VPC 흐름 로그 구성

이 페이지에서는 VPC 흐름 로그를 구성하는 방법을 설명합니다. 여기에서는 사용자가 VPC 흐름 로그 및 VPC 흐름 로그 레코드 정보에 설명된 개념들에 익숙하다고 가정합니다.

시작하기 전에

다음 중 하나 이상을 구성합니다.

Network Management API를 사용하면 조직, 가상 프라이빗 클라우드(VPC) 네트워크, 서브넷, Cloud Interconnect의 VLAN 연결, Cloud VPN 터널의 VPC 흐름 로그를 구성할 수 있습니다. Network Management API를 사용하려면 다음 단계를 따르세요.
1. Google Cloud 프로젝트에서 Network Management API를 사용 설정합니다.
  
  Network Management API 사용 설정
2. 네트워크 관리 관리자 역할(roles/networkmanagement.admin)이 다음과 같이 부여되어 있는지 확인합니다.
  - 조직 수준(조직의 VPC 흐름 로그를 구성하려면 필요)
  - 프로젝트 수준(VPC 네트워크, 서브넷, VLAN 연결 또는 Cloud VPN 터널에 VPC 흐름 로그를 구성하려는 경우 필요)
3. 또한 조직에 VPC 흐름 로그를 구성하려면 resourcemanager.organizations.get 권한이 있어야 합니다.
Compute Engine API를 사용하면 서브넷의 VPC 흐름 로그를 구성할 수 있습니다. Compute Engine API로 만든 구성은 Network Management API로 관리할 수 없습니다. Compute Engine API를 사용하려면 다음 단계를 따르세요.
1. Google Cloud 프로젝트에서 Compute Engine API를 사용 설정합니다.
  
  Compute Engine API 사용 설정
2. 프로젝트에 다음 역할 중 하나가 있는지 확인합니다.
  - Compute 관리자 역할(roles/compute.admin)
  - Compute 네트워크 관리자 역할(roles/compute.networkAdmin)

Google Cloud CLI 설정

gcloud CLI를 사용하여 VPC 흐름 로그를 구성하지 않으려면 이 단계를 건너뜁니다.

In the Google Cloud console, activate Cloud Shell.

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

VPC 흐름 로그 사용 설정

VPC 흐름 로그 구성을 만들어 리소스에 대해 VPC 흐름 로그를 사용 설정합니다. VPC 흐름 로그를 사용하면 조직 및 프로젝트 수준에서 구성을 만들 수 있습니다.

조직 수준 구성은 조직의 모든 VPC 네트워크에 있는 모든 서브넷, VLAN 연결, Cloud VPN 터널에 대한 흐름 로그를 사용 설정합니다. 이러한 구성은 기본적으로 교차 프로젝트 주석을 사용 설정합니다.
프로젝트 수준 구성을 사용하면 다음 리소스에 대해 흐름 로그를 사용 설정할 수 있습니다.
- 특정 VPC 네트워크(네트워크의 모든 서브넷, VLAN 연결, Cloud VPN 터널 포함)
- 특정 서브넷, VLAN 연결 또는 Cloud VPN 터널

리소스당 VPC 흐름 로그 구성을 두 개 이상 추가할 수 있습니다. 각 구성은 별도의 흐름 로그 집합을 생성합니다. 리소스가 여러 VPC 흐름 로그 구성과 연결되어 있고 범위가 겹치는 경우 로깅 정보에 중복 로그가 포함될 수 있습니다. 자세한 내용은 지원되는 구성을 참고하세요.

또한, 로깅에 기록되는 정보의 양을 수정할 수도 있습니다. 제어할 수 있는 파라미터에 대한 자세한 내용은 로그 샘플링 및 처리를 참고하세요.

서브넷의 VPC 흐름 로그 사용 설정

서브넷에 VPC 흐름 로그를 사용 설정하면 서브넷의 모든 VM에 대해 로깅이 사용 설정됩니다.

중요

Network Management API 또는 Compute Engine API를 사용하여 서브넷의 VPC 흐름 로그를 구성할 수 있습니다.

Compute Engine API와 달리 Network Management API는 서브넷의 enableFlowLogs 또는 logConfig.enable 필드를 설정하지 않습니다. 이러한 필드를 사용하는 서드 파티 도구를 이용 중이라면 서브넷에 VPC 흐름 로그 사용 설정(Compute Engine API)에 설명된 대로 Compute Engine API를 계속 사용하여 VPC 흐름 로그를 구성하세요.

Network Management API를 사용하려면 서브넷에 VPC 흐름 로그 사용 설정(Network Management API)을 참고하세요. 서브넷의 VPC 흐름 로그 구성 중 Network Management API에서 관리하는 구성을 보려면 VPC 흐름 로그 구성 보기를 참고하세요.

서브넷의 VPC 흐름 로그 사용 설정(Network Management API)

이 섹션에서는 Network Management API를 사용하여 서브넷에 VPC 흐름 로그를 사용 설정하는 방법을 설명합니다.

콘솔

Google Cloud 콘솔에서 VPC 네트워크 페이지로 이동합니다.

VPC 네트워크로 이동
현재 프로젝트의 서브넷 탭에서 서브넷을 하나 이상 선택한 후 흐름 로그 관리를 클릭합니다.
흐름 로그 관리에서 새 구성 추가를 클릭합니다.
구성 - 서브넷(프리뷰) 섹션에서 구성 추가를 클릭합니다.
이름에 새 VPC 흐름 로그 구성의 이름을 입력합니다.
(선택사항) 고급 설정 섹션에서 집계 간격 및 설정을 조정합니다.
- 로그 필터링을 구성할지 여부. 기본적으로 필터와 일치하는 로그만 유지는 선택 해제되어 있습니다.
- 최종 로그 항목에 메타데이터를 포함할지 여부. 기본적으로 메타데이터 주석에는 모든 필드가 포함됩니다.
- 보조 샘플링 레이트 100%는 기본 흐름 로그 샘플링 프로세스에서 생성된 모든 항목이 유지됨을 의미합니다. 기본 흐름 로그 샘플링 레이트는 구성할 수 없습니다. 자세한 내용은 로그 샘플링 및 처리를 참고하세요.
저장을 클릭합니다.

gcloud

서브넷의 VPC 흐름 로그를 사용 설정하려면 gcloud beta network-management vpc-flow-logs-configs create 명령어를 사용합니다.

VPC 흐름 로그 구성을 만들어 VPC 흐름 로그를 사용 설정합니다. 모든 파라미터가 기본값으로 설정된 구성을 만들거나 기본값을 맞춤설정할 수 있습니다.

gcloud CLI에서 프로젝트를 서브넷의 Google Cloud 프로젝트 ID로 설정하고 다음 명령어 중 하나를 실행합니다.

기본 VPC 흐름 로그 구성을 만들려면 다음 명령어를 실행합니다.

gcloud beta network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --subnet=SUBNET

커스텀 VPC 흐름 로그 구성을 만들려면 맞춤설정할 각 파라미터를 지정합니다.

예를 들어 VPC 흐름 로그 구성을 만들 때 집계 간격, 필터링, 보조 샘플링 레이트, 메타데이터 파라미터를 맞춤설정하려면 다음 명령어를 실행합니다.
```
gcloud beta network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --subnet=SUBNET \
    --aggregation-interval=AGGREGATION_INTERVAL \
    --filter-expr=FILTER_EXPRESSION \
    --flow-sampling=SAMPLING_RATE \
    --metadata=LOGGING_METADATA
```
다음을 바꿉니다.
- CONFIG_NAME: 구성의 이름
- SUBNET: 로깅할 서브넷. projects/PROJECT_ID/regions/REGION/subnetworks/NAME 형식으로 지정해야 하며, 여기서
  - PROJECT_ID: 서브넷이 포함된 Google Cloud 프로젝트의 ID. 이 프로젝트에서 구성을 만들어야 합니다.
  - REGION: 서브넷 리전
  - NAME: 서브넷 이름
커스텀 구성에서 선택적 파라미터를 설정하려면 다음을 바꿉니다.
- AGGREGATION_INTERVAL: 이 구성에서 생성된 흐름 로그의 집계 간격. 이 파라미터는 interval-5-sec(기본값), interval-30-sec, interval-1-min, interval-5-min, interval-10-min 또는 interval-15-min으로 설정할 수 있습니다.
- FILTER_EXPRESSION: 보관할 로그를 정의하는 표현식. 표현식은 2,048자로 제한됩니다. 자세한 내용은 로그 필터링을 참고하세요.
- SAMPLING_RATE: 보조 흐름 샘플링 레이트. 이 파라미터는 0.0(포함하지 않음)~1.0(모든 로그, 기본값)까지 설정할 수 있습니다. 자세한 내용은 로그 샘플링 및 처리를 참고하세요.
- LOGGING_METADATA: 로그에 포함할 메타데이터 주석
  - include-all-metadata를 사용하여 모든 메타데이터 주석을 포함합니다(기본값).
  - exclude-all-metadata를 사용하여 모든 메타데이터 주석을 제외합니다.
  - custom-metadata를 사용하여 메타데이터 필드의 커스텀 목록을 포함합니다. 메타데이터 필드를 지정하려면 --metadata-fields 플래그를 사용합니다.
    - --metadata-fields=METADATA_FIELDS: METADATA_FIELDS을 로그에 포함할 메타데이터 필드의 쉼표로 구분된 목록으로 바꿉니다. 예를 들면 src_instance,dst_instance입니다. metadata가 custom-metadata로 설정된 경우에만 설정할 수 있습니다.

API

서브넷의 VPC 흐름 로그를 사용 설정하려면 projects.locations.vpcFlowLogsConfigs.create 메서드를 사용합니다.

기본 VPC 흐름 로그 구성을 만들려면 API 요청에 다음 파라미터를 포함합니다.

POST https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "subnet": "SUBNET"
}

커스텀 VPC 흐름 로그 구성을 만들려면 맞춤설정할 각 파라미터를 지정합니다.

예를 들어 VPC 흐름 로그 구성을 만들 때 집계 간격, 필터링, 보조 샘플링 레이트, 메타데이터 파라미터를 맞춤설정하려면 API 요청에 다음 파라미터를 포함합니다.

POST https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "subnet": "SUBNET",
  "aggregationInterval": "AGGREGATION_INTERVAL",
  "filterExpr": "FILTER_EXPRESSION",
  "flowSampling": SAMPLING_RATE,
  "metadata": "LOGGING_METADATA"
}

다음을 바꿉니다.

PROJECT_ID: 서브넷의 Google Cloud 프로젝트 ID
CONFIG_NAME: 구성의 이름
SUBNET: 로깅할 서브넷. projects/PROJECT_ID/regions/REGION/subnetworks/NAME 형식으로 지정해야 하며, 여기서
- PROJECT_ID: 서브넷의 프로젝트 ID
- REGION: 서브넷의 리전
- NAME: 서브넷의 이름

커스텀 구성에서 선택적 파라미터를 설정하려면 다음을 바꿉니다.

