Usar registros de fluxo de VPC

Os registros de fluxo de VPC registram uma amostra de fluxos de rede enviados e recebidos por instâncias de VM, incluindo instâncias usadas como nós do GKE. Esses registros são usados para monitoramento de rede, perícia forense, análise de segurança em tempo real e otimização de despesas.

Presumimos que você conheça os conceitos descritos no artigo Registros de fluxo de VPC.

Ativar os registros de fluxo de VPC

Quando ativados, os registros funcionam em todas as VMs de uma sub-rede. No entanto, é possível reduzir a quantidade de informações gravadas na geração de registros. Para detalhes sobre os parâmetros que você pode controlar, consulte Amostragem e agregação de registros.

Para personalizar campos de metadados ou configurar a filtragem de registros, use a CLI ou a API da gcloud.

Ativar registros de fluxo de VPC ao criar uma sub-rede

Console

  1. No Console do Google Cloud, acesse a página Redes VPC.

    Acessar redes VPC

  2. Clique na rede em que você quer adicionar uma sub-rede.

  3. Clique em Add subnet.

  4. Em Registros de fluxo, selecione Ativado.

  5. Para ajustar a amostragem e a agregação de registros, clique em Configurar registros e ajuste um dos itens a seguir:

    • O intervalo de agregação
    • Defina se os metadados serão incluídos nas entradas de registro finais. Por padrão, Incluir metadados inclui todos os campos.
    • A taxa de amostragem. 100% significa que todas as entradas são mantidas.

  6. Preencha outros campos conforme apropriado.

  7. Clique em Adicionar.

gcloud

  1. No Console do Google Cloud, ative o Cloud Shell.

    Ativar o Cloud Shell

    Na parte inferior do Console do Google Cloud, uma sessão do Cloud Shell é iniciada e exibe um prompt de linha de comando. O Cloud Shell é um ambiente shell com a CLI do Google Cloud já instalada e com valores já definidos para o projeto atual. A inicialização da sessão pode levar alguns segundos.

  2. Execute este comando:

    gcloud compute networks subnets create SUBNET_NAME \
   --enable-flow-logs \
   [--logging-aggregation-interval=AGGREGATION_INTERVAL] \
   [--logging-flow-sampling=SAMPLE_RATE] \
   [--logging-filter-expr=FILTER_EXPRESSION] \
   [--logging-metadata=LOGGING_METADATA] \
   [--logging-metadata-fields=METADATA_FIELDS] \
   [other flags as needed]

    Substitua:

    • AGGREGATION_INTERVAL: o intervalo de agregação para registros de fluxo nessa sub-rede. O intervalo de tempo pode ser configurado para: 5 s (padrão), 30 s, 1 min, 5 min, 10 min ou 15 min.
    • SAMPLE_RATE: a taxa de amostragem de fluxo. A amostragem de fluxo pode ser definida de 0.0 (sem amostragem) a 1.0 (todos os registros). O padrão é 0.5.
    • FILTER_EXPRESSION: uma expressão que define quais registros você quer manter. A expressão tem um limite de 2.048 caracteres. Para detalhes, consulte Filtragem de registros.

    • LOGGING_METADATA: as anotações de metadados que você quer incluir nos registros:

      • include-all para incluir todas as anotações de metadados
      • exclude-all para excluir todas as anotações de metadados (padrão).
      • custom para incluir uma lista personalizada de campos de metadados especificados em METADATA_FIELDS.

    • METADATA_FIELDS: uma lista separada por vírgulas de campos de metadados que você quer incluir nos registros. Por exemplo, src_instance,dst_instance. Só pode ser definido se LOGGING_METADATA estiver definido como custom.

