VPC Flow Logs を構成する

コンソール

1. Google Cloud コンソールの [VPC ネットワーク] ページに移動します。

   [VPC ネットワーク] に移動

2. サブネットを追加するネットワークをクリックします。

3. [サブネットを追加] をクリックします。

4. [フローログ] で [オン] を選択します。

5. 省略可: [集計間隔] と、[詳細設定] セクションの次のいずれかの設定を調整します。

   • ログのフィルタリングを構成するかどうか。デフォルトでは、[フィルタに一致するログのみ保持] は選択されていません。
   • 最終ログエントリにメタデータを含めるかどうか。デフォルトでは、[メタデータ アノテーション] にはすべてのフィールドが含まれます。
   • セカンダリ サンプリング レート。50% では、プライマリ フローログのサンプリング プロセスによって生成されたエントリの半分が保持されます。プライマリ フローログのサンプリング レートは構成できません。詳細については、ログのサンプリングと処理をご覧ください。

6. 必要に応じて他のフィールドに値を入力します。

7. [追加] をクリックします。

gcloud

次のコマンドを実行します。

gcloud compute networks subnets create SUBNET_NAME \
    --enable-flow-logs \
    [--logging-aggregation-interval=AGGREGATION_INTERVAL] \
    [--logging-flow-sampling=SAMPLING_RATE] \
    [--logging-filter-expr=FILTER_EXPRESSION] \
    [--logging-metadata=LOGGING_METADATA] \
    [--logging-metadata-fields=METADATA_FIELDS] \
    [other flags as needed]

次のように置き換えます。

• AGGREGATION_INTERVAL: サブネットのフローログの集計間隔。間隔は、5 秒（デフォルト）、30 秒、1 分、5 分、10 分、15 分のいずれかに設定できます。
• SAMPLING_RATE: セカンダリ フローのサンプリング レート。セカンダリ フローのサンプリングは、0.0（サンプリングなし）から 1.0（すべてのログ）の範囲で設定できます。デフォルトは 0.5 です。詳細については、ログのサンプリングと処理をご覧ください。
• FILTER_EXPRESSION: 保持するログを定義する式です。式は 2,048 文字以内に制限されています。詳細については、ログのフィルタリングをご覧ください。

• LOGGING_METADATA: ログに含めるメタデータ アノテーション。

  • すべてのメタデータ アノテーションを含める場合は、include-all を使用します。
  • すべてのメタデータ アノテーションを除外するには、exclude-all を使用します（デフォルト）。
  • METADATA_FIELDS で指定するメタデータ フィールドのカスタムリストを含める場合は、custom を使用します。

• METADATA_FIELDS: ログに含めるメタデータ フィールドのカンマ区切りのリスト。たとえば、src_instance,dst_instance のようにします。LOGGING_METADATA が custom に設定されている場合にのみ設定できます。

API

新しいサブネットの作成時に VPC Flow Logs を有効にします。

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks
{
  "logConfig": {
    "aggregationInterval": "AGGREGATION_INTERVAL",
    "flowSampling": SAMPLING_RATE,
    "filterExpr": EXPRESSION,
    "metadata": METADATA_SETTING,
    "metadataFields": METADATA_FIELDS,
    "enable": true
  },
  "ipCidrRange": "IP_RANGE",
  "network": "NETWORK_URL",
  "name": "SUBNET_NAME"
}

次のように置き換えます。

• PROJECT_ID: サブネットを作成するプロジェクトの ID。
• REGION: サブネットが作成されるリージョン。
• AGGREGATION_INTERVAL: サブネット内のフローログの集計間隔。間隔は、INTERVAL_5_SEC、INTERVAL_30_SEC、INTERVAL_1_MIN、INTERVAL_5_MIN、INTERVAL_10_MIN、INTERVAL_15_MIN のいずれかに設定できます。
• SAMPLING_RATE: フロー サンプリング レート。フロー サンプリングは、0.0（サンプリングなし）から1.0（すべてのログ）の範囲で設定できます。デフォルトは .0.5 です。
• EXPRESSION: 実際に書き込まれるログをフィルタリングするために使用するフィルタ式。式は 2,048 文字以内に制限されています。詳細については、ログのフィルタリングをご覧ください。

• METADATA_SETTING: ログに含めるメタデータ アノテーション。

  • すべてのメタデータ アノテーションを含める場合は、INCLUDE_ALL_METADATA を使用します。
  • すべてのメタデータ アノテーションを除外するには、EXCLUDE_ALL_METADATA を使用します（デフォルト）。
  • METADATA_FIELDS で指定するメタデータ フィールドのカスタムリストを含める場合は、CUSTOM_METADATA を使用します。

• METADATA_FIELDS: metadata: CUSTOM_METADATA を設定したときにキャプチャするメタデータ フィールド。これは、src_instance, src_vpc.project_id などのメタデータ フィールドのカンマ区切りのリストです。

