VPC フローログを使用する
VPC フローログには、VM インスタンスによって送受信されたネットワーク フローのサンプルが記録されます。これには GKE ノードとして使用されるインスタンスも含まれます。これらのログは、ネットワーク モニタリング、フォレンジック、リアルタイム セキュリティ分析、および費用の最適化に使用できます。
このページは、VPC フローログで説明されているコンセプトを理解していることを前提としています。
VPC フローログを有効にする
VPC フローログを有効にすると、サブネット内のすべての VM に対して Logging を有効にすることになります。ただし、Logging に書き込まれる情報の量は削減されます。制御できるパラメータの詳細については、ログのサンプリングと集計をご覧ください。
メタデータ フィールドをカスタマイズする、またはログのフィルタリングを構成するには、gcloud CLI または API を使用します。
サブネットの作成時に VPC フローログを有効にする
コンソール
Google Cloud コンソールの [VPC ネットワーク] ページに移動します。
サブネットを追加するネットワークをクリックします。
[サブネットを追加] をクリックします。
[フローログ] で [オン] を選択します。
ログのサンプリングと集計を調整する場合は、[ログを構成] をクリックして次のいずれかを調整します。
- 集約の間隔。
- 最終ログエントリにメタデータを含めるかどうか。デフォルトでは、[メタデータを含める] にはすべてのフィールドが含まれます。
- サンプルレート。
100%
はすべてのエントリが保持されることを意味します。
必要に応じて他のフィールドに値を入力します。
[追加] をクリックします。
gcloud
-
Google Cloud コンソールで、「Cloud Shell をアクティブにする」をクリックします。
Google Cloud コンソールの下部で Cloud Shell セッションが開始し、コマンドライン プロンプトが表示されます。Cloud Shell はシェル環境です。Google Cloud CLI がすでにインストールされており、現在のプロジェクトの値もすでに設定されています。セッションが初期化されるまで数秒かかることがあります。
次のコマンドを実行します。
gcloud compute networks subnets create SUBNET_NAME \ --enable-flow-logs \ [--logging-aggregation-interval=AGGREGATION_INTERVAL] \ [--logging-flow-sampling=SAMPLE_RATE] \ [--logging-filter-expr=FILTER_EXPRESSION] \ [--logging-metadata=LOGGING_METADATA] \ [--logging-metadata-fields=METADATA_FIELDS] \ [other flags as needed]
次のように置き換えます。
AGGREGATION_INTERVAL
: サブネットのフローログの集計間隔を設定します。間隔は、5 秒(デフォルト)、30 秒、1 分、5 分、10 分、15 分のいずれかに設定できます。SAMPLE_RATE
: フロー サンプリング レート。フロー サンプリングは、0.0
(サンプリングなし)から1.0
(すべてのログ)の範囲で設定できます。デフォルトは0.5
です。FILTER_EXPRESSION
: 保持するログを定義する式です。式は 2,048 文字以内に制限されています。詳細については、ログのフィルタリングをご覧ください。LOGGING_METADATA
: ログに含めるメタデータ アノテーションinclude-all
: すべてのメタデータ アノテーションを含める場合exclude-all
: すべてのメタデータ アノテーションを除外する場合(デフォルト)custom
:METADATA_FIELDS
で指定するメタデータ フィールドのカスタムリストを含める場合
METADATA_FIELDS
: ログに含めるメタデータ フィールドのカンマ区切りのリスト。例:src_instance,dst_instance
LOGGING_METADATA
がcustom
に設定されている場合のみ設定できます。
API
新しいサブネットの作成時に VPC フローログを有効にします。
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks { "logConfig": { "aggregationInterval": "AGGREGATION_INTERVAL", "flowSampling": SAMPLING_RATE, "filterExpr": EXPRESSION, "metadata": METADATA_SETTING, "metadataFields": METADATA_FIELDS, "enable": true }, "ipCidrRange": "IP_RANGE", "network": "NETWORK_URL", "name": "SUBNET_NAME" }
プレースホルダを有効な値に置き換えます。
PROJECT_ID
は、サブネットが作成されるプロジェクトの ID です。REGION
は、サブネットが作成されるリージョンです。AGGREGATION_INTERVAL
は、サブネット内のフローログの集計間隔を設定します。間隔は次のいずれかに設定できます。INTERVAL_5_SEC
、INTERVAL_30_SEC
、INTERVAL_1_MIN