AGGREGATION_INTERVAL: 이 구성에서 생성된 흐름 로그의 집계 간격. 이 파라미터는 INTERVAL_5_SEC(기본값), INTERVAL_30_SEC, INTERVAL_1_MIN, INTERVAL_5_MIN, INTERVAL_10_MIN 또는 INTERVAL_15_MIN으로 설정할 수 있습니다.
FILTER_EXPRESSION: 보관할 로그를 정의하는 표현식. 표현식은 2,048자로 제한됩니다. 자세한 내용은 로그 필터링을 참고하세요.
SAMPLING_RATE: 보조 흐름 샘플링 레이트. 이 파라미터는 0.0(포함하지 않음)~1.0(모든 로그, 기본값)까지 설정할 수 있습니다. 자세한 내용은 로그 샘플링 및 처리를 참고하세요.
LOGGING_METADATA: 로그에 포함할 메타데이터 주석
- INCLUDE_ALL_METADATA를 사용하여 모든 메타데이터 주석을 포함합니다(기본값).
- EXCLUDE_ALL_METADATA를 사용하여 모든 메타데이터 주석을 제외합니다.
- CUSTOM_METADATA를 사용하여 메타데이터 필드의 커스텀 목록을 포함합니다. 메타데이터 필드를 지정하려면 metadataFields 파라미터를 사용합니다.
  - metadataFields: METADATA_FIELDS: METADATA_FIELDS를 로그에 포함할 메타데이터 필드의 쉼표로 구분된 목록으로 바꿉니다. 예를 들면 src_instance,dst_instance입니다. metadata가 CUSTOM_METADATA로 설정된 경우에만 설정할 수 있습니다.

서브넷의 VPC 흐름 로그 사용 설정(Compute Engine API)

이 섹션에서는 Compute Engine API를 사용하여 서브넷에 VPC 흐름 로그를 사용 설정하는 방법을 설명합니다. 서브넷을 만들 때 또는 기존 서브넷에 대해 VPC 흐름 로그를 사용 설정할 수 있습니다.

서브넷을 만들 때 VPC 흐름 로그 사용 설정

콘솔

Google Cloud 콘솔에서 VPC 네트워크 페이지로 이동합니다.

VPC 네트워크로 이동
서브넷을 추가할 네트워크를 클릭합니다.
서브넷 추가를 클릭합니다.
흐름 로그에서 사용을 선택합니다.
선택사항: 고급 설정 섹션에서 집계 간격 및 다음 설정을 조정합니다.
- 로그 필터링을 구성할지 여부. 기본적으로 필터와 일치하는 로그만 유지는 선택 해제되어 있습니다.
- 최종 로그 항목에 메타데이터를 포함할지 여부. 기본적으로 메타데이터 주석에는 모든 필드가 포함됩니다.
- 보조 샘플링 레이트 50%는 기본 흐름 로그 샘플링 프로세스에서 생성된 항목의 절반이 유지됨을 의미합니다. 기본 흐름 로그 샘플링 레이트는 구성할 수 없습니다. 자세한 내용은 로그 샘플링 및 처리를 참고하세요.
기타 필드를 적절히 채웁니다.
추가를 클릭합니다.

gcloud

다음 명령어를 실행합니다.

gcloud compute networks subnets create SUBNET_NAME \
    --enable-flow-logs \
    [--logging-aggregation-interval=AGGREGATION_INTERVAL] \
    [--logging-flow-sampling=SAMPLING_RATE] \
    [--logging-filter-expr=FILTER_EXPRESSION] \
    [--logging-metadata=LOGGING_METADATA] \
    [--logging-metadata-fields=METADATA_FIELDS] \
    [other flags as needed]

다음을 바꿉니다.

AGGREGATION_INTERVAL: 해당 서브넷에서 흐름 로그의 집계 간격. 이 간격은 5초(기본값), 30초, 1분, 5분, 10분, 15분 중 하나로 설정할 수 있습니다.
SAMPLING_RATE: 보조 흐름 샘플링 레이트. 보조 흐름 샘플링은 0.0(샘플링 없음)에서 1.0(모든 로그)까지 설정할 수 있습니다. 기본값은 0.5입니다. 자세한 내용은 로그 샘플링 및 처리를 참고하세요.
FILTER_EXPRESSION: 보관할 로그를 정의하는 표현식. 표현식은 2,048자로 제한됩니다. 자세한 내용은 로그 필터링을 참고하세요.
LOGGING_METADATA: 로그에 포함할 메타데이터 주석
- include-all을 사용하여 모든 메타데이터 주석을 포함합니다.
- exclude-all을 사용하여 모든 메타데이터 주석을 제외합니다(기본값).
- custom을 사용하여 METADATA_FIELDS에 지정하는 메타데이터 필드의 커스텀 목록을 포함합니다.
참고: 2021년 3월 1일 이전에 서브넷에서 흐름 로깅을 사용 설정했으며 LOGGING_METADATA가 명시적으로 구성되지 않은 경우 LOGGING_METADATA의 기본값은 include-all입니다.
METADATA_FIELDS: 로그에 포함할 메타데이터 필드의 쉼표로 구분된 목록입니다. 예를 들면 src_instance,dst_instance입니다. LOGGING_METADATA가 custom으로 설정된 경우에만 설정할 수 있습니다.

API

새 서브넷을 만들 때 VPC 흐름 로그를 사용 설정합니다.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks
{
  "logConfig": {
    "aggregationInterval": "AGGREGATION_INTERVAL",
    "flowSampling": SAMPLING_RATE,
    "filterExpr": EXPRESSION,
    "metadata": METADATA_SETTING,
    "metadataFields": METADATA_FIELDS,
    "enable": true
  },
  "ipCidrRange": "IP_RANGE",
  "network": "NETWORK_URL",
  "name": "SUBNET_NAME"
}

다음을 바꿉니다.

PROJECT_ID: 서브넷을 생성할 프로젝트의 ID
REGION: 서브넷을 생성할 리전
AGGREGATION_INTERVAL: 서브넷의 흐름 로그에 대한 집계 간격. 간격은 INTERVAL_5_SEC, INTERVAL_30_SEC, INTERVAL_1_MIN, INTERVAL_5_MIN, INTERVAL_10_MIN, INTERVAL_15_MIN 중 하나로 설정할 수 있습니다.
SAMPLING_RATE: 흐름 샘플링 레이트. 흐름 샘플링은 0.0(샘플링 없음)에서 1.0(모든 로그)까지 설정할 수 있습니다. 기본값은 .0.5입니다.
EXPRESSION: 실제로 기록되는 로그를 필터링하는 데 사용하는 필터 표현식. 표현식은 2,048자로 제한됩니다. 자세한 내용은 로그 필터링을 참고하세요.
METADATA_SETTING: 로그에 포함할 메타데이터 주석
- INCLUDE_ALL_METADATA를 사용하면 모든 메타데이터 주석을 포함합니다.
- EXCLUDE_ALL_METADATA를 사용하면 모든 메타데이터 주석을 제외합니다(기본값).
- CUSTOM_METADATA를 사용하면 METADATA_FIELDS에 지정하는 메타데이터 필드의 커스텀 목록을 포함합니다.
참고: 2021년 3월 1일 이전에 서브넷에서 흐름 로깅을 사용 설정했으며 METADATA_SETTING가 명시적으로 구성되지 않은 경우 METADATA_SETTING의 기본값은 INCLUDE_ALL_METADATA입니다.
METADATA_FIELDS: metadata: CUSTOM_METADATA를 설정할 때 캡처할 메타데이터 필드. 메타데이터 필드를 쉼표로 구분한 목록입니다(예: src_instance, src_vpc.project_id).
IP_RANGE: 서브넷의 기본 내부 IP 주소 범위
NETWORK_URL: 서브넷을 생성할 Virtual Private Cloud 네트워크 URL
SUBNET_NAME: 서브넷의 이름

자세한 내용은 subnetworks.insert 메서드를 참고하세요.

Terraform

Terraform 모듈을 사용하여 커스텀 모드 VPC 네트워크 및 서브넷을 만들 수 있습니다.

다음 예시에서는 다음과 같이 서브넷 3개를 만듭니다.

subnet-01에서 VPC 흐름 로그를 중지했습니다. 서브넷을 만들 때 VPC 흐름 로그를 명시적으로 사용 설정하지 않으면 중지됩니다.
subnet-02에서는 기본 흐름 로그 설정으로 VPC 흐름 로그가 사용 설정됩니다.
subnet-03에서는 일부 커스텀 설정과 함께 VPC 흐름 로그가 사용 설정됩니다.

module "test-vpc-module" {
  source       = "terraform-google-modules/network/google"
  version      = "~> 11.0"
  project_id   = var.project_id # Replace this with your project ID in quotes
  network_name = "my-custom-mode-network"
  mtu          = 1460

  subnets = [
    {
      subnet_name   = "subnet-01"
      subnet_ip     = "10.10.10.0/24"
      subnet_region = "us-west1"
    },
    {
      subnet_name           = "subnet-02"
      subnet_ip             = "10.10.20.0/24"
      subnet_region         = "us-west1"
      subnet_private_access = "true"
      subnet_flow_logs      = "true"
    },
    {
      subnet_name               = "subnet-03"
      subnet_ip                 = "10.10.30.0/24"
      subnet_region             = "us-west1"
      subnet_flow_logs          = "true"
      subnet_flow_logs_interval = "INTERVAL_10_MIN"
      subnet_flow_logs_sampling = 0.7
      subnet_flow_logs_metadata = "INCLUDE_ALL_METADATA"
      subnet_flow_logs_filter   = "false"
    }
  ]
}

Terraform 구성을 적용하거나 삭제하는 방법은 기본 Terraform 명령어를 참고하세요.

기존 서브넷의 VPC 흐름 로그 사용 설정

콘솔

Google Cloud 콘솔에서 VPC 네트워크 페이지로 이동합니다.

VPC 네트워크로 이동
업데이트할 서브넷을 클릭합니다.
수정을 클릭합니다.
흐름 로그에서 사용을 선택합니다.
선택사항: 고급 설정 섹션에서 집계 간격 및 다음 설정을 조정합니다.
- 로그 필터링을 구성할지 여부. 기본적으로 필터와 일치하는 로그만 유지는 선택 해제되어 있습니다.
- 최종 로그 항목에 메타데이터를 포함할지 여부. 기본적으로 메타데이터 주석에는 모든 필드가 포함됩니다.
- 보조 샘플링 레이트 50%는 기본 흐름 로그 샘플링 프로세스에서 생성된 항목의 절반이 유지됨을 의미합니다. 기본 흐름 로그 샘플링 레이트는 구성할 수 없습니다. 자세한 내용은 로그 샘플링 및 처리를 참고하세요.
저장을 클릭합니다.

gcloud

다음 명령어를 실행합니다.

gcloud compute networks subnets update SUBNET_NAME \
    --enable-flow-logs \
    [--logging-aggregation-interval=AGGREGATION_INTERVAL] \
    [--logging-flow-sampling=SAMPLING_RATE] \
    [--logging-filter-expr=FILTER_EXPRESSION] \
    [--logging-metadata=LOGGING_METADATA] \
    [--logging-metadata-fields=METADATA_FIELDS] \
    [other flags as needed]

다음을 바꿉니다.

