Menggunakan Log Alur VPC

Log Alur VPC mencatat sampel alur jaringan yang dikirim dari dan diterima oleh instance VM, termasuk instance yang digunakan sebagai node GKE. Log ini dapat digunakan untuk pemantauan jaringan, forensik, analisis keamanan real-time, dan pengoptimalan biaya.

Halaman ini mengasumsikan bahwa Anda telah memahami konsep yang dijelaskan dalam Log Alur VPC.

Mengaktifkan Log Aliran VPC

Dengan mengaktifkan Log Alur VPC, Anda mengaktifkan logging untuk semua VM di subnet. Namun, Anda dapat mengurangi jumlah informasi yang ditulis ke logging. Untuk mengetahui detail tentang parameter yang dapat Anda kontrol, lihat Agregasi dan pengambilan sampel log.

Untuk menyesuaikan kolom metadata atau mengonfigurasi pemfilteran log, gunakan gcloud CLI atau API.

Mengaktifkan Log Alur VPC saat Anda membuat subnet

Konsol

  1. Di Konsol Google Cloud, buka halaman jaringan VPC.

    Buka VPC networks

  2. Klik jaringan tempat Anda ingin menambahkan subnet.

  3. Klik Add subnet.

  4. Untuk Flow logs, pilih On.

  5. Jika Anda ingin menyesuaikan pengambilan sampel dan agregasi log, klik Configure logs dan sesuaikan salah satu dari berikut ini:

    • Aggregation interval.
    • Apakah metadata akan disertakan dalam entri log akhir atau tidak. Secara default, Include metadata menyertakan semua kolom.
    • Sample rate. 100% berarti bahwa semua entri disimpan.

  6. Isi kolom lainnya dengan sesuai.

  7. Klik Add.

gcloud

  1. Di konsol Google Cloud, aktifkan Cloud Shell.

    Aktifkan Cloud Shell

    Di bagian bawah Google Cloud Console, Cloud Shell sesi akan terbuka dan menampilkan perintah command line. Cloud Shell adalah lingkungan shell dengan Google Cloud CLI yang sudah terinstal, dan dengan nilai yang sudah ditetapkan untuk project Anda saat ini. Diperlukan waktu beberapa detik untuk melakukan inisialisasi sesi.

  2. Jalankan perintah berikut:

    gcloud compute networks subnets create SUBNET_NAME \
   --enable-flow-logs \
   [--logging-aggregation-interval=AGGREGATION_INTERVAL] \
   [--logging-flow-sampling=SAMPLE_RATE] \
   [--logging-filter-expr=FILTER_EXPRESSION] \
   [--logging-metadata=LOGGING_METADATA] \
   [--logging-metadata-fields=METADATA_FIELDS] \
   [other flags as needed]

    Ganti kode berikut:

    • AGGREGATION_INTERVAL: interval agregasi untuk log alur di subnet tersebut. Interval dapat disetel ke salah satu dari berikut ini: 5 detik (default), 30 detik, 1 menit, 5 menit, 10 menit, atau 15 menit.
    • SAMPLE_RATE: frekuensi sampling alur. Pengambilan sampel alur dapat ditetapkan dari 0.0 (tanpa pengambilan sampel) ke 1.0 (semua log). Default-nya adalah 0.5.
    • FILTER_EXPRESSION: ekspresi yang menentukan log mana yang ingin Anda simpan. Ekspresi ini memiliki batas 2.048 karakter. Untuk mengetahui detailnya, lihat Pemfilteran log.

    • LOGGING_METADATA: anotasi metadata yang ingin Anda sertakan dalam log:

      • include-all untuk menyertakan semua anotasi metadata
      • exclude-all untuk mengecualikan semua anotasi metadata (default)
      • custom untuk menyertakan daftar kustom kolom metadata yang Anda tentukan di METADATA_FIELDS.

    • METADATA_FIELDS: daftar kolom metadata yang dipisahkan koma yang ingin Anda sertakan dalam log. Contoh, src_instance,dst_instance. Hanya dapat disetel jika LOGGING_METADATA ditetapkan ke custom.

