VPC フローログには、VM インスタンスによって送受信されたネットワーク フローのサンプルが記録されます。これには GKE ノードとして使用されるインスタンスも含まれます。これらのログは、ネットワーク モニタリング、フォレンジック、リアルタイム セキュリティ分析、および費用の最適化に使用できます。
このページは、VPC フローログの概要で説明されているコンセプトを理解していることを前提としています。
VPC フローログの有効化
VPC フローログを有効にすると、サブネット内のすべての VM に対して有効にすることになります。ただし、ロギングに書き込まれる情報の量を削減できます。制御できるパラメータの詳細については、ログのサンプリングと集計をご覧ください。
サブネット作成時の VPC フローログの有効化
Console
- Google Cloud Console で [VPC ネットワーク] ページに移動します。
[VPC ネットワーク] ページに移動 - サブネットを追加するネットワークをクリックします。
- [サブネットを追加] をクリックします。
- [フローログ] で [オン] を選択します。
- ログのサンプリングと集計を調整する場合は、[ログを構成] をクリックして次のいずれかを調整します。
- 集計間隔
- 最終ログエントリにメタデータを含めるかどうか
デフォルトでは、[メタデータを含める] によって特定のフィールドのみが含まれるように処理されます。詳細については、メタデータ フィールドのカスタマイズをご覧ください。メタデータ フィールドをカスタマイズするには、gcloudコマンドライン インターフェースまたは API を使用する必要があります。 - サンプルレート
100%はすべてのエントリが保持されることを意味します。
- 必要に応じて他のフィールドに値を入力します。
- [追加] をクリックします。
gcloud
gcloud compute networks subnets create subnet-name \
--enable-flow-logs \
[--logging-aggregation-interval=aggregation-interval \
[--logging-flow-sampling=0.0...1.0] \
[--logging-filter-expr=expression] \
[--logging-metadata=(include-all | exclude-all | custom)] \
[--logging-metadata-fields=fields] \
[other flags as needed]
ここで
--logging-aggregation-interval=aggregation-interval は、そのサブネットのフローログの集計間隔を設定します。間隔は、5 秒(デフォルト)、30 秒、1 分、5 分、10 分、15 分のいずれかに設定できます。--logging-flow-samplingはフロー サンプリング レートです。フロー サンプリングは、0.0(サンプリングなし)から1.0(すべてのログ)まで設定できます。デフォルトは0.5です。--logging-filter-expr=expression は、ログ コレクションを式に一致するログのみに制限します。詳細については、ログのフィルタリングをご覧ください。--logging-metadata=(include-all | exclude-all | custom)は、レコードのメタデータ アノテーションをオンまたはオフにするか、customに設定します。customに設定した場合は、--logging-metadata-fieldsも指定します。デフォルト値はinclude-allです。 注:include-allにはすべてのフィールドが含まれているわけではありません。詳細については、メタデータ フィールドのカスタマイズをご覧ください。--logging-metadata-fieldsは、ログに含めるメタデータ フィールドのカンマ区切りリストです。(例:--logging-metadata-fields=src_instance,dst_instance)。--logging-metadata=customの場合にのみ設定できます。
API
新しいサブネットの作成時に VPC フローログを有効にします。
POST https://www.googleapis.com/compute/v1/projects/project-id/regions/region/subnetworks
{
"logConfig": {
"aggregationInterval": "aggregation-interval",
"flowSampling": sampling-rate,
"filterExpr": expression,
"metadata": metadata-setting,
"metadataFields": metadata-fields,
"enable": true
},
"ipCidrRange": "ip-range",
"network": "network-url",
"name": "subnet-name"
}
プレースホルダを有効な値に置き換えます。
- project-id は、サブネットが作成されるプロジェクトの ID です。
- region は、サブネットが作成されるリージョンです。
- aggregation-interval は、サブネットのフローログの集計間隔を設定します。間隔は次のいずれかに設定できます。