AGGREGATION_INTERVAL: 해당 서브넷에서 흐름 로그의 집계 간격. 이 간격은 5초(기본값), 30초, 1분, 5분, 10분, 15분 중 하나로 설정할 수 있습니다.
SAMPLING_RATE: 보조 흐름 샘플링 레이트. 보조 흐름 샘플링은 0.0(샘플링 없음)에서 1.0(모든 로그)까지 설정할 수 있습니다. 기본값은 0.5입니다. 자세한 내용은 로그 샘플링 및 처리를 참고하세요.
FILTER_EXPRESSION: 보관할 로그를 정의하는 표현식. 표현식은 2,048자로 제한됩니다. 자세한 내용은 로그 필터링을 참고하세요.
LOGGING_METADATA: 로그에 포함할 메타데이터 주석
- include-all을 사용하여 모든 메타데이터 주석을 포함합니다.
- exclude-all을 사용하여 모든 메타데이터 주석을 제외합니다(기본값).
- custom을 사용하여 METADATA_FIELDS에 지정하는 메타데이터 필드의 커스텀 목록을 포함합니다.
참고: 2021년 3월 1일 이전에 서브넷에서 흐름 로깅을 사용 설정했으며 LOGGING_METADATA가 명시적으로 구성되지 않은 경우 LOGGING_METADATA의 기본값은 include-all입니다.
METADATA_FIELDS: 로그에 포함할 메타데이터 필드의 쉼표로 구분된 목록입니다. 예를 들면 src_instance,dst_instance입니다. LOGGING_METADATA가 custom으로 설정된 경우에만 설정할 수 있습니다.

API

기존 서브넷의 VPC 흐름 로그를 사용 설정합니다.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    "enable": true
    ...other logging fields.
  },
  "fingerprint": "SUBNET_FINGERPRINT"
}

다음을 바꿉니다.

PROJECT_ID: 서브넷이 있는 프로젝트의 ID
REGION: 서브넷이 있는 리전
SUBNET_NAME: 기존 서브넷의 이름
SUBNET_FINGERPRINT: 서브넷을 설명할 때 제공되는 기존 서브넷의 디지털 지문 ID
다른 로깅 필드의 경우 서브넷을 만들 때 VPC 흐름 로깅 사용 설정을 참고하세요.

자세한 내용은 subnetworks.patch 메서드를 참고하세요.

VLAN 연결의 VPC 흐름 로그 사용 설정

콘솔

Google Cloud 콘솔에서 Interconnect 페이지로 이동합니다.

Interconnect로 이동
VLAN 연결 탭에서 VLAN 연결을 하나 이상 선택한 다음 목록 상단의 선택 표시줄에서 흐름 로그 관리를 클릭합니다.
흐름 로그 관리에서 새 구성 추가를 클릭합니다.
이름에 새 VPC 흐름 로그 구성의 이름을 입력합니다.
(선택사항) 고급 설정 섹션에서 집계 간격 및 설정을 조정합니다.
- 로그 필터링을 구성할지 여부. 기본적으로 필터와 일치하는 로그만 유지는 선택 해제되어 있습니다.
- 최종 로그 항목에 메타데이터를 포함할지 여부. 기본적으로 메타데이터 주석에는 모든 필드가 포함됩니다.
- 보조 샘플링 레이트 100%는 기본 흐름 로그 샘플링 프로세스에서 생성된 모든 항목이 유지됨을 의미합니다. 기본 흐름 로그 샘플링 레이트는 구성할 수 없습니다. 자세한 내용은 로그 샘플링 및 처리를 참고하세요.
저장을 클릭합니다.

gcloud

VLAN 연결의 VPC 흐름 로그를 사용 설정하려면 gcloud network-management vpc-flow-logs-configs create 명령어를 사용합니다.

gcloud CLI에서 프로젝트를 VLAN 연결의Google Cloud 프로젝트 ID로 설정하고 다음 명령어 중 하나를 실행합니다.

기본 VPC 흐름 로그 구성을 만들려면 다음 명령어를 실행합니다.

gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --interconnect-attachment=VLAN_ATTACHMENT

커스텀 VPC 흐름 로그 구성을 만들려면 맞춤설정할 각 파라미터를 지정합니다.

예를 들어 VPC 흐름 로그 구성을 만들 때 집계 간격, 필터링, 보조 샘플링 레이트, 메타데이터 파라미터를 맞춤설정하려면 다음 명령어를 실행합니다.
```
gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --interconnect-attachment=VLAN_ATTACHMENT \
    --aggregation-interval=AGGREGATION_INTERVAL \
    --filter-expr=FILTER_EXPRESSION \
    --flow-sampling=SAMPLING_RATE \
    --metadata=LOGGING_METADATA
```
다음을 바꿉니다.
- CONFIG_NAME: 구성의 이름
- VLAN_ATTACHMENT: 로깅할 VLAN 연결. projects/PROJECT_ID/regions/REGION/interconnectAttachments/NAME 형식으로 지정해야 하며, 여기서
  - PROJECT_ID: VLAN 연결이 포함된 Google Cloud 프로젝트의 ID. 구성도 이 프로젝트에서 만들어야 합니다.
  - REGION: VLAN 연결의 리전
  - NAME: VLAN 연결의 이름
커스텀 구성에서 선택적 파라미터를 설정하려면 다음을 바꿉니다.
- AGGREGATION_INTERVAL: 이 구성에서 생성된 흐름 로그의 집계 간격. 이 파라미터는 interval-5-sec(기본값), interval-30-sec, interval-1-min, interval-5-min, interval-10-min 또는 interval-15-min으로 설정할 수 있습니다.
- FILTER_EXPRESSION: 보관할 로그를 정의하는 표현식. 표현식은 2,048자로 제한됩니다. 자세한 내용은 로그 필터링을 참고하세요.
- SAMPLING_RATE: 보조 흐름 샘플링 레이트. 이 파라미터는 0.0(포함하지 않음)~1.0(모든 로그, 기본값)까지 설정할 수 있습니다. 자세한 내용은 로그 샘플링 및 처리를 참고하세요.
- LOGGING_METADATA: 로그에 포함할 메타데이터 주석
  - include-all-metadata를 사용하여 모든 메타데이터 주석을 포함합니다(기본값).
  - exclude-all-metadata를 사용하여 모든 메타데이터 주석을 제외합니다.
  - custom-metadata를 사용하여 메타데이터 필드의 커스텀 목록을 포함합니다. 메타데이터 필드를 지정하려면 --metadata-fields 플래그를 사용합니다.
    - --metadata-fields=METADATA_FIELDS: METADATA_FIELDS을 로그에 포함할 메타데이터 필드의 쉼표로 구분된 목록으로 바꿉니다. 예를 들면 src_instance,dst_instance입니다. metadata가 custom-metadata로 설정된 경우에만 설정할 수 있습니다.

Terraform

Terraform 모듈을 사용하여 VLAN 연결의 VPC 흐름 로그 구성을 만들 수 있습니다.

다음 코드 블록은 기본 VPC 흐름 로그 구성을 만듭니다.

resource "google_network_management_vpc_flow_logs_config" "vpc_flow_logs_config" {
  vpc_flow_logs_config_id = "vpcflowlogs-config"
  location                = "global"
  interconnect_attachment = google_compute_interconnect_attachment.attachment.id
}

위 예에서는 google_compute_interconnect_attachment 리소스의 이름이 attachment라고 가정합니다. 이 구성의 전체 예시는 terraform-docs-samples 저장소를 참고하세요.

다음 코드 블록은 다음과 같은 VPC 흐름 로그 구성을 만듭니다.

집계 간격은 INTERVAL_10_MIN으로 설정됩니다.
보조 흐름 샘플링 레이트는 0.7로 설정됩니다.
로그에 포함할 메타데이터는 INCLUDE_ALL_METADATA로 설정됩니다.
구성 상태는 ENABLED로 설정됩니다.

resource "google_network_management_vpc_flow_logs_config" "vpc_flow_logs_config" {
  vpc_flow_logs_config_id = "vpcflowlogs-config"
  location                = "global"
  interconnect_attachment = google_compute_interconnect_attachment.attachment.id
  aggregation_interval    = "INTERVAL_10_MIN"
  description             = "VPC Flow Logs over an Interconnect Attachment."
  flow_sampling           = 0.7
  metadata                = "INCLUDE_ALL_METADATA"
  state                   = "ENABLED"
}

Terraform 구성을 적용하거나 삭제하는 방법은 기본 Terraform 명령어를 참고하세요.

API

VLAN 연결의 VPC 흐름 로그를 사용 설정하려면 projects.locations.vpcFlowLogsConfigs.create 메서드를 사용합니다.

기본 VPC 흐름 로그 구성을 만들려면 API 요청에 다음 파라미터를 포함합니다.

POST https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "interconnectAttachment": "VLAN_ATTACHMENT"
}

커스텀 VPC 흐름 로그 구성을 만들려면 맞춤설정할 각 파라미터를 지정합니다.

POST https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "interconnectAttachment": "VLAN_ATTACHMENT",
  "aggregationInterval": "AGGREGATION_INTERVAL",
  "filterExpr": "FILTER_EXPRESSION",
  "flowSampling": SAMPLING_RATE,
  "metadata": "LOGGING_METADATA"
}

다음을 바꿉니다.

PROJECT_ID: VLAN 연결의 Google Cloud 프로젝트 ID
CONFIG_NAME: 구성의 이름
VLAN_ATTACHMENT: 로깅할 VLAN 연결. projects/PROJECT_ID/regions/REGION/interconnectAttachments/NAME 형식으로 지정해야 하며, 여기서
- PROJECT_ID: VLAN 연결의 프로젝트 ID
- REGION: VLAN 연결의 리전
- NAME: VLAN 연결의 이름

커스텀 구성에서 선택적 파라미터를 설정하려면 다음을 바꿉니다.

AGGREGATION_INTERVAL: 이 구성에서 생성된 흐름 로그의 집계 간격. 이 파라미터는 INTERVAL_5_SEC(기본값), INTERVAL_30_SEC, INTERVAL_1_MIN, INTERVAL_5_MIN, INTERVAL_10_MIN 또는 INTERVAL_15_MIN으로 설정할 수 있습니다.
FILTER_EXPRESSION: 보관할 로그를 정의하는 표현식. 표현식은 2,048자로 제한됩니다. 자세한 내용은 로그 필터링을 참고하세요.
SAMPLING_RATE: 보조 흐름 샘플링 레이트. 이 파라미터는 0.0(포함하지 않음)~1.0(모든 로그, 기본값)까지 설정할 수 있습니다. 자세한 내용은 로그 샘플링 및 처리를 참고하세요.
LOGGING_METADATA: 로그에 포함할 메타데이터 주석
- INCLUDE_ALL_METADATA를 사용하여 모든 메타데이터 주석을 포함합니다(기본값).
- EXCLUDE_ALL_METADATA를 사용하여 모든 메타데이터 주석을 제외합니다.
- CUSTOM_METADATA를 사용하여 메타데이터 필드의 커스텀 목록을 포함합니다. 메타데이터 필드를 지정하려면 metadataFields 파라미터를 사용합니다.
  - metadataFields: METADATA_FIELDS: METADATA_FIELDS를 로그에 포함할 메타데이터 필드의 쉼표로 구분된 목록으로 바꿉니다. 예를 들면 src_instance,dst_instance입니다. metadata가 CUSTOM_METADATA로 설정된 경우에만 설정할 수 있습니다.

Cloud VPN 터널의 VPC 흐름 로그 사용 설정

콘솔

Google Cloud 콘솔에서 VPN 페이지로 이동합니다.

