Aceda aos registos de fluxo

Esta página descreve como aceder aos registos de fluxo através do Cloud Logging.

Aceda aos registos de fluxo no Explorador de registos

Os registos de fluxo de VPC escrevem registos no Google Cloud projeto do relator de registos. Pode ver os registos de fluxo no Explorador de registos. Os VPC Flow Logs usam os seguintes registos para recolher entradas de registo:

  • O registo networkmanagement.googleapis.com/vpc_flows recolhe entradas de registo para redes da nuvem virtual privada (VPC), sub-redes, anexos de VLAN para o Cloud Interconnect e túneis do Cloud VPN.
  • O registo compute.googleapis.com/vpc_flows recolhe entradas de registo para sub-redes. Este registo só é gerado se tiver ativado os registos de fluxo da VPC para sub-redes através da API Compute Engine.

Configure o IAM

Para configurar o controlo de acesso para o registo, consulte o guia de controlo de acesso para o registo.

Veja os registos de fluxo através de filtros de recursos

Para ver registos de fluxo num Google Cloud projeto através de filtros de recursos, consulte as secções seguintes. Também pode ver estes registos através de consultas do Explorador de registos, conforme descrito no artigo Filtre registos de fluxo através de consultas.

Ver registos de fluxo para todas as configurações (networkmanagement.googleapis.com/vpc_flows)

  1. Na Google Cloud consola, aceda à página Explorador de registos.

    Aceda ao Explorador de registos

  2. Clique em Todos os recursos.

  3. Na lista Selecionar recurso, clique em VPC Flow Logs Config e, de seguida, clique em Aplicar.

Veja os registos de fluxo de uma configuração específica (networkmanagement.googleapis.com/vpc_flows)

  1. Na Google Cloud consola, aceda à página Explorador de registos.

    Aceda ao Explorador de registos

  2. Clique em Todos os recursos.

  3. Na lista Selecionar recurso, clique em Configuração dos registos de fluxo da VPC e selecione a configuração dos registos de fluxo da VPC que quer ver.

  4. Clique em Aplicar.

Ver registos de fluxo para todas as configurações (compute.googleapis.com/vpc_flows)

Siga estes passos se ativou os registos de fluxo de VPC através da API Compute Engine.

  1. Na Google Cloud consola, aceda à página Explorador de registos.

    Aceda ao Explorador de registos

  2. Clique em Todos os recursos.

  3. Na lista Selecionar recurso, clique em Subnetwork e, de seguida, clique em Aplicar.

  4. Clique em Todos os nomes de registos.

  5. Na lista Selecionar nomes de registos, encontre Compute Engine, clique em vpc_flows e, de seguida, clique em Aplicar.

Ver registos de fluxo de uma sub-rede específica (compute.googleapis.com/vpc_flows)

Siga estes passos se ativou os registos de fluxo de VPC através da API Compute Engine.

  1. Na Google Cloud consola, aceda à página Explorador de registos.

    Aceda ao Explorador de registos

  2. Clique em Todos os recursos.

  3. Na lista Selecionar recurso, clique em Subnetwork.

  4. Na lista ID da sub-rede, selecione a sub-rede e, de seguida, clique em Aplicar.

  5. Clique em Todos os nomes de registos.

  6. Na lista Selecionar nomes de registos, encontre Compute Engine, clique em vpc_flows e, de seguida, clique em Aplicar.

Filtre registos de fluxo através de consultas

Para ver registos de fluxo num Google Cloud projeto através de consultas do Explorador de registos, faça o seguinte.

  1. Na Google Cloud consola, aceda à página Explorador de registos.

    Aceda ao Explorador de registos

  2. Se não vir o campo do editor de consultas no painel Consulta, clique no botão Mostrar consulta.

  3. No campo do editor de consultas, introduza uma consulta:

    • Por exemplo, para ver os registos de fluxo de um túnel do Cloud VPN de origem específico, introduza a seguinte consulta:

      resource.type="vpc_flow_logs_config"
logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows"
jsonPayload.reporter="SRC_GATEWAY"
labels.target_resource_name="projects/PROJECT_NUMBER/regions/REGION/vpnTunnels/NAME"

      Substitua o seguinte:

      • PROJECT_ID: o ID do projeto do Google Cloud túnel do Cloud VPN
      • PROJECT_NUMBER: o número do projeto do túnel do Cloud VPN
      • REGION: a região do túnel do Cloud VPN
      • NAME: o nome do túnel do Cloud VPN

    • Se ativou os registos de fluxo de VPC para uma sub-rede através da API Compute Engine, a consulta tem de segmentar compute.googleapis.com. Por exemplo, introduza a seguinte consulta, substituindo PROJECT_ID pelo ID do seu projeto Google Cloud e SUBNET_NAME pela sua sub-rede:

      resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
resource.labels.subnetwork_name="SUBNET_NAME"

      Para ver mais exemplos de consultas que pode executar para ver os registos de fluxo, consulte o artigo Exemplos de consultas do Explorador de registos para registos de fluxo da VPC.