、INTERVAL_5_MIN
、INTERVAL_10_MIN
、INTERVAL_15_MIN
。SAMPLING_RATE
はフロー サンプリング レートです。フロー サンプリングは、0.0
(サンプリングなし)から1.0
(すべてのログ)まで設定できます。デフォルトは.0.5
です。EXPRESSION
は、実際に書き込まれるログをフィルタリングするために使用するフィルタ式です。式は 2,048 文字以内に制限されています。詳細については、ログのフィルタリングをご覧ください。METADATA_SETTING
により、すべてのメタデータがログに記録されるか(INCLUDE_ALL_METADATA
)、メタデータが記録されない(EXCLUDE_ALL_METADATA
)か、特定のメタデータのみがログに記録されるか(CUSTOM_METADATA
)を指定します。このフィールドがCUSTOM_METADATA
に設定されている場合は、metadataFields
フィールドも設定します。デフォルトはEXCLUDE_ALL_METADATA
です。詳細については、メタデータのアノテーションをご覧ください。METADATA_FIELDS
は、metadata: CUSTOM_METADATA
を設定した場合に取得するメタデータ フィールドです。これは、src_instance, src_vpc.project_id
などのメタデータ フィールドのカンマ区切りのリストです。IP_RANGE
は、サブネットのプライマリ内部 IP アドレスの範囲です。NETWORK_URL
は、サブネットが作成される VPC ネットワーク URL です。SUBNET_NAME
はサブネットの名前です。
詳細については、subnetworks.insert
メソッドをご覧ください。
Terraform
Terraform モジュールを使用して、カスタムモードの VPC ネットワークとサブネットを作成できます。
次の例では、3 つのサブネットを作成します。
subnet-01
では VPC フローログが無効になっています。サブネットを作成すると、明示的に有効にしない限り、VPC フローログは無効になります。subnet-02
では、デフォルトのフローログ設定で VPC フローログが有効になっています。subnet-03
では、一部のカスタム設定で VPC フローログが有効になっています。
Terraform 構成を適用または削除する方法については、基本的な Terraform コマンドをご覧ください。
既存のサブネットの VPC フローログを有効にする
コンソール
Google Cloud コンソールの [VPC ネットワーク] ページに移動します。
更新するサブネットをクリックします。
[編集] をクリックします。
[フローログ] で [オン] を選択します。
ログのサンプリングと集計を調整する場合は、[ログを構成] をクリックして次のいずれかを調整します。
- 集約の間隔。
- 最終ログエントリにメタデータを含めるかどうか。デフォルトでは、[メタデータを含める] にはすべてのフィールドが含まれます。
- サンプルレート。
100%
はすべてのエントリが保持されることを意味します。
[保存] をクリックします。
gcloud
-
Google Cloud コンソールで、「Cloud Shell をアクティブにする」をクリックします。
Google Cloud コンソールの下部で Cloud Shell セッションが開始し、コマンドライン プロンプトが表示されます。Cloud Shell はシェル環境です。Google Cloud CLI がすでにインストールされており、現在のプロジェクトの値もすでに設定されています。セッションが初期化されるまで数秒かかることがあります。
次のコマンドを実行します。
gcloud compute networks subnets update SUBNET_NAME \ --enable-flow-logs \ [--logging-aggregation-interval=AGGREGATION_INTERVAL] \ [--logging-flow-sampling=SAMPLE_RATE] \ [--logging-filter-expr=FILTER_EXPRESSION] \ [--logging-metadata=LOGGING_METADATA] \ [--logging-metadata-fields=METADATA_FIELDS] \ [other flags as needed]
次のように置き換えます。
AGGREGATION_INTERVAL
: サブネットのフローログの集計間隔を設定します。間隔は、5 秒(デフォルト)、30 秒、1 分、5 分、10 分、15 分のいずれかに設定できます。SAMPLE_RATE
: フロー サンプリング レート。フロー サンプリングは、0.0
(サンプリングなし)から1.0
(すべてのログ)の範囲で設定できます。デフォルトは0.5
です。FILTER_EXPRESSION
は、保持するログを定義する式です。式は 2,048 文字以内に制限されています。詳細については、ログのフィルタリングをご覧ください。LOGGING_METADATA
: ログに含めるメタデータ アノテーションinclude-all
: すべてのメタデータ アノテーションを含める場合exclude-all
: すべてのメタデータ アノテーションを除外する場合(デフォルト)custom
:METADATA_FIELDS
で指定するメタデータ フィールドのカスタムリストを含める場合
METADATA_FIELDS
: ログに含めるメタデータ フィールドのカンマ区切りのリスト。例:src_instance,dst_instance
