ログと指標の表示

Cloud VPN ゲートウェイはログ情報を Cloud Logging に送信し、Cloud VPN トンネルはモニタリング指標を Cloud Monitoring に送信します。このページでは、ログと指標、およびログと指標の表示方法について説明します。

VPN トンネルの使用率をモニタリングするには、VPN トンネル帯域幅にアラートを定義します。これは、本番環境のワークロードに推奨のモニタリング方法です。

ログを表示する

Cloud VPN ゲートウェイは特定のログを Cloud Logging に送信します。Cloud VPN ログエントリには、VPN トンネルのモニタリングとデバッグに有用な次のような情報が含まれています。

  • 重大度、プロジェクト ID、プロジェクト番号、タイムスタンプなど、ほとんどの Google Cloud ログに一般的に示される情報。
  • ログエントリによって異なるその他の情報。

有用なログの一覧については、Cloud VPN ログをご覧ください。

コンソール

Cloud VPN のログを表示する手順は次のとおりです。

  • Google Cloud コンソールで、[ログ エクスプローラ] ページに移動します。

    [ログ エクスプローラ] に移動

    Cloud VPN ログは、作成元である Cloud VPN ゲートウェイによってインデックスに登録されます。

    • Cloud VPN のすべてのログを表示するには、[All resources] メニューで [Cloud Cloud VPN gateway] を選択し、[All gateway_id] をクリックします。
    • 1 つのゲートウェイのログのみを表示するには、メニューから 1 つのゲートウェイの名前を選択します。

  • ブール型のログフィールドは、通常、フィールド値が true の場合にのみ表示されます。ブール値のフィールドが false の場合、そのフィールドはログに表示されません。

  • ログフィールドには UTF-8 文字エンコードが適用されます。UTF-8 以外の文字列は、疑問符に置き換えられます。

ログを転送する

Cloud VPN リソースログのログベースの指標のルーティングを構成できます。

Cloud Logging では、Cloud VPN ログは 30 日間のみ保存されます。それよりも長い期間ログを保持するには、ログを転送する必要があります。Cloud VPN ログは、Cloud Pub/Sub または BigQuery に転送して分析できます。

指標を表示する

VPN トンネルに関連する指標を表示し、アラートを作成するには、Cloud Monitoring を使用します。

Cloud Monitoring の事前定義されたダッシュボードに加えて、カスタム ダッシュボードを作成して、アラートを設定し、Monitoring API または Google Cloud コンソールを使用して指標に対するクエリを行うことができます。

Monitoring ダッシュボードを表示する

以降のセクションでは、Cloud VPN のモニタリング ダッシュボードを表示する他の方法を説明します。

事前定義のダッシュボードを表示する

Monitoring には、Cloud VPN 用の事前定義されたダッシュボードが用意されています。[オブザーバビリティ] タブには、Cloud VPN プロジェクトの健全性とパフォーマンスを 1 つのビューでモニタリングするために役立つさまざまな指標が表示されます。

コンソール

事前定義されたダッシュボードにアクセスするには、次の手順を行います。

  1. Google Cloud コンソールで、[Cloud VPN] ページに移動します。

    [VPN] に移動

  2. [オブザーバビリティ] タブをクリックします。

    ダッシュボードには、送信パケット数、受信パケット数、破棄されたパケット数など、プロジェクト レベルの主要な指標が表示されます。

  3. データは、リージョン、Cloud VPN ゲートウェイ、Cloud VPN トンネルでフィルタリングできます。

Cloud VPN トンネル内からの指標を表示する

個々の Cloud VPN トンネルのパフォーマンスとステータスは、トンネルの詳細ページで確認できます。[Monitoring] タブには、選択した Cloud VPN トンネルを迅速にモニタリングするために役立つさまざまな指標が表示されます。