API

Ative os registros de fluxo de VPC quando criar uma nova sub-rede.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks
{
  "logConfig": {
    "aggregationInterval": "AGGREGATION_INTERVAL",
    "flowSampling": SAMPLING_RATE,
    "filterExpr": EXPRESSION,
    "metadata": METADATA_SETTING,
    "metadataFields": METADATA_FIELDS,
    "enable": true
  },
  "ipCidrRange": "IP_RANGE",
  "network": "NETWORK_URL",
  "name": "SUBNET_NAME"
}

Substitua os marcadores por valores válidos:

  • PROJECT_ID é o ID do projeto em que a sub-rede será criada.
  • REGION é a região em que a sub-rede será criada.
  • AGGREGATION_INTERVAL define o intervalo de agregação para registros de fluxo nessa sub-rede. O intervalo pode ser definido como qualquer um dos seguintes: INTERVAL_5_SEC, INTERVAL_30_SEC, INTERVAL_1_MIN, INTERVAL_5_MIN, INTERVAL_10_MIN ou INTERVAL_15_MIN.
  • SAMPLING_RATE é a taxa de amostragem de fluxo. A amostragem de fluxo pode ser definida de 0.0 (sem amostragem) a 1.0 (todos os registros). O padrão é .0.5.
  • EXPRESSION é a expressão de filtro usada para filtrar quais registros realmente serão gravados. A expressão tem um limite de 2.048 caracteres. Para detalhes, consulte Filtragem de registros.

  • METADATA_SETTING especifica se todos os metadados são registrados (INCLUDE_ALL_METADATA), nenhum metadado é registrado (EXCLUDE_ALL_METADATA) ou apenas metadados específicos são registrados (CUSTOM_METADATA). Se este campo estiver definido como CUSTOM_METADATA, preencha também o campo metadataFields. O padrão é EXCLUDE_ALL_METADATA. Consulte as anotações de metadados para mais detalhes.

  • METADATA_FIELDS são os campos de metadados que você quer capturar depois de definir metadata: CUSTOM_METADATA. Esta é uma lista separada por vírgulas de campos de metadados, como src_instance, src_vpc.project_id.

  • IP_RANGE é o intervalo de endereços IP principal da sub-rede;

  • NETWORK_URL é o URL da rede VPC em que a sub-rede será criada.

  • SUBNET_NAME é um nome para a sub-rede.

Para mais informações, consulte o método subnetworks.insert.

Terraform

Use um módulo do Terraform para criar uma rede VPC e sub-redes de modo personalizado.

O exemplo a seguir cria três sub-redes da seguinte maneira:

  • subnet-01 tem registros de fluxo de VPC desativados. Quando você cria uma sub-rede, os registros de fluxo de VPC são desativados, a menos que você os ative explicitamente.
  • subnet-02 tem registros de fluxo de VPC ativados com as configurações padrão de registro de fluxo.
  • subnet-03 tem registros de fluxo de VPC ativados com algumas configurações personalizadas.
module "test-vpc-module" {
  source       = "terraform-google-modules/network/google"
  version      = "~> 9.0"
  project_id   = var.project_id # Replace this with your project ID in quotes
  network_name = "my-custom-mode-network"
  mtu          = 1460

  subnets = [
    {
      subnet_name   = "subnet-01"
      subnet_ip     = "10.10.10.0/24"
      subnet_region = "us-west1"
    },
    {
      subnet_name           = "subnet-02"
      subnet_ip             = "10.10.20.0/24"
      subnet_region         = "us-west1"
      subnet_private_access = "true"
      subnet_flow_logs      = "true"
    },
    {
      subnet_name               = "subnet-03"
      subnet_ip                 = "10.10.30.0/24"
      subnet_region             = "us-west1"
      subnet_flow_logs          = "true"
      subnet_flow_logs_interval = "INTERVAL_10_MIN"
      subnet_flow_logs_sampling = 0.7
      subnet_flow_logs_metadata = "INCLUDE_ALL_METADATA"
      subnet_flow_logs_filter   = "false"
    }
  ]
}

Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.

