Esta página se ha traducido con Cloud Translation API.

Acceder a los registros de flujo

En esta página se describe cómo acceder a los registros de flujo mediante Cloud Logging.

Acceder a registros de flujo en el explorador de registros

Registros de flujo de VPC escribe los registros en el Google Cloud proyecto del reportero de registros. Puedes ver los registros de flujo en el explorador de registros. VPC Flow Logs usa los siguientes registros para recoger entradas de registro:

El registro networkmanagement.googleapis.com/vpc_flows recoge entradas de registro de redes de nube privada virtual (VPC), subredes, vinculaciones de VLAN de Cloud Interconnect y túneles de Cloud VPN.
El registro compute.googleapis.com/vpc_flows recoge las entradas de registro de las subredes. Este registro solo se genera si has habilitado los registros de flujo de VPC para las subredes mediante la API Compute Engine.

Configurar IAM

Para configurar el control de acceso para el registro, consulta la guía de control de acceso para Logging.

Ver registros de flujo mediante filtros de recursos

Para ver los registros de flujo de un Google Cloud proyecto mediante filtros de recursos, consulta las secciones siguientes. También puedes ver estos registros mediante consultas del Explorador de registros, tal como se describe en Filtrar registros de flujo mediante consultas.

Ver los registros de flujo de todas las configuraciones (`networkmanagement.googleapis.com/vpc_flows`)

En la Google Cloud consola, ve a la página Explorador de registros.

Ir a Explorador de registros
Haz clic en Todos los recursos.
En la lista Seleccionar recurso, haz clic en Configuración de registros de flujo de VPC y, a continuación, en Aplicar.

Ver los registros de flujo de una configuración específica (`networkmanagement.googleapis.com/vpc_flows`)

En la Google Cloud consola, ve a la página Explorador de registros.

Ir a Explorador de registros
Haz clic en Todos los recursos.
En la lista Seleccionar recurso, haz clic en Configuración de registros de flujo de VPC y selecciona la configuración que quieras ver.
Haz clic en Aplicar.

Ver los registros de flujo de todas las configuraciones (`compute.googleapis.com/vpc_flows`)

Sigue estos pasos si has habilitado los registros de flujo de VPC mediante la API Compute Engine.

En la Google Cloud consola, ve a la página Explorador de registros.

Ir a Explorador de registros
Haz clic en Todos los recursos.
En la lista Seleccionar recurso, haz clic en Subred y, a continuación, en Aplicar.
Haga clic en Todos los nombres de registro.
En la lista Seleccionar nombres de registro, busca Compute Engine, haz clic en vpc_flows y, a continuación, en Aplicar.

Ver los registros de flujo de una subred específica (`compute.googleapis.com/vpc_flows`)

Sigue estos pasos si has habilitado los registros de flujo de VPC mediante la API Compute Engine.

En la Google Cloud consola, ve a la página Explorador de registros.

Ir a Explorador de registros
Haz clic en Todos los recursos.
En la lista Seleccionar recurso, haz clic en Subred.
En la lista ID de subred, selecciona la subred y, a continuación, haz clic en Aplicar.
Haga clic en Todos los nombres de registro.
En la lista Seleccionar nombres de registro, busca Compute Engine, haz clic en vpc_flows y, a continuación, en Aplicar.

Filtrar registros de flujo mediante consultas

Para ver los registros de flujo de un Google Cloud proyecto mediante consultas del Explorador de registros, haz lo siguiente.

En la Google Cloud consola, ve a la página Explorador de registros.

Ir a Explorador de registros
Si no ves el campo del editor de consultas en el panel Consulta, haz clic en el interruptor Mostrar consulta.
En el campo del editor de consultas, escribe una consulta:
- Por ejemplo, para ver los registros de flujo de un túnel de Cloud VPN de origen específico, introduce la siguiente consulta:
```
resource.type="vpc_flow_logs_config"
logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows"
jsonPayload.reporter="SRC_GATEWAY"
labels.target_resource_name="projects/PROJECT_NUMBER/regions/REGION/vpnTunnels/NAME"
```
  Haz los cambios siguientes:
  - PROJECT_ID: el ID de proyecto Google Cloud del túnel de Cloud VPN
  - PROJECT_NUMBER: el número de proyecto del túnel de Cloud VPN
  - REGION: la región del túnel de Cloud VPN
  - NAME: el nombre del túnel de Cloud VPN
- Si habilitaste los registros de flujo de VPC de una subred mediante la API Compute Engine, la consulta debe dirigirse a compute.googleapis.com. Por ejemplo, introduce la siguiente consulta, sustituyendo PROJECT_ID por el ID de tu proyecto y SUBNET_NAME por tu subred: Google Cloud
```
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
resource.labels.subnetwork_name="SUBNET_NAME"
```
  Para ver más ejemplos de consultas que puedes ejecutar para ver tus registros de flujo, consulta Ejemplos de consultas del Explorador de registros para registros de flujo de VPCs.
Haz clic en Realizar una consulta.