コンソール

特定の Cloud VPN トンネルの指標を表示する手順は次のとおりです。

  1. Google Cloud コンソールで、[Cloud VPN] ページに移動します。

    [VPN] に移動

  2. 表示する Cloud VPN トンネルを選択します。

  3. [Monitoring] タブをクリックします。

    ダッシュボードには、その特定のトンネルのバイト数やパケット数などの主要な指標が表示されます。

Metrics Explorer で指標を表示する

コンソール

Metrics Explorer を使用してモニタリング対象リソースの指標を表示するには、次の操作を行います。

  1. Google Cloud コンソールで [Metrics explorer] のページに移動します。

    [Metrics Explorer] に移動

    検索バーを使用してこのページを検索する場合は、小見出しが [Monitoring] である結果を選択します。

  2. Google Cloud コンソールのツールバーで、 Google Cloud プロジェクトを選択します。App Hub の構成には、App Hub ホスト プロジェクトまたはアプリ対応フォルダの管理プロジェクトを選択します。
  3. [指標] 要素の [指標を選択] メニューを開いてフィルタバーに「Cloud VPN」と入力し、サブメニューを使用して特定のリソースタイプと指標を選択します。
    1. [有効なリソース] メニューで、[Cloud VPN] を選択します。このリソースタイプは、Classic VPN ゲートウェイまたは HA VPN ゲートウェイで有効です。
    2. 指標を選択するには、[有効な指標カテゴリ] メニューと [有効な指標] メニューを使用します。指標の一覧については、Cloud VPN の指標一覧をご覧ください。
    3. [適用] をクリックします。

  4. クエリ結果から時系列を削除するフィルタを追加するには、[フィルタ] 要素を使用します。

  5. 時系列を結合するには、[集計] 要素のメニューを使用します。たとえば、ゾーンに基づいて VM の CPU 使用率を表示するには、最初のメニューを [平均] に設定し、2 番目のメニューを [ゾーン] に設定します。

    [集計] 要素の最初のメニューが [未集計] に設定されている場合は、すべての時系列が表示されます。[集計] 要素のデフォルト設定は、選択した指標タイプによって決まります。

  6. 割り当てと、1 日に 1 つのサンプルを報告するその他の指標については、次の操作を行います。
    1. [表示] ペインで、[ウィジェット タイプ] を [積み上げ棒グラフ] に設定します。
    2. 期間は少なくとも 1 週間に設定します。

Monitoring アラートを定義する

コンソール

アラート ポリシーを作成して指標の値をモニタリングすると、指標が条件に違反した場合に通知できます。

  1. Google Cloud コンソールで、 [アラート] ページに移動します。

    [アラート] に移動

    検索バーを使用してこのページを検索する場合は、小見出しが [Monitoring] の結果を選択します。

  2. 通知チャンネルを作成せずに通知を受け取る場合は、[EDIT NOTIFICATION CHANNELS] をクリックして、通知チャンネルを追加します。チャンネルを追加したら、[アラート] ページに戻ります。
  3. [アラート] ページで、[CREATE POLICY] をクリックします。
  4. 指標を選択するには、[指標を選択] メニューを開き、次の操作を行います。
    1. メニューを関連するエントリに限定するには、フィルタバーに「Cloud VPN gateway」と入力します。結果が表示されない場合は、[有効なリソースと指標のみを表示] をオフに切り替えます。
    2. [リソースの種類] で [Cloud VPN ゲートウェイ] を選択します。
    3. 指標カテゴリ指標を選択して、[適用] を選択します。
  5. [次へ] をクリックします。
  6. [Configure alert trigger] ページの設定によって、アラートがトリガーされるタイミングが決まります。条件タイプを選択し、必要に応じてしきい値を指定します。詳細については、指標しきい値のアラート ポリシーを作成するをご覧ください。
  7. [次へ] をクリックします。
  8. (省略可)アラート ポリシーに通知を追加するには、[通知チャネル] をクリックします。ダイアログで、メニューから 1 つ以上の通知チャンネルを選択し、[OK] をクリックします。
  9. (省略可)インシデントの自動クローズ期間を更新します。このフィールドは、指標データがない場合に Monitoring がインシデントを閉じるタイミングを決定します。
  10. (省略可)[Documentation] をクリックして、通知メッセージに追加する情報を入力します。
  11. [アラート名] をクリックして、アラート ポリシーの名前を入力します。
  12. [ポリシーを作成] をクリックします。
詳細については、アラートの概要をご覧ください。

Cloud VPN トンネル帯域幅のアラートを定義する

ネットワーク帯域幅で説明している 1 秒あたりのバイト数(bps)と 1 秒あたりのパケット数(pps)に関するアラート ポリシーを作成するには、Prometheus Query Language(PromQL)を使用します。