Ativar registros de fluxo de VPC para uma sub-rede atual

Console

  1. No Console do Google Cloud, acesse a página Redes VPC.

    Acessar redes VPC

  2. Clique na sub-rede que você quer atualizar.

  3. Clique em Editar.

  4. Em Registros de fluxo, selecione Ativado.

  5. Para ajustar a amostragem e a agregação de registros, clique em Configurar registros e ajuste um dos itens a seguir:

    • O intervalo de agregação
    • Defina se os metadados serão incluídos nas entradas de registro finais. Por padrão, Incluir metadados inclui todos os campos.
    • A taxa de amostragem. 100% significa que todas as entradas são mantidas.

  6. Clique em Salvar.

gcloud

  1. No Console do Google Cloud, ative o Cloud Shell.

    Ativar o Cloud Shell

    Na parte inferior do Console do Google Cloud, uma sessão do Cloud Shell é iniciada e exibe um prompt de linha de comando. O Cloud Shell é um ambiente shell com a CLI do Google Cloud já instalada e com valores já definidos para o projeto atual. A inicialização da sessão pode levar alguns segundos.

  2. Execute este comando:

    gcloud compute networks subnets update SUBNET_NAME \
   --enable-flow-logs \
   [--logging-aggregation-interval=AGGREGATION_INTERVAL] \
   [--logging-flow-sampling=SAMPLE_RATE] \
   [--logging-filter-expr=FILTER_EXPRESSION] \
   [--logging-metadata=LOGGING_METADATA] \
   [--logging-metadata-fields=METADATA_FIELDS] \
   [other flags as needed]

    Substitua:

    • AGGREGATION_INTERVAL: o intervalo de agregação para registros de fluxo nessa sub-rede. O intervalo de tempo pode ser configurado para: 5 s (padrão), 30 s, 1 min, 5 min, 10 min ou 15 min.
    • SAMPLE_RATE: a taxa de amostragem de fluxo. A amostragem de fluxo pode ser definida de 0.0 (sem amostragem) a 1.0 (todos os registros). O padrão é 0.5.
    • FILTER_EXPRESSION é uma expressão que define quais registros você quer manter. A expressão tem um limite de 2.048 caracteres. Para detalhes, consulte Filtragem de registros.

    • LOGGING_METADATA: as anotações de metadados que você quer incluir nos registros:

      • include-all para incluir todas as anotações de metadados
      • exclude-all para excluir todas as anotações de metadados (padrão).
      • custom para incluir uma lista personalizada de campos de metadados especificados em METADATA_FIELDS.

    • METADATA_FIELDS: uma lista separada por vírgulas de campos de metadados que você quer incluir nos registros. Por exemplo, src_instance,dst_instance. Só pode ser definido se LOGGING_METADATA estiver definido como custom.

API

Ative os registros de fluxo de VPC para uma sub-rede existente.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    "enable": true
    ...other logging fields.
  },
  "fingerprint": "SUBNETWORK_FINGERPRINT"
}

Substitua os marcadores por valores válidos:

Para mais informações, consulte o método subnetworks.patch.

Como visualizar o volume de registro estimado para sub-redes atuais

O console do Google Cloud fornece uma estimativa do seu volume de registro para sub-redes atuais, que pode ser usada para cálculo do custo de ativação dos registros de fluxo. A estimativa é baseada em fluxos capturados em intervalos de 5 segundos para a sub-rede nos últimos 7 dias. Além disso, o tamanho de cada registro depende da ativação das anotações de metadados.

Console

  1. No Console do Google Cloud, acesse a página Redes VPC.

    Acessar redes VPC

  2. Clique na sub-rede para a qual queira estimar os custos.

  3. Clique em Editar.

  4. Em Registros de fluxo, selecione Ativado.

  5. Clique em Configurar registros.

  6. Visualize os Registros estimados gerados por dia para ver a estimativa.

  7. Clique em Cancelar para que nenhuma das suas alterações seja salva.

Visualizar quais sub-redes têm registros de fluxo de VPC ativados

É possível verificar quais sub-redes de uma rede têm registros de fluxo de VPC ativados.