VPN으로 이동
Cloud VPN 터널 탭에서 Cloud VPN 터널을 하나 이상 선택한 후 목록 상단의 선택 표시줄에서 흐름 로그 관리를 클릭합니다.
흐름 로그 관리에서 새 구성 추가를 클릭합니다.
이름에 새 VPC 흐름 로그 구성의 이름을 입력합니다.
(선택사항) 고급 설정 섹션에서 집계 간격 및 설정을 조정합니다.
- 로그 필터링을 구성할지 여부. 기본적으로 필터와 일치하는 로그만 유지는 선택 해제되어 있습니다.
- 최종 로그 항목에 메타데이터를 포함할지 여부. 기본적으로 메타데이터 주석에는 모든 필드가 포함됩니다.
- 보조 샘플링 레이트 100%는 기본 흐름 로그 샘플링 프로세스에서 생성된 모든 항목이 유지됨을 의미합니다. 기본 흐름 로그 샘플링 레이트는 구성할 수 없습니다. 자세한 내용은 로그 샘플링 및 처리를 참고하세요.
저장을 클릭합니다.

gcloud

Cloud VPN 터널의 VPC 흐름 로그를 사용 설정하려면 gcloud network-management vpc-flow-logs-configs create 명령어를 사용합니다.

gcloud CLI에서 프로젝트를 Cloud VPN 터널의Google Cloud 프로젝트 ID로 설정하고 다음 명령어 중 하나를 실행합니다.

기본 VPC 흐름 로그 구성을 만들려면 다음 명령어를 실행합니다.

gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --vpn-tunnel=VPN_TUNNEL

커스텀 VPC 흐름 로그 구성을 만들려면 맞춤설정할 각 파라미터를 지정합니다.

예를 들어 VPC 흐름 로그 구성을 만들 때 집계 간격, 필터링, 보조 샘플링 레이트, 메타데이터 파라미터를 맞춤설정하려면 다음 명령어를 실행합니다.
```
gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --vpn-tunnel=VPN_TUNNEL \
    --aggregation-interval=AGGREGATION_INTERVAL \
    --filter-expr=FILTER_EXPRESSION \
    --flow-sampling=SAMPLING_RATE \
    --metadata=LOGGING_METADATA
```
다음을 바꿉니다.
- CONFIG_NAME: 구성의 이름
- VPN_TUNNEL: 로깅하려는 Cloud VPN 터널. projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME 형식으로 지정해야 하며, 여기서
  - PROJECT_ID: Cloud VPN 터널이 포함된 Google Cloud 프로젝트의 ID. 이 프로젝트에서 구성을 만들어야 합니다.
  - REGION: Cloud VPN 터널의 리전
  - NAME: Cloud VPN 터널의 이름
커스텀 구성에서 선택적 파라미터를 설정하려면 다음을 바꿉니다.
- AGGREGATION_INTERVAL: 이 구성에서 생성된 흐름 로그의 집계 간격. 이 파라미터는 interval-5-sec(기본값), interval-30-sec, interval-1-min, interval-5-min, interval-10-min 또는 interval-15-min으로 설정할 수 있습니다.
- FILTER_EXPRESSION: 보관할 로그를 정의하는 표현식. 표현식은 2,048자로 제한됩니다. 자세한 내용은 로그 필터링을 참고하세요.
- SAMPLING_RATE: 보조 흐름 샘플링 레이트. 이 파라미터는 0.0(포함하지 않음)~1.0(모든 로그, 기본값)까지 설정할 수 있습니다. 자세한 내용은 로그 샘플링 및 처리를 참고하세요.
- LOGGING_METADATA: 로그에 포함할 메타데이터 주석
  - include-all-metadata를 사용하여 모든 메타데이터 주석을 포함합니다(기본값).
  - exclude-all-metadata를 사용하여 모든 메타데이터 주석을 제외합니다.
  - custom-metadata를 사용하여 메타데이터 필드의 커스텀 목록을 포함합니다. 메타데이터 필드를 지정하려면 --metadata-fields 플래그를 사용합니다.
    - --metadata-fields=METADATA_FIELDS: METADATA_FIELDS을 로그에 포함할 메타데이터 필드의 쉼표로 구분된 목록으로 바꿉니다. 예를 들면 src_instance,dst_instance입니다. metadata가 custom-metadata로 설정된 경우에만 설정할 수 있습니다.

Terraform

Terraform 모듈을 사용하여 Cloud VPN 터널의 VPC 흐름 로그 구성을 만들 수 있습니다.

다음 코드 블록은 기본 VPC 흐름 로그 구성을 만듭니다.

resource "google_network_management_vpc_flow_logs_config" "vpc_flow_logs_config" {
  vpc_flow_logs_config_id = "vpcflowlogs-config"
  location                = "global"
  vpn_tunnel              = google_compute_vpn_tunnel.tunnel.id
}

위 예에서는 google_compute_vpn_tunnel 리소스의 이름이 tunnel이라고 가정합니다. 이 구성의 전체 예시는 terraform-docs-samples 저장소를 참고하세요.

다음 코드 블록은 다음과 같은 VPC 흐름 로그 구성을 만듭니다.

집계 간격은 INTERVAL_10_MIN으로 설정됩니다.
보조 흐름 샘플링 레이트는 0.7로 설정됩니다.
로그에 포함할 메타데이터는 INCLUDE_ALL_METADATA로 설정됩니다.
구성 상태는 ENABLED로 설정됩니다.

resource "google_network_management_vpc_flow_logs_config" "vpc_flow_logs_config" {
  vpc_flow_logs_config_id = "vpcflowlogs-config"
  location                = "global"
  vpn_tunnel              = google_compute_vpn_tunnel.tunnel.id
  aggregation_interval    = "INTERVAL_10_MIN"
  description             = "VPC Flow Logs over a VPN Gateway."
  flow_sampling           = 0.7
  metadata                = "INCLUDE_ALL_METADATA"
  state                   = "ENABLED"
}

위 예에서는 google_compute_vpn_tunnel 리소스의 이름이 tunnel이라고 가정합니다. 이 구성의 전체 예시는 terraform-docs-samples 저장소를 참고하세요.

Terraform 구성을 적용하거나 삭제하는 방법은 기본 Terraform 명령어를 참고하세요.

API

Cloud VPN 터널의 VPC 흐름 로그를 사용 설정하려면 projects.locations.vpcFlowLogsConfigs.create 메서드를 사용합니다.

기본 VPC 흐름 로그 구성을 만들려면 API 요청에 다음 파라미터를 포함합니다.

POST https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "vpnTunnel": "VPN_TUNNEL"
}

커스텀 VPC 흐름 로그 구성을 만들려면 맞춤설정할 각 파라미터를 지정합니다.

POST https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "vpnTunnel": "VPN_TUNNEL",
  "aggregationInterval": "AGGREGATION_INTERVAL",
  "filterExpr": "FILTER_EXPRESSION",
  "flowSampling": SAMPLING_RATE,
  "metadata": "LOGGING_METADATA"
}

다음을 바꿉니다.

PROJECT_ID: Cloud VPN 터널의 Google Cloud 프로젝트 ID
CONFIG_NAME: 구성의 이름
VPN_TUNNEL: 로깅하려는 Cloud VPN 터널. projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME 형식으로 지정해야 하며, 여기서
- PROJECT_ID: Cloud VPN 터널의 프로젝트 ID
- REGION: Cloud VPN 터널의 리전
- NAME: Cloud VPN 터널의 이름

커스텀 구성에서 선택적 파라미터를 설정하려면 다음을 바꿉니다.

AGGREGATION_INTERVAL: 이 구성에서 생성된 흐름 로그의 집계 간격. 이 파라미터는 INTERVAL_5_SEC(기본값), INTERVAL_30_SEC, INTERVAL_1_MIN, INTERVAL_5_MIN, INTERVAL_10_MIN 또는 INTERVAL_15_MIN으로 설정할 수 있습니다.
FILTER_EXPRESSION: 보관할 로그를 정의하는 표현식. 표현식은 2,048자로 제한됩니다. 자세한 내용은 로그 필터링을 참고하세요.
SAMPLING_RATE: 보조 흐름 샘플링 레이트. 이 파라미터는 0.0(포함하지 않음)~1.0(모든 로그, 기본값)까지 설정할 수 있습니다. 자세한 내용은 로그 샘플링 및 처리를 참고하세요.
LOGGING_METADATA: 로그에 포함할 메타데이터 주석
- INCLUDE_ALL_METADATA를 사용하여 모든 메타데이터 주석을 포함합니다(기본값).
- EXCLUDE_ALL_METADATA를 사용하여 모든 메타데이터 주석을 제외합니다.
- CUSTOM_METADATA를 사용하여 메타데이터 필드의 커스텀 목록을 포함합니다. 메타데이터 필드를 지정하려면 metadataFields 파라미터를 사용합니다.
  - metadataFields: METADATA_FIELDS: METADATA_FIELDS를 로그에 포함할 메타데이터 필드의 쉼표로 구분된 목록으로 바꿉니다. 예를 들면 src_instance,dst_instance입니다. metadata가 CUSTOM_METADATA로 설정된 경우에만 설정할 수 있습니다.

VPC 네트워크의 VPC 흐름 로그 사용 설정

VPC 네트워크의 모든 서브넷, VLAN 연결, Cloud VPN 터널에 대해 VPC 흐름 로그를 사용 설정하려면 다음 단계를 따르세요.

콘솔

Google Cloud 콘솔에서 VPC 네트워크 페이지로 이동합니다.

VPC 네트워크로 이동
현재 프로젝트의 네트워크 탭에서 네트워크를 하나 이상 선택한 후 목록 상단의 흐름 로그 관리를 클릭합니다.
흐름 로그 관리에서 새 구성 추가를 클릭합니다.
이름에 새 VPC 흐름 로그 구성의 이름을 입력합니다.
(선택사항) 고급 설정 섹션에서 집계 간격 및 설정을 조정합니다.
- 로그 필터링을 구성할지 여부. 기본적으로 필터와 일치하는 로그만 유지는 선택 해제되어 있습니다.
- 최종 로그 항목에 메타데이터를 포함할지 여부. 기본적으로 메타데이터 주석에는 모든 필드가 포함됩니다.
- 보조 샘플링 레이트 100%는 기본 흐름 로그 샘플링 프로세스에서 생성된 모든 항목이 유지됨을 의미합니다. 기본 흐름 로그 샘플링 레이트는 구성할 수 없습니다. 자세한 내용은 로그 샘플링 및 처리를 참고하세요.
저장을 클릭합니다.

gcloud

VPC 네트워크에 VPC 흐름 로그를 사용 설정하려면 gcloud beta network-management vpc-flow-logs-configs create 명령어를 사용합니다.

gcloud CLI에서 프로젝트를 VPC 네트워크의Google Cloud 프로젝트 ID로 설정하고 다음 명령어 중 하나를 실행합니다.

기본 VPC 흐름 로그 구성을 만들려면 다음 명령어를 실행합니다.

gcloud beta network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --network=NETWORK

커스텀 VPC 흐름 로그 구성을 만들려면 맞춤설정할 각 파라미터를 지정합니다.