クエリを入力する場合は、PromQL ベースのアラート ポリシー(コンソール)の作成の手順に沿って操作し、以下の例を参照してください。

アクティブ / アクティブのトンネル構成(デフォルト)では、VPN トンネルの使用しきい値を 50% に設定することをおすすめします。Cloud VPN トンネルの帯域幅使用量に 50% のアラート ポリシーを設定すると、トンネルのフェイルオーバーが発生した場合に、十分な容量を確保できます。

  • bps のクエリ: 次のサンプルクエリでは、特定の VPN トンネルで sent_bytes_countreceived_bytes_count の合計が、3 Gbps(375 MBps)の上限の 50% を超えると通知します。必要なデータを取得できるように、割合を適切にスケーリングする必要があります。1 秒に設定しても、より多くの日数で多くのデータ サンプリング ポイントが必要になった場合はスケーリングされます。

    (
 rate({"vpn.googleapis.com/network/sent_bytes_count", monitored_resource="vpn_gateway", tunnel_name="TUNNEL_NAME"}[1m]) +
 rate({"vpn.googleapis.com/network/received_bytes_count", monitored_resource="vpn_gateway", tunnel_name="TUNNEL_NAME"}[1m])
) > 187500000 # 187.5 MBy/s * 1000000

  • pps のクエリ: 次のサンプルクエリでは、特定の VPN トンネルで sent_packets_countreceived_packets_count の合計が、推奨の最大パケットレート(250,000 pps)の 50% を超えると通知します。

    (
  rate({"vpn.googleapis.com/network/sent_packets_count", monitored_resource="vpn_gateway", tunnel_name="TUNNEL_NAME"}[1m]) +
  rate({"vpn.googleapis.com/network/received_packets_count", monitored_resource="vpn_gateway", tunnel_name="TUNNEL_NAME"}[1m])
) > 125000

PromQL の詳細については、Cloud Monitoring の PromQL をご覧ください。

Monitoring カスタム ダッシュボードを定義する

コンソール

Cloud VPN の指標にカスタムの Monitoring ダッシュボードを作成する手順は次のとおりです。

  1. Google Cloud コンソールで、[モニタリング] ページに移動します。

    [モニタリング] に移動

  2. Monitoring のナビゲーション パネルで、[ダッシュボード] をクリックし、[CREATE DASHBOARD] をクリックします。

  3. [編集] 切り替えボタンが [オン] の位置にあることを確認します。

  4. ダッシュボードに追加するグラフ ライブラリのウィジェットをクリックします。ライブラリからグラフ領域にウィジェットをドラッグすることもできます。

  5. ウィジェットの構成ペインでウィジェットを構成します。これは、ダッシュボードが編集可能で、ウィジェットが選択された場合に表示されます。

  6. ダッシュボードのツールバーで、グラフ ライブラリをアクティブにするには、[グラフを追加] をクリックします。ダッシュボードに追加するウィジェットごとに、前の手順を繰り返します。

  7. 指標とフィルタを選択します。指標のリソースタイプは Cloud VPN Gateway です。

ウィジェットの構成の詳細については、ダッシュボード ウィジェットを追加するをご覧ください。

カスタム ダッシュボードの設定の詳細については、カスタム ダッシュボードを管理するをご覧ください。

Cloud VPN のモニタリング指標を表示する

Cloud VPN の次の指標が Monitoring に報告されます。個別のイベントではない指標は、期間に関する指標です。

次の表の指標タイプの文字列には、vpn.googleapis.com/ という接頭辞を付ける必要があります。この接頭辞は表内で省略されています。 ラベルをクエリする場合は、metric.labels. 接頭辞を使用します(例: metric.labels.LABEL="VALUE")。

