Halaman ini diterjemahkan oleh Cloud Translation API.

Mengambil error Kontrol Layanan VPC dari log audit

Halaman ini menjelaskan cara menemukan error Kontrol Layanan VPC menggunakan Cloud Logging.

Kontrol Layanan VPC membantu mengurangi risiko pemindahan data yang tidak sah dengan mengisolasi layanan multi-tenant Google Cloud . Untuk mengetahui informasi selengkapnya, lihat Ringkasan Kontrol Layanan VPC.

Menentukan apakah error disebabkan oleh Kontrol Layanan VPC

Kontrol Layanan VPC dapat mengubah properti Google Cloud dan memiliki efek berjenjang di seluruh layanan. Hal ini dapat menyulitkan proses men-debug masalah, terutama jika Anda tidak tahu apa yang harus dicari.

Perubahan perimeter layanan dapat memerlukan waktu hingga 30 menit untuk diterapkan dan berlaku. Setelah perubahan diterapkan, akses ke layanan yang dibatasi dalam perimeter tidak diizinkan melintasi batas perimeter kecuali jika diberi otorisasi secara eksplisit.

Untuk menentukan apakah error terkait dengan Kontrol Layanan VPC, periksa apakah Anda telah mengaktifkan Kontrol Layanan VPC dan menerapkannya ke project dan layanan yang ingin Anda gunakan. Untuk memverifikasi apakah project dan layanan dilindungi oleh Kontrol Layanan VPC, periksa kebijakan Kontrol Layanan VPC di tingkat hierarki resource tersebut.

Pertimbangkan contoh skenario saat Anda secara tidak langsung menggunakan layanan yang ditandai sebagai layanan terbatas oleh Kontrol Layanan VPC dalam project yang berada di dalam perimeter layanan. Dalam kasus seperti itu, Kontrol Layanan VPC mungkin menolak akses.

Biasanya, layanan menyebarkan pesan error dari dependensinya. Jika Anda mengalami salah satu error berikut, hal ini menunjukkan adanya masalah pada Kontrol Layanan VPC.

Cloud Storage: 403: Request violates VPC Service Controls.
BigQuery: 403: VPC Service Controls: Request is prohibited by organization's policy.
Layanan lainnya: 403: Request is prohibited by organization's policy.

Gunakan ID unik error

Tidak seperti konsol Google Cloud , alat command line gcloud menampilkan ID unik untuk error Kontrol Layanan VPC. Untuk menemukan entri log untuk error lainnya, filter log menggunakan metadata.

Error yang dihasilkan oleh Kontrol Layanan VPC mencakup ID unik yang digunakan untuk mengidentifikasi log audit yang relevan.

Untuk mendapatkan informasi tentang error menggunakan ID unik, lakukan hal berikut:

Di konsol Google Cloud , buka halaman Cloud Logging untuk project di dalam perimeter layanan yang memicu error.

Buka Cloud Logging
Di kolom filter penelusuran, masukkan ID unik error.

Anda dapat melihat entri log yang relevan.

Memfilter log menggunakan metadata

Anda dapat menggunakan Logs Explorer untuk menemukan error yang terkait dengan Kontrol Layanan VPC. Anda dapat menggunakan bahasa kueri Logging untuk mengambil log. Untuk mengetahui informasi tentang cara membuat kueri, lihat Membuat kueri menggunakan bahasa kueri Logging.

Konsol

Untuk mendapatkan error Kontrol Layanan VPC dalam 24 jam terakhir di Logging, lakukan hal berikut:

Di konsol Google Cloud , buka halaman Cloud Logging.

Buka Cloud Logging
Pastikan Anda berada di project yang ada di dalam perimeter layanan.

Di kolom filter penelusuran, masukkan berikut ini:

protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"

Di menu Resource, pilih Audited Resource.
Di menu pemilih rentang waktu, pilih Last 24 hours.
Opsional: Untuk menemukan error Kontrol Layanan VPC yang terjadi selama periode yang berbeda, gunakan menu pemilih rentang waktu.

gcloud

Untuk mendapatkan error Kontrol Layanan VPC dalam 24 jam terakhir, jalankan perintah berikut:
```
gcloud logging read 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"'
```
Secara default, perintah read dibatasi hingga 24 jam terakhir. Untuk mendapatkan log Kontrol Layanan VPC untuk periode yang berbeda, gunakan salah satu perintah berikut:
Untuk mengambil log yang dibuat dalam jangka waktu tertentu dari tanggal saat ini, jalankan perintah berikut:
```
gcloud logging read \
'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"' \
  --freshness=DURATION
```
DURATION adalah periode waktu yang diformat. Untuk mengetahui informasi selengkapnya tentang pemformatan, lihat format durasi dan waktu relatif untuk gcloud CLI.

Untuk mengambil semua error Kontrol Layanan VPC yang terjadi dalam satu minggu terakhir, jalankan perintah berikut:

gcloud logging read \
'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"' \
  --freshness=7d

Untuk mengambil log yang dibuat antara tanggal tertentu, jalankan perintah berikut:

gcloud logging read \
'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" AND
timestamp>="START_DATETIME" AND
timestamp<="END_DATETIME"'

START_DATETIME dan END_DATETIME adalah string tanggal dan waktu yang diformat. Untuk mengetahui informasi selengkapnya tentang pemformatan, lihat format tanggal dan waktu absolut untuk gcloud CLI.

Misalnya, untuk mendapatkan semua error Kontrol Layanan VPC yang terjadi antara 22 Maret 2019 dan 26 Maret 2019:

gcloud logging read \
'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" AND
  timestamp>="2019-03-22T23:59:59Z" AND
  timestamp<="2019-03-26T00:00:00Z"'

Mengambil error Kontrol Layanan VPC dari log audit Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.