Ejemplos de consultas del explorador de registros para registros de flujo de VPC

En esta sección se proporcionan ejemplos de consultas del explorador de registros que puedes ejecutar para ver tus registros de flujo. Incluye la siguiente información en todas las consultas:

Especifica el tipo de recurso y el nombre del registro que quieras consultar, tal como se describe en la siguiente tabla. Puedes consultar ambos registros en una sola consulta.

Registro	Tipo de recurso y nombre del registro
`networkmanagement.googleapis.com/vpc_flows` Recoge los registros de las configuraciones gestionadas por la API Network Management.	resource.type="vpc_flow_logs_config" logName="projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows"
`compute.googleapis.com/vpc_flows` Recoge registros de las configuraciones gestionadas por la API de Compute Engine.	resource.type="gce_subnetwork" logName="projects/`PROJECT_ID`/logs/compute.googleapis.com%2Fvpc_flows"

Sustituye PROJECT_ID por el ID del proyecto Google Cloud del recurso de informes.

Si usas varias configuraciones de registros de flujo de VPC por recurso, especifica el nombre de la configuración que quieras consultar y el recurso de destino añadiendo los campos resource.labels.name y labels.target_resource_name a la consulta. De esta forma, se excluyen los registros duplicados de los resultados de la consulta. Para obtener más información, consulta el artículo sobre registros duplicados.
- resource.labels.name es el nombre de la configuración. Puede especificar varias configuraciones por consulta.
- labels.target_resource_name es el nombre de la red de VPC, la subred, la vinculación de VLAN o el túnel de Cloud VPN que genera el informe. Las configuraciones de las organizaciones no definen un recurso de destino.
- Estos campos solo están disponibles en el registro networkmanagement.googleapis.com/vpc_flows.

En la siguiente tabla se muestran ejemplos de consultas del Explorador de registros que puedes usar para ver tus registros de flujo.