API

Aktifkan Log Alur VPC saat Anda membuat subnet baru.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks
{
  "logConfig": {
    "aggregationInterval": "AGGREGATION_INTERVAL",
    "flowSampling": SAMPLING_RATE,
    "filterExpr": EXPRESSION,
    "metadata": METADATA_SETTING,
    "metadataFields": METADATA_FIELDS,
    "enable": true
  },
  "ipCidrRange": "IP_RANGE",
  "network": "NETWORK_URL",
  "name": "SUBNET_NAME"
}

Ganti placeholder dengan nilai yang valid:

  • PROJECT_ID adalah ID project tempat subnet akan dibuat.
  • REGION adalah region tempat subnet akan dibuat.
  • AGGREGATION_INTERVAL menetapkan interval agregasi untuk log alur di subnet. Interval dapat disetel ke salah satu dari berikut ini: INTERVAL_5_SEC, INTERVAL_30_SEC, INTERVAL_1_MIN, INTERVAL_5_MIN, INTERVAL_10_MIN, atau INTERVAL_15_MIN.
  • SAMPLING_RATE adalah frekuensi sampling alur. Pengambilan sampel alur dapat ditetapkan dari 0.0 (tanpa pengambilan sampel) ke 1.0 (semua log). Default-nya adalah .0.5.
  • EXPRESSION adalah ekspresi filter yang Anda gunakan untuk memfilter log yang benar-benar ditulis. Ekspresi ini memiliki batas 2.048 karakter. Untuk mengetahui detailnya, lihat Pemfilteran log.

  • METADATA_SETTING menentukan apakah semua metadata dicatat (INCLUDE_ALL_METADATA), tidak ada metadata yang dicatat (EXCLUDE_ALL_METADATA), atau hanya metadata tertentu yang dicatat (CUSTOM_METADATA). Jika kolom ini ditetapkan ke CUSTOM_METADATA, isi juga kolom metadataFields. Default-nya adalah EXCLUDE_ALL_METADATA. Baca anotasi metadata untuk mengetahui detailnya.

  • METADATA_FIELDS adalah kolom metadata yang ingin Anda ambil saat Anda telah menetapkan metadata: CUSTOM_METADATA. Ini adalah daftar kolom metadata yang dipisahkan koma, seperti src_instance, src_vpc.project_id.

  • IP_RANGE adalah rentang alamat IP internal utama subnet.

  • NETWORK_URL adalah URL jaringan VPC tempat subnet akan dibuat.

  • SUBNET_NAME adalah nama untuk subnet.

Untuk informasi selengkapnya, lihat metode subnetworks.insert.

Terraform

Anda dapat menggunakan modul Terraform untuk membuat subnet dan jaringan VPC mode kustom.

Contoh berikut membuat tiga subnet sebagai berikut:

  • subnet-01 menonaktifkan Log Alur VPC. Saat Anda membuat subnet, Log Alur VPC dinonaktifkan kecuali jika Anda mengaktifkannya secara eksplisit.
  • subnet-02 mengaktifkan Log Alur VPC dengan setelan log alur default.
  • subnet-03 mengaktifkan Log Alur VPC dengan beberapa setelan kustom.
module "test-vpc-module" {
  source       = "terraform-google-modules/network/google"
  version      = "~> 9.0"
  project_id   = var.project_id # Replace this with your project ID in quotes
  network_name = "my-custom-mode-network"
  mtu          = 1460

  subnets = [
    {
      subnet_name   = "subnet-01"
      subnet_ip     = "10.10.10.0/24"
      subnet_region = "us-west1"
    },
    {
      subnet_name           = "subnet-02"
      subnet_ip             = "10.10.20.0/24"
      subnet_region         = "us-west1"
      subnet_private_access = "true"
      subnet_flow_logs      = "true"
    },
    {
      subnet_name               = "subnet-03"
      subnet_ip                 = "10.10.30.0/24"
      subnet_region             = "us-west1"
      subnet_flow_logs          = "true"
      subnet_flow_logs_interval = "INTERVAL_10_MIN"
      subnet_flow_logs_sampling = 0.7
      subnet_flow_logs_metadata = "INCLUDE_ALL_METADATA"
      subnet_flow_logs_filter   = "false"
    }
  ]
}

Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihat Perintah dasar Terraform.

