Esta página foi traduzida pela API Cloud Translation.

Configure os registos de fluxo da VPC

Esta página explica como configurar os registos de fluxo da VPC. Parte do princípio de que conhece os conceitos descritos nos registos de fluxo de VPC e no artigo Acerca dos registos de fluxo de VPC.

Antes de começar

Configure, pelo menos, uma das seguintes opções:

Recomendado: a API Network Management permite-lhe configurar registos de fluxo da VPC para organizações, redes da nuvem virtual privada (VPC), sub-redes, anexos de VLAN para o Cloud Interconnect e túneis do Cloud VPN. Para usar a API Network Management, faça o seguinte:
1. Ative a API Network Management no seu Google Cloud projeto.
  
  Ative a API Network Management
2. Certifique-se de que tem a função de administrador de gestão da rede (roles/networkmanagement.admin), concedida da seguinte forma:
  - Nível da organização (obrigatório se quiser configurar os registos de fluxo da VPC para uma organização)
  - Nível do projeto (obrigatório se quiser configurar registos de fluxo de VPC para uma rede de VPC, uma sub-rede, uma associação de VLAN ou um túnel do Cloud VPN)
3. Além disso, se quiser configurar os registos de fluxo da VPC para uma organização, certifique-se de que tem a autorização resourcemanager.organizations.get.
A API Compute Engine permite-lhe configurar registos de fluxo de VPC apenas para sub-redes. As configurações criadas com a API Compute Engine não podem ser geridas com a API Network Management. Para usar a API Compute Engine, faça o seguinte:
1. Ative a API Compute Engine no seu Google Cloud projeto.
  
  Ative a API Compute Engine
2. Certifique-se de que tem uma das seguintes funções no projeto:
  - Função de administrador de computação (roles/compute.admin)
  - Função de administrador de rede de computação (roles/compute.networkAdmin)
Para mais informações sobre que API usar para ativar os registos de fluxo de VPC para sub-redes, consulte o artigo Escolha como ativar os registos de fluxo de VPC para uma sub-rede.

Configure a CLI Google Cloud

Ignore este passo se não planear usar a CLI gcloud para configurar os registos de fluxo da VPC.

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

Ative os registos de fluxo da VPC

Ativa os registos de fluxo de VPC para um recurso criando uma configuração dos registos de fluxo de VPC. Os registos de fluxo de VPC permitem-lhe criar configurações ao nível da organização e do projeto:

Uma configuração ao nível da organização ativa os registos de fluxo para todas as sub-redes, anexos de VLAN e túneis de VPN na nuvem em todas as redes VPC na organização.
Uma configuração ao nível do projeto permite-lhe ativar os registos de fluxo para os seguintes recursos:
- Uma rede VPC específica, que inclui todas as sub-redes, anexos de VLAN e túneis de Cloud VPN na rede
- Uma sub-rede, uma associação VLAN ou um túnel Cloud VPN específico

Pode adicionar mais do que uma configuração dos registos de fluxo da VPC por recurso. Cada configuração gera um conjunto separado de registos de fluxo. Se associar um recurso a várias configurações de registos de fluxo de VPC e o respetivo âmbito se sobrepuser, as informações de registo podem conter registos duplicados.

Também pode modificar a quantidade de informações escritas no registo. Para mais informações acerca dos parâmetros que pode controlar, consulte Amostragem e processamento de registos.

Ative os registos de fluxo da VPC para uma sub-rede

Quando ativa os registos de fluxo de VPC para uma sub-rede, ativa o registo para todas as VMs na sub-rede.

Escolha como ativar os registos de fluxo de VPC para uma sub-rede

Pode usar a API Network Management ou a API Compute Engine para ativar os registos de fluxo de VPC para sub-redes. Uma vez que a API Network Management oferece mais opções para ativar os registos de fluxo da VPC, recomendamos que use a API Network Management.

A API Network Management oferece paridade de funcionalidades com a API Compute Engine. Todas as opções de configuração dos registos de fluxo de VPC para sub-redes disponíveis na API Compute Engine são suportadas na API Network Management.

Para as configurações existentes dos registos de fluxo da VPC geridas pela API Compute Engine, considere o seguinte:

Para mover as suas configurações para a API Network Management, pode usar qualquer uma das seguintes abordagens:
- Pode criar uma cópia das configurações dos registos de fluxo da VPC através da API Network Management e, em seguida, eliminar as configurações originais. Para mais informações, consulte os artigos Ative os registos de fluxo de VPC para uma sub-rede (API Network Management) e Desative os registos de fluxo de VPC para uma sub-rede.
- Para simplificar a gestão da configuração dos registos de fluxo da VPC, pode consolidar opcionalmente as configurações existentes geridas pela API Compute Engine. Por exemplo, em vez de criar uma configuração separada para cada sub-rede, pode criar uma configuração para a rede VPC ou a organização que contém as suas sub-redes e, em seguida, eliminar as configurações originais. Para mais informações, consulte o artigo Configurações suportadas.
Ao contrário da API Compute Engine, a API Network Management não define os campos enableFlowLogs ou logConfig.enable para sub-redes. Se estiver a usar ferramentas de terceiros que dependem destes campos, pode fazer qualquer uma das seguintes ações:
- Use o método showEffectiveFlowLogsConfigs da API Network Management para ver todas as configurações que registam uma sub-rede específica. Para mais informações, consulte Ver todas as configurações de um recurso no separador API.
- Continue a usar a API Compute Engine para configurar os registos de fluxo da VPC, conforme descrito no artigo Ative os registos de fluxo da VPC para uma sub-rede (API Compute Engine).

Ative os registos de fluxo de VPC para uma sub-rede (API Network Management)

Esta secção descreve como ativar os registos de fluxo de VPC para uma sub-rede através da API Network Management (recomendado).

Consola

Na Google Cloud consola, aceda à página Redes VPC.

Aceda a redes de VPC
No separador Sub-redes no projeto atual, selecione uma ou mais sub-redes e, de seguida, clique em Gerir registos de fluxo.
Em Gerir registos de fluxo, clique em Adicionar nova configuração.
Efetue um dos seguintes passos:
- Se selecionou uma sub-rede, na secção Configurações – Sub-redes, clique em Adicionar uma configuração.
- Se selecionou várias sub-redes, na secção Configurar registos de fluxo de VPC, selecione API Network Management.
Em Nome, introduza um nome para a nova configuração de registos de fluxo de VPC.
Opcional: ajuste o Intervalo de agregação e qualquer uma das definições na secção Definições avançadas:
- Se deve configurar a filtragem de registos. Por predefinição, a opção Manter apenas registos que correspondam a um filtro está desmarcada.
- Se devem ser incluídos metadados nas entradas do registo final. Por predefinição, as anotações de metadados incluem todos os campos.
- A taxa de amostragem secundária. 100% significa que todas as entradas geradas pelo processo de amostragem do registo de fluxo principal são mantidas. A taxa de amostragem do registo de fluxo principal não é configurável. Para mais informações, consulte o artigo Amostragem e processamento de registos.
Clique em Guardar.

gcloud

Para ativar os registos de fluxo da VPC para uma sub-rede, use o comando gcloud network-management vpc-flow-logs-configs create.

Ativa os registos de fluxo de VPC criando uma configuração de registos de fluxo de VPC. Pode criar a configuração com todos os respetivos parâmetros definidos para os valores predefinidos ou pode personalizar os valores predefinidos.

Na CLI gcloud, defina o seu projeto para o Google Cloud ID do projeto da sub-rede e execute um dos seguintes comandos:

Para criar uma configuração predefinida dos registos de fluxo da VPC, execute o seguinte comando:

gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --subnet=SUBNET

Para criar uma configuração personalizada dos registos de fluxo da VPC, especifique cada parâmetro que quer personalizar.

Por exemplo, para personalizar o intervalo de agregação, a filtragem, a taxa de amostragem secundária e os parâmetros de metadados ao criar uma configuração de registos de fluxo de VPC, execute o seguinte comando:
```
gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --subnet=SUBNET \
    --aggregation-interval=AGGREGATION_INTERVAL \
    --filter-expr=FILTER_EXPRESSION \
    --flow-sampling=SAMPLING_RATE \
    --metadata=LOGGING_METADATA
```
Substitua o seguinte:
- CONFIG_NAME: um nome para a configuração.
- SUBNET: a sub-rede que quer registar. Tem de ser especificado no seguinte formato: projects/PROJECT_ID/regions/REGION/subnetworks/NAME, onde:
  - PROJECT_ID é o ID do projeto que contém a sub-rede. Google Cloud A configuração tem de ser criada neste projeto.
  - REGION é a região da sub-rede.
  - NAME é o nome da sub-rede.
Para definir os parâmetros opcionais numa configuração personalizada, substitua o seguinte:
- AGGREGATION_INTERVAL: o intervalo de agregação para registos de fluxo gerados por esta configuração. Este parâmetro pode ser definido como interval-5-sec(predefinição), interval-30-sec, interval-1-min, interval-5-min,interval-10-min ou interval-15-min.
- FILTER_EXPRESSION: uma expressão que define os registos que quer manter. A expressão tem um limite de 2048 carateres. Para mais informações, consulte os artigos Filtragem de registos e Exemplos de filtros de registos.
- SAMPLING_RATE: a taxa de amostragem do fluxo secundário. Este parâmetro pode ser definido de um valor superior a 0.0 a 1.0 (todos os registos, predefinição). Para mais informações, consulte o artigo Amostragem e processamento de registos.
- LOGGING_METADATA: as anotações de metadados que quer incluir nos registos:
  - Use include-all-metadata para incluir todas as anotações de metadados (predefinição).
  - Use exclude-all-metadata para excluir todas as anotações de metadados.
  - Use custom-metadata para incluir uma lista personalizada de campos de metadados. Para especificar os campos de metadados, use a flag --metadata-fields:
    - --metadata-fields=METADATA_FIELDS: substitua METADATA_FIELDS por uma lista separada por vírgulas de campos de metadados que quer incluir nos registos. Por exemplo, src_instance,dst_instance. Só pode ser definido se metadata estiver definido como custom-metadata.

API

Para ativar os registos de fluxo da VPC para uma sub-rede, use o método projects.locations.vpcFlowLogsConfigs.create.

Para criar uma configuração predefinida dos registos de fluxo da VPC, inclua os seguintes parâmetros no seu pedido de API:

POST https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "subnet": "SUBNET"
}

Para criar uma configuração personalizada dos registos de fluxo da VPC, especifique cada parâmetro que quer personalizar.

Por exemplo, para personalizar o intervalo de agregação, a filtragem, a taxa de amostragem secundária e os parâmetros de metadados quando criar uma configuração de registos de fluxo de VPC, inclua os seguintes parâmetros no seu pedido de API:

POST https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "subnet": "SUBNET",
  "aggregationInterval": "AGGREGATION_INTERVAL",
  "filterExpr": "FILTER_EXPRESSION",
  "flowSampling": SAMPLING_RATE,
  "metadata": "LOGGING_METADATA"
}

Substitua o seguinte:

PROJECT_ID: o Google Cloud ID do projeto da sub-rede.
CONFIG_NAME: um nome para a configuração.
SUBNET: a sub-rede que quer registar. Tem de ser especificado no seguinte formato: projects/PROJECT_ID/regions/REGION/subnetworks/NAME, onde:
- PROJECT_ID é o ID do projeto da sub-rede.
- REGION é a região da sub-rede.
- NAME é o nome da sub-rede.

