Accede a los registros de flujo

En esta página, se describe cómo acceder a los registros de flujo mediante Cloud Logging.

Accede a los registros de flujo en el Explorador de registros

Los registros de flujo de VPC escriben registros en el proyecto Google Cloud del generador de informes de registro. Puedes ver los registros de flujo en el Explorador de registros. Los registros de flujo de VPC usan los siguientes registros para recopilar entradas de registro:

Configura IAM

Si deseas configurar el control de acceso para el registro, consulta la Guía de control de acceso para Logging.

Visualiza los registros de flujo con filtros de recursos

Para ver los registros de flujo en un proyecto Google Cloud con filtros de recursos, consulta las siguientes secciones. También puedes ver estos registros con las consultas del Explorador de registros, como se describe en Cómo filtrar registros de flujo con consultas.

Ver registros de flujo para todos los parámetros de configuración (networkmanagement.googleapis.com/vpc_flows)

  1. En la Google Cloud consola, ve a la página Explorador de registros.

    Ir al Explorador de registros

  2. Haz clic en Todos los recursos.

  3. En la lista Seleccionar recurso, haz clic en Configuración de registros de flujo de VPC y, luego, en Aplicar.

Visualiza los registros de flujo para una configuración específica (networkmanagement.googleapis.com/vpc_flows)

  1. En la Google Cloud consola, ve a la página Explorador de registros.

    Ir al Explorador de registros

  2. Haz clic en Todos los recursos.

  3. En la lista Seleccionar recurso, haz clic en Configuración de registros de flujo de VPC y selecciona la configuración de registros de flujo de VPC que deseas ver.

  4. Haz clic en Aplicar.

Ver registros de flujo para todos los parámetros de configuración (compute.googleapis.com/vpc_flows)

Sigue estos pasos si habilitaste los registros de flujo de VPC con la API de Compute Engine.

  1. En la Google Cloud consola, ve a la página Explorador de registros.

    Ir al Explorador de registros

  2. Haz clic en Todos los recursos.

  3. En la lista Seleccionar recurso, haz clic en Subred y, luego, en Aplicar.

  4. Haz clic en Todos los nombres de registro.

  5. En la lista Seleccionar nombres de registro, busca Compute Engine, haz clic en vpc_flows y, luego, en Aplicar.

Visualiza los registros de flujo de una subred específica (compute.googleapis.com/vpc_flows)

Sigue estos pasos si habilitaste los registros de flujo de VPC con la API de Compute Engine.

  1. En la Google Cloud consola, ve a la página Explorador de registros.

    Ir al Explorador de registros

  2. Haz clic en Todos los recursos.

  3. En la lista Seleccionar recurso, haz clic en Subred.

  4. En la lista ID de subred, selecciona la subred y, luego, haz clic en Aplicar.

  5. Haz clic en Todos los nombres de registro.

  6. En la lista Seleccionar nombres de registro, busca Compute Engine, haz clic en vpc_flows y, luego, en Aplicar.

Filtra los registros de flujo con consultas

Para ver los registros de flujo en un proyecto Google Cloud con consultas del Explorador de registros, haz lo siguiente.

  1. En la Google Cloud consola, ve a la página Explorador de registros.

    Ir al Explorador de registros

  2. Si no ves el campo del editor de consultas en el panel Consulta, haz clic en el botón de activar o desactivar Mostrar consulta.

  3. En el campo del editor de consultas, ingresa una consulta:

    • Por ejemplo, para ver los registros de flujo de un túnel de Cloud VPN de origen específico, ingresa la siguiente consulta:

      resource.type="vpc_flow_logs_config"
logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows"
jsonPayload.reporter="SRC_GATEWAY"
labels.target_resource_name="projects/PROJECT_NUMBER/regions/REGION/vpnTunnels/NAME"

      Reemplaza lo siguiente:

      • PROJECT_ID: Es el ID del proyecto Google Cloud del túnel de Cloud VPN.
      • PROJECT_NUMBER: Es el número del proyecto del túnel de Cloud VPN.
      • REGION: la región del túnel de Cloud VPN
      • NAME: el nombre del túnel de Cloud VPN

    • Si habilitaste los registros de flujo de VPC para una subred con la API de Compute Engine, la consulta debe dirigirse a compute.googleapis.com. Por ejemplo, ingresa la siguiente consulta, reemplazando PROJECT_ID por el ID de tu proyecto Google Cloud y SUBNET_NAME por tu subred:

      resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
resource.labels.subnetwork_name="SUBNET_NAME"

      Si quieres ver más ejemplos de consultas que puedes ejecutar para ver tus registros de flujo, visita Ejemplos de consultas del Explorador de registros para registros de flujo de VPC.