指標タイプリリース ステージ (リソース階層レベル)
表示名
種類、タイプ、単位
モニタリング対象リソース		 説明
ラベル
gateway/connections GA (プロジェクト)
接続数
GAUGEINT641
vpn_gateway 		VPN ゲートウェイあたりの HA 接続の数を示します。60 秒ごとにサンプリングされます。サンプリング後、データは最長 60 秒間表示されません。
configured_for_sla: (BOOL) HA 接続が完全に SLA 用に構成されているかどうか。
gcp_service_health: (BOOL) HA 接続の Google Cloud 側が完全に機能しているかどうか。
end_to_end_health: (BOOL) HA 接続が機能しているかどうか。
network/dropped_received_packets_count GA (プロジェクト)
破棄された受信パケット
DELTAINT641
vpn_gateway 		トンネルで破棄された上り(内向き、ピア VPN からの受信)パケット。60 秒ごとにサンプリングされます。サンプリング後、データは最長 180 秒間表示されません。
tunnel_name: トンネルの名前。
gateway_name: トンネルを管理するゲートウェイの名前。
network/dropped_sent_packets_count GA (プロジェクト)
破棄された送信パケット
DELTAINT641
vpn_gateway 		トンネルで破棄された下り(外向き、ピア VPN への転送)パケット。60 秒ごとにサンプリングされます。サンプリング後、データは最長 180 秒間表示されません。
tunnel_name: トンネルの名前。
gateway_name: トンネルを管理するゲートウェイの名前。
network/received_bytes_count GA (プロジェクト)
受信バイト
DELTAINT64By
vpn_gateway 		トンネルの上り(内向き、ピア VPN からの受信)バイト。60 秒ごとにサンプリングされます。サンプリング後、データは最長 180 秒間表示されません。
tunnel_name: トンネルの名前。
gateway_name: トンネルを管理するゲートウェイの名前。
network/received_packets_count GA (プロジェクト)
受信パケット
DELTAINT64{packets}
vpn_gateway 		トンネルの上り(内向き、ピア VPN からの受信)パケット。60 秒ごとにサンプリングされます。サンプリング後、データは最長 60 秒間表示されません。
status: 配信ステータス。たとえば、[successful, exceed_mtu, throttled]。
tunnel_name: トンネルの名前。
network/sent_bytes_count GA (プロジェクト)
送信バイト数
DELTAINT64By
vpn_gateway 		トンネルの下り(外向き、ピア VPN への転送)バイト。60 秒ごとにサンプリングされます。サンプリング後、データは最長 180 秒間表示されません。
tunnel_name: トンネルの名前。
gateway_name: トンネルを管理するゲートウェイの名前。
network/sent_packets_count GA (プロジェクト)
送信パケット
DELTAINT64{packets}
vpn_gateway 		トンネルの下り(外向き、ピア VPN への転送)パケット。60 秒ごとにサンプリングされます。サンプリング後、データは最長 60 秒間表示されません。
status: 配信ステータス。たとえば、[successful, exceed_mtu, throttled]。
tunnel_name: トンネルの名前。
tunnel_established GA (プロジェクト)
トンネルの確立
GAUGEDOUBLE1
vpn_gateway 		> 0 の場合、成功したトンネル確立を示しています。60 秒ごとにサンプリングされます。サンプリング後、データは最長 180 秒間表示されません。
tunnel_name: トンネルの名前。
gateway_name: トンネルを管理するゲートウェイの名前。
vpn_tunnel/gateway_ip_version GA (プロジェクト)
ゲートウェイの IP バージョン
GAUGEBOOL
vpn_tunnel 		HA VPN ゲートウェイの IP バージョン。60 秒ごとにサンプリングされます。サンプリング後、データは最長 60 秒間表示されません。
gateway_ip_version: HA VPN ゲートウェイの IP バージョン。

表の生成日時: 2025-12-11 14:22:04 UTC

HA 接続状態の指標を表示する

次の指標は、HA VPN ゲートウェイの接続が正常で、構成が 99.99% の SLA を満たしているかどうかを示します。

グラフを作成する際に、リソースタイプと指標を Cloud VPN ゲートウェイ接続数として指定した場合は、これらのラベルを [フィルタ] フィールドで確認できます。詳しくは、指標、フィルタ、集計をご覧ください。

ステータス 説明
configured_for_sla HA 接続が完全に構成されているかどうか、つまり、接続に必要な数のトンネルが含まれ、Cloud Router に正しく接続されているかどうかを示します。
gcp_service_health HA 接続が Google Cloud 側で正常に機能しているかどうかを示します。たとえば、トンネルの割り当てです。
end_to_end_health HA 接続内でパケットが正常に送受信されたかどうかを示します。