Mengaktifkan Log Alur VPC untuk subnet yang ada

Konsol

  1. Di Konsol Google Cloud, buka halaman jaringan VPC.

    Buka VPC networks

  2. Klik subnet yang ingin Anda perbarui.

  3. Klik Edit.

  4. Untuk Flow logs, pilih On.

  5. Jika Anda ingin menyesuaikan pengambilan sampel dan agregasi log, klik Configure logs dan sesuaikan salah satu dari berikut ini:

    • Aggregation interval.
    • Apakah metadata akan disertakan dalam entri log akhir atau tidak. Secara default, Include metadata menyertakan semua kolom.
    • Sample rate. 100% berarti bahwa semua entri disimpan.

  6. Klik Save.

gcloud

  1. Di konsol Google Cloud, aktifkan Cloud Shell.

    Aktifkan Cloud Shell

    Di bagian bawah Google Cloud Console, Cloud Shell sesi akan terbuka dan menampilkan perintah command line. Cloud Shell adalah lingkungan shell dengan Google Cloud CLI yang sudah terinstal, dan dengan nilai yang sudah ditetapkan untuk project Anda saat ini. Diperlukan waktu beberapa detik untuk melakukan inisialisasi sesi.

  2. Jalankan perintah berikut:

    gcloud compute networks subnets update SUBNET_NAME \
   --enable-flow-logs \
   [--logging-aggregation-interval=AGGREGATION_INTERVAL] \
   [--logging-flow-sampling=SAMPLE_RATE] \
   [--logging-filter-expr=FILTER_EXPRESSION] \
   [--logging-metadata=LOGGING_METADATA] \
   [--logging-metadata-fields=METADATA_FIELDS] \
   [other flags as needed]

    Ganti kode berikut:

    • AGGREGATION_INTERVAL: interval agregasi untuk log alur di subnet tersebut. Interval dapat disetel ke salah satu dari berikut ini: 5 detik (default), 30 detik, 1 menit, 5 menit, 10 menit, atau 15 menit.
    • SAMPLE_RATE: frekuensi sampling alur. Pengambilan sampel alur dapat ditetapkan dari 0.0 (tanpa pengambilan sampel) ke 1.0 (semua log). Default-nya adalah 0.5.
    • FILTER_EXPRESSION adalah ekspresi yang menentukan log mana yang ingin Anda simpan. Ekspresi ini memiliki batas 2.048 karakter. Untuk mengetahui detailnya, lihat Pemfilteran log.

    • LOGGING_METADATA: anotasi metadata yang ingin Anda sertakan dalam log:

      • include-all untuk menyertakan semua anotasi metadata
      • exclude-all untuk mengecualikan semua anotasi metadata (default)
      • custom untuk menyertakan daftar kustom kolom metadata yang Anda tentukan di METADATA_FIELDS.

    • METADATA_FIELDS: daftar kolom metadata yang dipisahkan koma yang ingin Anda sertakan dalam log. Contoh, src_instance,dst_instance. Hanya dapat disetel jika LOGGING_METADATA ditetapkan ke custom.

API

Mengaktifkan Log Alur VPC untuk subnet yang ada.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    "enable": true
    ...other logging fields.
  },
  "fingerprint": "SUBNETWORK_FINGERPRINT"
}

Ganti placeholder dengan nilai yang valid:

Untuk informasi selengkapnya, lihat metode subnetworks.patch.

Melihat perkiraan volume log untuk subnet yang ada

Konsol Google Cloud memberikan estimasi volume log Anda untuk subnet yang ada, yang kemudian dapat Anda gunakan untuk memperkirakan biaya pengaktifan log alur. Estimasi ini didasarkan pada alur yang ditangkap pada interval 5 detik untuk subnet selama 7 hari sebelumnya. Selain itu, ukuran setiap log bergantung pada apakah Anda mengaktifkan anotasi metadata atau tidak.

Konsol

  1. Di Konsol Google Cloud, buka halaman jaringan VPC.

    Buka VPC networks

  2. Klik subnet yang ingin Anda perkirakan biayanya.

  3. Klik Edit.

  4. Untuk Flow logs, pilih On.

  5. Klik Configure logs.

  6. Lihat Estimated logs generated per day untuk melihat perkiraan tersebut.

  7. Klik Cancel sehingga tidak ada perubahan yang disimpan.

Melihat subnet mana yang mengaktifkan Log Aliran VPC

Anda dapat memeriksa subnet mana dalam jaringan yang mengaktifkan Log Alur VPC.