Registros que quieras ver	Consulta
Todos los registros de flujo	resource.type=("vpc_flow_logs_config" OR "gce_subnetwork") logName=("projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR "projects/`PROJECT_ID`/logs/compute.googleapis.com%2Fvpc_flows")
Registros de una configuración específica	resource.type="vpc_flow_logs_config" logName="projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" resource.labels.name="`CONFIG_NAME`"
Registros de instancias de VM en una red de VPC específica	resource.type=("vpc_flow_logs_config" OR "gce_subnetwork") logName=("projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR "projects/`PROJECT_ID`/logs/compute.googleapis.com%2Fvpc_flows") (jsonPayload.src_vpc.vpc_name="`NETWORK_NAME`" OR jsonPayload.dest_vpc.vpc_name="`NETWORK_NAME`")
Registros de instancias de VM de una subred específica	resource.type=("vpc_flow_logs_config" OR "gce_subnetwork") logName=("projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR "projects/`PROJECT_ID`/logs/compute.googleapis.com%2Fvpc_flows") (jsonPayload.src_vpc.subnetwork_name="`SUBNET_NAME`" OR jsonPayload.dest_vpc.subnetwork_name="`SUBNET_NAME`")
Registros de una instancia de VM específica	resource.type=("vpc_flow_logs_config" OR "gce_subnetwork") logName=("projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR "projects/`PROJECT_ID`/logs/compute.googleapis.com%2Fvpc_flows") (jsonPayload.src_instance.vm_name="`VM_NAME`" OR jsonPayload.dest_instance.vm_name="`VM_NAME`")
Registros de un clúster de Google Kubernetes Engine específico	resource.type=("vpc_flow_logs_config" OR "gce_subnetwork") logName=("projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR "projects/`PROJECT_ID`/logs/compute.googleapis.com%2Fvpc_flows") (jsonPayload.src_gke_details.cluster.cluster_name="`CLUSTER_NAME`" OR jsonPayload.dest_gke_details.cluster.cluster_name="`CLUSTER_NAME`")
Registros de solo el tráfico de salida de las VMs de una subred	resource.type=("vpc_flow_logs_config" OR "gce_subnetwork") logName=("projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR "projects/`PROJECT_ID`/logs/compute.googleapis.com%2Fvpc_flows") jsonPayload.reporter="SRC" AND jsonPayload.src_vpc.subnetwork_name="`SUBNET_NAME`" AND (jsonPayload.dest_vpc.subnetwork_name!="`SUBNET_NAME`" OR NOT jsonPayload.dest_vpc.subnetwork_name:*)
Registros de solo el tráfico de salida de las VMs de una red de VPC	resource.type=("vpc_flow_logs_config" OR "gce_subnetwork") logName=("projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR "projects/`PROJECT_ID`/logs/compute.googleapis.com%2Fvpc_flows") jsonPayload.reporter="SRC" AND jsonPayload.src_vpc.vpc_name="`VPC_NAME`" AND (jsonPayload.dest_vpc.vpc_name!="`VPC_NAME`" OR NOT jsonPayload.dest_vpc:*)
Registros del tráfico a un intervalo de subredes específico	resource.type=("vpc_flow_logs_config" OR "gce_subnetwork") logName=("projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR "projects/`PROJECT_ID`/logs/compute.googleapis.com%2Fvpc_flows") ip_in_net(jsonPayload.connection.dest_ip, "`SUBNET_RANGE`")
Registros de un puerto de destino concreto	resource.type=("vpc_flow_logs_config" OR "gce_subnetwork") logName=("projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR "projects/`PROJECT_ID`/logs/compute.googleapis.com%2Fvpc_flows") jsonPayload.connection.dest_port=`PORT` jsonPayload.connection.protocol=`PROTOCOL`
Registros de varios puertos de destino	resource.type=("vpc_flow_logs_config" OR "gce_subnetwork") logName=("projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR "projects/`PROJECT_ID`/logs/compute.googleapis.com%2Fvpc_flows") jsonPayload.connection.dest_port=(`PORT_1` OR `PORT_2`) jsonPayload.connection.protocol=`PROTOCOL`
Registros de un túnel de Cloud VPN de origen específico	resource.type="vpc_flow_logs_config" logName="projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" jsonPayload.reporter="SRC_GATEWAY" labels.target_resource_name="projects/`PROJECT_NUMBER`/regions/`REGION`/vpnTunnels/`NAME`"
Registros de todas las vinculaciones de VLAN de destino	resource.type="vpc_flow_logs_config" logName="projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" jsonPayload.reporter="DEST_GATEWAY" jsonPayload.dest_gateway.type="INTERCONNECT_ATTACHMENT"
Registros de todas las vinculaciones de VLAN de destino de una región específica	resource.type="vpc_flow_logs_config" logName="projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" jsonPayload.reporter="DEST_GATEWAY" jsonPayload.dest_gateway.type="INTERCONNECT_ATTACHMENT" jsonPayload.dest_gateway.location="`REGION`"

Haz los cambios siguientes:

PROJECT_ID: el ID del proyecto
CONFIG_NAME: el nombre de la configuración de los registros de flujo de VPC
SUBNET_NAME: el nombre de la subred
VM_NAME: el nombre de la VM
SUBNET_RANGE: un intervalo CIDR, como 192.168.1.0/24
CLUSTER_NAME: el nombre del clúster de GKE
VPC_NAME: el nombre de la red de VPC
PORT_1 y PORT_2: los puertos de destino
PROTOCOL: el protocolo de comunicación
PROJECT_NUMBER: el número de proyecto del túnel de Cloud VPN
REGION: la región de la vinculación de VLAN o del túnel de Cloud VPN
NAME: el nombre del túnel de Cloud VPN

Enrutar registros a BigQuery, Pub/Sub y destinos personalizados

Puedes enrutar los registros de flujo de Logging a un destino de tu elección, tal como se describe en la descripción general del enrutamiento y el almacenamiento de la documentación de Logging. En la sección anterior se muestran algunos ejemplos de filtros.

Solución de problemas

No aparece ningún `vpc_flows` en Logging para el recurso `gce_subnetwork`

Confirma que el registro está habilitado en la subred indicada.
Los flujos de VPC solo se admiten en redes de VPC. Si tienes una red antigua, no verás ningún registro.
En las redes de VPC compartida, los registros solo aparecen en el proyecto host, no en los proyectos de servicio. Asegúrese de buscar los registros en el proyecto host.
Los filtros de exclusión de registros bloquean los registros especificados. Asegúrate de que no haya reglas de exclusión que descarten los registros de flujo de VPC:
1. Ve a Enrutador de registros.
2. En el menú Más acciones de tu segmento de registro, haz clic en Ver detalles del receptor.
3. Asegúrate de que no haya reglas de exclusión que puedan descartar los registros de flujo de VPC.
Usa la CLI de Google Cloud o la API para determinar si una configuración de filtrado de registros está filtrando todo el tráfico de una subred determinada. Por ejemplo, si filterExpr está configurado como false, no verás ningún registro.