Para definir os parâmetros opcionais numa configuração personalizada, substitua o seguinte:

AGGREGATION_INTERVAL: o intervalo de agregação para registos de fluxo gerados por esta configuração. Este parâmetro pode ser definido como INTERVAL_5_SEC (predefinição), INTERVAL_30_SEC, INTERVAL_1_MIN, INTERVAL_5_MIN, INTERVAL_10_MIN ou INTERVAL_15_MIN.
FILTER_EXPRESSION: uma expressão que define os registos que quer manter. A expressão tem um limite de 2048 carateres. Para mais informações, consulte o artigo Filtragem de registos.
SAMPLING_RATE: a taxa de amostragem do fluxo secundário. Este parâmetro pode ser definido de um valor superior a 0.0 a 1.0 (todos os registos, predefinição). Para mais informações, consulte o artigo Amostragem e processamento de registos.
LOGGING_METADATA: as anotações de metadados que quer incluir nos registos:
- Use INCLUDE_ALL_METADATA para incluir todas as anotações de metadados (predefinição).
- Use EXCLUDE_ALL_METADATA para excluir todas as anotações de metadados.
- Use CUSTOM_METADATA para incluir uma lista personalizada de campos de metadados. Para especificar os campos de metadados, use o parâmetro metadataFields:
  - metadataFields: METADATA_FIELDS: substitua METADATA_FIELDS por uma lista separada por vírgulas de campos de metadados que quer incluir nos registos. Por exemplo, src_instance,dst_instance. Só pode ser definido se metadata estiver definido como CUSTOM_METADATA.

Ative os registos de fluxo da VPC para uma sub-rede (API Compute Engine)

Esta secção descreve como ativar os registos de fluxo de VPC para uma sub-rede através da API Compute Engine. Pode ativar os registos de fluxo de VPC quando cria uma sub-rede ou para uma sub-rede existente.

Recomendamos que ative os registos de fluxo de VPC para uma sub-rede através da API Network Management.

Ative os registos de fluxo da VPC quando criar uma sub-rede

Consola

Na Google Cloud consola, aceda à página Redes VPC.

Aceda a redes de VPC
Clique na rede à qual quer adicionar uma sub-rede.
Clique em Adicionar sub-rede.
Para Registos de fluxo, selecione Ativar.
Opcional: ajuste o Intervalo de agregação e qualquer uma das seguintes definições na secção Definições avançadas:
- Se deve configurar a filtragem de registos. Por predefinição, a opção Manter apenas registos que correspondam a um filtro está desmarcada.
- Se devem ser incluídos metadados nas entradas do registo final. Por predefinição, as anotações de metadados incluem todos os campos.
- A taxa de amostragem secundária. 50% significa que metade das entradas geradas pelo processo de amostragem de registos de fluxo principal é mantida. A taxa de amostragem do registo de fluxo principal não é configurável. Para mais informações, consulte o artigo Amostragem e processamento de registos.
Preencha outros campos conforme adequado.
Clique em Adicionar.

gcloud

Execute o seguinte comando:

gcloud compute networks subnets create SUBNET_NAME \
    --enable-flow-logs \
    [--logging-aggregation-interval=AGGREGATION_INTERVAL] \
    [--logging-flow-sampling=SAMPLING_RATE] \
    [--logging-filter-expr=FILTER_EXPRESSION] \
    [--logging-metadata=LOGGING_METADATA] \
    [--logging-metadata-fields=METADATA_FIELDS] \
    [other flags as needed]

Substitua o seguinte:

AGGREGATION_INTERVAL: o intervalo de agregação para registos de fluxo nessa sub-rede. O intervalo pode ser definido para qualquer um dos seguintes valores: 5 segundos (predefinição), 30 segundos, 1 minuto, 5 minutos, 10 minutos ou 15 minutos.
SAMPLING_RATE: a taxa de amostragem do fluxo secundário. A amostragem do fluxo secundário pode ser definida de 0.0 (sem amostragem) a 1.0 (todos os registos). A predefinição é 0.5. Para mais informações, consulte o artigo Amostragem e processamento de registos.
FILTER_EXPRESSION: uma expressão que define que registos quer manter. A expressão tem um limite de 2048 carateres. Para mais informações, consulte os artigos Filtragem de registos e Exemplos de filtros de registos.
LOGGING_METADATA: as anotações de metadados que quer incluir nos registos:
- Use include-all para incluir todas as anotações de metadados.
- Use exclude-all para excluir todas as anotações de metadados (predefinição).
- Use custom para incluir uma lista personalizada de campos de metadados que especifica em METADATA_FIELDS.
Nota: se uma sub-rede tiver o registo de fluxo ativado em qualquer altura antes de 1 de março de 2021 e se LOGGING_METADATA nunca tiver sido configurado explicitamente, o valor predefinido de LOGGING_METADATA é include-all.
METADATA_FIELDS: uma lista separada por vírgulas dos campos de metadados que quer incluir nos registos. Por exemplo, src_instance,dst_instance. Só pode ser definido se LOGGING_METADATA estiver definido como custom.

API

Ative os registos de fluxo da VPC quando criar uma nova sub-rede.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks
{
  "logConfig": {
    "aggregationInterval": "AGGREGATION_INTERVAL",
    "flowSampling": SAMPLING_RATE,
    "filterExpr": EXPRESSION,
    "metadata": METADATA_SETTING,
    "metadataFields": METADATA_FIELDS,
    "enable": true
  },
  "ipCidrRange": "IP_RANGE",
  "network": "NETWORK_URL",
  "name": "SUBNET_NAME"
}

Substitua o seguinte:

PROJECT_ID: o ID do projeto onde a sub-rede vai ser criada.
REGION: a região onde a sub-rede vai ser criada.
AGGREGATION_INTERVAL: o intervalo de agregação para registos de fluxo na sub-rede. O intervalo pode ser definido como qualquer um dos seguintes: INTERVAL_5_SEC, INTERVAL_30_SEC, INTERVAL_1_MIN, INTERVAL_5_MIN, INTERVAL_10_MIN ou INTERVAL_15_MIN.
SAMPLING_RATE: a taxa de amostragem de fluxo. A amostragem de fluxo pode ser definida de 0.0 (sem amostragem) a 1.0 (todos os registos). A predefinição é .0.5.
EXPRESSION: a expressão de filtro que usa para filtrar os registos que são efetivamente escritos. A expressão tem um limite de 2048 carateres. Para ver detalhes, consulte a secção Filtragem de registos.
METADATA_SETTING: as anotações de metadados que quer incluir nos registos:
- Use INCLUDE_ALL_METADATA para incluir todas as anotações de metadados.
- Use EXCLUDE_ALL_METADATA para excluir todas as anotações de metadados (predefinição).
- Use CUSTOM_METADATA para incluir uma lista personalizada de campos de metadados que especifica em METADATA_FIELDS.
Nota: se uma sub-rede tiver o registo de fluxo ativado em qualquer altura antes de 1 de março de 2021 e se METADATA_SETTING nunca tiver sido configurado explicitamente, o valor predefinido de METADATA_SETTING é INCLUDE_ALL_METADATA.
METADATA_FIELDS: os campos de metadados que quer captar quando tiver definido metadata: CUSTOM_METADATA. Esta é uma lista de campos de metadados separados por vírgulas, como src_instance, src_vpc.project_id.
IP_RANGE: o intervalo de endereços IP internos principal da sub-rede.
NETWORK_URL: o URL da rede da nuvem privada virtual onde a sub-rede vai ser criada.
SUBNET_NAME: um nome para a sub-rede.

Para mais informações, consulte o método subnetworks.insert.

Terraform

Pode usar um módulo do Terraform para criar uma rede VPC e sub-redes no modo personalizado.

O exemplo seguinte cria três sub-redes da seguinte forma:

subnet-01 tem os registos de fluxo da VPC desativados. Quando cria uma sub-rede, os registos de fluxo de VPC estão desativados, a menos que os ative explicitamente.
subnet-02 tem os registos de fluxo da VPC ativados com as predefinições dos registos de fluxo.
subnet-03 tem os registos de fluxo da VPC ativados com algumas definições personalizadas.

module "test-vpc-module" {
  source       = "terraform-google-modules/network/google"
  version      = "~> 12.0"
  project_id   = var.project_id # Replace this with your project ID in quotes
  network_name = "my-custom-mode-network"
  mtu          = 1460

  subnets = [
    {
      subnet_name   = "subnet-01"
      subnet_ip     = "10.10.10.0/24"
      subnet_region = "us-west1"
    },
    {
      subnet_name           = "subnet-02"
      subnet_ip             = "10.10.20.0/24"
      subnet_region         = "us-west1"
      subnet_private_access = "true"
      subnet_flow_logs      = "true"
    },
    {
      subnet_name               = "subnet-03"
      subnet_ip                 = "10.10.30.0/24"
      subnet_region             = "us-west1"
      subnet_flow_logs          = "true"
      subnet_flow_logs_interval = "INTERVAL_10_MIN"
      subnet_flow_logs_sampling = 0.7
      subnet_flow_logs_metadata = "INCLUDE_ALL_METADATA"
      subnet_flow_logs_filter   = "false"
    }
  ]
}

Para saber como aplicar ou remover uma configuração do Terraform, consulte os comandos básicos do Terraform.

Ative os registos de fluxo da VPC para uma sub-rede existente

Consola

Na Google Cloud consola, aceda à página Redes VPC.

Aceda a redes de VPC
No separador Sub-redes no projeto atual, selecione uma ou mais sub-redes e, de seguida, clique em Gerir registos de fluxo.
Em Gerir registos de fluxo, clique em Adicionar nova configuração.
Efetue um dos seguintes passos:
- Se selecionou uma sub-rede, na secção Configurations - Subnets (API Compute Engine), clique em Adicionar uma configuração.
- Se selecionou várias sub-redes, na secção Configurar registos de fluxo da VPC, selecione API Compute Engine.
Opcional: ajuste o Intervalo de agregação e qualquer uma das seguintes definições na secção Definições avançadas:
- Se deve configurar a filtragem de registos. Por predefinição, a opção Manter apenas registos que correspondam a um filtro está desmarcada.
- Se devem ser incluídos metadados nas entradas do registo final. Por predefinição, as anotações de metadados incluem todos os campos.
- A taxa de amostragem secundária. 50% significa que metade das entradas geradas pelo processo de amostragem de registos de fluxo principal é mantida. A taxa de amostragem do registo de fluxo principal não é configurável. Para mais informações, consulte o artigo Amostragem e processamento de registos.
Clique em Guardar.

gcloud

Execute o seguinte comando:

gcloud compute networks subnets update SUBNET_NAME \
    --enable-flow-logs \
    [--logging-aggregation-interval=AGGREGATION_INTERVAL] \
    [--logging-flow-sampling=SAMPLING_RATE] \
    [--logging-filter-expr=FILTER_EXPRESSION] \
    [--logging-metadata=LOGGING_METADATA] \
    [--logging-metadata-fields=METADATA_FIELDS] \
    [other flags as needed]

Substitua o seguinte:

AGGREGATION_INTERVAL: o intervalo de agregação para registos de fluxo nessa sub-rede. O intervalo pode ser definido para qualquer um dos seguintes valores: 5 segundos (predefinição), 30 segundos, 1 minuto, 5 minutos, 10 minutos ou 15 minutos.
SAMPLING_RATE: a taxa de amostragem do fluxo secundário. A amostragem do fluxo secundário pode ser definida de 0.0 (sem amostragem) a 1.0 (todos os registos). A predefinição é 0.5. Para mais informações, consulte o artigo Amostragem e processamento de registos.
FILTER_EXPRESSION: uma expressão que define que registos quer manter. A expressão tem um limite de 2048 carateres. Para mais informações, consulte os artigos Filtragem de registos e Exemplos de filtros de registos.
LOGGING_METADATA: as anotações de metadados que quer incluir nos registos:
- Use include-all para incluir todas as anotações de metadados.
- Use exclude-all para excluir todas as anotações de metadados (predefinição).
- Use custom para incluir uma lista personalizada de campos de metadados que especifica em METADATA_FIELDS.
Nota: se uma sub-rede tiver o registo de fluxo ativado em qualquer altura antes de 1 de março de 2021 e se LOGGING_METADATA nunca tiver sido configurado explicitamente, o valor predefinido de LOGGING_METADATA é include-all.
METADATA_FIELDS: uma lista separada por vírgulas dos campos de metadados que quer incluir nos registos. Por exemplo, src_instance,dst_instance. Só pode ser definido se LOGGING_METADATA estiver definido como custom.