Konsol

  1. Di Konsol Google Cloud, buka halaman jaringan VPC.

    Buka VPC networks

  2. Lihat kolom Flow logs untuk melihat apakah logging aktif atau nonaktif.

gcloud

  1. Di konsol Google Cloud, aktifkan Cloud Shell.

    Aktifkan Cloud Shell

    Di bagian bawah Google Cloud Console, Cloud Shell sesi akan terbuka dan menampilkan perintah command line. Cloud Shell adalah lingkungan shell dengan Google Cloud CLI yang sudah terinstal, dan dengan nilai yang sudah ditetapkan untuk project Anda saat ini. Diperlukan waktu beberapa detik untuk melakukan inisialisasi sesi.

  2. Jalankan perintah berikut:

    gcloud compute networks subnets list \
   --project PROJECT_ID \
   --network="NETWORK" \
   --format="csv(name,region,logConfig.enable)"

    Ganti kode berikut:

    • PROJECT_ID: ID project yang pembuatan kuerinya Anda lakukan.
    • NETWORK: nama jaringan yang berisi subnet.

Memperbarui parameter Log Aliran VPC

Anda dapat mengubah parameter pengambilan sampel log. Lihat Pengambilan sampel dan agregasi log untuk detail tentang parameter yang dapat Anda kontrol.

Untuk menyesuaikan kolom metadata atau mengonfigurasi pemfilteran log, gunakan gcloud CLI atau API.

Konsol

  1. Di Konsol Google Cloud, buka halaman jaringan VPC.

    Buka VPC networks

  2. Klik subnet yang ingin Anda perbarui.

  3. Klik Edit.

  4. Jika Anda ingin menyesuaikan pengambilan sampel dan agregasi log, klik Configure logs dan sesuaikan salah satu dari berikut ini:

    • Aggregation interval.
    • Apakah metadata akan disertakan dalam entri log akhir atau tidak. Secara default, Include metadata menyertakan semua kolom.
    • Sample rate. 100% berarti bahwa semua entri disimpan.

  5. Klik Save.

gcloud

  1. Di konsol Google Cloud, aktifkan Cloud Shell.

    Aktifkan Cloud Shell

    Di bagian bawah Google Cloud Console, Cloud Shell sesi akan terbuka dan menampilkan perintah command line. Cloud Shell adalah lingkungan shell dengan Google Cloud CLI yang sudah terinstal, dan dengan nilai yang sudah ditetapkan untuk project Anda saat ini. Diperlukan waktu beberapa detik untuk melakukan inisialisasi sesi.

  2. Jalankan perintah berikut:

    gcloud compute networks subnets update SUBNET_NAME \
   [--logging-aggregation-interval=AGGREGATION_INTERVAL] \
   [--logging-flow-sampling=SAMPLE_RATE] \
   [--logging-filter-expr=FILTER_EXPRESSION] \
   [--logging-metadata=LOGGING_METADATA] \
   [--logging-metadata-fields=METADATA_FIELDS] \

    Ganti kode berikut:

    • AGGREGATION_INTERVAL: interval agregasi untuk log alur di subnet tersebut. Interval dapat disetel ke salah satu dari berikut ini: 5 detik (default), 30 detik, 1 menit, 5 menit, 10 menit, atau 15 menit.
    • SAMPLE_RATE: frekuensi sampling alur. Pengambilan sampel alur dapat ditetapkan dari 0.0 (tanpa pengambilan sampel) ke 1.0 (semua log). Default-nya adalah 0.5.
    • FILTER_EXPRESSION adalah ekspresi yang menentukan log apa yang ingin Anda simpan. Ekspresi ini memiliki batas 2.048 karakter. Untuk mengetahui detailnya, lihat Pemfilteran log.

    • LOGGING_METADATA: anotasi metadata yang ingin Anda sertakan dalam log:

      • include-all untuk menyertakan semua anotasi metadata
      • exclude-all untuk mengecualikan semua anotasi metadata (default)
      • custom untuk menyertakan daftar kustom kolom metadata yang Anda tentukan di METADATA_FIELDS.