LOGGING_METADATA
がcustom
に設定されている場合のみ設定できます。
API
既存のサブネットの VPC フローログを有効にします。
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME { "logConfig": { "enable": true ...other logging fields. }, "fingerprint": "SUBNETWORK_FINGERPRINT" }
プレースホルダを有効な値に置き換えます。
PROJECT_ID
は、サブネットが配置されているプロジェクトの ID です。REGION
は、サブネットが存在するリージョンです。SUBNET_NAME
は既存のサブネットの名前です。SUBNET_FINGERPRINT
は、既存のサブネットのフィンガー プリント ID です。サブネットを記述するときに指定します。- 他のロギング フィールドについては、サブネット作成時の VPC フローログの有効化を参照してください。
詳細については、subnetworks.patch
メソッドをご覧ください。
既存のサブネットの推定ログボリュームを表示する
Google Cloud コンソールでは、既存のサブネットのログボリュームを推定することにより、フローログを有効にする費用を見積もることができます。この推定値は、過去 7 日にわたり各サブネットで 5 秒間隔で取得されたフローに基づきます。また、各ログのサイズは、メタデータ アノテーションを有効にするかどうかによって異なります。
コンソール
Google Cloud コンソールの [VPC ネットワーク] ページに移動します。
費用を推定するサブネットをクリックします。
[編集] をクリックします。
[フローログ] で [オン] を選択します。
[ログを構成] をクリックします。
[1 日あたりの生成ログの推定数] で、推定値を確認します。
変更が保存されないように [キャンセル] をクリックします。
VPC フローログが有効になっているサブネットを表示する
VPC フローログが有効になっているネットワーク内のサブネットを確認できます。
コンソール
Google Cloud コンソールの [VPC ネットワーク] ページに移動します。
[フローログ] 列を表示して、Logging がオンかオフかを確認します。
gcloud
-
Google Cloud コンソールで、「Cloud Shell をアクティブにする」をクリックします。
Google Cloud コンソールの下部で Cloud Shell セッションが開始し、コマンドライン プロンプトが表示されます。Cloud Shell はシェル環境です。Google Cloud CLI がすでにインストールされており、現在のプロジェクトの値もすでに設定されています。セッションが初期化されるまで数秒かかることがあります。
次のコマンドを実行します。
gcloud compute networks subnets list \ --project PROJECT_ID \ --network="NETWORK" \ --format="csv(name,region,logConfig.enable)"
次のように置き換えます。
PROJECT_ID
: クエリするプロジェクトの ID。NETWORK
: サブネットを含むネットワークの名前。
VPC フローログ パラメータを更新する
ログ サンプリング パラメータを変更できます。制御できるパラメータの詳細については、ログのサンプリングと集計をご覧ください。
メタデータ フィールドをカスタマイズする、またはログのフィルタリングを構成するには、gcloud CLI または API を使用します。
コンソール
Google Cloud コンソールの [VPC ネットワーク] ページに移動します。
更新するサブネットをクリックします。
[編集] をクリックします。
ログのサンプリングと集計を調整する場合は、[ログを構成] をクリックして次のいずれかを調整します。
- 集約の間隔。
- 最終ログエントリにメタデータを含めるかどうか。デフォルトでは、[メタデータを含める] にはすべてのフィールドが含まれます。
- サンプルレート。
100%
はすべてのエントリが保持されることを意味します。
[保存] をクリックします。
gcloud
-
Google Cloud コンソールで、「Cloud Shell をアクティブにする」をクリックします。
Google Cloud コンソールの下部で Cloud Shell セッションが開始し、コマンドライン プロンプトが表示されます。Cloud Shell はシェル環境です。Google Cloud CLI がすでにインストールされており、現在のプロジェクトの値もすでに設定されています。セッションが初期化されるまで数秒かかることがあります。
次のコマンドを実行します。
gcloud compute networks subnets update SUBNET_NAME \ [--logging-aggregation-interval=AGGREGATION_INTERVAL] \ [--logging-flow-sampling=SAMPLE_RATE] \ [--logging-filter-expr=FILTER_EXPRESSION] \ [--logging-metadata=LOGGING_METADATA] \ [--logging-metadata-fields=METADATA_FIELDS] \
次のように置き換えます。
AGGREGATION_INTERVAL