ネットワーク トポロジで指標を表示する

ネットワークト ポロジを使用すると、ネットワーク構成の監査や、ネットワークのトラブルシューティングを行うことができます。

ネットワーク トポロジが、各接続のスループットの値をオーバーレイします。この機能を使用すると、Google Cloud とオンプレミス ネットワーク間の VPN トンネルを通過するトラフィックなど、エンティティ間で移動するトラフィックの量をすばやく確認できます。

各接続でサポートされる指標については、指標のリファレンスをご覧ください。

指標の値は、選択されている時刻の最後の 5 分間に基づいています。いずれかのエッジをクリックすると、6 週間の指標の履歴を表示することもできます。

詳しくは、データの収集と鮮度をご覧ください。

コンソール

  1. Google Cloud コンソールで、[ネットワーク トポロジ] ページに移動します。

    [ネットワーク トポロジ] に移動

  2. エンティティ選択ペインで、[エッジ指標] プルダウン メニューから指標を選択します。

  3. 特定のエンティティ階層に移動し、そのエンティティに関連するトラフィックを表示します。

    たとえば、 Google Cloud とオンプレミス ネットワーク間の VPN トンネルを通過するトラフィック帯域幅を表示する場合は、VPN トンネル接続が表示されるまでエンティティを展開します。

  4. エンティティをクリックして、すべてのトラフィック パスをハイライト表示します。

    ネットワーク トポロジは、選択されている指標をサポートする各接続の指標値を表示します。

ドロップの理由を表示する

Cloud VPN ゲートウェイがパケットを破棄した場合、ゲートウェイは破棄の理由を提供します。

理由 説明 トラフィックのソース
dont_fragment_icmp 破棄されたパケットが、do not fragment ビットが設定されている MTU より大きいサイズの ICMP パケットだった。このようなパケットは path-mtu-discovery に使用されます。 Google Cloud VM
exceeds_mtu UDP または ESP の下り(外向き)パケットの最初のフラグメントが、MTU よりも大きく、do not fragment ビットが設定されている。 Google Cloud VM
dont_fragment_nonfirst_fragment UDP または ESP 下り(外向き)パケットのフラグメントが存在するものの、これは最初のフラグメントではなく、MTU よりも大きく、do not fragment ビットが設定されている。 Google Cloud VM
Sent packets::invalid なんらかの点でパケットが無効であったか、破損していた(パケットに無効な IP ヘッダーが含まれていた場合など)。 Google Cloud VM
Sent packets::throttled Cloud VPN ゲートウェイへの過度の負荷が原因でパケットがドロップされた。 Google Cloud VM
fragment_received ピアから断片化されたパケットを受信した。 ピア Cloud VPN ゲートウェイ
sequence_number_lost 想定されるシーケンス番号より大きな数値のパケットがゲートウェイに着信した。これは、このシーケンス番号より前のシーケンス番号のパケットがドロップされた可能性があることを示しています。 ピア Cloud VPN ゲートウェイ
suspected_replay ESP パケットのシーケンス番号と同じ数値のパケットが存在する。 ピア Cloud VPN ゲートウェイ
Received packets::invalid なんらかの点でパケットが無効であったか、破損していた(パケットに無効な IP ヘッダーが含まれていた場合など)。 ピア Cloud VPN ゲートウェイ
Received packets::throttled Cloud VPN ゲートウェイへの過度の負荷が原因でパケットがドロップされた。 ピア Cloud VPN ゲートウェイ
sa_expired セキュリティ アソシエーション(SA)が不明であるパケットを受信した。すでに期限切れになっている SA、またはネゴシエートされていない SA を使用した結果であることが考えられます。 ピア Cloud VPN ゲートウェイ
unknown ゲートウェイで分類方法が認識できなかったため、パケットがドロップされた。 いずれか

次のステップ

  • モニタリングの詳細について、Cloud Monitoring で確認する。
  • ログの収集と Cloud VPN のシンクの構成の詳細について、Cloud Logging で確認する。
  • Cloud VPN の使用時に発生する可能性のある一般的な問題を解決する。トラブルシューティングをご覧ください。