• IP_RANGE: サブネットのプライマリ内部 IP アドレスの範囲。

• NETWORK_URL: サブネットが作成される VPC ネットワーク URL。

• SUBNET_NAME: サブネットの名前。

詳細については、subnetworks.insert メソッドをご覧ください。

Terraform

Terraform モジュールを使用して、カスタムモードの VPC ネットワークとサブネットを作成できます。

次の例では、3 つのサブネットを作成します。

• subnet-01 では VPC Flow Logs が無効になっています。サブネットの作成時、明示的に有効にしない限り、VPC Flow Logs は無効になります。
• subnet-02 では、デフォルトのフローログ設定で VPC Flow Logs が有効になっています。
• subnet-03 では、一部のカスタム設定で VPC Flow Logs が有効になっています。

module "test-vpc-module" {
  source       = "terraform-google-modules/network/google"
  version      = "~> 9.0"
  project_id   = var.project_id # Replace this with your project ID in quotes
  network_name = "my-custom-mode-network"
  mtu          = 1460

  subnets = [
    {
      subnet_name   = "subnet-01"
      subnet_ip     = "10.10.10.0/24"
      subnet_region = "us-west1"
    },
    {
      subnet_name           = "subnet-02"
      subnet_ip             = "10.10.20.0/24"
      subnet_region         = "us-west1"
      subnet_private_access = "true"
      subnet_flow_logs      = "true"
    },
    {
      subnet_name               = "subnet-03"
      subnet_ip                 = "10.10.30.0/24"
      subnet_region             = "us-west1"
      subnet_flow_logs          = "true"
      subnet_flow_logs_interval = "INTERVAL_10_MIN"
      subnet_flow_logs_sampling = 0.7
      subnet_flow_logs_metadata = "INCLUDE_ALL_METADATA"
      subnet_flow_logs_filter   = "false"
    }
  ]
}

Terraform 構成を適用または削除する方法については、基本的な Terraform コマンドをご覧ください。

コンソール

1. Google Cloud コンソールの [VPC ネットワーク] ページに移動します。

   [VPC ネットワーク] に移動

2. 更新するサブネットをクリックします。

3. [編集] をクリックします。

4. [フローログ] で [オン] を選択します。

5. 省略可: [集計間隔] と、[詳細設定] セクションの次のいずれかの設定を調整します。

   • ログのフィルタリングを構成するかどうか。デフォルトでは、[フィルタに一致するログのみ保持] は選択されていません。
   • 最終ログエントリにメタデータを含めるかどうか。デフォルトでは、[メタデータ アノテーション] にはすべてのフィールドが含まれます。
   • セカンダリ サンプリング レート。50% では、プライマリ フローログのサンプリング プロセスによって生成されたエントリの半分が保持されます。プライマリ フローログのサンプリング レートは構成できません。詳細については、ログのサンプリングと処理をご覧ください。

6. [保存] をクリックします。

gcloud

次のコマンドを実行します。

gcloud compute networks subnets update SUBNET_NAME \
    --enable-flow-logs \
    [--logging-aggregation-interval=AGGREGATION_INTERVAL] \
    [--logging-flow-sampling=SAMPLING_RATE] \
    [--logging-filter-expr=FILTER_EXPRESSION] \
    [--logging-metadata=LOGGING_METADATA] \
    [--logging-metadata-fields=METADATA_FIELDS] \
    [other flags as needed]

次のように置き換えます。

• AGGREGATION_INTERVAL: サブネットのフローログの集計間隔。間隔は、5 秒（デフォルト）、30 秒、1 分、5 分、10 分、15 分のいずれかに設定できます。
• SAMPLING_RATE: セカンダリ フローのサンプリング レート。セカンダリ フローのサンプリングは、0.0（サンプリングなし）から 1.0（すべてのログ）の範囲で設定できます。デフォルトは 0.5 です。詳細については、ログのサンプリングと処理をご覧ください。
• FILTER_EXPRESSION: 保持するログを定義する式です。式は 2,048 文字以内に制限されています。詳細については、ログのフィルタリングをご覧ください。

• LOGGING_METADATA: ログに含めるメタデータ アノテーション。

  • すべてのメタデータ アノテーションを含める場合は、include-all を使用します。
  • すべてのメタデータ アノテーションを除外するには、exclude-all を使用します（デフォルト）。
  • METADATA_FIELDS で指定するメタデータ フィールドのカスタムリストを含める場合は、custom を使用します。

• METADATA_FIELDS: ログに含めるメタデータ フィールドのカンマ区切りのリスト。たとえば、src_instance,dst_instance のようにします。LOGGING_METADATA が custom に設定されている場合にのみ設定できます。

API

既存のサブネットの VPC Flow Logs を有効にします。

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    "enable": true
    ...other logging fields.
  },
  "fingerprint": "SUBNETWORK_FINGERPRINT"
}

次のように置き換えます。

• PROJECT_ID: サブネットが存在するプロジェクトの ID。
• REGION: サブネットが配置されているリージョン。
• SUBNET_NAME: 既存のサブネットの名前。
• SUBNET_FINGERPRINT: 既存のサブネットのフィンガー プリント ID。サブネットの詳細を取得するときに指定します。
• 他のロギング フィールドについては、サブネット作成時の VPC フローログの有効化を参照してください。

詳細については、subnetworks.patch メソッドをご覧ください。

コンソール

1. Google Cloud コンソールで、[相互接続] ページに移動します。

   [相互接続] に移動

2. [VLAN アタッチメント] タブで VLAN アタッチメントを 1 つ以上選択し、リストの上部にある選択バーの menu [フローログを管理する] をクリックします。

3. menu [フローログを管理する] で、[新しい構成を追加] をクリックします。

4. 新しい VPC Flow Logs 構成の名前を入力します。

5. 省略可: [集計間隔] と、[詳細設定] セクションのいずれかの設定を調整します。

   • ログのフィルタリングを構成するかどうか。デフォルトでは、[フィルタに一致するログのみ保持] は選択されていません。
   • 最終ログエントリにメタデータを含めるかどうか。デフォルトでは、[メタデータ アノテーション] にはすべてのフィールドが含まれます。
   • セカンダリ サンプリング レート。100% では、プライマリ フローログのサンプリング プロセスによって生成されたすべてのエントリが保持されます。プライマリ フローログのサンプリング レートは構成できません。詳細については、ログのサンプリングと処理をご覧ください。

