenn der Status einer VPC-Flusslogkonfiguration aktiviert ist, sind auch die Flussprotokolle für den VLAN-Anhang oder Cloud VPN-Tunnel aktiviert, für den diese Konfiguration verwendet wird. VPC-Flusslogkonfigurationen für Subnetze können nicht deaktiviert, sondern nur gelöscht werden.

Console

Rufen Sie in der Google Cloud Console die Seite VPC-Traffic-Logs auf.

Zu VPC-Flusslogs
Klicken Sie auf den Tab Subnetze, VLAN-Anhänge oder VPN-Tunnel.
- Unter Subnetze werden Subnetze mit einer aktiven VPC-Flusslogkonfiguration aufgeführt.
- Auf der Seite VLAN-Anhänge sind VLAN-Anhänge für Cloud Interconnect aufgeführt, für die aktive oder pausierte VPC-Flusslogkonfigurationen vorhanden sind.
- Unter VPN-Tunnel sind Cloud VPN-Tunnel mit aktiven oder pausierten VPC-Flusslogkonfigurationen aufgeführt.

API

Mit den Methoden projects.locations.vpcFlowLogsConfigs.list und projects.locations.vpcFlowLogsConfigs.get können Sie sich Konfigurationen von VPC-Flusslogs ansehen.

Alle VPC-Flusslogkonfigurationen aufrufen

GET https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs

Eine einzelne VPC-Flusslogkonfiguration aufrufen

GET https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME

Ersetzen Sie Folgendes:

PROJECT_ID: die ID des Google Cloud-Projekts, das die VPC-Flusslog-Konfiguration oder ‑Konfigurationen enthält, die Sie aufrufen möchten.
CONFIG_NAME: der Name der VPC-Flusslogkonfiguration.

Konfiguration von VPC-Flusslogs aktualisieren

Sie können die Log-Sampling-Parameter anpassen. Informationen zu den Parametern, die Sie festlegen können, finden Sie unter Logprobenahme und Logverarbeitung. Verwenden Sie die gcloud CLI oder API, um Metadatenfelder anzupassen.

Konfigurationsparameter für Subnetze aktualisieren

Console

Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

Zur Seite VPC-Netzwerke
Klicken Sie unter Subnetze im aktuellen Projekt auf das Subnetz, das Sie aktualisieren möchten.
Klicken Sie auf Bearbeiten.
Optional: Passen Sie die folgenden Einstellungen an:
- Das Aggregationsintervall. Das Aggregationsintervall ist standardmäßig auf 5 Sekunden festgelegt.
- Ob die Log-Filterung konfiguriert werden soll. Standardmäßig ist Nur Logs aufbewahren, die einem Filter entsprechen deaktiviert.
- Ob Metadaten in die endgültigen Logeinträge einbezogen werden sollen. Standardmäßig umfasst Metadatenannotationen alle Felder.
- Die sekundäre Stichprobenrate. 50% bedeutet, dass die Hälfte der Einträge beibehalten wird, die durch die primäre Stichprobenerhebung von Flusslogs generiert wurden. Die primäre Samplingrate für Flussprotokolle ist nicht konfigurierbar. Weitere Informationen finden Sie unter Stichprobenerhebung und Verarbeitung von Logs.
Klicken Sie auf Speichern.

Alternativ können Sie die Konfigurationsparameter für VPC-Flusslogs über das Menü Flusslogs verwalten unter Subnetze im aktuellen Projekt auf der Seite VPC-Netzwerke aktualisieren.

gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Führen Sie dazu diesen Befehl aus:
```
gcloud compute networks subnets update SUBNET_NAME \
   [--logging-aggregation-interval=AGGREGATION_INTERVAL] \
   [--logging-flow-sampling=SAMPLE_RATE] \
   [--logging-filter-expr=FILTER_EXPRESSION] \
   [--logging-metadata=LOGGING_METADATA] \
   [--logging-metadata-fields=METADATA_FIELDS] \
```
Ersetzen Sie Folgendes:
- AGGREGATION_INTERVAL: das Aggregationsintervall für Flusslogs in diesem Subnetz. Das Intervall kann 5 Sekunden (Standard), 30 Sekunden, 1 Minute, 5 Minuten, 10 Minuten oder 15 Minuten betragen.
- SAMPLE_RATE: die sekundäre Flussabtastrate. Das Fluss-Sampling kann auf einen Wert zwischen 0.0 (kein Sampling) und 1.0 (alle Logs) festgelegt werden. Der Standardwert ist 0.5. Weitere Informationen finden Sie unter Stichprobenerhebung und Verarbeitung von Logs.
- FILTER_EXPRESSION: ein Ausdruck, der festlegt, welche Logs Sie behalten möchten. Der Ausdruck ist auf maximal 2.048 Zeichen beschränkt. Weitere Informationen finden Sie unter Logfilterung.
- LOGGING_METADATA: Die Metadatenannotationen, die in den Logs enthalten sein sollen:
  - Verwenden Sie include-all, um alle Metadatenannotationen einzuschließen.
  - Verwenden Sie exclude-all zum Ausschließen aller Metadatenannotationen (Standard)
  - Verwenden Sie custom zum Hinzufügen einer benutzerdefinierten Liste von Metadatenfeldern, die Sie in METADATA_FIELDS angeben.
  Hinweis: Wenn für ein Subnetz vor dem 1. März 2021 Fluss-Logging aktiviert war und LOGGING_METADATA nie explizit konfiguriert wurde, ist der Standardwert für LOGGING_METADATA include-all.
- METADATA_FIELDS: eine durch Kommas getrennte Liste von Metadatenfeldern, die Sie in die Logs aufnehmen möchten. Beispiel: src_instance,dst_instance Kann nur festgelegt werden, wenn LOGGING_METADATA auf custom gesetzt ist.

API

Ändern Sie die Log-Sampling-Felder, um das Verhalten der VPC-Flusslogs zu aktualisieren.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    ...fields to modify
  },
  "fingerprint": "SUBNETWORK_FINGERPRINT"
}

Ersetzen Sie Folgendes:

PROJECT_ID: die ID des Projekts, in dem sich das Subnetz befindet befindet.
REGION: die Region, in der sich das Subnetz befindet.
SUBNET_NAME: Der Name des vorhandenen Subnetzes.
SUBNET_FINGERPRINT: die Fingerabdruck-ID für das bestehende Subnetz, die Sie beim Beschreiben des Subnetzes erhalten.
Informationen zu den Feldern, die Sie ändern können, finden Sie unter VPC-Flusslogs beim Erstellen eines Subnetzes aktivieren.

Weitere Informationen finden Sie in der Methode subnetworks.patch.

Konfigurationsparameter für VLAN-Anhänge und Cloud VPN-Tunnel aktualisieren

Console

Rufen Sie in der Google Cloud Console die Seite VPC-Flusslogs auf.

Zu VPC-Flusslogs
Wählen Sie den Tab VLAN-Anhänge oder VPN-Tunnel aus:
- Wenn Sie die Parameter für VPC-Flusslogs für VLAN-Anhänge aktualisieren möchten, wählen Sie VLAN-Anhänge aus.
- Wenn Sie die Parameter für VPC-Flusslogs für Cloud VPN-Tunnel aktualisieren möchten, wählen Sie VPN-Tunnel aus.
Wählen Sie eine oder mehrere VPC-Flusslogkonfigurationen aus, die Sie aktualisieren möchten, und klicken Sie auf Bearbeiten.
Optional: Passen Sie eine der folgenden Optionen an:
- Das Aggregationsintervall. Das Aggregationsintervall ist standardmäßig auf 5 Sekunden festgelegt.
- Legen Sie fest, ob der Status der VPC-Flusslogkonfiguration aktiviert oder deaktiviert werden soll. Der Status An bedeutet, dass die ausgewählte VPC-Flusslogkonfiguration aktiv ist und Flusslogs generiert.
- Ob die Log-Filterung konfiguriert werden soll. Standardmäßig ist Nur Logs aufbewahren, die einem Filter entsprechen deaktiviert.
- Ob Metadaten in die endgültigen Logeinträge einbezogen werden sollen. Standardmäßig umfasst Metadatenannotationen alle Felder.
- Die sekundäre Stichprobenrate. 100% bedeutet, dass alle Einträge beibehalten werden, die durch die primäre Stichprobenerhebung von Flusslogs generiert wurden. Die primäre Samplingrate für Flussprotokolle ist nicht konfigurierbar. Weitere Informationen finden Sie unter Stichprobenerhebung und Verarbeitung von Logs.
Klicken Sie auf Speichern.