: サブネットのフローログの集計間隔を設定します。間隔は、5 秒(デフォルト)、30 秒、1 分、5 分、10 分、15 分のいずれかに設定できます。SAMPLE_RATE
: フロー サンプリング レート。フロー サンプリングは、0.0
(サンプリングなし)から1.0
(すべてのログ)の範囲で設定できます。デフォルトは0.5
です。FILTER_EXPRESSION
は、保持するログを定義する式です。式は 2,048 文字以内に制限されています。詳細については、ログのフィルタリングをご覧ください。LOGGING_METADATA
: ログに含めるメタデータ アノテーションinclude-all
: すべてのメタデータ アノテーションを含める場合exclude-all
: すべてのメタデータ アノテーションを除外する場合(デフォルト)custom
:METADATA_FIELDS
で指定するメタデータ フィールドのカスタムリストを含める場合
METADATA_FIELDS
: ログに含めるメタデータ フィールドのカンマ区切りのリスト。例:src_instance,dst_instance
LOGGING_METADATA
がcustom
に設定されている場合のみ設定できます。
API
ログ サンプリング フィールドを変更して、VPC フローログの動作を更新します。
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME { "logConfig": { ...fields to modify }, "fingerprint": "SUBNETWORK_FINGERPRINT" }
プレースホルダを有効な値に置き換えます。
PROJECT_ID
は、サブネットが配置されているプロジェクトの ID です。REGION
は、サブネットが存在するリージョンです。SUBNET_NAME
は既存のサブネットの名前です。SUBNET_FINGERPRINT
は、既存のサブネットのフィンガー プリント ID です。サブネットを記述するときに指定します。- 変更可能なフィールドについては、サブネット作成時の VPC フローログの有効化を参照してください。
詳細については、subnetworks.patch
メソッドをご覧ください。
サブネットの VPC フローログを無効にする
コンソール
Google Cloud コンソールの [VPC ネットワーク] ページに移動します。
更新するサブネットをクリックします。
[編集] をクリックします。
[フローログ] で [オフ] を選択します。
[保存] をクリックします。
gcloud
-
Google Cloud コンソールで、「Cloud Shell をアクティブにする」をクリックします。
Google Cloud コンソールの下部で Cloud Shell セッションが開始し、コマンドライン プロンプトが表示されます。Cloud Shell はシェル環境です。Google Cloud CLI がすでにインストールされており、現在のプロジェクトの値もすでに設定されています。セッションが初期化されるまで数秒かかることがあります。
次のコマンドを実行します。
gcloud compute networks subnets update SUBNET_NAME \ --no-enable-flow-logs
API
ログレコードの収集を停止するには、サブネットの VPC フローログを無効にします。
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME { "logConfig": { "enable": false }, "fingerprint": "SUBNETWORK_FINGERPRINT" }
プレースホルダを有効な値に置き換えます。
PROJECT_ID
は、サブネットが配置されているプロジェクトの ID です。REGION
は、サブネットが存在するリージョンです。SUBNET_NAME
は既存のサブネットの名前です。SUBNET_FINGERPRINT
は、既存のサブネットのフィンガー プリント ID です。サブネットを記述するときに指定します。
詳細については、subnetworks.patch
メソッドをご覧ください。
Logging を使用してログにアクセスする
VPC フローログを表示するには、ログ エクスプローラを使用します。次のクエリを使用するには、プロジェクトのプロジェクト ID が必要です。
IAM を構成する
ロギングのアクセス制御を構成するには、Logging のアクセス制御ガイドをご覧ください。
すべてのフローログにアクセスする
コンソール
Google Cloud コンソールで、[ログ エクスプローラ] ページに移動します。
[リソース] をクリックします。
[リソースの選択] リストで [サブネットワーク] をクリックし、[適用] をクリックします。
[ログ名] をクリックします。
[ログ名の選択] リストで [vpc_flows] をクリックし、[適用] をクリックします。
または
コンソール
Google Cloud コンソールで、[ログ エクスプローラ] ページに移動します。
[クエリ] ペインにクエリ エディタ フィールドが表示されない場合は、[クエリを表示] をクリックします。
クエリエディタのフィールドに次の内容を貼り付けます。
PROJECT_ID
は実際のプロジェクト ID で置き換えます。resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
[クエリを実行] をクリックします。
特定のサブネットのログにアクセスする
コンソール
Google Cloud コンソールで、[ログ エクスプローラ] ページに移動します。