예를 들어 VPC 흐름 로그 구성을 만들 때 집계 간격, 필터링, 보조 샘플링 레이트, 메타데이터 파라미터를 맞춤설정하려면 다음 명령어를 실행합니다.
```
gcloud beta network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --network=NETWORK \
    --aggregation-interval=AGGREGATION_INTERVAL \
    --filter-expr=FILTER_EXPRESSION \
    --flow-sampling=SAMPLING_RATE \
    --metadata=LOGGING_METADATA
```
다음을 바꿉니다.
- CONFIG_NAME: 구성의 이름
- NETWORK: 로깅할 VPC 네트워크. projects/PROJECT_ID/global/networks/NAME 형식으로 지정해야 하며, 여기서
  - PROJECT_ID: VPC 네트워크가 포함된 Google Cloud 프로젝트의 ID. 이 프로젝트에서 구성을 만들어야 합니다.
  - NAME: VPC 네트워크의 이름
커스텀 구성에서 선택적 파라미터를 설정하려면 다음을 바꿉니다.
- AGGREGATION_INTERVAL: 이 구성에서 생성된 흐름 로그의 집계 간격. 이 파라미터는 interval-5-sec(기본값), interval-30-sec, interval-1-min, interval-5-min, interval-10-min 또는 interval-15-min으로 설정할 수 있습니다.
- FILTER_EXPRESSION: 보관할 로그를 정의하는 표현식. 표현식은 2,048자로 제한됩니다. 자세한 내용은 로그 필터링을 참고하세요.
- SAMPLING_RATE: 보조 흐름 샘플링 레이트. 이 파라미터는 0.0(포함하지 않음)~1.0(모든 로그, 기본값)까지 설정할 수 있습니다. 자세한 내용은 로그 샘플링 및 처리를 참고하세요.
- LOGGING_METADATA: 로그에 포함할 메타데이터 주석
  - include-all-metadata를 사용하여 모든 메타데이터 주석을 포함합니다(기본값).
  - exclude-all-metadata를 사용하여 모든 메타데이터 주석을 제외합니다.
  - custom-metadata를 사용하여 메타데이터 필드의 커스텀 목록을 포함합니다. 메타데이터 필드를 지정하려면 --metadata-fields 플래그를 사용합니다.
    - --metadata-fields=METADATA_FIELDS: METADATA_FIELDS을 로그에 포함할 메타데이터 필드의 쉼표로 구분된 목록으로 바꿉니다. 예를 들면 src_instance,dst_instance입니다. metadata가 custom-metadata로 설정된 경우에만 설정할 수 있습니다.

API

VPC 네트워크에 VPC 흐름 로그를 사용 설정하려면 projects.locations.vpcFlowLogsConfigs.create 메서드를 사용합니다.

기본 VPC 흐름 로그 구성을 만들려면 API 요청에 다음 파라미터를 포함합니다.

POST https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "network": "NETWORK"
}

커스텀 VPC 흐름 로그 구성을 만들려면 맞춤설정할 각 파라미터를 지정합니다.

POST https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "network": "NETWORK",
  "aggregationInterval": "AGGREGATION_INTERVAL",
  "filterExpr": "FILTER_EXPRESSION",
  "flowSampling": SAMPLING_RATE,
  "metadata": "LOGGING_METADATA"
}

다음을 바꿉니다.

PROJECT_ID: VPC 네트워크의 Google Cloud 프로젝트 ID
CONFIG_NAME: 구성의 이름
NETWORK: 로깅할 VPC 네트워크. projects/PROJECT_ID/global/networks/NAME 형식으로 지정해야 하며, 여기서
- PROJECT_ID: VPC 네트워크의 프로젝트 ID
- NAME: VPC 네트워크의 이름

커스텀 구성에서 선택적 파라미터를 설정하려면 다음을 바꿉니다.

AGGREGATION_INTERVAL: 이 구성에서 생성된 흐름 로그의 집계 간격. 이 파라미터는 INTERVAL_5_SEC(기본값), INTERVAL_30_SEC, INTERVAL_1_MIN, INTERVAL_5_MIN, INTERVAL_10_MIN 또는 INTERVAL_15_MIN으로 설정할 수 있습니다.
FILTER_EXPRESSION: 보관할 로그를 정의하는 표현식. 표현식은 2,048자로 제한됩니다. 자세한 내용은 로그 필터링을 참고하세요.
SAMPLING_RATE: 보조 흐름 샘플링 레이트. 이 파라미터는 0.0(포함하지 않음)~1.0(모든 로그, 기본값)까지 설정할 수 있습니다. 자세한 내용은 로그 샘플링 및 처리를 참고하세요.
LOGGING_METADATA: 로그에 포함할 메타데이터 주석
- INCLUDE_ALL_METADATA를 사용하여 모든 메타데이터 주석을 포함합니다(기본값).
- EXCLUDE_ALL_METADATA를 사용하여 모든 메타데이터 주석을 제외합니다.
- CUSTOM_METADATA를 사용하여 메타데이터 필드의 커스텀 목록을 포함합니다. 메타데이터 필드를 지정하려면 metadataFields 파라미터를 사용합니다.
  - metadataFields: METADATA_FIELDS: METADATA_FIELDS를 로그에 포함할 메타데이터 필드의 쉼표로 구분된 목록으로 바꿉니다. 예를 들면 src_instance,dst_instance입니다. metadata가 CUSTOM_METADATA로 설정된 경우에만 설정할 수 있습니다.

조직의 VPC 흐름 로그 사용 설정

조직의 모든 VPC 네트워크에 있는 모든 서브넷, VLAN 연결, Cloud VPN 터널에 대해 VPC 흐름 로그를 사용 설정하려면 다음 단계를 따르세요.

콘솔

Google Cloud 콘솔에서 VPC 흐름 로그 페이지로 이동합니다.

VPC 흐름 로그로 이동
VPC 흐름 로그 구성 추가를 클릭한 다음 조직 구성 추가를 클릭합니다.
이름에 새 VPC 흐름 로그 구성의 이름을 입력합니다.
(선택사항) 고급 설정 섹션에서 집계 간격 및 설정을 조정합니다.
- 로그 필터링을 구성할지 여부. 기본적으로 필터와 일치하는 로그만 유지는 선택 해제되어 있습니다.
- 프로젝트 간 주석을 포함할지 여부입니다. 기본적으로 프로젝트 간 메타데이터 주석이 선택되어 있습니다. 자세한 내용은 프로젝트 간 주석을 참고하세요.
- 최종 로그 항목에 메타데이터를 포함할지 여부. 기본적으로 메타데이터 주석에는 모든 필드가 포함됩니다.
- 보조 샘플링 레이트 100%는 기본 흐름 로그 샘플링 프로세스에서 생성된 모든 항목이 유지됨을 의미합니다. 기본 흐름 로그 샘플링 레이트는 구성할 수 없습니다. 자세한 내용은 로그 샘플링 및 처리를 참고하세요.
저장을 클릭합니다.

gcloud

조직에 VPC 흐름 로그를 사용 설정하려면 gcloud beta network-management vpc-flow-logs-configs create 명령어를 사용합니다.

기본 VPC 흐름 로그 구성을 만들려면 다음 명령어를 실행합니다.

gcloud beta network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --organization=ORGANIZATION

커스텀 VPC 흐름 로그 구성을 만들려면 맞춤설정할 각 파라미터를 지정합니다.

예를 들어 VPC 흐름 로그 구성을 만들 때 집계 간격, 필터링, 보조 샘플링 레이트, 메타데이터 파라미터를 맞춤설정하려면 다음 명령어를 실행합니다.
```
gcloud beta network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --organization=ORGANIZATION \
    --aggregation-interval=AGGREGATION_INTERVAL \
    --filter-expr=FILTER_EXPRESSION \
    --flow-sampling=SAMPLING_RATE \
    --metadata=LOGGING_METADATA \
    --cross-project-metadata=CROSS_PROJECT_METADATA
```
다음을 바꿉니다.
- CONFIG_NAME: 구성 이름
- ORGANIZATION: 조직의 ID
커스텀 구성에서 선택적 파라미터를 설정하려면 다음을 바꿉니다.
- AGGREGATION_INTERVAL: 이 구성에서 생성된 흐름 로그의 집계 간격. 이 파라미터는 interval-5-sec(기본값), interval-30-sec, interval-1-min, interval-5-min, interval-10-min 또는 interval-15-min으로 설정할 수 있습니다.
- FILTER_EXPRESSION: 보관할 로그를 정의하는 표현식. 표현식은 2,048자로 제한됩니다. 자세한 내용은 로그 필터링을 참고하세요.
- SAMPLING_RATE: 보조 흐름 샘플링 레이트. 이 파라미터는 0.0(포함하지 않음)~1.0(모든 로그, 기본값)까지 설정할 수 있습니다. 자세한 내용은 로그 샘플링 및 처리를 참고하세요.
- LOGGING_METADATA: 로그에 포함할 메타데이터 주석
  - include-all-metadata를 사용하여 모든 메타데이터 주석을 포함합니다(기본값).
  - exclude-all-metadata를 사용하여 모든 메타데이터 주석을 제외합니다.
  - custom-metadata를 사용하여 메타데이터 필드의 커스텀 목록을 포함합니다. 메타데이터 필드를 지정하려면 --metadata-fields 플래그를 사용합니다.
    - --metadata-fields=METADATA_FIELDS: METADATA_FIELDS을 로그에 포함할 메타데이터 필드의 쉼표로 구분된 목록으로 바꿉니다. 예를 들면 src_instance,dst_instance입니다. metadata가 custom-metadata로 설정된 경우에만 설정할 수 있습니다.
- CROSS_PROJECT_METADATA: 프로젝트 간 주석. cross-project-metadata-enabled(기본값) 또는 cross-project-metadata-disabled로 설정할 수 있습니다. 자세한 내용은 프로젝트 간 주석을 참고하세요.

API

조직의 VPC 흐름 로그를 사용 설정하려면 organizations.locations.vpcFlowLogsConfigs.create 메서드를 사용합니다.

기본 VPC 흐름 로그 구성을 만들려면 API 요청에 다음 파라미터를 포함합니다.

POST -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1beta1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME

커스텀 VPC 흐름 로그 구성을 만들려면 맞춤설정할 각 파라미터를 지정합니다.

POST -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1beta1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "aggregationInterval": "AGGREGATION_INTERVAL",
  "filterExpr": "FILTER_EXPRESSION",
  "flowSampling": SAMPLING_RATE,
  "metadata": "LOGGING_METADATA",
  "crossProjectMetadata": "CROSS_PROJECT_METADATA"
}

다음을 바꿉니다.

PROJECT_ID: 할당량 프로젝트의 ID. API 요청은 이 프로젝트를 기준으로 계산됩니다. Network Management API의 할당량 값은 프로젝트 수준 및 조직 수준 할당량 모두에 대해 분당 1,200개 요청으로 설정됩니다.
ORGANIZATION_ID: 조직의 ID
CONFIG_NAME: 구성의 이름

커스텀 구성에서 선택적 파라미터를 설정하려면 다음을 바꿉니다.

AGGREGATION_INTERVAL: 이 구성에서 생성된 흐름 로그의 집계 간격. 이 파라미터는 INTERVAL_5_SEC(기본값), INTERVAL_30_SEC, INTERVAL_1_MIN, INTERVAL_5_MIN, INTERVAL_10_MIN 또는 INTERVAL_15_MIN으로 설정할 수 있습니다.
FILTER_EXPRESSION: 보관할 로그를 정의하는 표현식. 표현식은 2,048자로 제한됩니다. 자세한 내용은 로그 필터링을 참고하세요.
SAMPLING_RATE: 보조 흐름 샘플링 레이트. 이 파라미터는 0.0(포함하지 않음)~1.0(모든 로그, 기본값)까지 설정할 수 있습니다. 자세한 내용은 로그 샘플링 및 처리를 참고하세요.
LOGGING_METADATA: 로그에 포함할 메타데이터 주석
- INCLUDE_ALL_METADATA를 사용하여 모든 메타데이터 주석을 포함합니다(기본값).
- EXCLUDE_ALL_METADATA를 사용하여 모든 메타데이터 주석을 제외합니다.
- CUSTOM_METADATA를 사용하여 메타데이터 필드의 커스텀 목록을 포함합니다. 메타데이터 필드를 지정하려면 metadataFields 파라미터를 사용합니다.
  - metadataFields: METADATA_FIELDS: METADATA_FIELDS를 로그에 포함할 메타데이터 필드의 쉼표로 구분된 목록으로 바꿉니다. 예를 들면 src_instance,dst_instance입니다. metadata가 CUSTOM_METADATA로 설정된 경우에만 설정할 수 있습니다.