Alternativ können Sie die Konfigurationsparameter für VPC-Flusslogs über das Menü Flusslogs verwalten auf dem Tab VLAN-Anhänge auf der Seite Interconnect und auf dem Tab VPN-Tunnel auf der Seite VPN aktualisieren.

API

Verwenden Sie die Methode projects.locations.vpcFlowLogsConfigs.patch, um die Konfigurationsparameter für VPC-Flusslogs zu ändern.

Aktualisieren Sie eine VPC-Flusslogkonfiguration für einen VLAN-Anhang.

PATCH https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME
{
  "interconnectAttachment": "VLAN_ATTACHMENT"
  ...fields to modify
}

Aktualisieren Sie eine VPC-Flusslogkonfiguration für einen Cloud VPN-Tunnel.

PATCH https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME
{
  "vpnTunnel": "VPN_TUNNEL"
  ...fields to modify
}

Ersetzen Sie Folgendes:

PROJECT_ID: die ID des Google Cloud-Projekts, das die VPC-Flusslog-Konfiguration enthält.
CONFIG_NAME: Der Name der VPC-Flusslogkonfiguration, die Sie aktualisieren möchten.
VLAN_ATTACHMENT oder VPN_TUNNEL:
- Wenn Sie eine VPC-Flusslogkonfiguration für einen VLAN-Anhang aktualisieren möchten, geben Sie die VLAN_ATTACHMENT im Format projects/PROJECT_ID/regions/REGION/interconnectAttachments/NAME an.
- Wenn Sie eine VPC-Flusslogkonfiguration für einen Cloud VPN-Tunnel aktualisieren möchten, geben Sie die VPN_TUNNEL im Format projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME an.
- Dabei gilt:
  - PROJECT_ID: die ID des Google Cloud-Projekts, zu dem der VLAN-Anhang oder Cloud VPN-Tunnel gehört.
  - REGION: die Region des VLAN-Anhangs oder Cloud VPN-Tunnels.
  - NAME: der Name des VLAN-Anhangs oder Cloud VPN-Tunnels.

Informationen zu den Feldern, die Sie ändern können, finden Sie unter VPC-Flusslogs für einen VLAN-Anhang aktivieren (Vorabversion) oder VPC-Flusslogs für einen VPN-Tunnel aktivieren (Vorabversion).

Logerfassung beenden

Sie können VPC-Flusslogs für ein Subnetz deaktivieren. Dadurch wird die Erfassung von Protokollen beendet und die VPC-Flusslogkonfiguration gelöscht.

Sie können die Protokollerstellung für einen VLAN-Anhang oder Cloud VPN-Tunnel pausieren, indem Sie alle aktiven VPC-Flusslogkonfigurationen deaktivieren. Die Protokollerfassung für ein Subnetz kann nicht pausiert werden.

Wenn Sie eine VPC-Flusslogkonfiguration nicht mehr benötigen, können Sie sie löschen. Die Protokollerhebung wird beendet und die Konfiguration gelöscht.

VPC-Flusslogs für ein Subnetz deaktivieren

Console

Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

Zur Seite VPC-Netzwerke
Klicken Sie auf das Subnetz, das Sie aktualisieren möchten.
Klicken Sie auf Bearbeiten.
Wählen Sie für Flusslogs die Option Aus aus.
Klicken Sie auf Speichern.

gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

Führen Sie dazu diesen Befehl aus:

gcloud compute networks subnets update SUBNET_NAME \
   --no-enable-flow-logs

API

Deaktivieren Sie VPC-Flusslogs für ein Subnetz, um die Erfassung von Logeinträgen zu beenden.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    "enable": false
  },
  "fingerprint": "SUBNETWORK_FINGERPRINT"
}

Ersetzen Sie Folgendes:

PROJECT_ID: die ID des Projekts, in dem sich das Subnetz befindet befindet.
REGION: die Region, in der sich das Subnetz befindet.
SUBNET_NAME: Der Name des vorhandenen Subnetzes.
SUBNET_FINGERPRINT: die Fingerabdruck-ID für das bestehende Subnetz, die Sie beim Beschreiben des Subnetzes erhalten.