API

Ative os registos de fluxo da VPC para uma sub-rede existente.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    "enable": true
    ...other logging fields.
  },
  "fingerprint": "SUBNET_FINGERPRINT"
}

Substitua o seguinte:

PROJECT_ID: o ID do projeto onde a sub-rede está localizada.
REGION: a região onde a sub-rede está localizada.
SUBNET_NAME: o nome da sub-rede existente.
SUBNET_FINGERPRINT: o ID da impressão digital da sub-rede existente, que é fornecido quando descreve uma sub-rede.
Para os outros campos de registo, consulte o artigo Ativar o registo de fluxo de VPC quando cria uma sub-rede.

Para mais informações, consulte o método subnetworks.patch.

Ative os registos de fluxo da VPC para uma associação VLAN

Consola

Na Google Cloud consola, aceda à página Interconnect.

Aceda ao Interconnect
No separador Anexos de VLAN, selecione um ou mais anexos de VLAN e, em seguida, clique em Gerir registos de fluxo na barra de seleção na parte superior da lista.
Em Gerir registos de fluxo, clique em Adicionar nova configuração.
Em Nome, introduza um nome para a nova configuração de registos de fluxo de VPC.
Opcional: ajuste o Intervalo de agregação e qualquer uma das definições na secção Definições avançadas:
- Se deve configurar a filtragem de registos. Por predefinição, a opção Manter apenas registos que correspondam a um filtro está desmarcada.
- Se devem ser incluídos metadados nas entradas do registo final. Por predefinição, as anotações de metadados incluem todos os campos.
- A taxa de amostragem secundária. 100% significa que todas as entradas geradas pelo processo de amostragem do registo de fluxo principal são mantidas. A taxa de amostragem do registo de fluxo principal não é configurável. Para mais informações, consulte o artigo Amostragem e processamento de registos.
Clique em Guardar.

gcloud

Para ativar os registos de fluxo da VPC para uma associação de VLAN, use o comando gcloud network-management vpc-flow-logs-configs create.

Na CLI gcloud, defina o seu projeto para o Google Cloud ID do projeto do anexo de VLAN e execute um dos seguintes comandos:

Para criar uma configuração predefinida dos registos de fluxo da VPC, execute o seguinte comando:

gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --interconnect-attachment=VLAN_ATTACHMENT

Para criar uma configuração personalizada dos registos de fluxo da VPC, especifique cada parâmetro que quer personalizar.

Por exemplo, para personalizar o intervalo de agregação, a filtragem, a taxa de amostragem secundária e os parâmetros de metadados ao criar uma configuração de registos de fluxo de VPC, execute o seguinte comando:
```
gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --interconnect-attachment=VLAN_ATTACHMENT \
    --aggregation-interval=AGGREGATION_INTERVAL \
    --filter-expr=FILTER_EXPRESSION \
    --flow-sampling=SAMPLING_RATE \
    --metadata=LOGGING_METADATA
```
Substitua o seguinte:
- CONFIG_NAME: um nome para a configuração.
- VLAN_ATTACHMENT: a associação VLAN que quer registar. Tem de ser especificado no seguinte formato: projects/PROJECT_ID/regions/REGION/interconnectAttachments/NAME, onde:
  - PROJECT_ID é o ID do projeto que contém a associação VLAN. Google Cloud A configuração tem de ser criada neste projeto.
  - REGION é a região da associação VLAN.
  - NAME é o nome da associação VLAN.
Para definir os parâmetros opcionais numa configuração personalizada, substitua o seguinte:
- AGGREGATION_INTERVAL: o intervalo de agregação para registos de fluxo gerados por esta configuração. Este parâmetro pode ser definido como interval-5-sec(predefinição), interval-30-sec, interval-1-min, interval-5-min,interval-10-min ou interval-15-min.
- FILTER_EXPRESSION: uma expressão que define os registos que quer manter. A expressão tem um limite de 2048 carateres. Para mais informações, consulte os artigos Filtragem de registos e Exemplos de filtros de registos.
- SAMPLING_RATE: a taxa de amostragem do fluxo secundário. Este parâmetro pode ser definido de um valor superior a 0.0 a 1.0 (todos os registos, predefinição). Para mais informações, consulte o artigo Amostragem e processamento de registos.
- LOGGING_METADATA: as anotações de metadados que quer incluir nos registos:
  - Use include-all-metadata para incluir todas as anotações de metadados (predefinição).
  - Use exclude-all-metadata para excluir todas as anotações de metadados.
  - Use custom-metadata para incluir uma lista personalizada de campos de metadados. Para especificar os campos de metadados, use a flag --metadata-fields:
    - --metadata-fields=METADATA_FIELDS: substitua METADATA_FIELDS por uma lista separada por vírgulas de campos de metadados que quer incluir nos registos. Por exemplo, src_instance,dst_instance. Só pode ser definido se metadata estiver definido como custom-metadata.

Terraform

Pode usar um módulo do Terraform para criar uma configuração dos registos de fluxo da VPC para uma associação de VLAN.

O bloco de código seguinte cria uma configuração predefinida dos registos de fluxo da VPC.

resource "google_network_management_vpc_flow_logs_config" "vpc_flow_logs_config" {
  vpc_flow_logs_config_id = "vpcflowlogs-config"
  location                = "global"
  interconnect_attachment = google_compute_interconnect_attachment.attachment.id
}

O exemplo anterior pressupõe que o nome do recurso google_compute_interconnect_attachment é attachment. Para ver um exemplo completo desta configuração, consulte o repositório terraform-docs-samples.

O bloco de código seguinte cria uma configuração dos registos de fluxo da VPC onde:

O intervalo de agregação está definido como INTERVAL_10_MIN.
A taxa de amostragem do fluxo secundário está definida como 0.7.
Os metadados a incluir nos registos estão definidos como INCLUDE_ALL_METADATA.
O estado da configuração está definido como ENABLED.

resource "google_network_management_vpc_flow_logs_config" "vpc_flow_logs_config" {
  vpc_flow_logs_config_id = "vpcflowlogs-config"
  location                = "global"
  interconnect_attachment = google_compute_interconnect_attachment.attachment.id
  aggregation_interval    = "INTERVAL_10_MIN"
  description             = "VPC Flow Logs over an Interconnect Attachment."
  flow_sampling           = 0.7
  metadata                = "INCLUDE_ALL_METADATA"
  state                   = "ENABLED"
}

Para saber como aplicar ou remover uma configuração do Terraform, consulte os comandos básicos do Terraform.

API

Para ativar os registos de fluxo da VPC para uma associação de VLAN, use o método projects.locations.vpcFlowLogsConfigs.create.

Para criar uma configuração predefinida dos registos de fluxo da VPC, inclua os seguintes parâmetros no seu pedido de API:

POST https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "interconnectAttachment": "VLAN_ATTACHMENT"
}

Para criar uma configuração personalizada dos registos de fluxo da VPC, especifique cada parâmetro que quer personalizar.

POST https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "interconnectAttachment": "VLAN_ATTACHMENT",
  "aggregationInterval": "AGGREGATION_INTERVAL",
  "filterExpr": "FILTER_EXPRESSION",
  "flowSampling": SAMPLING_RATE,
  "metadata": "LOGGING_METADATA"
}

Substitua o seguinte:

PROJECT_ID: o Google Cloud ID do projeto da associação VLAN.
CONFIG_NAME: um nome para a configuração.
VLAN_ATTACHMENT: a associação VLAN que quer registar. Tem de ser especificado no seguinte formato: projects/PROJECT_ID/regions/REGION/interconnectAttachments/NAME, onde:
- PROJECT_ID é o ID do projeto da associação VLAN.
- REGION é a região da associação VLAN.
- NAME é o nome da associação VLAN.

Para definir os parâmetros opcionais numa configuração personalizada, substitua o seguinte:

AGGREGATION_INTERVAL: o intervalo de agregação para registos de fluxo gerados por esta configuração. Este parâmetro pode ser definido como INTERVAL_5_SEC (predefinição), INTERVAL_30_SEC, INTERVAL_1_MIN, INTERVAL_5_MIN, INTERVAL_10_MIN ou INTERVAL_15_MIN.
FILTER_EXPRESSION: uma expressão que define os registos que quer manter. A expressão tem um limite de 2048 carateres. Para mais informações, consulte o artigo Filtragem de registos.
SAMPLING_RATE: a taxa de amostragem do fluxo secundário. Este parâmetro pode ser definido de um valor superior a 0.0 a 1.0 (todos os registos, predefinição). Para mais informações, consulte o artigo Amostragem e processamento de registos.
LOGGING_METADATA: as anotações de metadados que quer incluir nos registos:
- Use INCLUDE_ALL_METADATA para incluir todas as anotações de metadados (predefinição).
- Use EXCLUDE_ALL_METADATA para excluir todas as anotações de metadados.
- Use CUSTOM_METADATA para incluir uma lista personalizada de campos de metadados. Para especificar os campos de metadados, use o parâmetro metadataFields:
  - metadataFields: METADATA_FIELDS: substitua METADATA_FIELDS por uma lista separada por vírgulas de campos de metadados que quer incluir nos registos. Por exemplo, src_instance,dst_instance. Só pode ser definido se metadata estiver definido como CUSTOM_METADATA.

Ative os registos de fluxo de VPC para um túnel do Cloud VPN

Consola

Na Google Cloud consola, aceda à página VPN.