  4. Haz clic en Ejecutar consulta.

Ejemplos de consultas del Explorador de registros para registros de flujo de VPC

En esta sección, se proporcionan ejemplos de consultas del Explorador de registros que puedes ejecutar para ver tus registros de flujo. Incluye la siguiente información en todas las búsquedas:

  • Especifica el tipo de recurso y el nombre del registro que deseas consultar, como se describe en la siguiente tabla. Puedes consultar ambos registros en una sola consulta.

    Registro Tipo de recurso y nombre de registro
    networkmanagement.googleapis.com/vpc_flows

    Recopila registros para las configuraciones que administra la API de Network Management.

    		 
    resource.type="vpc_flow_logs_config"
logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows"
    compute.googleapis.com/vpc_flows

    Recopila registros para los parámetros de configuración que administra la API de Compute Engine. 

    resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"

    Reemplaza PROJECT_ID por el Google Cloud ID del proyecto del recurso de informes.

  • Si usas varias configuraciones de registros de flujo de VPC por recurso, especifica el nombre de la configuración que deseas consultar y el recurso de destino agregando los campos resource.labels.name y labels.target_resource_name a la consulta. Esto garantiza que los registros duplicados se excluyan de los resultados de la consulta. Para obtener más información, consulta Registros duplicados.

    • resource.labels.name es el nombre de la configuración. Puedes especificar varias configuraciones por búsqueda.
    • labels.target_resource_name es el nombre de la red de VPC, la subred, el adjunto de VLAN o el túnel de Cloud VPN que genera el informe. Los parámetros de configuración de las organizaciones no establecen un recurso de destino.
    • Estos campos solo están disponibles en el registro de networkmanagement.googleapis.com/vpc_flows.

Consulta la siguiente tabla para ver ejemplos de consultas del Explorador de registros que puedes usar para ver tus registros de flujo.