6. [保存] をクリックします。

gcloud

VLAN アタッチメントの VPC Flow Logs 構成を作成するには、gcloud beta network-management vpc-flow-logs-configs create コマンドを使用します。すべてのパラメータをデフォルト値に設定して VPC Flow Logs 構成を作成することも、構成の作成時にデフォルト値をカスタマイズすることもできます。

gcloud CLI で、プロジェクトを VLAN アタッチメントの Google Cloud プロジェクト ID に設定し、次のいずれかのコマンドを実行します。

• デフォルトの VPC Flow Logs 構成を作成するには、次のコマンドを実行します。

  gcloud beta network-management vpc-flow-logs-configs create CONFIG_NAME \
      --location=global \
      --interconnect-attachment=VLAN_ATTACHMENT
  

• カスタム VPC Flow Logs 構成を作成するには、カスタマイズする各パラメータを指定します。

  たとえば、VPC Flow Logs 構成を作成するときに、集計間隔、フィルタリング、セカンダリ サンプリング レート、メタデータのパラメータをカスタマイズするには、次のコマンドを実行します。

  gcloud beta network-management vpc-flow-logs-configs create CONFIG_NAME \
      --location=global \
      --interconnect-attachment=VLAN_ATTACHMENT \
      --aggregation-interval=AGGREGATION_INTERVAL \
      --filter-expr=FILTER_EXPRESSION \
      --flow-sampling=SAMPLING_RATE \
      --metadata=LOGGING_METADATA
  

  次のように置き換えます。

  • CONFIG_NAME: VPC Flow Logs 構成の名前。
  • VLAN_ATTACHMENT: ロギングする VLAN アタッチメント。projects/PROJECT_ID/regions/REGION/interconnectAttachments/NAME の形式で指定する必要があります。次のように置き換えます。
    • PROJECT_ID: VLAN アタッチメントを含む Google Cloud プロジェクトの ID。VPC Flow Logs 構成はこのプロジェクトで作成する必要があります。
    • REGION: VLAN アタッチメントのリージョン。
    • NAME: VLAN アタッチメントの名前。

  カスタム構成でオプション パラメータを設定するには、次のように置き換えます。

  • AGGREGATION_INTERVAL: この構成によって生成されるフローログの集計間隔。間隔は、interval-5-sec（デフォルト）、interval-30-sec、interval-1-min、interval-5-min、interval-10-min、interval-15-min のいずれかに設定できます。
  • FILTER_EXPRESSION: 保持するログを定義する式です。式は 2,048 文字以内に制限されています。詳細については、ログのフィルタリングをご覧ください。
  • SAMPLING_RATE: セカンダリ フローのサンプリング レート。セカンダリ フローのサンプリングは、0.0 より大きい値から 1.0（すべてのログ、デフォルト）の範囲で設定できます。詳細については、ログのサンプリングと処理をご覧ください。
  • LOGGING_METADATA: ログに含めるメタデータ アノテーション。
    • すべてのメタデータ アノテーションを含めるには、include-all-metadata を使用します（デフォルト）。
    • すべてのメタデータ アノテーションを除外するには、exclude-all-metadata を使用します。
    • メタデータ フィールドのカスタムリストを含めるには、custom-metadata を使用します。メタデータ フィールドを指定するには、--metadata-fields パラメータを使用します。
      • --metadata-fields=METADATA_FIELDS: METADATA_FIELDS は、ログに含めるメタデータ フィールドのカンマ区切りのリストに置き換えます。たとえば、src_instance,dst_instance のようにします。metadata が custom-metadata に設定されている場合にのみ設定できます。

API

VLAN アタッチメントの VPC Flow Logs 構成を作成するには、projects.locations.vpcFlowLogsConfigs.create メソッドを使用します。すべてのパラメータをデフォルト値に設定して VPC Flow Logs 構成を作成することも、構成の作成時にデフォルト値をカスタマイズすることもできます。

デフォルトの VPC Flow Logs 構成を作成するには、API 呼び出しに次のパラメータを含めます。

POST https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "interconnectAttachment": "VLAN_ATTACHMENT"
}

カスタム VPC Flow Logs 構成を作成するには、カスタマイズする各パラメータを指定します。

たとえば、VPC Flow Logs 構成を作成するときに、集計間隔、フィルタリング、セカンダリ サンプリング レート、メタデータのパラメータをカスタマイズするには、API 呼び出しに次のパラメータを含めます。

POST https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "interconnectAttachment": "VLAN_ATTACHMENT",
  "aggregationInterval": "AGGREGATION_INTERVAL",
  "filterExpr": "FILTER_EXPRESSION",
  "flowSampling": SAMPLING_RATE,
  "metadata": "LOGGING_METADATA"
}

次のように置き換えます。

• PROJECT_ID: VPC Flow Logs 構成を作成する Google Cloud プロジェクトの ID。VLAN アタッチメントと同じプロジェクトに存在する必要があります。
• CONFIG_NAME: VPC Flow Logs 構成の名前。
• VLAN_ATTACHMENT: ロギングする VLAN アタッチメント。projects/PROJECT_ID/regions/REGION/interconnectAttachments/NAME の形式で指定する必要があります。
  • PROJECT_ID: VLAN アタッチメントを含む Google Cloud プロジェクトの ID。
  • REGION: VLAN アタッチメントのリージョン。
  • NAME: VLAN アタッチメントの名前。