CROSS_PROJECT_METADATA: 프로젝트 간 주석. CROSS_PROJECT_METADATA_ENABLED(기본값) 또는 CROSS_PROJECT_METADATA_DISABLED로 설정할 수 있습니다. 자세한 내용은 프로젝트 간 주석을 참고하세요.

조직에 대해 VPC 흐름 로그가 사용 설정되면 흐름 로그가 흐름 로그를 보고하는 리소스의 Google Cloud 프로젝트에 기록되고 청구됩니다. 자세한 내용은 가격 책정 및 청구를 참고하세요.

VPC 흐름 로그 구성 상태 보기

VPC 흐름 로그 구성을 확인하여 VPC 흐름 로그가 사용 설정된 리소스를 확인할 수 있습니다.

VPC 흐름 로그 구성 보기

콘솔

모든 VPC 흐름 로그 구성을 보려면 다음 단계를 따르세요.

Google Cloud 콘솔에서 VPC 흐름 로그 페이지로 이동합니다.

VPC 흐름 로그로 이동
조직 수준 구성 및 프로젝트 수준 구성 섹션에서 활성 및 일시중지된 구성을 확인합니다. 리소스의 VPC 흐름 로그 구성 상태가 사용이면 로깅이 사용 설정되어 있는 것입니다.

리소스 페이지의 흐름 로그 구성 열에서 VPC 흐름 로그 구성을 볼 수도 있습니다. 예를 들어 VPC 흐름 로그 구성이 있는 VPC 네트워크와 서브넷을 보려면 다음을 실행합니다.

VPC 네트워크 페이지로 이동합니다.

VPC 네트워크로 이동
현재 프로젝트의 네트워크 또는 현재 프로젝트의 서브넷 탭을 클릭하고 흐름 로그 구성 열에서 활성 및 일시중지된 VPC 흐름 로그 구성을 확인합니다.

gcloud

VPC 흐름 로그 구성을 보려면 gcloud network-management vpc-flow-logs-configs list 및 gcloud network-management vpc-flow-logs-configs describe 명령어를 사용합니다.

조직 수준 구성 보기(프리뷰)

조직의 모든 VPC 흐름 로그 구성을 보려면 다음 명령어를 실행하세요.

gcloud beta network-management vpc-flow-logs-configs list --location=global \
    --organization=ORGANIZATION

특정 VPC 흐름 로그 구성을 보려면 다음 명령어를 실행합니다.
```
gcloud beta network-management vpc-flow-logs-configs describe CONFIG_NAME \
    --location=global \
    --organization=ORGANIZATION
```
다음을 바꿉니다.
- ORGANIZATION: 조직의 ID
- CONFIG_NAME: 구성 이름

프로젝트 수준 구성 보기

프로젝트의 모든 VPC 흐름 로그 구성을 보려면 다음 명령어를 실행하세요.
```
gcloud network-management vpc-flow-logs-configs list --location=global
```
특정 VPC 흐름 로그 구성을 보려면 다음 명령어를 실행합니다.
```
gcloud network-management vpc-flow-logs-configs describe CONFIG_NAME \
    --location=global
```
CONFIG_NAME을 보려는 VPC 흐름 로그 구성의 이름으로 바꿉니다.

VPC 네트워크 및 서브넷의 VPC 흐름 로그 구성을 보려면 이러한 명령어의 베타 버전을 사용하세요.

API

조직 수준 구성 보기(프리뷰)

조직의 모든 VPC 흐름 로그 구성을 보려면 organizations.locations.vpcFlowLogsConfigs.list 메서드를 사용합니다.

GET -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1beta1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs

조직의 특정 VPC 흐름 로그 구성을 보려면 organizations.locations.vpcFlowLogsConfigs.get 메서드를 사용합니다.
```
GET -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1beta1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME
```
다음을 바꿉니다.
- PROJECT_ID: 할당량 프로젝트의 ID. API 요청은 이 프로젝트를 기준으로 계산됩니다.
- ORGANIZATION_ID: 조직의 ID
- CONFIG_NAME: 구성의 이름
조직 수준에서 위의 작업을 수행하는 데 필요한 권한이 없는 경우 다음 요청을 사용하여 조직의 모든 VPC 흐름 로그 구성을 볼 수 있습니다.
```
GET https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs:queryOrgVpcFlowLogsConfigs
```
PROJECT_ID를 프로젝트의 ID로 바꿉니다.

프로젝트 수준 구성 보기

프로젝트의 모든 VPC 흐름 로그 구성을 보려면 projects.locations.vpcFlowLogsConfigs.list 메서드를 사용합니다.
```
GET https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs
```
특정한 VPC 흐름 로그 구성을 보려면 projects.locations.vpcFlowLogsConfigs.get 메서드를 사용합니다.
```
GET https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME
```
다음을 바꿉니다.
- PROJECT_ID: 프로젝트 ID
- CONFIG_NAME: VPC 흐름 로그 구성의 이름
VPC 네트워크 및 서브넷의 VPC 흐름 로그 구성을 보려면 이러한 요청의 v1beta1 버전을 사용하세요.

네트워크에서 VPC 흐름 로그가 사용 설정된 서브넷 보기

이 섹션에서는 Compute Engine API에서 관리하는 서브넷의 VPC 흐름 로그 구성을 확인하는 방법을 설명합니다. 모든 VPC 흐름 로그 구성을 보려면 VPC 흐름 로그 구성 보기를 참고하세요.

콘솔

Google Cloud 콘솔에서 VPC 흐름 로그 페이지로 이동합니다.

VPC 흐름 로그로 이동
프로젝트 수준 구성 섹션에서 서브넷(Compute Engine API) 탭을 클릭하고 프로젝트에서 VPC 흐름 로그가 사용 설정된 서브넷을 확인합니다.

이러한 구성은 Compute Engine API에서 관리합니다. 네트워크 관리 API로 관리되는 구성은 서브넷 탭에 표시됩니다.

gcloud

VPC 네트워크에서 VPC 흐름 로그가 사용 설정된 서브넷을 보려면 다음 명령어를 실행하세요.

gcloud compute networks subnets list \
    --project PROJECT_ID \
    --network="NETWORK" \
    --format="csv(name,region,logConfig.enable)"

다음을 바꿉니다.

PROJECT_ID: 쿼리하려는 프로젝트 ID
NETWORK: 서브넷이 포함된 네트워크 이름

VPC 흐름 로그 구성 업데이트

VPC 흐름 로그 구성을 업데이트할 수 있습니다. 수정할 수 있는 파라미터에 대한 자세한 내용은 로그 샘플링 및 처리를 참고하세요.

조직 수준 구성 업데이트

조직(프리뷰)의 VPC 흐름 로그 구성을 업데이트하면 수정된 구성이 조직의 모든 VPC 네트워크에 있는 모든 서브넷, VLAN 연결, Cloud VPN 터널에 적용됩니다.

콘솔

Google Cloud 콘솔에서 VPC 흐름 로그 페이지로 이동합니다.

VPC 흐름 로그로 이동
조직 수준 구성 섹션에서 업데이트할 구성을 하나 이상 선택하고 수정을 클릭합니다.
다음 중 하나를 조정합니다.
- 집계 간격 기본적으로 집계 간격은 5초로 설정됩니다.
- VPC 흐름 로그 구성의 상태를 사용할지 또는 사용 중지할지 여부입니다. 사용 상태는 선택한 VPC 흐름 로그 구성이 활성 상태이고 흐름 로그를 생성함을 의미합니다.
- 로그 필터링을 구성할지 여부. 기본적으로 필터와 일치하는 로그만 유지는 선택 해제되어 있습니다.
- 프로젝트 간 주석을 포함할지 여부입니다. 기본적으로 프로젝트 간 메타데이터 주석이 선택되어 있습니다. 자세한 내용은 프로젝트 간 주석을 참고하세요.
- 최종 로그 항목에 메타데이터를 포함할지 여부. 기본적으로 메타데이터 주석에는 모든 필드가 포함됩니다.
- 보조 샘플링 레이트 100%는 기본 흐름 로그 샘플링 프로세스에서 생성된 모든 항목이 유지됨을 의미합니다. 기본 흐름 로그 샘플링 레이트는 구성할 수 없습니다. 자세한 내용은 로그 샘플링 및 처리를 참고하세요.
저장을 클릭합니다.

gcloud

gcloud beta network-management vpc-flow-logs-configs update 명령어를 사용합니다. 다음 명령어의 대괄호 []는 선택적 파라미터를 나타냅니다.

조직의 VPC 흐름 로그 구성을 업데이트하려면 다음 명령어를 실행합니다.

gcloud beta network-management vpc-flow-logs-configs update CONFIG_NAME \
    --location=global \
    --organization=ORGANIZATION \
    [--aggregation-interval=AGGREGATION_INTERVAL] \
    [--filter-expr=FILTER_EXPRESSION] \
    [--flow-sampling=SAMPLING_RATE] \
    [--metadata=LOGGING_METADATA] \
    [--cross-project-metadata=CROSS_PROJECT_METADATA] \
    [--state=STATE]

예를 들어 집계 간격 파라미터를 업데이트하려면 다음 명령어를 실행합니다.

gcloud beta network-management vpc-flow-logs-configs update CONFIG_NAME \
    --location=global \
    --organization=ORGANIZATION \
    --aggregation-interval=AGGREGATION_INTERVAL

다음을 바꿉니다.

CONFIG_NAME: 업데이트하려는 구성의 이름. 구성은 구성이 사용되는 리소스와 동일한 Google Cloud 프로젝트에 있습니다.
ORGANIZATION: 조직의 ID

선택적 파라미터를 업데이트하려면 다음을 바꿉니다.

AGGREGATION_INTERVAL: 이 구성에서 생성된 흐름 로그의 집계 간격. 이 파라미터는 interval-5-sec(기본값), interval-30-sec, interval-1-min, interval-5-min, interval-10-min 또는 interval-15-min으로 설정할 수 있습니다.
FILTER_EXPRESSION: 보관할 로그를 정의하는 표현식. 표현식은 2,048자로 제한됩니다. 자세한 내용은 로그 필터링을 참고하세요.
SAMPLING_RATE: 보조 흐름 샘플링 레이트. 이 파라미터는 0.0(포함하지 않음)~1.0(모든 로그, 기본값)까지 설정할 수 있습니다. 자세한 내용은 로그 샘플링 및 처리를 참고하세요.
LOGGING_METADATA: 로그에 포함할 메타데이터 주석
- include-all-metadata를 사용하여 모든 메타데이터 주석을 포함합니다(기본값).
- exclude-all-metadata를 사용하여 모든 메타데이터 주석을 제외합니다.
- custom-metadata를 사용하여 메타데이터 필드의 커스텀 목록을 포함합니다. 메타데이터 필드를 지정하려면 --metadata-fields 플래그를 사용합니다.
  - --metadata-fields=METADATA_FIELDS: METADATA_FIELDS을 로그에 포함할 메타데이터 필드의 쉼표로 구분된 목록으로 바꿉니다. 예를 들면 src_instance,dst_instance입니다. metadata가 custom-metadata로 설정된 경우에만 설정할 수 있습니다.
CROSS_PROJECT_METADATA: 프로젝트 간 주석. cross-project-metadata-enabled(기본값) 또는 cross-project-metadata-disabled로 설정할 수 있습니다. 자세한 내용은 프로젝트 간 주석을 참고하세요.
STATE: 구성의 상태. enabled(기본값) 또는 disabled일 수 있습니다.