Aceda à VPN
No separador Túneis de VPN na nuvem, selecione um ou mais túneis de VPN na nuvem e, de seguida, clique em Gerir registos de fluxo na barra de seleção na parte superior da lista.
Em Gerir registos de fluxo, clique em Adicionar nova configuração.
Em Nome, introduza um nome para a nova configuração de registos de fluxo de VPC.
Opcional: ajuste o Intervalo de agregação e qualquer uma das definições na secção Definições avançadas:
- Se deve configurar a filtragem de registos. Por predefinição, a opção Manter apenas registos que correspondam a um filtro está desmarcada.
- Se devem ser incluídos metadados nas entradas do registo final. Por predefinição, as anotações de metadados incluem todos os campos.
- A taxa de amostragem secundária. 100% significa que todas as entradas geradas pelo processo de amostragem do registo de fluxo principal são mantidas. A taxa de amostragem do registo de fluxo principal não é configurável. Para mais informações, consulte o artigo Amostragem e processamento de registos.
Clique em Guardar.

gcloud

Para ativar os registos de fluxo de VPC para um túnel de VPN do Google Cloud, use o comando gcloud network-management vpc-flow-logs-configs create.

Na CLI gcloud, defina o seu projeto para o Google Cloud ID do projeto do túnel de VPN na nuvem e execute um dos seguintes comandos:

Para criar uma configuração predefinida dos registos de fluxo da VPC, execute o seguinte comando:

gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --vpn-tunnel=VPN_TUNNEL

Para criar uma configuração personalizada dos registos de fluxo da VPC, especifique cada parâmetro que quer personalizar.

Por exemplo, para personalizar o intervalo de agregação, a filtragem, a taxa de amostragem secundária e os parâmetros de metadados ao criar uma configuração de registos de fluxo de VPC, execute o seguinte comando:
```
gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --vpn-tunnel=VPN_TUNNEL \
    --aggregation-interval=AGGREGATION_INTERVAL \
    --filter-expr=FILTER_EXPRESSION \
    --flow-sampling=SAMPLING_RATE \
    --metadata=LOGGING_METADATA
```
Substitua o seguinte:
- CONFIG_NAME: um nome para a configuração.
- VPN_TUNNEL: o túnel do Cloud VPN que quer registar. Tem de ser especificado no seguinte formato: projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME, onde:
  - PROJECT_ID é o ID do projeto que contém o túnel do Cloud VPN. Google Cloud A configuração tem de ser criada neste projeto.
  - REGION é a região do túnel do Cloud VPN.
  - NAME é o nome do túnel do Cloud VPN.
Para definir os parâmetros opcionais numa configuração personalizada, substitua o seguinte:
- AGGREGATION_INTERVAL: o intervalo de agregação para registos de fluxo gerados por esta configuração. Este parâmetro pode ser definido como interval-5-sec(predefinição), interval-30-sec, interval-1-min, interval-5-min,interval-10-min ou interval-15-min.
- FILTER_EXPRESSION: uma expressão que define os registos que quer manter. A expressão tem um limite de 2048 carateres. Para mais informações, consulte os artigos Filtragem de registos e Exemplos de filtros de registos.
- SAMPLING_RATE: a taxa de amostragem do fluxo secundário. Este parâmetro pode ser definido de um valor superior a 0.0 a 1.0 (todos os registos, predefinição). Para mais informações, consulte o artigo Amostragem e processamento de registos.
- LOGGING_METADATA: as anotações de metadados que quer incluir nos registos:
  - Use include-all-metadata para incluir todas as anotações de metadados (predefinição).
  - Use exclude-all-metadata para excluir todas as anotações de metadados.
  - Use custom-metadata para incluir uma lista personalizada de campos de metadados. Para especificar os campos de metadados, use a flag --metadata-fields:
    - --metadata-fields=METADATA_FIELDS: substitua METADATA_FIELDS por uma lista separada por vírgulas de campos de metadados que quer incluir nos registos. Por exemplo, src_instance,dst_instance. Só pode ser definido se metadata estiver definido como custom-metadata.

Terraform

Pode usar um módulo do Terraform para criar uma configuração dos registos de fluxo de VPC para um túnel do Cloud VPN.

O bloco de código seguinte cria uma configuração predefinida dos registos de fluxo da VPC.

resource "google_network_management_vpc_flow_logs_config" "vpc_flow_logs_config" {
  vpc_flow_logs_config_id = "vpcflowlogs-config"
  location                = "global"
  vpn_tunnel              = google_compute_vpn_tunnel.tunnel.id
}

O exemplo anterior pressupõe que o nome do recurso google_compute_vpn_tunnel é tunnel. Para ver um exemplo completo desta configuração, consulte o repositório terraform-docs-samples.

O bloco de código seguinte cria uma configuração dos registos de fluxo da VPC onde:

O intervalo de agregação está definido como INTERVAL_10_MIN.
A taxa de amostragem do fluxo secundário está definida como 0.7.
Os metadados a incluir nos registos estão definidos como INCLUDE_ALL_METADATA.
O estado da configuração está definido como ENABLED.

resource "google_network_management_vpc_flow_logs_config" "vpc_flow_logs_config" {
  vpc_flow_logs_config_id = "vpcflowlogs-config"
  location                = "global"
  vpn_tunnel              = google_compute_vpn_tunnel.tunnel.id
  aggregation_interval    = "INTERVAL_10_MIN"
  description             = "VPC Flow Logs over a VPN Gateway."
  flow_sampling           = 0.7
  metadata                = "INCLUDE_ALL_METADATA"
  state                   = "ENABLED"
}

O exemplo anterior pressupõe que o nome do recurso google_compute_vpn_tunnel é tunnel. Para ver um exemplo completo desta configuração, consulte o repositório terraform-docs-samples.

Para saber como aplicar ou remover uma configuração do Terraform, consulte os comandos básicos do Terraform.

API

Para ativar os registos de fluxo de VPC para um túnel de VPN do Google Cloud, use o método projects.locations.vpcFlowLogsConfigs.create.

Para criar uma configuração predefinida dos registos de fluxo da VPC, inclua os seguintes parâmetros no seu pedido de API:

POST https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "vpnTunnel": "VPN_TUNNEL"
}

Para criar uma configuração personalizada dos registos de fluxo da VPC, especifique cada parâmetro que quer personalizar.

POST https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "vpnTunnel": "VPN_TUNNEL",
  "aggregationInterval": "AGGREGATION_INTERVAL",
  "filterExpr": "FILTER_EXPRESSION",
  "flowSampling": SAMPLING_RATE,
  "metadata": "LOGGING_METADATA"
}

Substitua o seguinte:

PROJECT_ID: o Google Cloud ID do projeto do túnel do Cloud VPN.
CONFIG_NAME: um nome para a configuração.
VPN_TUNNEL: o túnel do Cloud VPN que quer registar. Tem de ser especificado no seguinte formato: projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME, onde:
- PROJECT_ID é o ID do projeto do túnel do Cloud VPN.
- REGION é a região do túnel do Cloud VPN.
- NAME é o nome do túnel do Cloud VPN.

Para definir os parâmetros opcionais numa configuração personalizada, substitua o seguinte:

AGGREGATION_INTERVAL: o intervalo de agregação para registos de fluxo gerados por esta configuração. Este parâmetro pode ser definido como INTERVAL_5_SEC (predefinição), INTERVAL_30_SEC, INTERVAL_1_MIN, INTERVAL_5_MIN, INTERVAL_10_MIN ou INTERVAL_15_MIN.
FILTER_EXPRESSION: uma expressão que define os registos que quer manter. A expressão tem um limite de 2048 carateres. Para mais informações, consulte o artigo Filtragem de registos.
SAMPLING_RATE: a taxa de amostragem do fluxo secundário. Este parâmetro pode ser definido de um valor superior a 0.0 a 1.0 (todos os registos, predefinição). Para mais informações, consulte o artigo Amostragem e processamento de registos.
LOGGING_METADATA: as anotações de metadados que quer incluir nos registos:
- Use INCLUDE_ALL_METADATA para incluir todas as anotações de metadados (predefinição).
- Use EXCLUDE_ALL_METADATA para excluir todas as anotações de metadados.
- Use CUSTOM_METADATA para incluir uma lista personalizada de campos de metadados. Para especificar os campos de metadados, use o parâmetro metadataFields:
  - metadataFields: METADATA_FIELDS: substitua METADATA_FIELDS por uma lista separada por vírgulas de campos de metadados que quer incluir nos registos. Por exemplo, src_instance,dst_instance. Só pode ser definido se metadata estiver definido como CUSTOM_METADATA.

Ative os registos de fluxo da VPC para uma rede de VPC

Para ativar os registos de fluxo de VPC para todas as sub-redes, anexos de VLAN e túneis de VPN na nuvem numa rede de VPC, faça o seguinte.

Consola

Na Google Cloud consola, aceda à página Redes VPC.

Aceda a redes de VPC
No separador Redes no projeto atual, selecione uma ou mais redes e, de seguida, clique em Gerir registos de fluxo na parte superior da lista.
Em Gerir registos de fluxo, clique em Adicionar nova configuração.
Em Nome, introduza um nome para a nova configuração de registos de fluxo de VPC.
Opcional: ajuste o Intervalo de agregação e qualquer uma das definições na secção Definições avançadas:
- Se deve configurar a filtragem de registos. Por predefinição, a opção Manter apenas registos que correspondam a um filtro está desmarcada.
- Se devem ser incluídos metadados nas entradas do registo final. Por predefinição, as anotações de metadados incluem todos os campos.
- A taxa de amostragem secundária. 100% significa que todas as entradas geradas pelo processo de amostragem do registo de fluxo principal são mantidas. A taxa de amostragem do registo de fluxo principal não é configurável. Para mais informações, consulte o artigo Amostragem e processamento de registos.
Clique em Guardar.

gcloud

Para ativar os registos de fluxo de VPC para uma rede de VPC, use o comando gcloud network-management vpc-flow-logs-configs create.

Na CLI gcloud, defina o seu projeto para o Google Cloud ID do projeto da rede VPC e execute um dos seguintes comandos:

Para criar uma configuração predefinida dos registos de fluxo da VPC, execute o seguinte comando:

gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --network=NETWORK

Para criar uma configuração personalizada dos registos de fluxo da VPC, especifique cada parâmetro que quer personalizar.

Por exemplo, para personalizar o intervalo de agregação, a filtragem, a taxa de amostragem secundária e os parâmetros de metadados ao criar uma configuração de registos de fluxo de VPC, execute o seguinte comando:
```
gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --network=NETWORK \
    --aggregation-interval=AGGREGATION_INTERVAL \
    --filter-expr=FILTER_EXPRESSION \
    --flow-sampling=SAMPLING_RATE \
    --metadata=LOGGING_METADATA
```
Substitua o seguinte:
- CONFIG_NAME: um nome para a configuração.
- NETWORK: a rede VPC que quer registar. Tem de ser especificado no seguinte formato: projects/PROJECT_ID/global/networks/NAME, onde:
  - PROJECT_ID é o ID do projeto que contém a rede VPC. Google Cloud A configuração tem de ser criada neste projeto.
  - NAME é o nome da rede VPC.
Para definir os parâmetros opcionais numa configuração personalizada, substitua o seguinte:
- AGGREGATION_INTERVAL: o intervalo de agregação para registos de fluxo gerados por esta configuração. Este parâmetro pode ser definido como interval-5-sec(predefinição), interval-30-sec, interval-1-min, interval-5-min,interval-10-min ou interval-15-min.
- FILTER_EXPRESSION: uma expressão que define os registos que quer manter. A expressão tem um limite de 2048 carateres. Para mais informações, consulte os artigos Filtragem de registos e Exemplos de filtros de registos.
- SAMPLING_RATE: a taxa de amostragem do fluxo secundário. Este parâmetro pode ser definido de um valor superior a 0.0 a 1.0 (todos os registos, predefinição). Para mais informações, consulte o artigo Amostragem e processamento de registos.
- LOGGING_METADATA: as anotações de metadados que quer incluir nos registos:
  - Use include-all-metadata para incluir todas as anotações de metadados (predefinição).
  - Use exclude-all-metadata para excluir todas as anotações de metadados.
  - Use custom-metadata para incluir uma lista personalizada de campos de metadados. Para especificar os campos de metadados, use a flag --metadata-fields:
    - --metadata-fields=METADATA_FIELDS: substitua METADATA_FIELDS por uma lista separada por vírgulas de campos de metadados que quer incluir nos registos. Por exemplo, src_instance,dst_instance. Só pode ser definido se metadata estiver definido como custom-metadata.