• AGGREGATION_INTERVAL: この構成によって生成されるフローログの集計間隔。間隔は、INTERVAL_5_SEC（デフォルト）、INTERVAL_30_SEC、INTERVAL_1_MIN、INTERVAL_5_MIN、INTERVAL_10_MIN、INTERVAL_15_MIN のいずれかに設定できます。
• FILTER_EXPRESSION: 保持するログを定義する式です。式は 2,048 文字以内に制限されています。詳細については、ログのフィルタリングをご覧ください。
• SAMPLING_RATE: セカンダリ フローのサンプリング レート。セカンダリ フローのサンプリングは、0.0 より大きい値から 1.0（すべてのログ、デフォルト）の範囲で設定できます。詳細については、ログのサンプリングと処理をご覧ください。
• LOGGING_METADATA: ログに含めるメタデータ アノテーション。
  • すべてのメタデータ アノテーションを含めるには、INCLUDE_ALL_METADATA を使用します（デフォルト）。
  • すべてのメタデータ アノテーションを除外するには、EXCLUDE_ALL_METADATA を使用します。
  • メタデータ フィールドのカスタムリストを含めるには、CUSTOM_METADATA を使用します。メタデータ フィールドを指定するには、metadataFields パラメータを使用します。
    • metadataFields: METADATA_FIELDS: METADATA_FIELDS は、ログに含めるメタデータ フィールドのカンマ区切りリストに置き換えます。たとえば、src_instance,dst_instance のようにします。metadata が CUSTOM_METADATA に設定されている場合にのみ設定できます。

コンソール

1. Google Cloud コンソールで、[VPN] ページに移動します。

   [VPN] に移動

2. [ClOUD VPN トンネル] タブで Cloud VPN トンネルを 1 つ以上選択し、リストの上部にある選択バーの menu [フローログを管理する] をクリックします。

3. menu [フローログを管理する] で、[新しい構成を追加] をクリックします。

4. 新しい VPC Flow Logs 構成の名前を入力します。

5. 省略可: [集計間隔] と、[詳細設定] セクションのいずれかの設定を調整します。

   • ログのフィルタリングを構成するかどうか。デフォルトでは、[フィルタに一致するログのみ保持] は選択されていません。
   • 最終ログエントリにメタデータを含めるかどうか。デフォルトでは、[メタデータ アノテーション] にはすべてのフィールドが含まれます。
   • セカンダリ サンプリング レート。100% では、プライマリ フローログのサンプリング プロセスによって生成されたすべてのエントリが保持されます。プライマリ フローログのサンプリング レートは構成できません。詳細については、ログのサンプリングと処理をご覧ください。

6. [保存] をクリックします。

gcloud

Cloud VPN トンネルの VPC Flow Logs 構成を作成するには、gcloud beta network-management vpc-flow-logs-configs create コマンドを使用します。すべてのパラメータをデフォルト値に設定して VPC Flow Logs 構成を作成することも、構成の作成時にデフォルト値をカスタマイズすることもできます。

gcloud CLI で、プロジェクトを Cloud VPN トンネルの Google Cloud プロジェクト ID に設定し、次のいずれかのコマンドを実行します。

• デフォルトの VPC Flow Logs 構成を作成するには、次のコマンドを実行します。

  gcloud beta network-management vpc-flow-logs-configs create CONFIG_NAME \
      --location=global \
      --vpn-tunnel=VPN_TUNNEL
  

• カスタム VPC Flow Logs 構成を作成するには、カスタマイズする各パラメータを指定します。

  たとえば、VPC Flow Logs 構成を作成するときに、集計間隔、フィルタリング、セカンダリ サンプリング レート、メタデータのパラメータをカスタマイズするには、次のコマンドを実行します。

  gcloud beta network-management vpc-flow-logs-configs create CONFIG_NAME \
      --location=global \
      --vpn-tunnel=VPN_TUNNEL \
      --aggregation-interval=AGGREGATION_INTERVAL \
      --filter-expr=FILTER_EXPRESSION \
      --flow-sampling=SAMPLING_RATE \
      --metadata=LOGGING_METADATA
  

  次のように置き換えます。

  • CONFIG_NAME: VPC Flow Logs 構成の名前。
  • VPN_TUNNEL: ロギングする Cloud VPN トンネル。projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME の形式で指定する必要があります。次のように置き換えます。
    • PROJECT_ID: Cloud VPN トンネルを含む Google Cloud プロジェクトの ID。VPC Flow Logs 構成はこのプロジェクトで作成する必要があります。
    • REGION: Cloud VPN トンネルのリージョン。
    • NAME: Cloud VPN トンネルの名前。

  カスタム構成でオプション パラメータを設定するには、次のように置き換えます。

  • AGGREGATION_INTERVAL: この構成によって生成されるフローログの集計間隔。間隔は、interval-5-sec（デフォルト）、interval-30-sec、interval-1-min、interval-5-min、interval-10-min、interval-15-min のいずれかに設定できます。
  • FILTER_EXPRESSION: 保持するログを定義する式です。式は 2,048 文字以内に制限されています。詳細については、ログのフィルタリングをご覧ください。
  • SAMPLING_RATE: セカンダリ フローのサンプリング レート。セカンダリ フローのサンプリングは、0.0 より大きい値から 1.0（すべてのログ、デフォルト）の範囲で設定できます。詳細については、ログのサンプリングと処理をご覧ください。
  • LOGGING_METADATA: ログに含めるメタデータ アノテーション。
    • すべてのメタデータ アノテーションを含めるには、include-all-metadata を使用します（デフォルト）。
    • すべてのメタデータ アノテーションを除外するには、exclude-all-metadata を使用します。
    • メタデータ フィールドのカスタムリストを含めるには、custom-metadata を使用します。メタデータ フィールドを指定するには、--metadata-fields パラメータを使用します。
      • --metadata-fields=METADATA_FIELDS: METADATA_FIELDS は、ログに含めるメタデータ フィールドのカンマ区切りのリストに置き換えます。たとえば、src_instance,dst_instance のようにします。metadata が custom-metadata に設定されている場合にのみ設定できます。