INTERVAL_5_SEC、INTERVAL_30_SEC、INTERVAL_1_MIN、INTERVAL_5_MIN、INTERVAL_10_MIN、INTERVAL_15_MIN。 - sampling-rate はフロー サンプリング レートです。フロー サンプリングは、
0.0(サンプリングなし)から1.0(すべてのログ)まで設定できます。デフォルトは.0.5です。 - expression は、実際に書き込まれるログをフィルタリングするために使用するフィルタ式です。詳細については、ログのフィルタリングをご覧ください。
- metadata-settingは、すべてのメタデータを記録する(
INCLUDE_ALL_METADATA)、メタデータを記録しない(EXCLUDE_ALL_METADATA)、または特定のメタデータのみを記録する(CUSTOM_METADATA)のいずれかを指定します。このフィールドがCUSTOM_METADATAに設定されている場合は、metadataFieldsフィールドにも入力します。すべてのフィールドがINCLUDE_ALL_METADATAに含まれているわけではありません。詳細については、メタデータ フィールドのカスタマイズをご覧ください。 - metadata-fields は、
metadata: CUSTOM_METADATAを設定した場合にキャプチャするメタデータ フィールドです。これは、src_instance, src_vpc.project_idなどのメタデータ フィールドのカンマ区切りリストです。 - ip-range は、サブネットのプライマリ内部 IP アドレスの範囲です。
- network-url は、サブネットが作成される VPC ネットワーク URL です。
- subnet-name はサブネットの名前です。
詳細については、subnetworks.insert メソッドをご覧ください。
既存のサブネットの VPC フローログの有効化
Console
- Google Cloud Console で [VPC ネットワーク] ページに移動します。
[VPC ネットワーク] ページに移動 - 更新するサブネットをクリックします。
- [編集] をクリックします。
- [フローログ] で [オン] を選択します。
- ログのサンプリングと集計を調整する場合は、[ログを構成] をクリックして次のいずれかを調整します。
- 集計間隔
- 最終ログエントリにメタデータを含めるかどうか
デフォルトでは、[メタデータを含める] によって特定のフィールドのみが含まれるように処理されます。詳細については、メタデータ フィールドのカスタマイズをご覧ください。メタデータ フィールドをカスタマイズするには、gcloudコマンドライン インターフェースまたは API を使用する必要があります。 - サンプルレート
100%はすべてのエントリが保持されることを意味します。
- [保存] をクリックします。
gcloud
gcloud compute networks subnets update subnet-name \
--enable-flow-logs \
[--logging-aggregation-interval=aggregation-interval] \
[--logging-flow-sampling=0.0...1.0] \
[--logging-filter-expr=expression] \
[--logging-metadata=(include-all | exclude-all | custom)] \
[--logging-metadata-fields=fields]
ここで
--logging-aggregation-interval=aggregation-interval は、そのサブネットのフローログの集計間隔を設定します。間隔は、5 秒(デフォルト)、30 秒、1 分、5 分、10 分、15 分のいずれかに設定できます。--logging-flow-samplingはフロー サンプリング レートです。フロー サンプリングは、0.0(サンプリングなし)から1.0(すべてのログ)まで設定できます。デフォルトは.0.5です。--logging-filter-expr=expression は、ログ コレクションを式に一致するログのみに制限します。詳細については、ログのフィルタリングをご覧ください。--logging-metadata=(include-all | exclude-all | custom)は、レコードのメタデータ アノテーションをオンまたはオフにするか、customに設定します。customに設定した場合は、--logging-metadata-fieldsも指定します。デフォルトはオンです。 注:include-allには GKE アノテーションは含まれません。GKE アノテーションを表示するには、[custom] を選択してアノテーションを指定します。--logging-metadata-fieldsは、ログに含めるメタデータ フィールドのカンマ区切りリストです。(例:--logging-metadata-fields=src_instance,dst_instance)。--logging-metadata=customの場合にのみ設定できます。
API
既存のサブネットの VPC フローログを有効にします。
PATCH https://www.googleapis.com/compute/v1/projects/project-id/regions/region/subnetworks/subnet-name
{
"logConfig": {
"enable": true
...other logging fields.