  4. Clique em Executar consulta.

Exemplos de consultas do Explorador de registos para registos de fluxo da VPC

Esta secção fornece exemplos de consultas do Explorador de registos que pode executar para ver os registos de fluxo. Inclua as seguintes informações em todas as consultas:

  • Especifique o tipo de recurso e o nome do registo do registo que quer consultar, conforme descrito na tabela seguinte. Pode consultar ambos os registos numa única consulta.

    Registo Tipo de recurso e nome do registo
    networkmanagement.googleapis.com/vpc_flows

    Recolhe registos de configurações geridas pela API Network Management.

    		 
    resource.type="vpc_flow_logs_config"
logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows"
    compute.googleapis.com/vpc_flows

    Recolhe registos de configurações geridas pela API Compute Engine. 

    resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"

    Substitua PROJECT_ID pelo Google Cloud ID do projeto do recurso de relatórios.

  • Se usar várias configurações de VPC Flow Logs por recurso, especifique o nome da configuração que quer consultar e o recurso de destino adicionando os campos resource.labels.name e labels.target_resource_name à consulta. Isto garante que os registos duplicados são excluídos dos resultados da consulta. Para mais informações, consulte o artigo Duplicar registos.

    • resource.labels.name é o nome da configuração. Pode especificar várias configurações por consulta.
    • labels.target_resource_name é o nome da rede VPC, da sub-rede, da ligação VLAN ou do túnel de VPN na nuvem de relatórios. As configurações para organizações não definem um recurso de destino.
    • Estes campos só estão disponíveis no registo networkmanagement.googleapis.com/vpc_flows.

Consulte a tabela seguinte para ver exemplos de consultas do Explorador de registos que pode usar para ver os registos de fluxo.

Registos que quer ver Consulta
Todos os registos de fluxo 
resource.type=("vpc_flow_logs_config" OR "gce_subnetwork")
logName=("projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR
"projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows")
Registos de uma configuração específica 
resource.type="vpc_flow_logs_config"
logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows"
resource.labels.name="CONFIG_NAME"
Registos de instâncias de VM numa rede VPC específica 
resource.type=("vpc_flow_logs_config" OR "gce_subnetwork")
logName=("projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR
"projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows")
(jsonPayload.src_vpc.vpc_name="NETWORK_NAME" OR
jsonPayload.dest_vpc.vpc_name="NETWORK_NAME")
Registos de instâncias de VM numa sub-rede específica 
resource.type=("vpc_flow_logs_config" OR "gce_subnetwork")
logName=("projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR
"projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows")
(jsonPayload.src_vpc.subnetwork_name="SUBNET_NAME" OR
jsonPayload.dest_vpc.subnetwork_name="SUBNET_NAME")
Registos de uma instância de VM específica 
resource.type=("vpc_flow_logs_config" OR "gce_subnetwork")
logName=("projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR
"projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows")
(jsonPayload.src_instance.vm_name="VM_NAME" OR
jsonPayload.dest_instance.vm_name="VM_NAME")
Registos de um cluster específico do Google Kubernetes Engine 
resource.type=("vpc_flow_logs_config" OR "gce_subnetwork")
logName=("projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR
"projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows")
(jsonPayload.src_gke_details.cluster.cluster_name="CLUSTER_NAME" OR
jsonPayload.dest_gke_details.cluster.cluster_name="CLUSTER_NAME")
Registos apenas para tráfego de saída de VMs de uma sub-rede 
resource.type=("vpc_flow_logs_config" OR "gce_subnetwork")
logName=("projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR
"projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows")
jsonPayload.reporter="SRC" AND
jsonPayload.src_vpc.subnetwork_name="SUBNET_NAME" AND
(jsonPayload.dest_vpc.subnetwork_name!="SUBNET_NAME" OR NOT
jsonPayload.dest_vpc.subnetwork_name:*)
Registos apenas para tráfego de saída de VMs de uma rede de VPC 
resource.type=("vpc_flow_logs_config" OR "gce_subnetwork")
logName=("projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR
"projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows")
jsonPayload.reporter="SRC" AND
jsonPayload.src_vpc.vpc_name="VPC_NAME" AND
(jsonPayload.dest_vpc.vpc_name!="VPC_NAME" OR NOT jsonPayload.dest_vpc:*)
Registos de tráfego para um intervalo de sub-rede específico 
resource.type=("vpc_flow_logs_config" OR "gce_subnetwork")
logName=("projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR
"projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows")
ip_in_net(jsonPayload.connection.dest_ip, "SUBNET_RANGE")
Registos de uma porta de destino individual 
resource.type=("vpc_flow_logs_config" OR "gce_subnetwork")
logName=("projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR
"projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows")
jsonPayload.connection.dest_port=PORT
jsonPayload.connection.protocol=PROTOCOL
Registos para várias portas de destino 
resource.type=("vpc_flow_logs_config" OR "gce_subnetwork")
logName=("projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR
"projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows")
jsonPayload.connection.dest_port=(PORT_1 OR PORT_2)
jsonPayload.connection.protocol=PROTOCOL
Registos de um túnel do Cloud VPN de origem específico 
resource.type="vpc_flow_logs_config"
logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows"
jsonPayload.reporter="SRC_GATEWAY"
labels.target_resource_name="projects/PROJECT_NUMBER/regions/REGION/vpnTunnels/NAME"
Registos de todas as associações VLAN de destino 
resource.type="vpc_flow_logs_config"
logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows"
jsonPayload.reporter="DEST_GATEWAY"
jsonPayload.dest_gateway.type="INTERCONNECT_ATTACHMENT"
Registos de todas as associações VLAN de destino numa região específica 
resource.type="vpc_flow_logs_config"
logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows"
jsonPayload.reporter="DEST_GATEWAY"
jsonPayload.dest_gateway.type="INTERCONNECT_ATTACHMENT"
jsonPayload.dest_gateway.location="REGION"