Registros que quieres ver Consulta
Todos los registros de flujo 
resource.type=("vpc_flow_logs_config" OR "gce_subnetwork")
logName=("projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR
"projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows")
Registros de una configuración específica 
resource.type="vpc_flow_logs_config"
logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows"
resource.labels.name="CONFIG_NAME"
Registros de instancias de VM en una red de VPC específica 
resource.type=("vpc_flow_logs_config" OR "gce_subnetwork")
logName=("projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR
"projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows")
(jsonPayload.src_vpc.vpc_name="NETWORK_NAME" OR
jsonPayload.dest_vpc.vpc_name="NETWORK_NAME")
Registros de instancias de VM en una subred específica 
resource.type=("vpc_flow_logs_config" OR "gce_subnetwork")
logName=("projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR
"projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows")
(jsonPayload.src_vpc.subnetwork_name="SUBNET_NAME" OR
jsonPayload.dest_vpc.subnetwork_name="SUBNET_NAME")
Registros de una instancia de VM específica 
resource.type=("vpc_flow_logs_config" OR "gce_subnetwork")
logName=("projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR
"projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows")
(jsonPayload.src_instance.vm_name="VM_NAME" OR
jsonPayload.dest_instance.vm_name="VM_NAME")
Registros de un clúster específico de Google Kubernetes Engine 
resource.type=("vpc_flow_logs_config" OR "gce_subnetwork")
logName=("projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR
"projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows")
(jsonPayload.src_gke_details.cluster.cluster_name="CLUSTER_NAME" OR
jsonPayload.dest_gke_details.cluster.cluster_name="CLUSTER_NAME")
Registros solo del tráfico de salida de la VM desde una subred 
resource.type=("vpc_flow_logs_config" OR "gce_subnetwork")
logName=("projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR
"projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows")
jsonPayload.reporter="SRC" AND
jsonPayload.src_vpc.subnetwork_name="SUBNET_NAME" AND
(jsonPayload.dest_vpc.subnetwork_name!="SUBNET_NAME" OR NOT
jsonPayload.dest_vpc.subnetwork_name:*)
Registros solo del tráfico de salida de VM desde una red de VPC 
resource.type=("vpc_flow_logs_config" OR "gce_subnetwork")
logName=("projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR
"projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows")
jsonPayload.reporter="SRC" AND
jsonPayload.src_vpc.vpc_name="VPC_NAME" AND
(jsonPayload.dest_vpc.vpc_name!="VPC_NAME" OR NOT jsonPayload.dest_vpc:*)
Registros de tráfico a un rango de subred específico 
resource.type=("vpc_flow_logs_config" OR "gce_subnetwork")
logName=("projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR
"projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows")
ip_in_net(jsonPayload.connection.dest_ip, "SUBNET_RANGE")
Registros para un puerto de destino individual 
resource.type=("vpc_flow_logs_config" OR "gce_subnetwork")
logName=("projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR
"projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows")
jsonPayload.connection.dest_port=PORT
jsonPayload.connection.protocol=PROTOCOL
Registros para varios puertos de destino 
resource.type=("vpc_flow_logs_config" OR "gce_subnetwork")
logName=("projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR
"projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows")
jsonPayload.connection.dest_port=(PORT_1 OR PORT_2)
jsonPayload.connection.protocol=PROTOCOL
Registros de un túnel de Cloud VPN de origen específico 
resource.type="vpc_flow_logs_config"
logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows"
jsonPayload.reporter="SRC_GATEWAY"
labels.target_resource_name="projects/PROJECT_NUMBER/regions/REGION/vpnTunnels/NAME"
Registros de todos los adjuntos de VLAN de destino 
resource.type="vpc_flow_logs_config"
logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows"
jsonPayload.reporter="DEST_GATEWAY"
jsonPayload.dest_gateway.type="INTERCONNECT_ATTACHMENT"
Registros de todos los adjuntos de VLAN de destino en una región específica 
resource.type="vpc_flow_logs_config"
logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows"
jsonPayload.reporter="DEST_GATEWAY"
jsonPayload.dest_gateway.type="INTERCONNECT_ATTACHMENT"
jsonPayload.dest_gateway.location="REGION"

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto
  • CONFIG_NAME: Es el nombre de la configuración de los registros de flujo de VPC.
  • SUBNET_NAME: El nombre de la subred
  • VM_NAME: El nombre de la VM
  • SUBNET_RANGE: Es un rango de CIDR, como 192.168.1.0/24.
  • CLUSTER_NAME: Es el nombre del clúster de GKE.
  • VPC_NAME es el nombre de la red de VPC.
  • PORT_1 y PORT_2: Son los puertos de destino.
  • PROTOCOL: Es el protocolo de comunicación.
  • PROJECT_NUMBER: Es el número del proyecto del túnel de Cloud VPN.
  • REGION: Es la región del adjunto de VLAN o el túnel de Cloud VPN.
  • NAME: el nombre del túnel de Cloud VPN

Enruta registros a BigQuery, Pub/Sub y orientaciones personalizadas

Puedes enrutar registros de flujo desde Logging a un destino de tu elección, como se describe en la Descripción general del enrutamiento y el almacenamiento en la documentación de Logging. Consulta la sección anterior para ver ejemplos de filtros.

Soluciona problemas

Ningún vpc_flows aparece en Logging en el recurso gce_subnetwork

  • Confirma que el registro esté habilitado para la subred determinada.
  • Los flujos de VPC solo se admiten en redes de VPC. Si tienes una red heredada, no verás ningún registro.
  • En redes de VPC compartida, los registros solo aparecen en el proyecto host y no en el proyecto de servicio. Asegúrate de buscar los registros en el proyecto host.
  • Los filtros de exclusión de registros bloquean los registros especificados. Asegúrate de que ninguna regla de exclusión descarte los registros de flujo de VPC:
    1. Ir a Enrutador de registros
    2. En , haz clic en el menú Más acciones de tu bucket de registro, haz clic en Ver detalles del receptor.
    3. Asegúrate de que no haya ninguna regla de exclusión que pueda descartar los registros de flujo de VPC.
  • Usa Google Cloud CLI o la API para determinar si una configuración de filtrado de registros filtra todo el tráfico de una subred determinada. Por ejemplo, si filterExpr está configurado como false, no verás ningún registro.