Console

  1. No Console do Google Cloud, acesse a página Redes VPC.

    Acessar redes VPC

  2. Visualize a coluna Registros de fluxo para ver se a geração de registros está ativada ou desativada.

gcloud

  1. No Console do Google Cloud, ative o Cloud Shell.

    Ativar o Cloud Shell

    Na parte inferior do Console do Google Cloud, uma sessão do Cloud Shell é iniciada e exibe um prompt de linha de comando. O Cloud Shell é um ambiente shell com a CLI do Google Cloud já instalada e com valores já definidos para o projeto atual. A inicialização da sessão pode levar alguns segundos.

  2. Execute este comando:

    gcloud compute networks subnets list \
   --project PROJECT_ID \
   --network="NETWORK" \
   --format="csv(name,region,logConfig.enable)"

    Substitua:

    • PROJECT_ID é o ID do projeto que você está consultando.
    • NETWORK: o nome da rede que contém as sub-redes.

Atualizar os parâmetros dos registros de fluxo de VPC

É possível modificar os parâmetros de amostragem de registros. Consulte Amostragem e agregação de registos para ver detalhes sobre os parâmetros que você pode controlar.

Para personalizar campos de metadados ou configurar a filtragem de registros, use a CLI ou a API da gcloud.

Console

  1. No Console do Google Cloud, acesse a página Redes VPC.

    Acessar redes VPC

  2. Clique na sub-rede que você quer atualizar.

  3. Clique em Editar.

  4. Para ajustar a amostragem e a agregação de registros, clique em Configurar registros e ajuste um dos itens a seguir:

    • O intervalo de agregação
    • Defina se os metadados serão incluídos nas entradas de registro finais. Por padrão, Incluir metadados inclui todos os campos.
    • A taxa de amostragem. 100% significa que todas as entradas são mantidas.

  5. Clique em Salvar.

gcloud

  1. No Console do Google Cloud, ative o Cloud Shell.

    Ativar o Cloud Shell

    Na parte inferior do Console do Google Cloud, uma sessão do Cloud Shell é iniciada e exibe um prompt de linha de comando. O Cloud Shell é um ambiente shell com a CLI do Google Cloud já instalada e com valores já definidos para o projeto atual. A inicialização da sessão pode levar alguns segundos.

  2. Execute este comando:

    gcloud compute networks subnets update SUBNET_NAME \
   [--logging-aggregation-interval=AGGREGATION_INTERVAL] \
   [--logging-flow-sampling=SAMPLE_RATE] \
   [--logging-filter-expr=FILTER_EXPRESSION] \
   [--logging-metadata=LOGGING_METADATA] \
   [--logging-metadata-fields=METADATA_FIELDS] \

    Substitua:

    • AGGREGATION_INTERVAL: o intervalo de agregação para registros de fluxo nessa sub-rede. O intervalo de tempo pode ser configurado para: 5 s (padrão), 30 s, 1 min, 5 min, 10 min ou 15 min.
    • SAMPLE_RATE: a taxa de amostragem de fluxo. A amostragem de fluxo pode ser definida de 0.0 (sem amostragem) a 1.0 (todos os registros). O padrão é 0.5.
    • FILTER_EXPRESSION é uma expressão que define quais registros você quer manter. A expressão tem um limite de 2.048 caracteres. Para detalhes, consulte Filtragem de registros.

    • LOGGING_METADATA: as anotações de metadados que você quer incluir nos registros:

      • include-all para incluir todas as anotações de metadados
      • exclude-all para excluir todas as anotações de metadados (padrão).
      • custom para incluir uma lista personalizada de campos de metadados especificados em METADATA_FIELDS.

    • METADATA_FIELDS: uma lista separada por vírgulas de campos de metadados que você quer incluir nos registros. Por exemplo, src_instance,dst_instance. Só pode ser definido se LOGGING_METADATA estiver definido como custom.