API

Cloud VPN トンネルの VPC Flow Logs 構成を作成するには、projects.locations.vpcFlowLogsConfigs.create メソッドを使用します。すべてのパラメータをデフォルト値に設定して VPC Flow Logs 構成を作成することも、構成の作成時にデフォルト値をカスタマイズすることもできます。

デフォルトの VPC Flow Logs 構成を作成するには、API 呼び出しに次のパラメータを含めます。

POST https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "vpnTunnel": "VPN_TUNNEL"
}

カスタム VPC Flow Logs 構成を作成するには、カスタマイズする各パラメータを指定します。

たとえば、VPC Flow Logs 構成を作成するときに、集計間隔、フィルタリング、セカンダリ サンプリング レート、メタデータのパラメータをカスタマイズするには、API 呼び出しに次のパラメータを含めます。

POST https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "vpnTunnel": "VPN_TUNNEL",
  "aggregationInterval": "AGGREGATION_INTERVAL",
  "filterExpr": "FILTER_EXPRESSION",
  "flowSampling": SAMPLING_RATE,
  "metadata": "LOGGING_METADATA"
}

次のように置き換えます。

• PROJECT_ID: VPC Flow Logs 構成を作成する Google Cloud プロジェクトの ID。Cloud VPN トンネルと同じプロジェクトに存在する必要があります。
• CONFIG_NAME: VPC Flow Logs 構成の名前。
• VPN_TUNNEL: ロギングする Cloud VPN トンネル。projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME の形式で指定する必要があります。
  • PROJECT_ID: Cloud VPN トンネルを含む Google Cloud プロジェクトの ID。
  • REGION: Cloud VPN トンネルのリージョン。
  • NAME: Cloud VPN トンネルの名前。

• AGGREGATION_INTERVAL: この構成によって生成されるフローログの集計間隔。間隔は、INTERVAL_5_SEC（デフォルト）、INTERVAL_30_SEC、INTERVAL_1_MIN、INTERVAL_5_MIN、INTERVAL_10_MIN、INTERVAL_15_MIN のいずれかに設定できます。
• FILTER_EXPRESSION: 保持するログを定義する式です。式は 2,048 文字以内に制限されています。詳細については、ログのフィルタリングをご覧ください。
• SAMPLING_RATE: セカンダリ フローのサンプリング レート。セカンダリ フローのサンプリングは、0.0 より大きい値から 1.0（すべてのログ、デフォルト）の範囲で設定できます。詳細については、ログのサンプリングと処理をご覧ください。
• LOGGING_METADATA: ログに含めるメタデータ アノテーション。
  • すべてのメタデータ アノテーションを含めるには、INCLUDE_ALL_METADATA を使用します（デフォルト）。
  • すべてのメタデータ アノテーションを除外するには、EXCLUDE_ALL_METADATA を使用します。
  • メタデータ フィールドのカスタムリストを含めるには、CUSTOM_METADATA を使用します。メタデータ フィールドを指定するには、metadataFields パラメータを使用します。
    • metadataFields: METADATA_FIELDS: METADATA_FIELDS は、ログに含めるメタデータ フィールドのカンマ区切りリストに置き換えます。たとえば、src_instance,dst_instance のようにします。metadata が CUSTOM_METADATA に設定されている場合にのみ設定できます。

コンソール

1. Google Cloud コンソールの [VPC ネットワーク] ページに移動します。

   [VPC ネットワーク] に移動

2. サブネットを表示する VPC ネットワークをクリックします。

3. [サブネット] タブをクリックし、[フローログ] 列を表示して、ロギングがオンかオフかを確認します。

gcloud

次のコマンドを実行します。

gcloud compute networks subnets list \
    --project PROJECT_ID \
    --network="NETWORK" \
    --format="csv(name,region,logConfig.enable)"

次のように置き換えます。

• PROJECT_ID: クエリするプロジェクトの ID。
• NETWORK: サブネットを含むネットワークの名前。

コンソール

Google Cloud コンソールで次の操作を行います。

• VPC Flow Logs が有効になっている VLAN アタッチメントを表示するには、次のようにします。

  1. [相互接続] ページに移動します。

     [相互接続] に移動

  2. [VLAN アタッチメント] タブをクリックし、[フローログ] 列を表示して、ロギングがオンかオフかを確認します。

• VPC Flow Logs が有効になっている Cloud VPN トンネルを表示するには、次のようにします。

  1. [VPN] ページに移動します。

     [VPN] に移動

  2. [CLOUD VPN トンネル] タブをクリックし、[フローログ] 列を表示して、ロギングがオンかオフかを確認します。

コンソール

1. Google Cloud コンソールで、[VPC Flow Logs] ページに移動します。

   [VPC Flow Logs] に移動

2. [サブネット]、[VLAN アタッチメント]、または [CLOUD VPN トンネル] タブをクリックします。

   • [サブネット] には、有効な VPC Flow Logs 構成を持つサブネットが表示されます。
   • [VLAN アタッチメント] には、VPC Flow Logs 構成が有効または一時停止されている Cloud Interconnect の VLAN アタッチメントが表示されます。
   • [CLOUD VPN トンネル] には、VPC Flow Logs 構成が有効または一時停止されている Cloud VPN トンネルが表示されます。

gcloud

VLAN アタッチメントと Cloud VPN トンネルの VPC Flow Logs 構成を表示するには、gcloud beta network-management vpc-flow-logs-configs list コマンドと gcloud beta network-management vpc-flow-logs-configs describe コマンドを使用します。