Los valores de RTT o de bytes no aparecen en algunos registros

  • Es posible que falten mediciones de RTT si no se realizó una muestra de una cantidad suficiente de paquetes que capture el RTT. Esto es más frecuente en conexiones con poco volumen.
  • Los valores de RTT solo están disponibles para los flujos TCP informados desde las VMs.
  • Algunos paquetes se envían sin carga útil. Si se realizan muestras sobre paquetes de solo encabezado, el valor en bytes suele ser cero. Para obtener más información, consulta Formato de registro.

Faltan algunos flujos

  • Los paquetes de entrada se muestrean después de las reglas de firewall de entrada. Asegúrate de que no haya ninguna regla de firewall de entrada que rechace los paquetes que esperas que se registren. Si no sabes si las reglas de firewall de VPC bloquean los paquetes de entrada, puedes habilitar Registro de reglas de firewall e inspeccionar los registros.
  • Solo se admiten los protocolos TCP, UDP, ICMP, ESP y GRE. Los registros de flujo de VPC no admiten ningún otro protocolo.
  • Los registros se muestrean. Algunos paquetes en flujos de volumen muy bajo pueden pasarse por alto.

Faltan anotaciones de GKE en algunos registros

Asegúrate de que tu clúster de GKE sea una versión compatible.

Faltan registros para algunos flujos de GKE

Asegúrate de que la Visibilidad dentro de los nodos esté habilitada en el clúster. De lo contrario, los flujos entre los Pods del mismo nodo no se registran.

Registros duplicados

Cada configuración de los registros de flujo de VPC genera un conjunto independiente de registros. Si tu información de registro contiene registros duplicados, verifica si el recurso de informes está asociado a más de una configuración.

Un recurso se asocia con más de una configuración si creas varias configuraciones por recurso o si creas varias configuraciones y sus alcances se superponen, como se describe en la siguiente lista:

  • Los registros de flujo de VPC están configurados para la organización y tienes configuraciones adicionales para la organización o las redes de VPC, las subredes, los adjuntos de VLAN o los túneles de Cloud VPN en cualquiera de los proyectos de la organización.

    De forma predeterminada, una configuración de registros de flujo de VPC para una organización genera registros para todas las instancias de VM en todas las subredes, todos los adjuntos de VLAN y todos los túneles de Cloud VPN en la organización. Si creas configuraciones adicionales, cada una de ellas generará su propio conjunto de registros.

  • Los registros de flujo de VPC están configurados para una red de VPC, y tienes configuraciones adicionales para subredes, adjuntos de VLAN o túneles de Cloud VPN en la misma red.

    De forma predeterminada, una configuración de registros de flujo de VPC para una red de VPC genera registros para todas las instancias de VM en todas las subredes, todos los adjuntos de VLAN y todos los túneles de Cloud VPN en la red. Si creas configuraciones adicionales, cada una de ellas generará su propio conjunto de registros.

  • Los registros de flujo de VPC se configuran para una subred a través de la API de Network Management y la API de Compute Engine. Tanto la configuración de los registros de flujo de VPC administrada por la API de Compute Engine para la subred como cada configuración aplicable que crees con la API de Network Management para generar registros.

Para obtener más información sobre los recursos que se registran en cada alcance de configuración de los registros de flujo de VPC, consulta Configuraciones compatibles. Para ver tus configuraciones de los registros de flujo de VPC, consulta Cómo ver las configuraciones de los registros de flujo de VPC (todas).

Para filtrar los registros duplicados cuando los veas, puedes usar los siguientes campos:

  • Para filtrar los registros por nombre, especifica los campos resource_type y log_name.
  • Para filtrar los registros por configuración y nombre del recurso de destino, especifica los campos resource.labels.name y labels.target_resource_name.

Para obtener más información sobre estos campos y cómo usarlos, consulta Ejemplos de consultas del Explorador de registros para registros de flujo de VPC.

¿Qué sigue?