API

Modifique os campos da amostragem de registros para atualizar os comportamentos dos registros de fluxo de VPC.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    ...fields to modify
  },
  "fingerprint": "SUBNETWORK_FINGERPRINT"
}

Substitua os marcadores por valores válidos:

Para mais informações, consulte o método subnetworks.patch.

Desativar registros de fluxo de VPC para uma sub-rede

Console

  1. No Console do Google Cloud, acesse a página Redes VPC.

    Acessar redes VPC

  2. Clique na sub-rede que você quer atualizar.

  3. Clique em Editar.

  4. Em Registros de fluxo, selecione Desativado.

  5. Clique em Save.

gcloud

  1. No Console do Google Cloud, ative o Cloud Shell.

    Ativar o Cloud Shell

    Na parte inferior do Console do Google Cloud, uma sessão do Cloud Shell é iniciada e exibe um prompt de linha de comando. O Cloud Shell é um ambiente shell com a CLI do Google Cloud já instalada e com valores já definidos para o projeto atual. A inicialização da sessão pode levar alguns segundos.

  2. Execute este comando:

    gcloud compute networks subnets update SUBNET_NAME \
   --no-enable-flow-logs

API

Desative registros de fluxo de VPC em uma sub-rede para interromper a coleta de registros.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    "enable": false
  },
  "fingerprint": "SUBNETWORK_FINGERPRINT"
}

Substitua os marcadores por valores válidos:

  • PROJECT_ID é o ID do projeto em que a sub-rede está localizada.
  • REGION é a região em que a sub-rede está localizada.
  • SUBNET_NAME é o nome da sub-rede existente.
  • SUBNET_FINGERPRINT é o ID de impressão digital da sub-rede atual, que é fornecido quando você descreve uma sub-rede.

Para mais informações, consulte o método subnetworks.patch.

Acessar registros usando o Logging

Para ver os registros de fluxo de VPC, use a Análise de registros. Para usar as consultas a seguir, você precisa do ID do projeto.

Configurar o IAM

Para configurar o controle de acesso para geração de registros, consulte o guia de controle de acesso do Logging.

Acessar todos os registros de fluxos

Console

  1. No console do Google Cloud, acesse a página do Explorador de registros.

    Acessar o Explorador de registros

  2. Clique em Recurso.

  3. Na lista Selecionar recurso, clique em Sub-rede e em Aplicar.

  4. Clique em Nome do registro.

  5. Na lista Selecionar nomes de registro, clique em vpc_flows e depois em Aplicar.

Como alternativa:

Console

  1. No console do Google Cloud, acesse a página do Explorador de registros.

    Acessar o Explorador de registros

  2. Se você não vir o campo do editor de consultas no painel Consulta, clique no botão Mostrar consulta.

  3. Cole o código a seguir no campo do editor de consultas. Substitua PROJECT_ID pelo ID do projeto. 

    resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"

  4. Clique em Executar consulta.

Acessar registros de uma sub-rede específica

Console

  1. No console do Google Cloud, acesse a página do Explorador de registros.

    Acessar o Explorador de registros

  2. Clique em Recurso.

  3. Na lista Selecionar recurso, clique em Sub-rede.

  4. Na lista ID da sub-rede, selecione a sub-rede e depois clique em Aplicar.

  5. Na lista Selecionar nomes de registro, clique em vpc_flows e depois em Aplicar.

Como alternativa:

Console

  1. No console do Google Cloud, acesse a página do Explorador de registros.

    Acessar o Explorador de registros

  2. Se você não vir o campo do editor de consultas no painel Consulta, clique no botão Mostrar consulta.

  3. Cole o código a seguir no campo do editor de consultas. Substitua PROJECT_ID pelo ID do projeto e SUBNET_NAME pela sub-rede. 

    resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
resource.labels.subnetwork_name="SUBNET_NAME"