[リソース] をクリックします。
[リソースの選択] リストで、[サブネットワーク] をクリックします。
[サブネットワーク ID] リストでサブネットを選択し、[適用] をクリックします。
[ログ名の選択] リストで [vpc_flows] をクリックし、[適用] をクリックします。
または
コンソール
Google Cloud コンソールで、[ログ エクスプローラ] ページに移動します。
[クエリ] ペインにクエリ エディタ フィールドが表示されない場合は、[クエリを表示] をクリックします。
クエリエディタのフィールドに次の内容を貼り付けます。
PROJECT_ID
をプロジェクト ID に、SUBNET_NAME
をサブネットワークに置き換えます。resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" resource.labels.subnetwork_name="SUBNET_NAME"
[クエリを実行] をクリックします。
特定の VM のログにアクセスする
コンソール
Google Cloud コンソールで、[ログ エクスプローラ] ページに移動します。
[クエリ] ペインにクエリ エディタ フィールドが表示されない場合は、[クエリを表示] をクリックします。
クエリエディタのフィールドに次の内容を貼り付けます。
PROJECT_ID
をプロジェクト ID に、VM_NAME
を VM の名前に置き換えます。resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" jsonPayload.src_instance.vm_name="VM_NAME"
[クエリを実行] をクリックします。
特定のサブネット範囲へのトラフィックのログにアクセスする
コンソール
Google Cloud コンソールで、[ログ エクスプローラ] ページに移動します。
[クエリ] ペインにクエリ エディタ フィールドが表示されない場合は、[クエリを表示] をクリックします。
クエリエディタのフィールドに次の内容を貼り付けます。
PROJECT_ID
をプロジェクト ID に、SUBNET_RANGE
を192.168.1.0/24
などの CIDR 範囲に置き換えます。resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" ip_in_net(jsonPayload.connection.dest_ip, SUBNET_RANGE)
[クエリを実行] をクリックします。
特定の GKE クラスタのログにアクセスする
コンソール
Google Cloud コンソールで、[ログ エクスプローラ] ページに移動します。
[クエリ] ペインにクエリ エディタ フィールドが表示されない場合は、[クエリを表示] をクリックします。
クエリエディタのフィールドに次の内容を貼り付けます。
PROJECT_ID
をプロジェクト ID に、SUBNET_NAME
をサブネットの名前に置き換えます。resource.type="k8s_cluster" logName="projects/PROJECT_ID/logs/vpc_flows" resource.labels.cluster_name="CLUSTER_NAME"
[クエリを実行] をクリックします。
サブネットからの下り(外向き)トラフィックのみのログにアクセスする
コンソール
Google Cloud コンソールで、[ログ エクスプローラ] ページに移動します。
[クエリ] ペインにクエリ エディタ フィールドが表示されない場合は、[クエリを表示] をクリックします。
クエリエディタのフィールドに次の内容を貼り付けます。
PROJECT_ID
をプロジェクトの ID に、SUBNET_NAME
を下り(外向き)トラフィックを表示するサブネットの名前に置き換えます。logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" AND jsonPayload.reporter="SRC" AND jsonPayload.src_vpc.subnetwork_name="SUBNET_NAME" AND (jsonPayload.dest_vpc.subnetwork_name!="SUBNET_NAME" OR NOT jsonPayload.dest_vpc.subnetwork_name:*)
[クエリを実行] をクリックします。
VPC ネットワークからのすべての下り(外向き)トラフィックのログにアクセスする
コンソール
Google Cloud コンソールで、[ログ エクスプローラ] ページに移動します。
[クエリ] ペインにクエリ エディタ フィールドが表示されない場合は、[クエリを表示] をクリックします。
クエリエディタのフィールドに次の内容を貼り付けます。
PROJECT_ID
をプロジェクトの ID に、VPC_NAME
を VPC ネットワークの名前に置き換えます。logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" AND jsonPayload.reporter="SRC" AND jsonPayload.src_vpc.vpc_name="VPC_NAME" AND (jsonPayload.dest_vpc.vpc_name!="VPC_NAME" OR NOT jsonPayload.dest_vpc:*)
[クエリを実行] をクリックします。
特定のポートとプロトコルのログにアクセスする
個別の宛先ポートの場合
コンソール