    • METADATA_FIELDS: daftar kolom metadata yang dipisahkan koma yang ingin Anda sertakan dalam log. Contoh, src_instance,dst_instance. Hanya dapat disetel jika LOGGING_METADATA ditetapkan ke custom.

API

Ubah kolom pengambilan sampel log untuk memperbarui perilaku Log Alur VPC.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    ...fields to modify
  },
  "fingerprint": "SUBNETWORK_FINGERPRINT"
}

Ganti placeholder dengan nilai yang valid:

Untuk informasi selengkapnya, lihat metode subnetworks.patch.

Menonaktifkan Log Aliran VPC untuk subnet

Konsol

  1. Di Konsol Google Cloud, buka halaman jaringan VPC.

    Buka VPC networks

  2. Klik subnet yang ingin Anda perbarui.

  3. Klik Edit.

  4. Untuk Flow logs, pilih Off.

  5. Klik Save.

gcloud

  1. Di konsol Google Cloud, aktifkan Cloud Shell.

    Aktifkan Cloud Shell

    Di bagian bawah Google Cloud Console, Cloud Shell sesi akan terbuka dan menampilkan perintah command line. Cloud Shell adalah lingkungan shell dengan Google Cloud CLI yang sudah terinstal, dan dengan nilai yang sudah ditetapkan untuk project Anda saat ini. Diperlukan waktu beberapa detik untuk melakukan inisialisasi sesi.

  2. Jalankan perintah berikut:

    gcloud compute networks subnets update SUBNET_NAME \
   --no-enable-flow-logs

API

Menonaktifkan VPC Flow Logs di subnet untuk berhenti mengumpulkan data log.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    "enable": false
  },
  "fingerprint": "SUBNETWORK_FINGERPRINT"
}

Ganti placeholder dengan nilai yang valid:

  • PROJECT_ID adalah ID project tempat subnet berada.
  • REGION adalah region tempat subnet berada.
  • SUBNET_NAME adalah nama subnet yang ada.
  • SUBNET_FINGERPRINT adalah ID sidik jari untuk subnet yang ada, yang diberikan saat Anda menjelaskan subnet.

Untuk informasi selengkapnya, lihat metode subnetworks.patch.

Mengakses log menggunakan Logging

Anda dapat melihat Log Alur VPC menggunakan Logs Explorer. Untuk menggunakan kueri berikut, Anda memerlukan project ID project Anda.

Mengonfigurasi IAM

Guna mengonfigurasi kontrol akses untuk logging, lihat panduan kontrol akses untuk Logging.

Mengakses semua log alur

Konsol

  1. Di Konsol Google Cloud, buka halaman Logs Explorer.

    Buka Logs Explorer

  2. Klik Resource.

  3. Di daftar Select resource, klik Subnetwork, lalu klik Apply.

  4. Klik Log name.

  5. Dalam daftar Select log names, klik vpc_flows, lalu klik Apply.

Sebagai alternatif:

Konsol

  1. Di Konsol Google Cloud, buka halaman Logs Explorer.

    Buka Logs Explorer

  2. Jika Anda tidak melihat kolom editor kueri di panel Kueri, klik tombol Show query.

  3. Tempel perintah berikut ke dalam kolom editor kueri. Ganti PROJECT_ID dengan project ID Anda. 

    resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"

  4. Klik Run query.

Mengakses log untuk subnet tertentu

Konsol

  1. Di Konsol Google Cloud, buka halaman Logs Explorer.

    Buka Logs Explorer

  2. Klik Resource.

  3. Di daftar Select resource, klik Subnetwork.

  4. Dalam daftar Subnetwork ID, pilih subnet, lalu klik Apply.

  5. Dalam daftar Select log names, klik vpc_flows, lalu klik Apply.

Sebagai alternatif:

Konsol

  1. Di Konsol Google Cloud, buka halaman Logs Explorer.

    Buka Logs Explorer

  2. Jika Anda tidak melihat kolom editor kueri di panel Kueri, klik tombol Show query.

  3. Tempel perintah berikut ke dalam kolom editor kueri. Ganti PROJECT_ID dengan project ID dan SUBNET_NAME dengan subnetwork Anda. 

    resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
resource.labels.subnetwork_name="SUBNET_NAME"

  4. Klik Run query.

Mengakses log untuk VM tertentu

Konsol

  1. Di Konsol Google Cloud, buka halaman Logs Explorer.

    Buka Logs Explorer

  2. Jika Anda tidak melihat kolom editor kueri di panel Kueri, klik tombol Show query.

  3. Tempel perintah berikut ke dalam kolom editor kueri. Ganti PROJECT_ID dengan project ID Anda dan VM_NAME dengan nama VM Anda. 

    resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
jsonPayload.src_instance.vm_name="VM_NAME"

  4. Klik Run query.

Mengakses log untuk traffic ke rentang subnet tertentu

Konsol

  1. Di Konsol Google Cloud, buka halaman Logs Explorer.

    Buka Logs Explorer

  2. Jika Anda tidak melihat kolom editor kueri di panel Kueri, klik tombol Show query.

  3. Tempel perintah berikut ke dalam kolom editor kueri. Ganti PROJECT_ID dengan project ID Anda dan SUBNET_RANGE dengan rentang CIDR seperti 192.168.1.0/24. 

    resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
ip_in_net(jsonPayload.connection.dest_ip, SUBNET_RANGE)

  4. Klik Run query.

Mengakses log untuk cluster GKE tertentu

Konsol

  1. Di Konsol Google Cloud, buka halaman Logs Explorer.

    Buka Logs Explorer

  2. Jika Anda tidak melihat kolom editor kueri di panel Kueri, klik tombol Show query.

  3. Tempel perintah berikut ke dalam kolom editor kueri. Ganti PROJECT_ID dengan project ID Anda dan SUBNET_NAME dengan nama subnetwork Anda. 

    resource.type="k8s_cluster"
logName="projects/PROJECT_ID/logs/vpc_flows"
resource.labels.cluster_name="CLUSTER_NAME"

  4. Klik Run query.

Mengakses log hanya untuk traffic keluar dari subnet

Konsol

  1. Di Konsol Google Cloud, buka halaman Logs Explorer.

    Buka Logs Explorer

  2. Jika Anda tidak melihat kolom editor kueri di panel Kueri, klik tombol Show query.

  3. Tempel perintah berikut ke dalam kolom editor kueri. Ganti PROJECT_ID dengan ID project Anda dan SUBNET_NAME dengan nama subnet untuk melihat traffic keluar. 

    logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" AND
jsonPayload.reporter="SRC" AND
jsonPayload.src_vpc.subnetwork_name="SUBNET_NAME" AND
(jsonPayload.dest_vpc.subnetwork_name!="SUBNET_NAME" OR NOT jsonPayload.dest_vpc.subnetwork_name:*)

  4. Klik Run query.

Mengakses log untuk semua traffic keluar dari jaringan VPC

Konsol

  1. Di Konsol Google Cloud, buka halaman Logs Explorer.

    Buka Logs Explorer

  2. Jika Anda tidak melihat kolom editor kueri di panel Kueri, klik tombol Show query.

  3. Tempel perintah berikut ke dalam kolom editor kueri. Ganti PROJECT_ID dengan ID project Anda dan VPC_NAME dengan nama jaringan VPC Anda.

    logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" AND
jsonPayload.reporter="SRC" AND
jsonPayload.src_vpc.vpc_name="VPC_NAME" AND
(jsonPayload.dest_vpc.vpc_name!="VPC_NAME" OR NOT jsonPayload.dest_vpc:*)

  4. Klik Run query.

Mengakses log untuk port dan protokol tertentu

Untuk port tujuan satu per satu

Konsol

  1. Di Konsol Google Cloud, buka halaman Logs Explorer.

    Buka Logs Explorer

  2. Jika Anda tidak melihat kolom editor kueri di panel Kueri, klik tombol Show query.

  3. Tempel perintah berikut ke dalam kolom editor kueri. Ganti PROJECT_ID dengan project ID Anda, PORT dengan port tujuan, dan PROTOCOL dengan protokol. 

    resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
jsonPayload.connection.dest_port=PORT
jsonPayload.connection.protocol=PROTOCOL