  4. Clique em Executar consulta.

Acessar registros de uma VM específica

Console

  1. No console do Google Cloud, acesse a página do Explorador de registros.

    Acessar o Explorador de registros

  2. Se você não vir o campo do editor de consultas no painel Consulta, clique no botão Mostrar consulta.

  3. Cole o código a seguir no campo do editor de consultas. Substitua PROJECT_ID pelo ID do projeto e VM_NAME pelo nome da VM. 

    resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
jsonPayload.src_instance.vm_name="VM_NAME"

  4. Clique em Executar consulta.

Acessar registros de tráfego para um intervalo de sub-rede específico

Console

  1. No console do Google Cloud, acesse a página do Explorador de registros.

    Acessar o Explorador de registros

  2. Se você não vir o campo do editor de consultas no painel Consulta, clique no botão Mostrar consulta.

  3. Cole o código a seguir no campo do editor de consultas. Substitua PROJECT_ID pelo ID do projeto e SUBNET_RANGE por um intervalo CIDR, como 192.168.1.0/24. 

    resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
ip_in_net(jsonPayload.connection.dest_ip, SUBNET_RANGE)

  4. Clique em Executar consulta.

Acessar registros de um cluster específico do GKE

Console

  1. No console do Google Cloud, acesse a página do Explorador de registros.

    Acessar o Explorador de registros

  2. Se você não vir o campo do editor de consultas no painel Consulta, clique no botão Mostrar consulta.

  3. Cole o código a seguir no campo do editor de consultas. Substitua PROJECT_ID pelo ID do projeto e SUBNET_NAME pelo nome da sub-rede. 

    resource.type="k8s_cluster"
logName="projects/PROJECT_ID/logs/vpc_flows"
resource.labels.cluster_name="CLUSTER_NAME"

  4. Clique em Executar consulta.

Acessar registros apenas do tráfego de saída de uma sub-rede

Console

  1. No console do Google Cloud, acesse a página do Explorador de registros.

    Acessar o Explorador de registros

  2. Se você não vir o campo do editor de consultas no painel Consulta, clique no botão Mostrar consulta.

  3. Cole o código a seguir no campo do editor de consultas. Substitua PROJECT_ID pelo ID do projeto e SUBNET_NAME pelo nome da sub-rede de onde o tráfego de saída será visualizado. 

    logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" AND
jsonPayload.reporter="SRC" AND
jsonPayload.src_vpc.subnetwork_name="SUBNET_NAME" AND
(jsonPayload.dest_vpc.subnetwork_name!="SUBNET_NAME" OR NOT jsonPayload.dest_vpc.subnetwork_name:*)

  4. Clique em Executar consulta.

Acessar registros de todo o tráfego de saída de uma rede VPC

Console

  1. No console do Google Cloud, acesse a página do Explorador de registros.

    Acessar o Explorador de registros

  2. Se você não vir o campo do editor de consultas no painel Consulta, clique no botão Mostrar consulta.

  3. Cole o código a seguir no campo do editor de consultas. Substitua PROJECT_ID pelo ID do projeto e VPC_NAME pelo nome da rede VPC.

    logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" AND
jsonPayload.reporter="SRC" AND
jsonPayload.src_vpc.vpc_name="VPC_NAME" AND
(jsonPayload.dest_vpc.vpc_name!="VPC_NAME" OR NOT jsonPayload.dest_vpc:*)

  4. Clique em Executar consulta.

Acessar registros de portas e protocolos específicos

Para uma porta de destino individual

Console

  1. No console do Google Cloud, acesse a página do Explorador de registros.

    Acessar o Explorador de registros

  2. Se você não vir o campo do editor de consultas no painel Consulta, clique no botão Mostrar consulta.

  3. Cole o código a seguir no campo do editor de consultas. Substitua PROJECT_ID pelo ID do projeto, PORT pela porta de destino e PROTOCOL pelo protocolo. 

    resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
jsonPayload.connection.dest_port=PORT
jsonPayload.connection.protocol=PROTOCOL