},
"fingerprint": "SUBNETWORK_FINGERPRINT"
}
プレースホルダを有効な値に置き換えます。
- project-id は、サブネットが配置されているプロジェクトの ID です。
- region は、サブネットが配置されているリージョンです。
- subnet-name は既存のサブネットの名前です。
- SUBNET_FINGERPRINT は、既存のサブネットのフィンガー プリント ID です。サブネットを記述するときに指定します。
- 他のロギング フィールドについては、サブネット作成時の VPC フローログの有効化を参照してください。
詳細については、subnetworks.patch メソッドをご覧ください。
既存のサブネットの推定ログボリュームの表示
Google Cloud Console では、既存のサブネットのログボリュームを推定することにより、フローログを有効にした場合の費用を見積もることができます。この推定値は、過去 7 日にわたり各サブネットで 5 秒間隔で取得されたフローに基づきます。また、各ログのサイズは、メタデータ アノテーションを有効にするかどうかによって異なります。
- Google Cloud Console で [VPC ネットワーク] ページに移動します。
[VPC ネットワーク] ページに移動 - 費用を推定するサブネットをクリックします。
- [編集] をクリックします。
- [フローログ] で [オン] を選択します。
- [ログを構成] をクリックします。
- [1 日あたりの生成ログの推定数] で、推定値を確認します。
- 変更が保存されないように [キャンセル] をクリックします。
VPC フローログが有効になっているサブネットの表示
ネットワーク内のどのサブネットで VPC フローログが有効になっているかを確認できます。
Console
- Google Cloud Console で [VPC ネットワーク] ページに移動します。
[VPC ネットワーク] ページに移動 - [フローログ] 列を表示して、ロギングがオンかオフかを確認します。
gcloud
gcloud compute networks subnets list \
--project project-id \
--filter="network=network-url" \
--format="csv(name,logConfig.enable)"
ここで
- project-id は、クエリ対象のプロジェクトの ID です。
- network-url は、サブネットを含むネットワークの完全修飾ドメイン名です。
VPC フローロギング パラメータの更新
ログ サンプリング パラメータを変更できます。制御できるパラメータの詳細については、ログのサンプリングと集計をご覧ください。
Console
- Google Cloud Console で [VPC ネットワーク] ページに移動します。
[VPC ネットワーク] ページに移動 - 更新するサブネットをクリックします。
- [編集] をクリックします。
- ログのサンプリングと集計を調整するには、[ログを構成] をクリックします。
- 集計間隔
- 最終ログエントリにメタデータを含めるかどうか
デフォルトでは、[メタデータを含める] によって特定のフィールドのみが含まれるように処理されます。詳細については、メタデータ フィールドのカスタマイズをご覧ください。メタデータ フィールドをカスタマイズするには、gcloudコマンドライン インターフェースまたは API を使用する必要があります。 - サンプルレート
100%はすべてのエントリが保持されることを意味します。
- [保存] をクリックします。
gcloud
gcloud compute networks subnets update subnet-name \
[--logging-aggregation-interval=aggregation-interval] \
[--logging-flow-sampling=0.0...1.0] \
[--logging-filter-expr=expression] \
[--logging-metadata=(include-all | exclude-all | custom)] \
[--logging-metadata-fields=fields]
ここで
--logging-aggregation-interval=aggregation-interval は、そのサブネットのフローログの集計間隔を設定します。間隔は、5 秒(デフォルト)、30 秒、1 分、5 分、10 分、15 分のいずれかに設定できます。--logging-flow-samplingはフロー サンプリング レートです。フロー サンプリングは、0.0(サンプリングなし)から1.0(すべてのログ)まで設定できます。デフォルトは.0.5です。--logging-filter-expr=expression は、ログ コレクションを式に一致するログのみに制限します。詳細については、ログのフィルタリングをご覧ください。--logging-metadata=(include-all | exclude-all | custom)は、レコードのメタデータ アノテーションをオンまたはオフにするか、customに設定します。customに設定した場合は、--logging-metadata-fieldsも指定します。デフォルトはオンです。 注:include-allには GKE アノテーションは含まれません。GKE アノテーションを表示するには、[custom] を選択してアノテーションを指定します。--logging-metadata-fieldsは、ログに含めるメタデータ フィールドのカンマ区切りリストです。(例:--logging-metadata-fields=src_instance,dst_instance)。--logging-metadata=customの場合にのみ設定できます。