API

organizations.locations.vpcFlowLogsConfigs.patch 메서드를 사용합니다. 수정할 수 있는 필드에 대한 자세한 내용은 REST 리소스: projects.locations.vpcFlowLogsConfigs를 참고하세요.

조직의 VPC 흐름 로그 구성을 업데이트하려면 API 요청에 다음 파라미터를 포함합니다.

PATCH -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1beta1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME?updateMask=FIELDS
{
  ...fields to modify
}

다음을 바꿉니다.

PROJECT_ID: 할당량 프로젝트의 ID. API 요청은 이 프로젝트를 기준으로 계산됩니다. Network Management API의 할당량 값은 프로젝트 수준 및 조직 수준 할당량 모두에 대해 분당 1,200개 요청으로 설정됩니다.
ORGANIZATION_ID: 구성이 사용되는 조직의 ID
CONFIG_NAME: 업데이트하려는 구성의 이름.
FIELDS: 업데이트하려는 필드 하나 이상의 이름으로, 쉼표로 구분합니다(예: aggregationInterval,flowSampling,metadata).

예를 들어 my-organization의 구성 my-config에 대한 aggregationInterval 필드를 업데이트하려면 다음 API 요청을 사용합니다.

PATCH -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1beta1/organizations/my-organization/locations/global/vpcFlowLogsConfigs/my-config?updateMask=aggregationInterval
{
  aggregationInterval:AGGREGATION_INTERVAL
}

다음을 바꿉니다.

PROJECT_ID: 할당량 프로젝트의 ID. API 요청은 이 프로젝트를 기준으로 계산됩니다.
AGGREGATION_INTERVAL: 이 파라미터에 지원되는 값

프로젝트 수준 구성 업데이트

프로젝트 수준 구성에는 VPC 네트워크(프리뷰), 서브넷(프리뷰), VLAN 연결, Cloud VPN 터널의 구성이 포함됩니다. VPC 네트워크의 VPC 흐름 로그 구성을 업데이트하면 수정된 구성이 네트워크의 모든 서브넷, VLAN 연결, Cloud VPN 터널에 적용됩니다.

Compute Engine API에서 관리하는 VPC 흐름 로그 구성을 업데이트하려면 서브넷의 구성 파라미터 업데이트를 참고하세요.

콘솔

Google Cloud 콘솔에서 VPC 흐름 로그 페이지로 이동합니다.

VPC 흐름 로그로 이동
프로젝트 수준 구성 섹션에서 업데이트할 구성을 하나 이상 선택하고 수정을 클릭합니다.
다음 중 하나를 조정합니다.
- 집계 간격 기본적으로 집계 간격은 5초로 설정됩니다.
- VPC 흐름 로그 구성의 상태를 사용할지 또는 사용 중지할지 여부입니다. 사용 상태는 선택한 VPC 흐름 로그 구성이 활성 상태이고 흐름 로그를 생성함을 의미합니다.
- 로그 필터링을 구성할지 여부. 기본적으로 필터와 일치하는 로그만 유지는 선택 해제되어 있습니다.
- 최종 로그 항목에 메타데이터를 포함할지 여부. 기본적으로 메타데이터 주석에는 모든 필드가 포함됩니다.
- 보조 샘플링 레이트 100%는 기본 흐름 로그 샘플링 프로세스에서 생성된 모든 항목이 유지됨을 의미합니다. 기본 흐름 로그 샘플링 레이트는 구성할 수 없습니다. 자세한 내용은 로그 샘플링 및 처리를 참고하세요.
저장을 클릭합니다.

다음 위치에서 흐름 로그 관리 메뉴를 사용하여 VPC 흐름 로그 구성을 수정할 수도 있습니다.

VPC 네트워크 페이지의 현재 프로젝트의 네트워크 및 현재 프로젝트의 서브넷 탭
Interconnect 페이지의 VLAN 연결 탭
VPN 페이지의 VPN 터널 탭

gcloud

gcloud network-management vpc-flow-logs-configs update 및 gcloud beta network-management vpc-flow-logs-configs update 명령어를 사용합니다. 다음 명령어의 대괄호 []는 선택적 파라미터를 나타냅니다.

VPC 네트워크 또는 서브넷(프리뷰)의 VPC 흐름 로그 구성을 업데이트하려면 다음 명령어를 실행합니다.

gcloud beta network-management vpc-flow-logs-configs update CONFIG_NAME \
    --location=global \
    [--network=NETWORK | --subnet=SUBNET] \
    [--aggregation-interval=AGGREGATION_INTERVAL] \
    [--filter-expr=FILTER_EXPRESSION] \
    [--flow-sampling=SAMPLING_RATE] \
    [--metadata=LOGGING_METADATA] \
    [--state=STATE]

VLAN 연결 또는 Cloud VPN 터널의 VPC 흐름 로그 구성을 업데이트하려면 다음 명령어를 실행합니다.

gcloud network-management vpc-flow-logs-configs update CONFIG_NAME \
    --location=global \
    [--interconnect-attachment=VLAN_ATTACHMENT | --vpn-tunnel=VPN_TUNNEL] \
    [--aggregation-interval=AGGREGATION_INTERVAL] \
    [--filter-expr=FILTER_EXPRESSION] \
    [--flow-sampling=SAMPLING_RATE] \
    [--metadata=LOGGING_METADATA] \
    [--state=STATE]

예를 들어 VLAN 연결 또는 Cloud VPN 터널의 집계 간격 파라미터를 업데이트하려면 다음 명령어를 실행합니다.

gcloud network-management vpc-flow-logs-configs update CONFIG_NAME \
    --location=global \
    --aggregation-interval=AGGREGATION_INTERVAL

다음을 바꿉니다.

CONFIG_NAME: 업데이트하려는 구성의 이름. 구성은 구성이 사용되는 리소스와 동일한 Google Cloud 프로젝트에 있습니다.

선택적 파라미터를 업데이트하려면 다음을 바꿉니다.

NETWORK, SUBNET, VLAN_ATTACHMENT 또는 VPN_TUNNEL: 타겟 리소스의 이름. 구성당 하나의 리소스만 지정할 수 있습니다. 이 옵션을 사용하여 대상 리소스의 이름을 업데이트합니다. 형식으로 지정해야 합니다.
- VPC 네트워크: projects/PROJECT_ID/global/networks/NAME
- 서브넷: projects/PROJECT_ID/regions/REGION/subnetworks/NAME
- VLAN 연결: projects/PROJECT_ID/regions/REGION/interconnectAttachments/NAME
- Cloud VPN 터널: projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME
- 다음을 바꿉니다.
  - PROJECT_ID: 리소스가 포함된 Google Cloud 프로젝트의 ID
  - REGION: 리소스의 리전
  - NAME: 리소스 이름
AGGREGATION_INTERVAL: 이 구성에서 생성된 흐름 로그의 집계 간격. 이 파라미터는 interval-5-sec(기본값), interval-30-sec, interval-1-min, interval-5-min, interval-10-min 또는 interval-15-min으로 설정할 수 있습니다.
FILTER_EXPRESSION: 보관할 로그를 정의하는 표현식. 표현식은 2,048자로 제한됩니다. 자세한 내용은 로그 필터링을 참고하세요.
SAMPLING_RATE: 보조 흐름 샘플링 레이트. 이 파라미터는 0.0(포함하지 않음)~1.0(모든 로그, 기본값)까지 설정할 수 있습니다. 자세한 내용은 로그 샘플링 및 처리를 참고하세요.
LOGGING_METADATA: 로그에 포함할 메타데이터 주석
- include-all-metadata를 사용하여 모든 메타데이터 주석을 포함합니다(기본값).
- exclude-all-metadata를 사용하여 모든 메타데이터 주석을 제외합니다.
- custom-metadata를 사용하여 메타데이터 필드의 커스텀 목록을 포함합니다. 메타데이터 필드를 지정하려면 --metadata-fields 플래그를 사용합니다.
  - --metadata-fields=METADATA_FIELDS: METADATA_FIELDS을 로그에 포함할 메타데이터 필드의 쉼표로 구분된 목록으로 바꿉니다. 예를 들면 src_instance,dst_instance입니다. metadata가 custom-metadata로 설정된 경우에만 설정할 수 있습니다.
STATE: 구성의 상태. enabled(기본값) 또는 disabled일 수 있습니다.

API

projects.locations.vpcFlowLogsConfigs.patch 및 projects.locations.vpcFlowLogsConfigs.patch(v1beta1) 메서드를 사용합니다. 수정할 수 있는 필드에 대한 자세한 내용은 REST 리소스: projects.locations.vpcFlowLogsConfigs를 참고하세요.

VPC 네트워크 또는 서브넷(프리뷰)의 VPC 흐름 로그 구성을 업데이트하려면 API 요청에 다음 파라미터를 포함하세요.

PATCH https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME?updateMask=FIELDS
{
  ...fields to modify
}

VLAN 연결 또는 Cloud VPN 터널의 VPC 흐름 로그 구성을 업데이트하려면 API 요청에 다음 파라미터를 포함하세요.

PATCH https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME?updateMask=FIELDS
{
  ...fields to modify
}

다음을 바꿉니다.

PROJECT_ID: VPC 흐름 로그 구성이 포함된 Google Cloud 프로젝트의 ID. 이 ID는 구성이 사용되는 리소스의 프로젝트 ID와 동일합니다.
CONFIG_NAME: 업데이트하려는 구성의 이름.
FIELDS: 업데이트하려는 필드 하나 이상의 이름으로, 쉼표로 구분합니다(예: aggregationInterval,flowSampling,metadata).

예를 들어 my-project의 구성 my-config에 대한 aggregationInterval 필드를 업데이트하려면 다음 API 요청을 사용합니다.

PATCH https://networkmanagement.googleapis.com/v1/projects/my-project/locations/global/vpcFlowLogsConfigs/my-config?updateMask=aggregationInterval
{
  aggregationInterval:AGGREGATION_INTERVAL
}

AGGREGATION_INTERVAL을 이 파라미터에 지원되는 값으로 바꿉니다.

서브넷의 구성 파라미터 업데이트

이 섹션에서는 Compute Engine API로 관리되는 VPC 흐름 로그 구성을 업데이트하는 방법을 설명합니다.

Compute Engine API에서 관리하는 VPC 흐름 로그 구성을 확인하려면 네트워크에서 VPC 흐름 로그가 사용 설정된 서브넷 보기를 참고하세요.

콘솔

Google Cloud 콘솔에서 VPC 네트워크 페이지로 이동합니다.

VPC 네트워크로 이동
현재 프로젝트의 서브넷에서 업데이트할 서브넷을 클릭합니다.
수정을 클릭합니다.
선택사항: 다음 설정 중 하나를 조정합니다.
- 집계 간격 기본적으로 집계 간격은 5초로 설정됩니다.
- 로그 필터링을 구성할지 여부. 기본적으로 필터와 일치하는 로그만 유지는 선택 해제되어 있습니다.
- 최종 로그 항목에 메타데이터를 포함할지 여부. 기본적으로 메타데이터 주석에는 모든 필드가 포함됩니다.
- 보조 샘플링 레이트 50%는 기본 흐름 로그 샘플링 프로세스에서 생성된 항목의 절반이 유지됨을 의미합니다. 기본 흐름 로그 샘플링 레이트는 구성할 수 없습니다. 자세한 내용은 로그 샘플링 및 처리를 참고하세요.
저장을 클릭합니다.