  4. Clique em Executar consulta.

Para mais de uma porta de destino

Console

  1. No console do Google Cloud, acesse a página do Explorador de registros.

    Acessar o Explorador de registros

  2. Se você não vir o campo do editor de consultas no painel Consulta, clique no botão Mostrar consulta.

  3. Cole o código a seguir no campo do editor de consultas. Substitua PROJECT_ID pelo ID do projeto, PORT1 e PORT2 pelas portas de destino e PROTOCOL pelo protocolo. 

    resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
jsonPayload.connection.dest_port=(PORT1 OR PORT2)
jsonPayload.connection.protocol=PROTOCOL

  4. Clique em Executar consulta.

Rotear registros para o BigQuery, o Pub/Sub e destinos personalizados

É possível rotear registros de fluxo do Logging para um destino de sua escolha, conforme descrito na Visão geral de roteamento e armazenamento na documentação do Logging. Consulte a seção anterior, por exemplo, os filtros.

Solução de problemas

Nenhum vpc_flows aparece no Logging para o recurso gce_subnetwork

  • Confirme se a geração de registros está ativada para a sub-rede especificada.
  • Os fluxos de VPC são compatíveis apenas com redes VPC. Se você tiver uma rede legada, não verá nenhum registro.
  • Em redes VPC compartilhadas, os registros só aparecem no projeto host, não nos projetos de serviço. Procure os registros no projeto host.
  • Os filtros de exclusão do Logging bloqueiam registros especificados. Verifique se não há regras de exclusão que descartem os registros de fluxo de VPC.
    1. Vá para Uso de recursos.
    2. Clique na guia Exclusões.
    3. Verifique se não há regras de exclusão que possam descartar os registros de fluxo de VPC.

Nenhum valor de RTT ou byte em alguns dos registros

  • As medições de RTT talvez não sejam mostradas se não houver uma amostra com pacotes suficientes para capturar o RTT. É mais provável que isso aconteça para conexões de baixo volume.
  • Valores RTT estão disponíveis apenas para fluxos TCP.
  • Alguns pacotes são enviados sem payload. Se os pacotes somente de cabeçalho foram incluídos na amostra, o valor dos bytes será 0.

Alguns fluxos estão ausentes

  • Os pacotes de entrada são amostrados depois das regras de firewall de entrada. Verifique se não há regras de firewall de entrada que neguem os pacotes que você espera que sejam registrados. Se você não tiver certeza se as regras de firewall da VPC estão bloqueando pacotes de entrada, ative a geração de registros de regras de firewall e inspecione os registros.
  • Somente protocolos TCP, UDP, ICMP, ESP e GRE são compatíveis. Os registros de fluxo de VPC não são compatíveis com nenhum outro protocolo.
  • Os registros são amostrados. Alguns pacotes em fluxos de volume muito baixo podem não ser mostrados.

Anotações do GKE ausentes em alguns registros

Verifique se o cluster do GKE é uma versão compatível.

Registros ausentes para alguns fluxos do GKE

Verifique se a Visibilidade intranós está ativada no cluster. Caso contrário, os fluxos entre os pods no mesmo nó não serão registrados.

Os registros de fluxo parecem estar desativados, ainda que tenham sido ativados

  • Ao configurar uma sub-rede somente proxy para balanceadores de carga de aplicativo internos e usar o comando gcloud compute networks subnets para ativar os registros de fluxo de VPC, o comando parece ter êxito, mas os registros de fluxo não estão realmente ativados. A sinalização --enable-flow-logs não entra em vigor quando a sinalização --purpose=INTERNAL_HTTPS_LOAD_BALANCER também é incluída.

    Ao usar o console do Google Cloud ou a API para ativar os registros de fluxo, será exibida a seguinte mensagem de erro: "Valor inválido para o campo 'resource.enableFlowLogs': 'true'. Campo inválido definido na sub-rede com a finalidade INTERNAL_HTTPS_pload_ balanCER."

    Como as sub-redes somente proxy não têm VMs, os registros de fluxo de VPC não são compatíveis. Este é o comportamento esperado.

A seguir