API
ログ サンプリング フィールドを変更して、VPC フローログの動作を更新します。
PATCH https://www.googleapis.com/compute/v1/projects/project-id/regions/region/subnetworks/subnet-name
{
"logConfig": {
...fields to modify
},
"fingerprint": "SUBNETWORK_FINGERPRINT"
}
プレースホルダを有効な値に置き換えます。
- project-id は、サブネットが配置されているプロジェクトの ID です。
- region は、サブネットが配置されているリージョンです。
- subnet-name は既存のサブネットの名前です。
- SUBNET_FINGERPRINT は、既存のサブネットのフィンガー プリント ID です。サブネットを記述するときに指定します。
- 変更可能なフィールドについては、サブネット作成時の VPC フローログの有効化を参照してください。
詳細については、subnetworks.patch メソッドをご覧ください。
サブネットの VPC フローログの無効化
Console
- Google Cloud Console で [VPC ネットワーク] ページに移動します。
[VPC ネットワーク] ページに移動 - 更新するサブネットをクリックします。
- [編集] をクリックします。
- [フローログ] で [オフ] を選択します。
- [保存] をクリックします。
gcloud
gcloud compute networks subnets update subnet-name \
--no-enable-flow-logs
API
ログレコードの収集を停止するには、サブネットの VPC フローログを無効にします。
PATCH https://www.googleapis.com/compute/v1/projects/project-id/regions/region/subnetworks/subnet-name
{
"logConfig": {
"enable": false
},
"fingerprint": "SUBNETWORK_FINGERPRINT"
}
プレースホルダを有効な値に置き換えます。
- project-id は、サブネットが配置されているプロジェクトの ID です。
- region は、サブネットが配置されているリージョンです。
- subnet-name は既存のサブネットの名前です。
- SUBNET_FINGERPRINT は、既存のサブネットのフィンガー プリント ID です。サブネットを記述するときに指定します。
詳細については、subnetworks.patch メソッドをご覧ください。
Logging を使用するログへのアクセス
IAM の構成
Logging のアクセス制御ガイドの手順に従って操作します。
[ログビューア] ページからログを表示します。
これらのコマンドには、プロジェクトのプロジェクト ID が必要です。
すべてのフローログへのアクセス
- Google Cloud Console の [ログ] ページに移動します。
[ログ] ページに移動 - 最初のプルダウン メニューで [GCE サブネットワーク] を選択します。
- 2 番目のプルダウン メニューで [vpc_flows] を選択します。
- [OK] をクリックします。
別の方法:
- Google Cloud Console の [ログ] ページに移動します。
[ログ] ページに移動 - [ラベルまたはテキスト検索でフィルタ] フィールドの右側にある下矢印をクリックし、[高度なフィルタに変換] を選択します。
- フィールドに以下を貼り付けます。project-id は、プロジェクト ID で置き換えてください。
resource.type="gce_subnetwork" logName="projects/project-id/logs/compute.googleapis.com%2Fvpc_flows"
- [フィルタを送信] をクリックします。
特定のサブネットのログへのアクセス
- Google Cloud Console の [ログ] ページに移動します。
[ログ] ページに移動 - 最初のプルダウン メニューでカーソルを [GCE サブネットワーク] に移します。カーソルをさらに右側に進めてそれぞれのサブネット選択メニューを開きます。
- 2 番目のプルダウン メニューで、[vpc_flows] を選択します。