Weitere Informationen finden Sie in der Methode subnetworks.patch.

VPC-Flusslogkonfiguration deaktivieren

Console

Rufen Sie in der Google Cloud Console die Seite VPC-Flusslogs auf.

Zu VPC-Flusslogs
Wählen Sie den Tab VLAN-Anhänge oder VPN-Tunnel aus:
- Wenn Sie eine VPC-Flusslogkonfiguration für einen VLAN-Anhang deaktivieren möchten, wählen Sie VLAN-Anhänge aus.
- Wenn Sie eine VPC-Flusslogkonfiguration für einen Cloud VPN-Tunnel deaktivieren möchten, wählen Sie VPN-Tunnel aus.
Hinweis :VPC-Flusslogkonfigurationen für Subnetze können nicht deaktiviert werden.
Wählen Sie eine oder mehrere VPC-Flusslogkonfigurationen aus, die Sie deaktivieren möchten, und ändern Sie den Konfigurationsstatus in Deaktivieren oder Alle deaktivieren. Die Option Alle deaktivieren im Menü Konfigurationsstatus ändern wird nur angezeigt, wenn Ihre Auswahl sowohl aktive als auch inaktive VPC-Flusslogkonfigurationen enthält.

VPC-Flusslogkonfiguration löschen

Console

Rufen Sie in der Google Cloud Console die Seite VPC-Flusslogs auf.

Zu VPC-Flusslogs
Wählen Sie den Tab Subnetze, VLAN-Anhänge oder VPN-Tunnel aus:
- Wenn Sie eine VPC-Flusslogkonfiguration für ein Subnetz löschen möchten, wählen Sie Subnetze aus.
- Wenn Sie eine VPC-Flusslogkonfiguration für einen VLAN-Anhang löschen möchten, wählen Sie VLAN-Anhänge aus.
- Wenn Sie eine VPC-Flusslogkonfiguration für einen Cloud VPN-Tunnel löschen möchten, wählen Sie VPN-Tunnel aus.
Wählen Sie eine oder mehrere VPC-Flusslogkonfigurationen aus, die Sie löschen möchten, und klicken Sie auf Löschen.

API

Verwenden Sie die Methode projects.locations.vpcFlowLogsConfigs.delete, um eine VPC-Flusslogkonfiguration für einen VLAN-Anhang oder einen Cloud VPN-Tunnel zu löschen.

DELETE https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME

Ersetzen Sie Folgendes:

PROJECT_ID: die ID des Google Cloud-Projekts, das die VPC-Flusslog-Konfiguration enthält, die Sie löschen möchten.
CONFIG_NAME: der Name der VPC-Flusslogkonfiguration.

Fehlerbehebung

Flusslogs für Subnetze sind scheinbar deaktiviert, obwohl sie aktiviert wurden

Wenn Sie ein Nur-Proxysubnetz für interne Application Load Balancer konfigurieren und den Befehl gcloud compute networks subnets verwenden, um VPC-Flusslogs zu aktivieren, scheint der Befehl erfolgreich zu sein, obwohl die Flusslogs eigentlich nicht aktiviert sind. Das Flag --enable-flow-logs wird nicht wirksam, wenn Sie auch das Flag --purpose=INTERNAL_HTTPS_LOAD_BALANCER einfügen.

Wenn Sie Flusslogs über die Google Cloud Console oder die API aktivieren, wird folgende Fehlermeldung angezeigt: „Ungültiger Wert für Feld 'resource.enableFlowLogs': 'true'.“ Ungültiges Feld mit dem Zweck INTERNAL_HTTPS_LOAD_BALANCER im Subnetzwerk festgelegt."

Da Nur-Proxysubnetze keine VMs haben, werden VPC-Flusslogs nicht unterstützt. Das ist so gewollt.

Nächste Schritte

Zugriff auf Flusslogs