次のいずれかのコマンドを実行します。

• Google Cloud プロジェクト内のすべての VPC Flow Logs 構成を表示するには、次のコマンドを実行します。

  gcloud beta network-management vpc-flow-logs-configs list --location=global
  

• 単一の VPC Flow Logs 構成を表示するには、次のコマンドを実行します。

  gcloud beta network-management vpc-flow-logs-configs describe CONFIG_NAME \
      --location=global
  

  CONFIG_NAME は、表示する VPC Flow Logs 構成の名前に置き換えます。

API

Google Cloud プロジェクト内の VLAN アタッチメントと Cloud VPN トンネルのすべての VPC Flow Logs 構成を表示するには、projects.locations.vpcFlowLogsConfigs.list メソッドを使用します。

GET https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs

単一の VPC Flow Logs 構成を表示するには、projects.locations.vpcFlowLogsConfigs.get メソッドを使用します。

GET https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME

次のように置き換えます。

• PROJECT_ID: 表示する VPC Flow Logs 構成を含む Google Cloud プロジェクトの ID。
• CONFIG_NAME: VPC Flow Logs 構成の名前。

コンソール

1. Google Cloud コンソールの [VPC ネットワーク] ページに移動します。

   [VPC ネットワーク] に移動

2. [現在のプロジェクトのサブネット] で、更新するサブネットをクリックします。

3. [編集] をクリックします。

4. 省略可: 次のいずれかの設定を調整します。

   • 集計間隔。デフォルトでは、集計間隔は [5 秒] に設定されています。
   • ログのフィルタリングを構成するかどうか。デフォルトでは、[フィルタに一致するログのみ保持] は選択されていません。
   • 最終ログエントリにメタデータを含めるかどうか。デフォルトでは、[メタデータ アノテーション] にはすべてのフィールドが含まれます。
   • セカンダリ サンプリング レート。50% では、プライマリ フローログのサンプリング プロセスによって生成されたエントリの半分が保持されます。プライマリ フローログのサンプリング レートは構成できません。詳細については、ログのサンプリングと処理をご覧ください。

5. [保存] をクリックします。

または、[VPC ネットワーク] ページの [現在のプロジェクトのサブネット] にある menu [フローログを管理する] メニューを使用して、VPC Flow Logs 構成パラメータを更新することもできます。

gcloud

次のコマンドを実行します。

gcloud compute networks subnets update SUBNET_NAME \
    [--logging-aggregation-interval=AGGREGATION_INTERVAL] \
    [--logging-flow-sampling=SAMPLING_RATE] \
    [--logging-filter-expr=FILTER_EXPRESSION] \
    [--logging-metadata=LOGGING_METADATA] \
    [--logging-metadata-fields=METADATA_FIELDS] \

次のように置き換えます。

• AGGREGATION_INTERVAL: サブネットのフローログの集計間隔。間隔は、5 秒（デフォルト）、30 秒、1 分、5 分、10 分、15 分のいずれかに設定できます。
• SAMPLING_RATE: セカンダリ フローのサンプリング レート。セカンダリ フローのサンプリングは、0.0（サンプリングなし）から 1.0（すべてのログ）の範囲で設定できます。デフォルトは 0.5 です。詳細については、ログのサンプリングと処理をご覧ください。
• FILTER_EXPRESSION: 保持するログを定義する式です。式は 2,048 文字以内に制限されています。詳細については、ログのフィルタリングをご覧ください。

• LOGGING_METADATA: ログに含めるメタデータ アノテーション。

  • すべてのメタデータ アノテーションを含める場合は、include-all を使用します。
  • すべてのメタデータ アノテーションを除外するには、exclude-all を使用します（デフォルト）。
  • METADATA_FIELDS で指定するメタデータ フィールドのカスタムリストを含める場合は、custom を使用します。

• METADATA_FIELDS: ログに含めるメタデータ フィールドのカンマ区切りのリスト。たとえば、src_instance,dst_instance のようにします。LOGGING_METADATA が custom に設定されている場合にのみ設定できます。

API

ログ サンプリング フィールドを変更して、VPC Flow Logs の動作を更新します。

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    ...fields to modify
  },
  "fingerprint": "SUBNETWORK_FINGERPRINT"
}

次のように置き換えます。

• PROJECT_ID: サブネットが存在するプロジェクトの ID。
• REGION: サブネットが配置されているリージョン。
• SUBNET_NAME: 既存のサブネットの名前。
• SUBNET_FINGERPRINT: 既存のサブネットのフィンガー プリント ID。サブネットの詳細を取得するときに指定します。
• 変更可能なフィールドについては、サブネット作成時の VPC フローログの有効化を参照してください。

詳細については、subnetworks.patch メソッドをご覧ください。

コンソール

1. Google Cloud コンソールで、[VPC Flow Logs] ページに移動します。

   [VPC Flow Logs] に移動

2. [VLAN アタッチメント] タブまたは [CLOUD VPN トンネル] タブを選択します。

   • VLAN アタッチメントの VPC Flow Logs パラメータを更新するには、[VLAN アタッチメント] を選択します。
   • Cloud VPN トンネルの VPC Flow Logs パラメータを更新するには、[CLOUD VPN トンネル] を選択します。