API

Para ativar os registos de fluxo da VPC para uma rede VPC, use o método projects.locations.vpcFlowLogsConfigs.create.

Para criar uma configuração predefinida dos registos de fluxo da VPC, inclua os seguintes parâmetros no seu pedido de API:

POST https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "network": "NETWORK"
}

Para criar uma configuração personalizada dos registos de fluxo da VPC, especifique cada parâmetro que quer personalizar.

POST https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "network": "NETWORK",
  "aggregationInterval": "AGGREGATION_INTERVAL",
  "filterExpr": "FILTER_EXPRESSION",
  "flowSampling": SAMPLING_RATE,
  "metadata": "LOGGING_METADATA"
}

Substitua o seguinte:

PROJECT_ID: o Google Cloud ID do projeto da rede VPC.
CONFIG_NAME: um nome para a configuração.
NETWORK: a rede VPC que quer registar. Tem de ser especificado no seguinte formato: projects/PROJECT_ID/global/networks/NAME, onde:
- PROJECT_ID é o ID do projeto da rede VPC.
- NAME é o nome da rede VPC.

Para definir os parâmetros opcionais numa configuração personalizada, substitua o seguinte:

AGGREGATION_INTERVAL: o intervalo de agregação para registos de fluxo gerados por esta configuração. Este parâmetro pode ser definido como INTERVAL_5_SEC (predefinição), INTERVAL_30_SEC, INTERVAL_1_MIN, INTERVAL_5_MIN, INTERVAL_10_MIN ou INTERVAL_15_MIN.
FILTER_EXPRESSION: uma expressão que define os registos que quer manter. A expressão tem um limite de 2048 carateres. Para mais informações, consulte o artigo Filtragem de registos.
SAMPLING_RATE: a taxa de amostragem do fluxo secundário. Este parâmetro pode ser definido de um valor superior a 0.0 a 1.0 (todos os registos, predefinição). Para mais informações, consulte o artigo Amostragem e processamento de registos.
LOGGING_METADATA: as anotações de metadados que quer incluir nos registos:
- Use INCLUDE_ALL_METADATA para incluir todas as anotações de metadados (predefinição).
- Use EXCLUDE_ALL_METADATA para excluir todas as anotações de metadados.
- Use CUSTOM_METADATA para incluir uma lista personalizada de campos de metadados. Para especificar os campos de metadados, use o parâmetro metadataFields:
  - metadataFields: METADATA_FIELDS: substitua METADATA_FIELDS por uma lista separada por vírgulas de campos de metadados que quer incluir nos registos. Por exemplo, src_instance,dst_instance. Só pode ser definido se metadata estiver definido como CUSTOM_METADATA.

Ative os registos de fluxo da VPC para uma organização

Para ativar os registos de fluxo de VPC para todas as sub-redes, anexos de VLAN e túneis de VPN na nuvem em todas as redes VPC numa organização, faça o seguinte.

Consola

Na Google Cloud consola, aceda à página VPC Flow Logs.

Aceda aos registos de fluxo da VPC
Clique em Adicionar configuração de registos de fluxo de VPC e, de seguida, clique em Adicionar uma configuração para a organização.
Em Nome, introduza um nome para a nova configuração dos registos de fluxo de VPC.
Opcional: ajuste o Intervalo de agregação e qualquer uma das definições na secção Definições avançadas:
- Se deve configurar a filtragem de registos. Por predefinição, a opção Manter apenas registos que correspondam a um filtro está desmarcada.
- Se devem ser incluídas anotações entre projetos. Por predefinição, a opção Anotações de metadados entre projetos está selecionada. Para mais informações, consulte o artigo Anotações entre projetos.
- Se devem ser incluídos metadados nas entradas do registo final. Por predefinição, as anotações de metadados incluem todos os campos.
- A taxa de amostragem secundária. 100% significa que todas as entradas geradas pelo processo de amostragem do registo de fluxo principal são mantidas. A taxa de amostragem do registo de fluxo principal não é configurável. Para mais informações, consulte o artigo Amostragem e processamento de registos.
Clique em Guardar.

gcloud

Para ativar os registos de fluxo de VPC para uma organização, use o comando gcloud network-management vpc-flow-logs-configs create.

Para criar uma configuração predefinida dos registos de fluxo da VPC, execute o seguinte comando:

gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --organization=ORGANIZATION

Para criar uma configuração personalizada dos registos de fluxo da VPC, especifique cada parâmetro que quer personalizar.

Por exemplo, para personalizar o intervalo de agregação, a filtragem, a taxa de amostragem secundária e os parâmetros de metadados ao criar uma configuração de registos de fluxo de VPC, execute o seguinte comando:
```
gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --organization=ORGANIZATION \
    --aggregation-interval=AGGREGATION_INTERVAL \
    --filter-expr=FILTER_EXPRESSION \
    --flow-sampling=SAMPLING_RATE \
    --metadata=LOGGING_METADATA \
    --cross-project-metadata=CROSS_PROJECT_METADATA
```
Substitua o seguinte:
- CONFIG_NAME: um nome para a configuração
- ORGANIZATION: o ID da organização
Para definir os parâmetros opcionais numa configuração personalizada, substitua o seguinte:
- AGGREGATION_INTERVAL: o intervalo de agregação para registos de fluxo gerados por esta configuração. Este parâmetro pode ser definido como interval-5-sec(predefinição), interval-30-sec, interval-1-min, interval-5-min,interval-10-min ou interval-15-min.
- FILTER_EXPRESSION: uma expressão que define os registos que quer manter. A expressão tem um limite de 2048 carateres. Para mais informações, consulte os artigos Filtragem de registos e Exemplos de filtros de registos.
- SAMPLING_RATE: a taxa de amostragem do fluxo secundário. Este parâmetro pode ser definido de um valor superior a 0.0 a 1.0 (todos os registos, predefinição). Para mais informações, consulte o artigo Amostragem e processamento de registos.
- LOGGING_METADATA: as anotações de metadados que quer incluir nos registos:
  - Use include-all-metadata para incluir todas as anotações de metadados (predefinição).
  - Use exclude-all-metadata para excluir todas as anotações de metadados.
  - Use custom-metadata para incluir uma lista personalizada de campos de metadados. Para especificar os campos de metadados, use a flag --metadata-fields:
    - --metadata-fields=METADATA_FIELDS: substitua METADATA_FIELDS por uma lista separada por vírgulas de campos de metadados que quer incluir nos registos. Por exemplo, src_instance,dst_instance. Só pode ser definido se metadata estiver definido como custom-metadata.
- CROSS_PROJECT_METADATA: anotações entre projetos. Pode ser definido como cross-project-metadata-enabled (predefinição) ou cross-project-metadata-disabled. Para mais informações, consulte Anotações entre projetos.

API

Para ativar os registos de fluxo de VPC para uma organização, use o método organizations.locations.vpcFlowLogsConfigs.create.

Para criar uma configuração predefinida dos registos de fluxo da VPC, inclua os seguintes parâmetros no seu pedido de API:

POST -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME

Para criar uma configuração personalizada dos registos de fluxo da VPC, especifique cada parâmetro que quer personalizar.

POST -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "aggregationInterval": "AGGREGATION_INTERVAL",
  "filterExpr": "FILTER_EXPRESSION",
  "flowSampling": SAMPLING_RATE,
  "metadata": "LOGGING_METADATA",
  "crossProjectMetadata": "CROSS_PROJECT_METADATA"
}

Substitua o seguinte:

PROJECT_ID: o ID do projeto de quota. Os pedidos de API são contabilizados para este projeto. O valor da quota para a API Network Management está definido como 1200 pedidos por minuto, tanto para a quota ao nível do projeto como da organização.
ORGANIZATION_ID: o ID da organização.
CONFIG_NAME: um nome para a configuração.

Para definir os parâmetros opcionais numa configuração personalizada, substitua o seguinte:

AGGREGATION_INTERVAL: o intervalo de agregação para registos de fluxo gerados por esta configuração. Este parâmetro pode ser definido como INTERVAL_5_SEC (predefinição), INTERVAL_30_SEC, INTERVAL_1_MIN, INTERVAL_5_MIN, INTERVAL_10_MIN ou INTERVAL_15_MIN.
FILTER_EXPRESSION: uma expressão que define os registos que quer manter. A expressão tem um limite de 2048 carateres. Para mais informações, consulte o artigo Filtragem de registos.
SAMPLING_RATE: a taxa de amostragem do fluxo secundário. Este parâmetro pode ser definido de um valor superior a 0.0 a 1.0 (todos os registos, predefinição). Para mais informações, consulte o artigo Amostragem e processamento de registos.
LOGGING_METADATA: as anotações de metadados que quer incluir nos registos:
- Use INCLUDE_ALL_METADATA para incluir todas as anotações de metadados (predefinição).
- Use EXCLUDE_ALL_METADATA para excluir todas as anotações de metadados.
- Use CUSTOM_METADATA para incluir uma lista personalizada de campos de metadados. Para especificar os campos de metadados, use o parâmetro metadataFields:
  - metadataFields: METADATA_FIELDS: substitua METADATA_FIELDS por uma lista separada por vírgulas de campos de metadados que quer incluir nos registos. Por exemplo, src_instance,dst_instance. Só pode ser definido se metadata estiver definido como CUSTOM_METADATA.

CROSS_PROJECT_METADATA: anotações entre projetos. Pode ser definido como CROSS_PROJECT_METADATA_ENABLED (predefinição) ou CROSS_PROJECT_METADATA_DISABLED. Para mais informações, consulte o artigo Anotações entre projetos.

Quando os registos de fluxo de VPC estão ativados para uma organização, os registos de fluxo são escritos e faturados ao projeto do recurso que comunica os registos de fluxo. Google Cloud Para mais informações, consulte Preços e faturação.

Veja o estado da configuração dos registos de fluxo da VPC

Pode verificar que recursos têm os registos de fluxo de VPC ativados ao ver as respetivas configurações de registos de fluxo de VPC. Para ver todas as configurações, consulte o artigo Ver configurações de registos de fluxo de VPC (todas). Se usar a API Compute Engine para ativar e gerir os registos de fluxo de VPC, consulte o artigo Ver configurações dos registos de fluxo de VPC (apenas na API Compute Engine).