- [OK] をクリックします。
別の方法:
- Google Cloud Console の [ログ] ページに移動します。
[ログ] ページに移動 - [ラベルまたはテキスト検索でフィルタ] フィールドの右側にある下矢印をクリックし、[高度なフィルタに変換] を選択します。
- フィールドに以下を貼り付けます。project-id をプロジェクト ID に、subnet-name をサブネットワークに置き換えます。
resource.type="gce_subnetwork" logName="projects/project-id/logs/compute.googleapis.com%2Fvpc_flows" resource.labels.subnetwork_name="subnet-name"
- [フィルタを送信] をクリックします。
特定の VM のログに対するアクセス
- Google Cloud Console の [ログ] ページに移動します。
[ログ] ページに移動 - [ラベルまたはテキスト検索でフィルタ] フィールドの右側にある下矢印をクリックし、[高度なフィルタに変換] を選択します。
- フィールドに以下を貼り付けます。project-id をプロジェクト ID に、VM_NAME を VM に置き換えます。
resource.type="gce_subnetwork" logName="projects/project-id/logs/compute.googleapis.com%2Fvpc_flows" jsonPayload.src_instance.vm_name="VM_NAME"
- [フィルタを送信] をクリックします。
特定のサブネット範囲へのトラフィックのログに対するアクセス
- Google Cloud Console の [ログ] ページに移動します。
[ログ] ページに移動 - [ラベルまたはテキスト検索でフィルタ] フィールドの右側にある下矢印をクリックし、[高度なフィルタに変換] を選択します。
- フィールドに以下を貼り付けます。project-id をプロジェクト ID に、subnet-range を CIDR 範囲(
192.168.1.0/24)に置き換えます。resource.type="gce_subnetwork" logName="projects/project-id/logs/compute.googleapis.com%2Fvpc_flows" ip_in_net(jsonPayload.connection.dest_ip, subnet-range)
- [フィルタを送信] をクリックします。
特定の GKE クラスタのログに対するアクセス
- Google Cloud Console の [ログ] ページに移動します。
[ログ] ページに移動 - [ラベルまたはテキスト検索でフィルタ] フィールドの右側にある下矢印をクリックし、[高度なフィルタに変換] を選択します。
- フィールドに以下を貼り付けます。project-id をプロジェクト ID に、subnet-name をサブネットワークに置き換えます。
resource.type="gce_subnetwork" logName="projects/{#project_id}/logs/vpc_flows" jsonPayload.src_gke_details.cluster.cluster_name="{#cluster_name}" OR jsonPayload.dest_gke_details.cluster.cluster_name="{#cluster_name}" - [フィルタを送信] をクリックします。
特定のポートとプロトコルのログへのアクセス
個別の宛先ポートの場合
- Google Cloud Console の [ログ] ページに移動します。
[ログ] ページに移動 - [ラベルまたはテキスト検索でフィルタ] フィールドの右側にある下矢印をクリックし、[高度なフィルタに変換] を選択します。
- フィールドに以下を貼り付けます。project-id をプロジェクト ID に、PORT を宛先ポートに、PROTOCOL をプロトコルに置き換えます。
resource.type="gce_subnetwork" logName="projects/project-id/logs/compute.googleapis.com%2Fvpc_flows" jsonPayload.connection.dest_port=PORT jsonPayload.connection.protocol=PROTOCOL
- [フィルタを送信] をクリックします。
複数の宛先ポートの場合
- Google Cloud Console の [ログ] ページに移動します。
[ログ] ページに移動 - [ラベルまたはテキスト検索でフィルタ] フィールドの右側にある下矢印をクリックし、[高度なフィルタに変換] を選択します。
- フィールドに以下を貼り付けます。project-id をプロジェクト ID に、PORT1 と PORT2 を宛先ポートに、PROTOCOL をプロトコルに置き換えます。