또는 VPC 네트워크 페이지의 현재 프로젝트의 서브넷 아래에 있는 흐름 로그 관리 메뉴를 사용하여 VPC 흐름 로그 구성 파라미터를 업데이트할 수 있습니다.

gcloud

다음 명령어를 실행합니다.

gcloud compute networks subnets update SUBNET_NAME \
    [--logging-aggregation-interval=AGGREGATION_INTERVAL] \
    [--logging-flow-sampling=SAMPLING_RATE] \
    [--logging-filter-expr=FILTER_EXPRESSION] \
    [--logging-metadata=LOGGING_METADATA] \
    [--logging-metadata-fields=METADATA_FIELDS] \

다음을 바꿉니다.

AGGREGATION_INTERVAL: 해당 서브넷에서 흐름 로그의 집계 간격. 이 간격은 5초(기본값), 30초, 1분, 5분, 10분, 15분 중 하나로 설정할 수 있습니다.
SAMPLING_RATE: 보조 흐름 샘플링 레이트. 보조 흐름 샘플링은 0.0(샘플링 없음)에서 1.0(모든 로그)까지 설정할 수 있습니다. 기본값은 0.5입니다. 자세한 내용은 로그 샘플링 및 처리를 참고하세요.
FILTER_EXPRESSION은 보관할 로그를 정의하는 표현식. 표현식은 2,048자로 제한됩니다. 자세한 내용은 로그 필터링을 참고하세요.
LOGGING_METADATA: 로그에 포함할 메타데이터 주석
- include-all을 사용하여 모든 메타데이터 주석을 포함합니다.
- exclude-all을 사용하여 모든 메타데이터 주석을 제외합니다(기본값).
- custom을 사용하여 METADATA_FIELDS에 지정하는 메타데이터 필드의 커스텀 목록을 포함합니다.
참고: 2021년 3월 1일 이전에 서브넷에서 흐름 로깅을 사용 설정했으며 LOGGING_METADATA가 명시적으로 구성되지 않은 경우 LOGGING_METADATA의 기본값은 include-all입니다.
METADATA_FIELDS: 로그에 포함할 메타데이터 필드의 쉼표로 구분된 목록입니다. 예를 들면 src_instance,dst_instance입니다. LOGGING_METADATA가 custom으로 설정된 경우에만 설정할 수 있습니다.

API

로그 샘플링 필드를 수정하여 VPC 흐름 로그 동작을 업데이트합니다.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    ...fields to modify
  },
  "fingerprint": "SUBNET_FINGERPRINT"
}

다음을 바꿉니다.

PROJECT_ID: 서브넷이 있는 프로젝트의 ID
REGION: 서브넷이 있는 리전
SUBNET_NAME: 기존 서브넷의 이름
SUBNET_FINGERPRINT: 서브넷을 설명할 때 제공되는 기존 서브넷의 디지털 지문 ID
수정할 수 있는 필드는 서브넷을 만들 때 VPC 흐름 로그 사용 설정을 참고하세요.

자세한 내용은 subnetworks.patch 메서드를 참고하세요.

로그 수집 중지

활성 VPC 흐름 로그 구성을 모두 사용 중지하여 리소스의 로그 수집을 일시중지할 수 있습니다.

VPC 흐름 로그 구성이 더 이상 필요하지 않으면 구성 삭제를 수행할 수 있습니다. 로그 수집이 중지되고 구성이 삭제됩니다.

로그 수집을 중지하고 Compute Engine API에서 관리하는 VPC 흐름 로그 구성을 삭제하려면 서브넷의 VPC 흐름 로그 중지를 참고하세요.

VPC 흐름 로그 구성 중지

콘솔

Google Cloud 콘솔에서 VPC 흐름 로그 페이지로 이동합니다.

VPC 흐름 로그로 이동
조직 수준 구성 또는 프로젝트 수준 구성 섹션에서 사용 중지할 VPC 흐름 로그 구성을 하나 이상 선택하고 구성 상태를 사용 중지로 변경합니다.

선택한 항목에 활성 구성과 비활성 구성이 모두 포함된 경우 구성 상태 변경 메뉴에서 모두 사용 중지를 클릭합니다.

gcloud

VPC 흐름 로그 구성의 로그 수집을 일시중지하려면 gcloud network-management vpc-flow-logs-configs update 및 gcloud beta network-management vpc-flow-logs-configs update 명령어를 사용합니다.

조직 수준 구성 일시중지(프리뷰)

gcloud beta network-management vpc-flow-logs-configs update CONFIG_NAME \
    --location=global \
    --organization=ORGANIZATION \
    --state=disabled

다음을 바꿉니다.

CONFIG_NAME: 구성 이름
ORGANIZATION: 조직의 ID

프로젝트 수준 구성 일시중지하기

gcloud network-management vpc-flow-logs-configs update CONFIG_NAME \
    --location=global \
    --state=disabled

CONFIG_NAME을 구성 이름으로 바꿉니다.

VPC 네트워크 또는 서브넷의 VPC 흐름 로그 구성을 일시중지하려면 이 명령어의 베타 버전을 사용하세요.

API

조직 수준 구성 일시중지(프리뷰)

로그 수집을 일시중지하려면 organizations.locations.vpcFlowLogsConfigs.patch 메서드를 사용하세요.

PATCH -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1beta1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME?updateMask=state
{
  "state": "DISABLED"
}

다음을 바꿉니다.

PROJECT_ID: 할당량 프로젝트의 ID. API 요청은 이 프로젝트를 기준으로 계산됩니다.
ORGANIZATION_ID: 조직의 ID
CONFIG_NAME: 구성의 이름

프로젝트 수준 구성 일시중지하기

로그 수집을 일시중지하려면 projects.locations.vpcFlowLogsConfigs.patch 메서드를 사용합니다.

PATCH https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME?updateMask=state
{
  "state": "DISABLED"
}

다음을 바꿉니다.

PROJECT_ID: 구성이 포함된 Google Cloud 프로젝트의 ID. 이 ID는 구성이 사용되는 리소스의 프로젝트 ID와 동일합니다.
CONFIG_NAME: 구성의 이름

VPC 네트워크 또는 서브넷의 VPC 흐름 로그 구성을 일시중지하려면 이 요청의 v1beta1 버전을 사용하세요.

VPC 흐름 로그 구성 삭제

콘솔

Google Cloud 콘솔에서 VPC 흐름 로그 페이지로 이동합니다.

VPC 흐름 로그로 이동
조직 수준 구성 또는 프로젝트 수준 구성 섹션에서 삭제할 VPC 흐름 로그 구성을 하나 이상 선택하고 삭제를 클릭합니다.

gcloud

VPC 흐름 로그 구성을 삭제하려면 gcloud network-management vpc-flow-logs-configs delete 및 gcloud beta network-management vpc-flow-logs-configs delete 명령어를 사용합니다.

조직 수준 구성 삭제 (프리뷰)

gcloud beta network-management vpc-flow-logs-configs delete CONFIG_NAME \
    --location=global \
    --organization=ORGANIZATION

다음을 바꿉니다.

CONFIG_NAME: 구성 이름
ORGANIZATION: 조직의 ID

프로젝트 수준 구성 삭제하기

gcloud network-management vpc-flow-logs-configs delete CONFIG_NAME \
    --location=global

CONFIG_NAME을 삭제할 구성의 이름으로 바꿉니다.

VPC 네트워크 또는 서브넷의 VPC 흐름 로그 구성을 삭제하려면 이 명령어의 베타 버전을 사용하세요.

API

조직 수준 구성 삭제 (프리뷰)

VPC 흐름 로그 구성을 삭제하려면 organizations.locations.vpcFlowLogsConfigs.delete 메서드를 사용합니다.

DELETE -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1beta1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME

다음을 바꿉니다.

PROJECT_ID: 할당량 프로젝트의 ID. API 요청은 이 프로젝트를 기준으로 계산됩니다.
ORGANIZATION_ID: 조직의 ID
CONFIG_NAME: 구성의 이름

프로젝트 수준 구성 삭제하기

VPC 흐름 로그 구성을 삭제하려면 projects.locations.vpcFlowLogsConfigs.delete 메서드를 사용합니다.

DELETE https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME

다음을 바꿉니다.

PROJECT_ID: 구성이 포함된 Google Cloud 프로젝트의 ID
CONFIG_NAME: 구성 이름

VPC 네트워크 또는 서브넷의 VPC 흐름 로그 구성을 삭제하려면 이 요청의 v1beta1 버전을 사용하세요.

서브넷의 VPC 흐름 로그 중지

이 섹션에서는 Compute Engine API로 관리되는 VPC 흐름 로그 구성을 삭제하는 방법을 설명합니다. 서브넷의 VPC 흐름 로그를 사용 중지하면 로그 수집이 중지되고 구성이 삭제됩니다.

콘솔

Google Cloud 콘솔에서 VPC 네트워크 페이지로 이동합니다.

VPC 네트워크로 이동
업데이트할 서브넷을 클릭합니다.
수정을 클릭합니다.
흐름 로그에서 사용 중지를 선택합니다.
저장을 클릭합니다.

gcloud

다음 명령어를 실행합니다.

gcloud compute networks subnets update SUBNET_NAME \
    --no-enable-flow-logs

API

로그 레코드 수집을 중지하려면 서브넷에서 VPC 흐름 로그를 중지합니다.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    "enable": false
  },
  "fingerprint": "SUBNET_FINGERPRINT"
}

다음을 바꿉니다.

PROJECT_ID: 서브넷이 있는 프로젝트의 ID
REGION: 서브넷이 있는 리전
SUBNET_NAME: 기존 서브넷의 이름
SUBNET_FINGERPRINT: 서브넷을 설명할 때 제공되는 기존 서브넷의 디지털 지문 ID

자세한 내용은 subnetworks.patch 메서드를 참고하세요.

문제 해결

다음 섹션은 VPC 흐름 로그 구성 문제를 진단하는 데 도움이 될 수 있습니다.

서브넷의 흐름 로그를 사용 설정해도 중지된 것처럼 보임

내부 애플리케이션 부하 분산기에 프록시 전용 서브넷을 구성하고 gcloud compute networks subnets 명령어를 사용하여 VPC 흐름 로그를 사용 설정하면 명령어가 성공한 것으로 표시되지만 흐름 로그는 실제로 사용 설정되지 않습니다. --purpose=INTERNAL_HTTPS_LOAD_BALANCER 플래그도 포함하면 --enable-flow-logs 플래그가 적용되지 않습니다.

Google Cloud 콘솔 또는 API를 사용하여 흐름 로그를 사용 설정하면 'resource.enableFlowLogs' 필드의 값이 잘못되었습니다: 'true'. INTERNAL_HTTPS_LOAD_BALANCER 목적으로 서브네트워크에 설정된 필드가 잘못되었습니다'라는 오류 메시지가 표시됩니다.

프록시 전용 서브넷에는 VM이 없으므로 VPC 흐름 로그는 지원되지 않습니다. 이는 의도된 동작입니다.

다음 단계

흐름 로그 액세스