3. 更新する VPC Flow Logs 構成を 1 つ以上選択し、[編集] をクリックします。

4. 省略可: 次のいずれかを調整します。

   • 集計間隔。デフォルトでは、集計間隔は [5 秒] に設定されています。
   • VPC Flow Logs 構成の [ステータス] を [オン] または [オフ] に設定するかどうか。[オン] ステータスの場合、選択した VPC Flow Logs 構成がアクティブで、フローログが生成されます。
   • ログのフィルタリングを構成するかどうか。デフォルトでは、[フィルタに一致するログのみ保持] は選択されていません。
   • 最終ログエントリにメタデータを含めるかどうか。デフォルトでは、[メタデータ アノテーション] にはすべてのフィールドが含まれます。
   • セカンダリ サンプリング レート。100% では、プライマリ フローログのサンプリング プロセスによって生成されたすべてのエントリが保持されます。プライマリ フローログのサンプリング レートは構成できません。詳細については、ログのサンプリングと処理をご覧ください。

5. [保存] をクリックします。

または、[相互接続] ページの [VLAN アタッチメント] タブと [VPN] ページの [CLOUD VPN トンネル] タブにある menu [フローログを管理する] メニューを使用して、VPC Flow Logs 構成パラメータを更新することもできます。

gcloud

VLAN アタッチメントまたは Cloud VPN トンネルの VPC Flow Logs 構成を更新するには、gcloud beta network-management vpc-flow-logs-configs update コマンドを使用します。

次のオプション パラメータを 1 つ以上指定して gcloud beta network-management vpc-flow-logs-configs update コマンドを実行します。

gcloud beta network-management vpc-flow-logs-configs update CONFIG_NAME \
    --location=global \
    [--interconnect-attachment=VLAN_ATTACHMENT | --vpn-tunnel=VPN_TUNNEL] \
    [--aggregation-interval=AGGREGATION_INTERVAL] \
    [--filter-expr=FILTER_EXPRESSION] \
    [--flow-sampling=SAMPLING_RATE] \
    [--metadata=LOGGING_METADATA] \
    [--state=STATE]

たとえば、集計間隔パラメータを更新するには、次のコマンドを実行します。

gcloud beta network-management vpc-flow-logs-configs update CONFIG_NAME \
    --location=global \
    --aggregation-interval=AGGREGATION_INTERVAL

次のように置き換えます。

• CONFIG_NAME: 更新する VPC Flow Logs 構成の名前。構成は、構成が使用される VLAN_ATTACHMENT または VPN_TUNNEL と同じ Google Cloud プロジェクト内にあります。

オプション パラメータを更新するには、次のように置き換えます。

• VLAN_ATTACHMENT または VPN_TUNNEL:
  • VLAN アタッチメントの VPC Flow Logs 構成を更新するには、VLAN アタッチメントを projects/PROJECT_ID/regions/REGION/interconnectAttachments/NAME の形式で指定します。
  • Cloud VPN トンネルの VPC Flow Logs 構成を更新するには、Cloud VPN トンネルを projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME の形式で指定します。
  • 次のように置き換えます。
    • PROJECT_ID: VLAN アタッチメントまたは Cloud VPN トンネルを含む Google Cloud プロジェクトの ID。
    • REGION: VLAN アタッチメントまたは Cloud VPN トンネルのリージョン。
    • NAME: VLAN アタッチメントまたは Cloud VPN トンネルの名前。
• AGGREGATION_INTERVAL: この構成によって生成されるフローログの集計間隔。間隔は、interval-5-sec（デフォルト）、interval-30-sec、interval-1-min、interval-5-min、interval-10-min、interval-15-min のいずれかに設定できます。
• FILTER_EXPRESSION: 保持するログを定義する式です。式は 2,048 文字以内に制限されています。詳細については、ログのフィルタリングをご覧ください。
• SAMPLING_RATE: セカンダリ フローのサンプリング レート。セカンダリ フローのサンプリングは、0.0 より大きい値から 1.0（すべてのログ、デフォルト）の範囲で設定できます。詳細については、ログのサンプリングと処理をご覧ください。
• LOGGING_METADATA: ログに含めるメタデータ アノテーション。
  • すべてのメタデータ アノテーションを含めるには、include-all-metadata を使用します（デフォルト）。
  • すべてのメタデータ アノテーションを除外するには、exclude-all-metadata を使用します。
  • メタデータ フィールドのカスタムリストを含めるには、custom-metadata を使用します。メタデータ フィールドを指定するには、--metadata-fields パラメータを使用します。
    • --metadata-fields=METADATA_FIELDS: METADATA_FIELDS は、ログに含めるメタデータ フィールドのカンマ区切りのリストに置き換えます。たとえば、src_instance,dst_instance のようにします。metadata が custom-metadata に設定されている場合にのみ設定できます。
• STATE: VPC Flow Logs 構成の状態。enabled（デフォルト）または disabled を指定できます。

API

VPC Flow Logs 構成を更新するには、projects.locations.vpcFlowLogsConfigs.patch メソッドを使用します。変更可能なフィールドについては、REST リソース: projects.locations.vpcFlowLogsConfigs をご覧ください。

VLAN アタッチメントまたは Cloud VPN トンネルの VPC Flow Logs 構成を更新します。

PATCH https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME?updateMask=FIELDS
{
  ...fields to modify
}