resource.type="gce_subnetwork" logName="projects/project-id/logs/compute.googleapis.com%2Fvpc_flows" jsonPayload.connection.dest_port=(PORT1 OR PORT2) jsonPayload.connection.protocol=PROTOCOL
- [フィルタを送信] をクリックします。
BigQuery、Pub/Sub、およびカスタム ターゲットへのログのエクスポート
Logging のフローログは、Logging のドキュメントの説明に沿って任意の宛先にエクスポートできます。フィルタの例については、前のセクションをご覧ください。
トラブルシューティング
Logging で gce_subnetwork リソースの下に vpc_flows が表示されない
- 特定のサブネットに対してロギングが有効になっていることを確認します。
- VPC フローがサポートされるのは VPC ネットワークのみです。レガシー ネットワークを使用している場合、ログは表示されません。
- 共有 VPC ネットワークでは、ログはホスト プロジェクトでのみ表示され、サービス プロジェクトでは表示されません。ホスト プロジェクトのログを調べていることを確認してください。
- Logging の除外フィルタは、指定されたログをブロックします。VPC フローログを破棄する除外ルールが存在しないことを確認してください。
- [リソースの使用量] に移動します。
- [除外] タブをクリックします。
- VPC フローログを破棄する除外ルールが存在しないことを確認します。
一部のログで RTT 値またはバイト値が存在しない
- RTT をキャプチャするのに十分なパケットがサンプリングされなかった場合、RTT の測定値が存在しないことがあります。この現象は、接続が少量である場合に発生する可能性が高くなります。
- UDP フローでは RTT 値は提供されません。
- 一部のパケットはペイロードなしで送信されます。ヘッダーのみのパケットがサンプリングされた場合、バイト値は 0 になります。
一部のフローが見つからない
- サポートされているのは UDP プロトコルと TCP プロトコルのみです。VPC フローログは他のプロトコルをサポートしていません。
- ログがサンプリングされます。非常に少量のフローでは、一部のパケットが失われる場合があります。
一部のログで GKE アノテーションが見つからない
GKE アノテーションの詳細については、GKE アノテーションをご覧ください。
- クラスタで Google Kubernetes Engine Monitoring が有効になっていることを確認します。GKE Monitoring が有効になっていない場合は、一部のアノテーションが表示されないことがあります。クラスタで GKE Monitoring が有効になっているかどうかを確認するには、手順に従ってください。
- クラスタで GKE Monitoring が有効になっていても、依然として表示されない GKE アノテーションが存在する場合は、Cloud Console でプロジェクトの Monitoring API ダッシュボードにアクセスすることで、Monitoring にメタデータの更新情報を送信するエージェントが更新情報を正常に送信しているかどうかを確認できます。場合によっては、API の割り当てを超えたためにエラーが発生する可能性があります。API の [割り当て] ダッシュボードに移動し、割り当て超過エラーがないかどうかを確認してください。割り当て超過エラーがある場合は、割り当ての管理の手順に従って割り当ての増加をリクエストしてください。
一部の GKE フローのログが見つからない
クラスタでノード内の可視化が有効になっていることを確認してください。有効になっていない場合、同じノード上の Pod 間のフローはログに記録されません。
フローログを有効にした場合でも無効として表示される
内部 HTTP(S) ロードバランサのプロキシ専用サブネットを構成し、
gcloud compute networks subnetsコマンドを使用して VPC フローログを有効にした場合、コマンドは成功したように見えますが、フローログは実際には有効になりません。--purpose=INTERNAL_HTTPS_LOAD_BALANCERフラグも指定した場合、--enable-flow-logsフラグは有効になりません。Cloud Console または API を使用してフローログを有効にすると、「Invalid value for field 'resource.enableFlowLogs': 'true'.Invalid field set in subnetwork with purpose INTERNAL_HTTPS_LOAD_BALANCER.」というエラー メッセージが表示されます。
プロキシ専用サブネットには VM がないため、VPC フローログはサポートされません。これは想定どおりの挙動です。
料金
Logging、BigQuery、または Pub/Sub の標準料金が適用されます。VPC フローログの料金については、ネットワーク テレメトリーの料金をご覧ください。
次のステップ
- Logging のドキュメントを参照する
- Logging でのエクスポートのドキュメントを参照する