No hay valores de RTT ni de bytes en algunos de los registros

Es posible que falten mediciones de RTT si no se han muestreado suficientes paquetes para capturar el RTT. Es más probable que esto ocurra en conexiones de bajo volumen.
Los valores de RTT solo están disponibles para los flujos TCP registrados en máquinas virtuales.
Algunos paquetes se envían sin carga útil. Si se muestrean paquetes que solo contienen encabezados, el valor de bytes suele ser cero. Para obtener más información, consulta Formato de registro.

Faltan algunos flujos

Los paquetes de entrada se muestrean después de las reglas de cortafuegos de VPC de entrada. Asegúrate de que no haya ninguna regla de cortafuegos de entrada que deniegue los paquetes que quieres que se registren. Si no sabes si las reglas de cortafuegos de VPC están bloqueando los paquetes de entrada, puedes habilitar el almacenamiento de registros de reglas de cortafuegos e inspeccionar los registros.
Solo se admiten los protocolos TCP, UDP, ICMP, ESP y GRE. Registros de flujo de VPC no admite ningún otro protocolo.
Los registros se muestrean. Es posible que se pierdan algunos paquetes en flujos de volumen muy bajo.

Faltan anotaciones de GKE en algunos registros

Asegúrate de que tu clúster de GKE tenga una versión compatible.

Faltan registros de algunos flujos de GKE

Asegúrate de que la opción Visibilidad intranodo esté habilitada en el clúster. De lo contrario, no se registrarán los flujos entre los pods del mismo nodo.

Registros duplicados

Cada configuración de registros de flujo de VPC genera un conjunto de registros independiente. Si la información de registro contiene registros duplicados, compruebe si el recurso de creación de informes está asociado a más de una configuración.

Un recurso se asocia a más de una configuración si crea varias configuraciones por recurso o si crea varias configuraciones y sus ámbitos se solapan, tal como se describe en la siguiente lista:

Registros de flujo de VPC está configurado para la organización y tienes configuraciones adicionales para la organización o las redes de VPC, las subredes, los adjuntos de VLAN o los túneles de Cloud VPN en cualquiera de los proyectos de la organización.

De forma predeterminada, una configuración de registros de flujo de VPC de una organización genera registros de todas las instancias de VM de todas las subredes, todos los adjuntos de VLAN y todos los túneles de Cloud VPN de la organización. Si crea configuraciones adicionales, cada una de ellas generará su propio conjunto de registros.
Registros de flujo de VPC está configurado para una red de VPC y tiene configuraciones adicionales para subredes, vinculaciones de VLAN o túneles de Cloud VPN en la misma red.

De forma predeterminada, una configuración de registros de flujo de VPC para una red de VPC genera registros de todas las instancias de VM de todas las subredes, todas las vinculaciones de VLAN y todos los túneles de Cloud VPN de la red. Si crea configuraciones adicionales, cada una de ellas generará su propio conjunto de registros.
Los registros de flujo de VPC se configuran para una subred mediante la API Network Management y la API Compute Engine. Tanto la configuración de los registros de flujo de VPC gestionada por la API de Compute Engine de la subred como cada configuración aplicable que crees mediante la API Network Management para generar registros.

Para obtener más información sobre los recursos que se registran en cada ámbito de configuración de Registros de flujo de VPC, consulta Configuraciones admitidas. Para ver las configuraciones de los registros de flujo de VPC, consulte Ver configuraciones de registros de flujo de VPC (todas).

Para filtrar los registros duplicados al verlos, puede usar los siguientes campos:

Para filtrar los registros por nombre, especifica los campos resource_type y log_name.
Para filtrar los registros por configuración y nombre de recurso de destino, especifica los campos resource.labels.name y labels.target_resource_name.

Para obtener más información sobre estos campos y cómo usarlos, consulta Ejemplos de consultas del Explorador de registros para registros de flujo de VPC.

Siguientes pasos

Consulta la documentación de Logging.
Consulta la documentación sobre receptores de registro.
Analizar registros de flujo en Flow Analyzer