Google Cloud コンソールで、[ログ エクスプローラ] ページに移動します。
[クエリ] ペインにクエリ エディタ フィールドが表示されない場合は、[クエリを表示] をクリックします。
クエリエディタのフィールドに次の内容を貼り付けます。
PROJECT_ID
をプロジェクト ID に、PORT
を宛先ポートに、PROTOCOL
をプロトコルに置き換えます。resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" jsonPayload.connection.dest_port=PORT jsonPayload.connection.protocol=PROTOCOL
[クエリを実行] をクリックします。
複数の宛先ポートの場合
コンソール
Google Cloud コンソールで、[ログ エクスプローラ] ページに移動します。
[クエリ] ペインにクエリ エディタ フィールドが表示されない場合は、[クエリを表示] をクリックします。
クエリエディタのフィールドに次の内容を貼り付けます。
PROJECT_ID
をプロジェクト ID に、PORT1
とPORT2
を宛先ポートに、PROTOCOL
をプロトコルに置き換えます。resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" jsonPayload.connection.dest_port=(PORT1 OR PORT2) jsonPayload.connection.protocol=PROTOCOL
[クエリを実行] をクリックします。
BigQuery、Pub/Sub、カスタム ターゲットにログを転送する
Logging のドキュメントのルーティングとストレージの概要の説明に従って、Logging から任意の宛先にフローログを転送できます。フィルタの例については、前のセクションをご覧ください。
トラブルシューティング
Logging で gce_subnetwork
リソースの下に vpc_flows
が表示されない
- 指定したサブネットで Logging が有効になっていることを確認します。
- VPC フローがサポートされるのは VPC ネットワークのみです。レガシー ネットワークを使用している場合、ログは表示されません。
- 共有 VPC ネットワークでは、ログはホスト プロジェクトでのみ表示され、サービス プロジェクトでは表示されません。ホスト プロジェクトのログを調べていることを確認してください。
- Logging の除外フィルタは、指定されたログをブロックします。VPC フローログを破棄する除外ルールが存在しないことを確認してください。
- [リソースの使用量] に移動します。
- [除外] タブをクリックします。
- VPC フローログを破棄する除外ルールが存在しないことを確認します。
一部のログで RTT 値またはバイト値が存在しない
- RTT をキャプチャするのに十分なパケットがサンプリングされなかった場合、RTT の測定値が存在しないことがあります。この現象は、接続が少量である場合に発生する可能性が高くなります。
- RTT 値は TCP フローでのみ使用できます。
- 一部のパケットはペイロードなしで送信されます。ヘッダーのみのパケットがサンプリングされた場合、バイト値は 0 になります。
一部のフローが見つからない
- 上り(内向き)パケットは、上り(内向き)の VPC ファイアウォール ルールの後にサンプリングされます。ログに記録されると想定したパケットが、いずれかの上り(内向き)ファイアウォール ルールによって拒否されていないかどうか確認してください。VPC ファイアウォール ルールが上り(内向き)パケットをブロックしているかどうか不明な場合は、ファイアウォール ルールのロギングを有効にしてログを調べてください。
- サポートされているのは TCP、UDP、ICMP、ESP、GRE プロトコルのみです。VPC フローログは他のプロトコルをサポートしていません。
- ログはサンプリングされます。非常に少量のフローでは、一部のパケットが失われる場合があります。
一部のログで GKE アノテーションが見つからない
GKE クラスタがサポート対象バージョンであることを確認してください。
一部の GKE フローのログが見つからない
クラスタでノード内の可視化が有効になっていることを確認してください。有効になっていない場合、同じノード上の Pod 間のフローはログに記録されません。
フローログを有効にした場合でも無効として表示される
内部アプリケーション ロードバランサのプロキシ専用サブネットを構成し、
gcloud compute networks subnets
コマンドを使用して VPC フローログを有効にした場合、コマンドは成功したように見えますが、フローログは実際には有効になりません。--purpose=INTERNAL_HTTPS_LOAD_BALANCER
フラグも指定した場合、--enable-flow-logs
フラグは有効になりません。Google Cloud コンソールまたは API を使用してフローログを有効にすると、「Invalid value for field 'resource.enableFlowLogs': 'true'.Invalid field set in subnetwork with purpose INTERNAL_HTTPS_LOAD_BALANCER.」というエラー メッセージが表示されます。
プロキシ専用サブネットには VM がないため、VPC フローログはサポートされません。これは想定の挙動です。
次のステップ
- Logging のドキュメントを参照する
- Logging シンクのドキュメントを参照する