次のように置き換えます。

• PROJECT_ID: VPC Flow Logs 構成を含む Google Cloud プロジェクトの ID。この ID は、構成が使用される VLAN アタッチメントまたは Cloud VPN トンネルのプロジェクト ID と同じです。
• CONFIG_NAME: 更新する VPC Flow Logs 構成の名前。
• FIELDS: 更新するフィールドの名前（カンマ区切り）。たとえば、aggregationInterval,flowSampling,metadata のようにします。

たとえば、my-project の VPC Flow Logs 構成 my-config の aggregationInterval フィールドを更新するには、次の API 呼び出しを使用します。

PATCH https://networkmanagement.googleapis.com/v1beta1/projects/my-project/locations/global/vpcFlowLogsConfigs/my-config?updateMask=aggregationInterval
{
  aggregationInterval:AGGREGATION_INTERVAL
}

AGGREGATION_INTERVAL は、このパラメータでサポートされている値に置き換えます。

コンソール

1. Google Cloud コンソールの [VPC ネットワーク] ページに移動します。

   [VPC ネットワーク] に移動

2. 更新するサブネットをクリックします。

3. [編集] をクリックします。

4. [フローログ] で [オフ] を選択します。

5. [保存] をクリックします。

gcloud

次のコマンドを実行します。

gcloud compute networks subnets update SUBNET_NAME \
    --no-enable-flow-logs

API

ログレコードの収集を停止するには、サブネットの VPC Flow Logs を無効にします。

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    "enable": false
  },
  "fingerprint": "SUBNETWORK_FINGERPRINT"
}

次のように置き換えます。

• PROJECT_ID: サブネットが存在するプロジェクトの ID。
• REGION: サブネットが配置されているリージョン。
• SUBNET_NAME: 既存のサブネットの名前。
• SUBNET_FINGERPRINT: 既存のサブネットのフィンガー プリント ID。サブネットの詳細を取得するときに指定します。

詳細については、subnetworks.patch メソッドをご覧ください。

コンソール

1. Google Cloud コンソールで、[VPC Flow Logs] ページに移動します。

   [VPC Flow Logs] に移動

2. [VLAN アタッチメント] タブまたは [CLOUD VPN トンネル] タブを選択します。

   • VLAN アタッチメントの VPC Flow Logs 構成をオフにするには、[VLAN アタッチメント] を選択します。
   • Cloud VPN トンネルの VPC Flow Logs 構成をオフにするには、[CLOUD VPN トンネル] を選択します。

3. 無効にする VPC Flow Logs 構成を 1 つ以上選択し、構成ステータスを [無効にする] または [すべて無効にする] に変更します。[Change configuration status] メニューの [すべて無効にする] オプションは、選択に有効な VPC Flow Logs 構成と無効な VPC Flow Logs 構成の両方が含まれている場合にのみ表示されます。

gcloud

VPC Flow Logs 構成のログの収集を一時停止するには、gcloud beta network-management vpc-flow-logs-configs update コマンドを使用します。

次のコマンドを実行します。

gcloud beta network-management vpc-flow-logs-configs update CONFIG_NAME \
    --location=global \
    --state=disabled

CONFIG_NAME は、更新する VPC Flow Logs 構成の名前に置き換えます。構成は、構成が使用される VLAN アタッチメントまたは Cloud VPN トンネルと同じ Google Cloud プロジェクトにあります。

API

VPC Flow Logs 構成のログの収集を一時停止するには、projects.locations.vpcFlowLogsConfigs.patch メソッドを使用します。

VPC Flow Logs 構成のログの収集を一時停止します。

PATCH https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME?updateMask=state
{
  "state": "DISABLED"
}

次のように置き換えます。

• PROJECT_ID: VPC Flow Logs 構成を含む Google Cloud プロジェクトの ID。この ID は、構成が使用される VLAN アタッチメントまたは Cloud VPN トンネルのプロジェクト ID と同じです。
• CONFIG_NAME: 更新する VPC Flow Logs 構成の名前。

コンソール

1. Google Cloud コンソールで、[VPC Flow Logs] ページに移動します。

   [VPC Flow Logs] に移動

2. [サブネット]、[VLAN アタッチメント]、または [CLOUD VPN トンネル] タブを選択します。

   • サブネットの VPC Flow Logs 構成を削除するには、[サブネット] を選択します。
   • VLAN アタッチメントの VPC Flow Logs 構成を削除するには、[VLAN アタッチメント] を選択します。
   • Cloud VPN トンネルの VPC Flow Logs 構成を削除するには、[CLOUD VPN トンネル] を選択します。

3. 削除する VPC Flow Logs 構成を 1 つ以上選択し、[削除] をクリックします。

gcloud

VLAN アタッチメントまたは Cloud VPN トンネルの VPC Flow Logs 構成を削除するには、gcloud beta network-management vpc-flow-logs-configs delete コマンドを使用します。

次のコマンドを実行します。

gcloud beta network-management vpc-flow-logs-configs delete CONFIG_NAME \
    --location=global

CONFIG_NAME は、削除する VPC Flow Logs 構成の名前に置き換えます。

API

VLAN アタッチメントまたは Cloud VPN トンネルの VPC Flow Logs 構成を削除するには、projects.locations.vpcFlowLogsConfigs.delete メソッドを使用します。

DELETE https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME

次のように置き換えます。

• PROJECT_ID: 削除する VPC Flow Logs 構成を含む Google Cloud プロジェクトの ID。
• CONFIG_NAME: VPC Flow Logs 構成の名前。