Ver configurações dos registos de fluxo de VPC (tudo)

Consola

Para ver todas as configurações dos registos de fluxo da VPC, faça o seguinte:

Na Google Cloud consola, aceda à página VPC Flow Logs.

Aceda aos registos de fluxo da VPC
Nas secções Configurações ao nível da organização e Configurações ao nível do projeto, veja as configurações ativas e pausadas. Se o estado de uma configuração dos registos de fluxo de VPC para um recurso for Ativado, significa que o registo está ativado.

Também pode ver as configurações dos registos de fluxo de VPC na coluna Configurações de registos de fluxo na página de recursos. Por exemplo, para ver que redes VPC e sub-redes têm configurações de registos de fluxo de VPC:

Aceda à página Redes VPC.

Aceda a redes de VPC
Clique no separador Redes no projeto atual ou Sub-redes no projeto atual e, na coluna Configurações de registo de fluxo, veja as configurações de registos de fluxo de VPC ativas e pausadas.

gcloud

Para ver as configurações dos VPC Flow Logs, use os comandos gcloud network-management vpc-flow-logs-configs list e gcloud network-management vpc-flow-logs-configs describe.

Veja as configurações ao nível da organização

Para ver todas as configurações dos registos de fluxo da VPC de uma organização, execute o seguinte comando:
```
gcloud network-management vpc-flow-logs-configs list --location=global \
    --organization=ORGANIZATION
```
Para ver uma configuração específica dos VPC Flow Logs, execute o seguinte comando:
```
gcloud network-management vpc-flow-logs-configs describe CONFIG_NAME \
    --location=global \
    --organization=ORGANIZATION
```
Substitua o seguinte:
- ORGANIZATION: o ID da organização
- CONFIG_NAME: o nome da configuração

Veja as configurações ao nível do projeto

Para ver todas as configurações dos registos de fluxo da VPC num projeto, execute o seguinte comando:
```
gcloud network-management vpc-flow-logs-configs list --location=global
```
Para ver uma configuração específica dos VPC Flow Logs, execute o seguinte comando:
```
gcloud network-management vpc-flow-logs-configs describe CONFIG_NAME \
    --location=global
```
Substitua CONFIG_NAME pelo nome da configuração dos registos de fluxo da VPC que quer ver.

API

Veja as configurações ao nível da organização

Para ver todas as configurações dos VPC Flow Logs de uma organização, use o método organizations.locations.vpcFlowLogsConfigs.list:

GET -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs

Para ver uma configuração específica dos registos de fluxo de VPC para uma organização, use o método organizations.locations.vpcFlowLogsConfigs.get:
```
GET -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME
```
Substitua o seguinte:
- PROJECT_ID: o ID do projeto de quota. Os pedidos de API são contabilizados para este projeto.
- ORGANIZATION_ID: o ID da organização.
- CONFIG_NAME: o nome da configuração.
Se não tiver as autorizações necessárias para realizar as tarefas anteriores ao nível da organização, pode usar o seguinte pedido para ver todas as configurações dos VPC Flow Logs para a organização:
```
GET https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs:queryOrgVpcFlowLogsConfigs
```
Substitua PROJECT_ID pelo ID do projeto.

Veja as configurações ao nível do projeto

Para ver todas as configurações dos registos de fluxo de VPC num projeto, use o método projects.locations.vpcFlowLogsConfigs.list:
```
GET https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs
```
Para ver uma configuração específica dos registos de fluxo de VPC, use o método projects.locations.vpcFlowLogsConfigs.get:
```
GET https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME
```
Substitua o seguinte:
- PROJECT_ID: o ID do projeto
- CONFIG_NAME: o nome da configuração dos registos de fluxo da VPC

Veja todas as configurações de um recurso

Para ver todas as configurações dos registos de fluxo de VPC para uma rede VPC, uma sub-rede, uma associação de VLAN ou um túnel de VPN, use o seguinte pedido:

  GET https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs:showEffectiveFlowLogsConfigs?resource="TARGET_RESOURCE"

Substitua o seguinte:

PROJECT_ID: o ID do Google Cloud projeto
TARGET_RESOURCE: um dos seguintes recursos de destino:
- projects/PROJECT_ID/global/networks/NETWORK: apresenta todas as configurações da rede VPC, incluindo o seguinte:
  - Todas as configurações para as quais a rede é o recurso de destino
  - Todas as configurações da organização proprietária do projeto da rede
- projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET: apresenta todas as configurações da sub-rede, incluindo o seguinte:
  - Todas as configurações para as quais a sub-rede é o recurso de destino
  - Todas as configurações da rede de VPC da sub-rede
  - Todas as configurações da organização proprietária do projeto da sub-rede
  - Apenas para a API Compute Engine: a configuração dos registos de fluxo da VPC para a sub-rede
    
    Para identificar a configuração no resultado, procure "scope": "COMPUTE_API_SUBNET". Esta configuração não existe se usar apenas a API Network Management para configurar os registos de fluxo da VPC.
- projects/PROJECT_ID/regions/REGION/interconnectAttachments/VLAN_ATTACHMENT: apresenta todas as configurações da associação VLAN, incluindo o seguinte:
  - Todas as configurações para as quais a associação VLAN é o recurso de destino
  - Todas as configurações da rede VPC da ligação VLAN
  - Todas as configurações da organização proprietária do projeto da associação VLAN
- projects/PROJECT_ID/regions/REGION/vpnTunnels/VPN_TUNNEL: apresenta todas as configurações do túnel do Cloud VPN, incluindo o seguinte:
  - Todas as configurações para as quais o túnel VPN é o recurso de destino
  - Todas as configurações da rede de VPC do túnel de VPN na nuvem
  - Todas as configurações da organização proprietária do projeto do túnel de VPN do Google Cloud
Quando especificar o recurso de destino, substitua o seguinte:
- PROJECT_ID: o ID do projeto do recurso de destino
- REGION: a região do recurso de destino
- NETWORK: o nome da rede
- SUBNET: o nome da sub-rede
- VLAN_ATTACHMENT: o nome da associação VLAN
- VPN_TUNNEL: o nome do túnel de VPN

Veja as configurações dos registos de fluxo da VPC (apenas na API Compute Engine)

Esta secção descreve como ver que configurações dos VPC Flow Logs para sub-redes são geridas pela API Compute Engine. Para ver todas as configurações dos registos de fluxo de VPC, consulte o artigo Ver configurações dos registos de fluxo de VPC.

Consola

Na Google Cloud consola, aceda à página VPC Flow Logs.

Aceda aos registos de fluxo da VPC
Na secção Configurações ao nível do projeto, clique no separador Sub-redes (API Compute Engine) e veja que sub-redes no projeto têm os registos de fluxo da VPC ativados.

Estas configurações são geridas pela API Compute Engine. As configurações geridas pela API Network Management são apresentadas no separador Sub-redes.

gcloud

Para ver que sub-redes numa rede VPC têm os registos de fluxo de VPC ativados, execute o seguinte comando:

gcloud compute networks subnets list \
    --project PROJECT_ID \
    --network="NETWORK" \
    --format="csv(name,region,logConfig.enable)"

Substitua o seguinte:

PROJECT_ID: o ID do projeto que está a consultar
NETWORK: o nome da rede que contém as sub-redes

Atualize a configuração dos registos de fluxo da VPC

Pode atualizar uma configuração dos registos de fluxo da VPC. Para mais informações acerca dos parâmetros que pode modificar, consulte Amostragem e processamento de registos.

Atualize uma configuração ao nível da organização

A atualização de uma configuração dos registos de fluxo da VPC para uma organização aplica a configuração modificada a todas as sub-redes, anexos de VLAN e túneis de VPN na nuvem em todas as redes VPC na organização.

Consola

Na Google Cloud consola, aceda à página VPC Flow Logs.

Aceda aos registos de fluxo da VPC
Na secção Configurações ao nível da organização, selecione uma ou mais configurações que quer atualizar e clique em Editar.
Ajuste qualquer uma das seguintes opções:
- O intervalo de agregação. Por predefinição, o intervalo de agregação está definido como 5 segundos.
- Se deve definir o Estado da configuração dos registos de fluxo da VPC como ativado ou desativado. O estado Ativado significa que a configuração dos registos de fluxo da VPC selecionada está ativa e gera registos de fluxo.
- Se deve configurar a filtragem de registos. Por predefinição, a opção Manter apenas registos que correspondam a um filtro está desmarcada.
- Se devem ser incluídas anotações entre projetos. Por predefinição, a opção Anotações de metadados entre projetos está selecionada. Para mais informações, consulte o artigo Anotações entre projetos.
- Se devem ser incluídos metadados nas entradas do registo final. Por predefinição, as anotações de metadados incluem todos os campos.
- A taxa de amostragem secundária. 100% significa que todas as entradas geradas pelo processo de amostragem do registo de fluxo principal são mantidas. A taxa de amostragem do registo de fluxo principal não é configurável. Para mais informações, consulte o artigo Amostragem e processamento de registos.
Clique em Guardar.

gcloud

Use o comando gcloud network-management vpc-flow-logs-configs update. Os parênteses retos [] nos comandos seguintes indicam parâmetros opcionais.

Para atualizar uma configuração dos VPC Flow Logs para uma organização, execute o seguinte comando:

gcloud network-management vpc-flow-logs-configs update CONFIG_NAME \
    --location=global \
    --organization=ORGANIZATION \
    [--aggregation-interval=AGGREGATION_INTERVAL] \
    [--filter-expr=FILTER_EXPRESSION] \
    [--flow-sampling=SAMPLING_RATE] \
    [--metadata=LOGGING_METADATA] \
    [--cross-project-metadata=CROSS_PROJECT_METADATA] \
    [--state=STATE]

Por exemplo, para atualizar o parâmetro de intervalo de agregação, execute o seguinte comando:

gcloud network-management vpc-flow-logs-configs update CONFIG_NAME \
    --location=global \
    --organization=ORGANIZATION \
    --aggregation-interval=AGGREGATION_INTERVAL

Substitua o seguinte:

CONFIG_NAME: o nome da configuração que quer atualizar. A configuração está localizada no mesmo Google Cloud projeto que o recurso para o qual a configuração é usada.
ORGANIZATION: o ID da organização.

Para atualizar os parâmetros opcionais, substitua o seguinte:

AGGREGATION_INTERVAL: o intervalo de agregação para registos de fluxo gerados por esta configuração. Este parâmetro pode ser definido como interval-5-sec(predefinição), interval-30-sec, interval-1-min, interval-5-min,interval-10-min ou interval-15-min.
FILTER_EXPRESSION: uma expressão que define os registos que quer manter. A expressão tem um limite de 2048 carateres. Para mais informações, consulte os artigos Filtragem de registos e Exemplos de filtros de registos.
SAMPLING_RATE: a taxa de amostragem do fluxo secundário. Este parâmetro pode ser definido de um valor superior a 0.0 a 1.0 (todos os registos, predefinição). Para mais informações, consulte o artigo Amostragem e processamento de registos.
LOGGING_METADATA: as anotações de metadados que quer incluir nos registos:
- Use include-all-metadata para incluir todas as anotações de metadados (predefinição).
- Use exclude-all-metadata para excluir todas as anotações de metadados.
- Use custom-metadata para incluir uma lista personalizada de campos de metadados. Para especificar os campos de metadados, use a flag --metadata-fields:
  - --metadata-fields=METADATA_FIELDS: substitua METADATA_FIELDS por uma lista separada por vírgulas de campos de metadados que quer incluir nos registos. Por exemplo, src_instance,dst_instance. Só pode ser definido se metadata estiver definido como custom-metadata.
CROSS_PROJECT_METADATA: anotações entre projetos. Pode ser definido como cross-project-metadata-enabled (predefinição) ou cross-project-metadata-disabled. Para mais informações, consulte o artigo Anotações entre projetos.
STATE: o estado da configuração. Pode ser enabled (predefinição) ou disabled.