  4. Klik Run query.

Untuk lebih dari satu port tujuan

Konsol

  1. Di Konsol Google Cloud, buka halaman Logs Explorer.

    Buka Logs Explorer

  2. Jika Anda tidak melihat kolom editor kueri di panel Kueri, klik tombol Show query.

  3. Tempel perintah berikut ke dalam kolom editor kueri. Ganti PROJECT_ID dengan project ID Anda, PORT1 dan PORT2 dengan port tujuan, dan PROTOCOL dengan protokol. 

    resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
jsonPayload.connection.dest_port=(PORT1 OR PORT2)
jsonPayload.connection.protocol=PROTOCOL

  4. Klik Run query.

Merutekan log ke BigQuery, Pub/Sub, dan target kustom

Anda dapat merutekan log alur dari Logging ke tujuan pilihan Anda seperti yang dijelaskan dalam Ringkasan perutean dan penyimpanan dalam dokumentasi Logging. Lihat bagian sebelumnya untuk contoh filter.

Pemecahan masalah

Tidak ada vpc_flows yang muncul di Logging untuk resource gce_subnetwork

  • Pastikan logging diaktifkan untuk subnet tertentu.
  • Alur VPC hanya didukung untuk jaringan VPC. Jika memiliki jaringan lama, Anda tidak akan melihat log apa pun.
  • Di jaringan VPC Bersama, log hanya muncul di project host, bukan project layanan. Pastikan Anda mencari log di project host.
  • Filter pengecualian logging memblokir log yang ditentukan. Pastikan tidak ada aturan pengecualian yang menghapus Log Alur VPC.
    1. Buka Resource usage.
    2. Klik tab Exclusions.
    3. Pastikan tidak ada aturan pengecualian yang mungkin menghapus Log Alur VPC.

Tidak ada nilai RTT atau byte di beberapa log

  • Pengukuran RTT mungkin tidak ada jika sampel yang diambil tidak cukup untuk menangkap RTT. Hal ini lebih mungkin terjadi untuk koneksi bervolume rendah.
  • Nilai RTT hanya tersedia untuk alur TCP.
  • Beberapa paket dikirim tanpa payload. Jika paket khusus header diambil sampelnya, nilai byte-nya akan menjadi 0.

Beberapa alur tidak ada

  • Paket masuk diambil sampelnya setelah aturan firewall VPC masuk. Pastikan tidak ada aturan firewall masuk yang menolak paket yang Anda harapkan untuk dicatat. Jika tidak yakin apakah aturan firewall VPC memblokir paket masuk atau tidak, Anda dapat mengaktifkan Logging Aturan Firewall dan memeriksa log.
  • Hanya protokol TCP, UDP, ICMP, ESP, dan GRE yang didukung. Log Alur VPC tidak mendukung protokol lainnya.
  • Log diambil sampelnya. Beberapa paket dalam alur volume sangat rendah mungkin terlewat.

Anotasi GKE tidak ada di beberapa log

Pastikan cluster GKE Anda merupakan versi yang didukung.

Log tidak ada untuk beberapa alur GKE

Pastikan Visibilitas intranode diaktifkan di cluster. Jika tidak, alur antar Pod pada node yang sama tidak dicatat dalam log.

Log alur tampaknya dinonaktifkan meskipun Anda mengaktifkannya

  • Saat Anda mengonfigurasi subnet khusus proxy untuk Load Balancer Aplikasi internal dan menggunakan kembali perintah gcloud compute networks subnets untuk mengaktifkan Log Alur VPC, perintah tersebut tampaknya berhasil, tetapi log alur tidak benar-benar diaktifkan. Flag --enable-flow-logs tidak berlaku jika Anda juga menyertakan flag --purpose=INTERNAL_HTTPS_LOAD_BALANCER.

    Saat menggunakan konsol Google Cloud atau API untuk mengaktifkan log alur, Anda akan melihat pesan error: "Invalid value for field 'resource.enableFlowLogs': 'true'. Kolom yang tidak valid ditetapkan dalam subnetwork dengan tujuan INTERNAL_HTTPS_LOAD_BALANCER."

    Karena subnet khusus proxy tidak memiliki VM, Log Alur VPC tidak didukung. Inilah perilaku yang dimaksudkan.

Langkah selanjutnya