API

Use o método organizations.locations.vpcFlowLogsConfigs.patch. Para ver informações sobre os campos que pode modificar, consulte o recurso REST: projects.locations.vpcFlowLogsConfigs.

Para atualizar uma configuração dos registos de fluxo da VPC para uma organização, inclua os seguintes parâmetros no seu pedido de API:

PATCH -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME?updateMask=FIELDS
{
  ...fields to modify
}

Substitua o seguinte:

PROJECT_ID: o ID do projeto de quota. Os pedidos de API são contabilizados para este projeto. O valor da quota para a API Network Management está definido como 1200 pedidos por minuto, tanto para a quota ao nível do projeto como da organização.
ORGANIZATION_ID: o ID da organização para a qual a configuração é usada.
CONFIG_NAME: o nome da configuração que quer atualizar.
FIELDS: o nome do campo ou dos campos que quer atualizar, separados por vírgulas. Por exemplo, aggregationInterval,flowSampling,metadata.

Por exemplo, para atualizar o campo aggregationInterval para uma configuração my-config em my-organization, use o seguinte pedido API:

PATCH -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1/organizations/my-organization/locations/global/vpcFlowLogsConfigs/my-config?updateMask=aggregationInterval
{
  aggregationInterval:AGGREGATION_INTERVAL
}

Substitua o seguinte:

PROJECT_ID: o ID do projeto de quota. Os pedidos de API são contabilizados para este projeto.
AGGREGATION_INTERVAL com qualquer um dos valores suportados para este parâmetro.

Atualize uma configuração ao nível do projeto

As configurações ao nível do projeto incluem configurações para redes VPC, sub-redes, anexos de VLAN e túneis do Cloud VPN. A atualização de uma configuração dos registos de fluxo de VPC para uma rede VPC aplica a configuração modificada a todas as sub-redes, anexos de VLAN e túneis de VPN na nuvem na rede.

Para atualizar uma configuração dos registos de fluxo da VPC gerida pela API Compute Engine, consulte o artigo Atualize os parâmetros de configuração das sub-redes.

Consola

Na Google Cloud consola, aceda à página VPC Flow Logs.

Aceda aos registos de fluxo da VPC
Na secção Configurações ao nível do projeto, selecione uma ou mais configurações que quer atualizar e clique em Editar.
Ajuste qualquer uma das seguintes opções:
- O intervalo de agregação. Por predefinição, o intervalo de agregação está definido como 5 segundos.
- Se deve definir o Estado da configuração dos registos de fluxo da VPC como ativado ou desativado. O estado Ativado significa que a configuração dos registos de fluxo da VPC selecionada está ativa e gera registos de fluxo.
- Se deve configurar a filtragem de registos. Por predefinição, a opção Manter apenas registos que correspondam a um filtro está desmarcada.
- Se devem ser incluídos metadados nas entradas do registo final. Por predefinição, as anotações de metadados incluem todos os campos.
- A taxa de amostragem secundária. 100% significa que todas as entradas geradas pelo processo de amostragem do registo de fluxo principal são mantidas. A taxa de amostragem do registo de fluxo principal não é configurável. Para mais informações, consulte o artigo Amostragem e processamento de registos.
Clique em Guardar.

Também pode usar o menu Gerir registos de fluxo nas seguintes localizações para editar as configurações dos registos de fluxo de VPC:

Os separadores Redes no projeto atual e Sub-redes no projeto atual na página Redes VPC
O separador Associações VLAN na página Interconnect
O separador Túneis de VPN na página VPN

gcloud

Use o comando gcloud network-management vpc-flow-logs-configs update. Os parênteses retos [] no comando seguinte indicam parâmetros opcionais.

gcloud network-management vpc-flow-logs-configs update CONFIG_NAME \
    --location=global \
    [--network=NETWORK | --subnet=SUBNET | --interconnect-attachment=VLAN_ATTACHMENT | --vpn-tunnel=VPN_TUNNEL] \
    [--aggregation-interval=AGGREGATION_INTERVAL] \
    [--filter-expr=FILTER_EXPRESSION] \
    [--flow-sampling=SAMPLING_RATE] \
    [--metadata=LOGGING_METADATA] \
    [--state=STATE]

Por exemplo, para atualizar o parâmetro de intervalo de agregação, execute o seguinte comando:

gcloud network-management vpc-flow-logs-configs update CONFIG_NAME \
    --location=global \
    --aggregation-interval=AGGREGATION_INTERVAL

Substitua o seguinte:

CONFIG_NAME: o nome da configuração que quer atualizar. A configuração está localizada no mesmo Google Cloud projeto que o recurso para o qual a configuração é usada.

Para atualizar os parâmetros opcionais, substitua o seguinte:

NETWORK, SUBNET, VLAN_ATTACHMENT ou VPN_TUNNEL: o nome do recurso de destino. Só é possível especificar um recurso por configuração. Use esta opção para atualizar o nome do recurso de destino. Tem de ser especificado no seguinte formato:
- Rede da VPC: projects/PROJECT_ID/global/networks/NAME
- Sub-rede: projects/PROJECT_ID/regions/REGION/subnetworks/NAME
- VLAN attachment: projects/PROJECT_ID/regions/REGION/interconnectAttachments/NAME
- Túnel do Cloud VPN: projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME
- Substitua o seguinte:
  - PROJECT_ID: o ID do projeto que contém o recurso. Google Cloud
  - REGION: a região do recurso.
  - NAME: o nome do recurso.
AGGREGATION_INTERVAL: o intervalo de agregação para registos de fluxo gerados por esta configuração. Este parâmetro pode ser definido como interval-5-sec(predefinição), interval-30-sec, interval-1-min, interval-5-min,interval-10-min ou interval-15-min.
FILTER_EXPRESSION: uma expressão que define os registos que quer manter. A expressão tem um limite de 2048 carateres. Para mais informações, consulte os artigos Filtragem de registos e Exemplos de filtros de registos.
SAMPLING_RATE: a taxa de amostragem do fluxo secundário. Este parâmetro pode ser definido de um valor superior a 0.0 a 1.0 (todos os registos, predefinição). Para mais informações, consulte o artigo Amostragem e processamento de registos.
LOGGING_METADATA: as anotações de metadados que quer incluir nos registos:
- Use include-all-metadata para incluir todas as anotações de metadados (predefinição).
- Use exclude-all-metadata para excluir todas as anotações de metadados.
- Use custom-metadata para incluir uma lista personalizada de campos de metadados. Para especificar os campos de metadados, use a flag --metadata-fields:
  - --metadata-fields=METADATA_FIELDS: substitua METADATA_FIELDS por uma lista separada por vírgulas de campos de metadados que quer incluir nos registos. Por exemplo, src_instance,dst_instance. Só pode ser definido se metadata estiver definido como custom-metadata.
STATE: o estado da configuração. Pode ser enabled (predefinição) ou disabled.

API

Use o projects.locations.vpcFlowLogsConfigs.patch método. Para ver informações sobre os campos que pode modificar, consulte o recurso REST: projects.locations.vpcFlowLogsConfigs.

Para atualizar uma configuração dos registos de fluxo de VPC, inclua os seguintes parâmetros no seu pedido de API:

PATCH https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME?updateMask=FIELDS
{
  ...fields to modify
}

Substitua o seguinte:

PROJECT_ID: o ID do projeto que contém a configuração dos registos de fluxo da VPC. Google Cloud Este ID é igual ao ID do projeto do recurso para o qual a configuração é usada.
CONFIG_NAME: o nome da configuração que quer atualizar.
FIELDS: o nome do campo ou dos campos que quer atualizar, separados por vírgulas. Por exemplo, aggregationInterval,flowSampling,metadata.

Por exemplo, para atualizar o campo aggregationInterval para uma configuração my-config em my-project, use o seguinte pedido API:

PATCH https://networkmanagement.googleapis.com/v1/projects/my-project/locations/global/vpcFlowLogsConfigs/my-config?updateMask=aggregationInterval
{
  aggregationInterval:AGGREGATION_INTERVAL
}

Substitua AGGREGATION_INTERVAL por qualquer um dos valores suportados para este parâmetro.

Atualize os parâmetros de configuração das sub-redes

Esta secção descreve como atualizar uma configuração dos registos de fluxo da VPC gerida pela API Compute Engine.

Para ver que configurações dos registos de fluxo de VPC são geridas pela API Compute Engine, consulte o artigo Veja que sub-redes numa rede têm os registos de fluxo de VPC ativados.

Consola

Na Google Cloud consola, aceda à página Redes VPC.

Aceda a redes de VPC
Em Sub-redes no projeto atual, clique na sub-rede que quer atualizar.
Clique em Edit.
Opcional: ajuste qualquer uma das seguintes definições:
- O intervalo de agregação. Por predefinição, o intervalo de agregação está definido como 5 segundos.
- Se deve configurar a filtragem de registos. Por predefinição, a opção Manter apenas registos que correspondam a um filtro está desmarcada.
- Se devem ser incluídos metadados nas entradas do registo final. Por predefinição, as anotações de metadados incluem todos os campos.
- A taxa de amostragem secundária. 50% significa que metade das entradas geradas pelo processo de amostragem de registos de fluxo principal é mantida. A taxa de amostragem do registo de fluxo principal não é configurável. Para mais informações, consulte o artigo Amostragem e processamento de registos.
Clique em Guardar.

Em alternativa, pode atualizar os parâmetros de configuração dos registos de fluxo de VPC através do menu Gerir registos de fluxo em Sub-redes no projeto atual na página Redes VPC.

gcloud

Execute o seguinte comando:

gcloud compute networks subnets update SUBNET_NAME \
    [--logging-aggregation-interval=AGGREGATION_INTERVAL] \
    [--logging-flow-sampling=SAMPLING_RATE] \
    [--logging-filter-expr=FILTER_EXPRESSION] \
    [--logging-metadata=LOGGING_METADATA] \
    [--logging-metadata-fields=METADATA_FIELDS] \

Substitua o seguinte:

AGGREGATION_INTERVAL: o intervalo de agregação para os registos de fluxo nessa sub-rede. O intervalo pode ser definido para qualquer um dos seguintes valores: 5 segundos (predefinição), 30 segundos, 1 minuto, 5 minutos, 10 minutos ou 15 minutos.
SAMPLING_RATE: a taxa de amostragem do fluxo secundário. A amostragem do fluxo secundário pode ser definida de 0.0 (sem amostragem) a 1.0 (todos os registos). A predefinição é 0.5. Para mais informações, consulte o artigo Amostragem e processamento de registos.
FILTER_EXPRESSION: uma expressão que define que registos quer manter. A expressão tem um limite de 2048 carateres. Para mais informações, consulte os artigos Filtragem de registos e Exemplos de filtros de registos.
LOGGING_METADATA: as anotações de metadados que quer incluir nos registos:
- Use include-all para incluir todas as anotações de metadados.
- Use exclude-all para excluir todas as anotações de metadados (predefinição).
- Use custom para incluir uma lista personalizada de campos de metadados que especifica em METADATA_FIELDS.
Nota: se um subnet tiver o registo de fluxo ativado em qualquer altura antes de 1 de março de 2021 e se LOGGING_METADATA nunca tiver sido configurado explicitamente, o valor predefinido de LOGGING_METADATA é include-all.
METADATA_FIELDS: uma lista separada por vírgulas dos campos de metadados que quer incluir nos registos. Por exemplo, src_instance,dst_instance. Só pode ser definido se LOGGING_METADATA estiver definido como custom.

API

Modifique os campos de amostragem de registos para atualizar os comportamentos dos registos de fluxo de VPC.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    ...fields to modify
  },
  "fingerprint": "SUBNET_FINGERPRINT"
}

Substitua o seguinte:

PROJECT_ID: o ID do projeto onde a sub-rede está localizada.
REGION: a região onde a sub-rede está localizada.
SUBNET_NAME: o nome da sub-rede existente.
SUBNET_FINGERPRINT: o ID da impressão digital da sub-rede existente, que é fornecido quando descreve uma sub-rede.
Para os campos que pode modificar, consulte o artigo Ative os registos de fluxo de VPC quando criar uma sub-rede.

Para mais informações, consulte o método subnetworks.patch.

Pare a recolha de registos

Pode pausar a recolha de registos para um recurso desativando todas as respetivas configurações ativas de registos de fluxo de VPC.

Se já não precisar de uma configuração dos VPC Flow Logs, pode eliminar a configuração. A recolha de registos é interrompida e a configuração é eliminada.

Para parar a recolha de registos e eliminar uma configuração dos registos de fluxo de VPC gerida pela API Compute Engine, consulte o artigo desative os registos de fluxo de VPC para uma sub-rede.

Desative uma configuração dos registos de fluxo da VPC

Consola

Na Google Cloud consola, aceda à página VPC Flow Logs.

Aceda aos registos de fluxo da VPC
Nas secções Configurações ao nível da organização ou Configurações ao nível do projeto, selecione uma ou mais configurações dos registos de fluxo da VPC que quer desativar e altere o estado da configuração para Desativar.

Se a sua seleção incluir configurações ativas e inativas, no menu Alterar estado da configuração, clique em Desativar tudo.

gcloud

Para pausar a recolha de registos para uma configuração dos VPC Flow Logs, use o comando gcloud network-management vpc-flow-logs-configs update.

Pause uma configuração ao nível da organização

gcloud network-management vpc-flow-logs-configs update CONFIG_NAME \
    --location=global \
    --organization=ORGANIZATION \
    --state=disabled

Substitua o seguinte:

CONFIG_NAME: o nome da configuração
ORGANIZATION: o ID da organização

Pause uma configuração ao nível do projeto

gcloud network-management vpc-flow-logs-configs update CONFIG_NAME \
    --location=global \
    --state=disabled

Substitua CONFIG_NAME pelo nome da configuração.

API

Pause uma configuração ao nível da organização

Para pausar a recolha de registos, use o método organizations.locations.vpcFlowLogsConfigs.patch.

PATCH -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME?updateMask=state
{
  "state": "DISABLED"
}

Substitua o seguinte:

PROJECT_ID: o ID do projeto de quota. Os pedidos de API são contabilizados para este projeto.
ORGANIZATION_ID: o ID da organização.
CONFIG_NAME: o nome da configuração.

Pause uma configuração ao nível do projeto

Para pausar a recolha de registos, use o método projects.locations.vpcFlowLogsConfigs.patch.

PATCH https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME?updateMask=state
{
  "state": "DISABLED"
}

Substitua o seguinte:

PROJECT_ID: o ID do projeto Google Cloud que contém a configuração. Este ID é igual ao ID do projeto do recurso para o qual a configuração é usada.
CONFIG_NAME: o nome da configuração.

Elimine uma configuração dos registos de fluxo da VPC

Consola

Na Google Cloud consola, aceda à página VPC Flow Logs.

Aceda aos registos de fluxo da VPC
Nas secções Configurações ao nível da organização ou Configurações ao nível do projeto, selecione uma ou mais configurações de registos de fluxo da VPC que quer eliminar e clique em Eliminar.

gcloud

Para eliminar uma configuração dos VPC Flow Logs, use o comando gcloud network-management vpc-flow-logs-configs delete.

Elimine uma configuração ao nível da organização

gcloud network-management vpc-flow-logs-configs delete CONFIG_NAME \
    --location=global \
    --organization=ORGANIZATION

Substitua o seguinte:

CONFIG_NAME: o nome da configuração
ORGANIZATION: o ID da organização

Elimine uma configuração ao nível do projeto

gcloud network-management vpc-flow-logs-configs delete CONFIG_NAME \
    --location=global

Substitua CONFIG_NAME pelo nome da configuração que quer eliminar.

API

Elimine uma configuração ao nível da organização

Para eliminar uma configuração dos registos de fluxo de VPC, use o método organizations.locations.vpcFlowLogsConfigs.delete.

DELETE -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME

Substitua o seguinte:

PROJECT_ID: o ID do projeto de quota. Os pedidos de API são contabilizados para este projeto.
ORGANIZATION_ID: o ID da organização.
CONFIG_NAME: o nome da configuração.

Elimine uma configuração ao nível do projeto

Para eliminar uma configuração dos registos de fluxo de VPC, use o método projects.locations.vpcFlowLogsConfigs.delete.

DELETE https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME

Substitua o seguinte:

PROJECT_ID: o ID do projeto Google Cloud que contém a configuração
CONFIG_NAME: o nome da configuração

Desative os registos de fluxo da VPC para uma sub-rede

Esta secção descreve como eliminar uma configuração dos registos de fluxo da VPC gerida pela API Compute Engine. Quando desativa os registos de fluxo da VPC para uma sub-rede, a recolha de registos é interrompida e a configuração é eliminada.

Consola

Na Google Cloud consola, aceda à página Redes VPC.

Aceda a redes de VPC
Clique na sub-rede que quer atualizar.
Clique em Edit.
Para Registos de fluxo, selecione Desativado.
Clique em Guardar.

gcloud

Execute o seguinte comando:

gcloud compute networks subnets update SUBNET_NAME \
    --no-enable-flow-logs

API

Desative os registos de fluxo de VPC numa sub-rede para parar de recolher registos.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    "enable": false
  },
  "fingerprint": "SUBNET_FINGERPRINT"
}

Substitua o seguinte:

PROJECT_ID: o ID do projeto onde a sub-rede está localizada
REGION: a região onde a sub-rede está localizada
SUBNET_NAME: o nome da sub-rede existente
SUBNET_FINGERPRINT: o ID da impressão digital da sub-rede existente, que é fornecido quando descreve uma sub-rede

Para mais informações, consulte o método subnetworks.patch.

Exemplos de filtros de registo

Esta secção fornece exemplos de filtros de registos que pode configurar para preservar apenas os registos que correspondem ao filtro. Para mais informações, consulte o artigo Filtragem de registos.

Exemplo 1. Limite a recolha de registos a uma VM específica denominada my-vm

Neste caso, apenas são registados os registos em que o campo src_instance, conforme comunicado pela origem do tráfego, é my-vm ou o campo dst_instance, conforme comunicado pelo destino do tráfego, é my-vm.

gcloud network-management vpc-flow-logs-configs update my-config \
    --location=global \
    --filter-expr="(src_instance.vm_name == 'my-vm' && reporter=='SRC') || (dest_instance.vm_name == 'my-vm' && reporter=='DEST')"

Se ativou os registos de fluxo da VPC através da API Compute Engine, execute o seguinte comando:

gcloud compute networks subnets update my-subnet \
    --logging-filter-expr="(src_instance.vm_name == 'my-vm' && reporter=='SRC') || (dest_instance.vm_name == 'my-vm' && reporter=='DEST')"

Exemplo 2. Limite a recolha de registos a pacotes cujos endereços IP de origem estejam na sub-rede 10.0.0.0/8

gcloud network-management vpc-flow-logs-configs update my-config \
    --location=global \
    --filter-expr="inIpRange(connection.src_ip, '10.0.0.0/8')"

Se ativou os registos de fluxo da VPC através da API Compute Engine, execute o seguinte comando:

gcloud compute networks subnets update my-subnet \
    --logging-filter-expr="inIpRange(connection.src_ip, '10.0.0.0/8')"

Exemplo 3. Limite a recolha de registos ao tráfego de VMs que seja externo a uma rede da VPC

gcloud network-management vpc-flow-logs-configs update my-config \
    --location=global \
    --filter-expr="!(has(src_vpc.vpc_name) && has(dest_vpc.vpc_name))"

Se ativou os registos de fluxo da VPC através da API Compute Engine, execute o seguinte comando:

gcloud compute networks subnets update my-subnet \
    --logging-filter-expr="!(has(src_vpc.vpc_name) && has(dest_vpc.vpc_name))"

Exemplo 4. Limite a recolha de registos a uma associação VLAN de destino específica ou a um túnel de VPN na nuvem, my-gateway

gcloud network-management vpc-flow-logs-configs update my-config \
    --location=global \
    --filter-expr="dest_gateway.name == 'my-gateway'"

Exemplo 5. Limite a recolha de registos a associações VLAN

gcloud network-management vpc-flow-logs-configs update my-config \
    --location=global \
    --filter-expr="dest_gateway.type == 'INTERCONNECT_ATTACHMENT'"

Exemplo 6. Limite a recolha de registos a uma rede VPC de origem específica, my-network

gcloud network-management vpc-flow-logs-configs update my-config \
    --location=global \
    --filter-expr="src_vpc.vpc_name == 'my-network'"

Resolução de problemas

As secções seguintes podem ajudar a diagnosticar problemas com a configuração dos registos de fluxo da VPC.

Os registos de fluxo para sub-redes parecem estar desativados, apesar de os ter ativado

Quando configura uma sub-rede apenas de proxy para equilibradores de carga de aplicações internos e usa o comando gcloud compute networks subnets para ativar os registos de fluxo da VPC, o comando parece ter êxito, mas os registos de fluxo não são realmente ativados. A flag --enable-flow-logs não tem efeito quando também inclui a flag --purpose=INTERNAL_HTTPS_LOAD_BALANCER.

Quando usa a Google Cloud consola ou a API para ativar os registos de fluxo, é apresentada a mensagem de erro: "Valor inválido para o campo 'resource.enableFlowLogs': 'true'. Campo inválido definido na sub-rede com o objetivo INTERNAL_HTTPS_LOAD_BALANCER."

Uma vez que as sub-redes apenas de proxy não têm VMs, os VPC Flow Logs não são suportados. Este comportamento é intencional.

O que se segue?

Aceda aos registos de fluxo