Substitua o seguinte:

  • PROJECT_ID: o ID do projeto
  • CONFIG_NAME: o nome da configuração dos registos de fluxo de VPC
  • SUBNET_NAME: o nome da sub-rede
  • VM_NAME: o nome da VM
  • SUBNET_RANGE: um intervalo CIDR, como 192.168.1.0/24
  • CLUSTER_NAME: o nome do cluster do GKE
  • VPC_NAME: o nome da rede da VPC
  • PORT_1 e PORT_2: as portas de destino
  • PROTOCOL: o protocolo de comunicação
  • PROJECT_NUMBER: o número do projeto do túnel do Cloud VPN
  • REGION: a região da associação VLAN ou do túnel do Cloud VPN
  • NAME: o nome do túnel do Cloud VPN

Encaminhe registos para o BigQuery, o Pub/Sub e destinos personalizados

Pode encaminhar os registos de fluxo do Logging para um destino à sua escolha, conforme descrito na vista geral do encaminhamento e armazenamento na documentação do Logging. Consulte a secção anterior para ver exemplos de filtros.

Resolução de problemas

Não são apresentados vpc_flows no Logging para o recurso gce_subnetwork

  • Confirme se o registo está ativado para a sub-rede especificada.
  • Os fluxos de VPC só são suportados para redes VPC. Se tiver uma rede antiga, não vê registos.
  • Nas redes de VPC partilhada, os registos só aparecem no projeto anfitrião e não nos projetos de serviço. Certifique-se de que procura os registos no projeto do anfitrião.
  • Os filtros de exclusão de registos bloqueiam registos especificados. Certifique-se de que não existem regras de exclusão que rejeitem os VPC Flow Logs:
    1. Aceda a Registar router.
    2. No menu Mais ações do seu contentor de registo, clique em Ver detalhes do destino.
    3. Certifique-se de que não existem regras de exclusão que possam rejeitar os registos de fluxo da VPC.
  • Use a CLI Google Cloud ou a API para determinar se uma configuração de filtragem de registos está a filtrar todo o tráfego numa determinada sub-rede. Por exemplo, se filterExpr estiver definido como false, não vê registos.

Não existem valores de RTT ou bytes em alguns dos registos

  • As medições de RTT podem estar em falta se não tiverem sido recolhidos pacotes suficientes para capturar o RTT. É mais provável que isto aconteça em ligações de baixo volume.
  • Os valores de RTT só estão disponíveis para fluxos TCP comunicados a partir de VMs.
  • Alguns pacotes são enviados sem payload. Se os pacotes apenas de cabeçalho forem amostrados, o valor de bytes é normalmente zero. Para mais informações, consulte o artigo Formato de registo.

Faltam alguns fluxos

  • Os pacotes de entrada são amostrados após as regras de firewall da VPC de entrada. Certifique-se de que não existem regras de firewall de entrada que neguem os pacotes que espera que sejam registados. Se não tiver a certeza de que as regras de firewall de VPC estão a bloquear pacotes de entrada, pode ativar o registo de regras de firewall e inspecionar os registos.
  • Apenas são suportados os protocolos TCP, UDP, ICMP, ESP e GRE. Os VPC Flow Logs não suportam outros protocolos.
  • Os registos são amostrados. Alguns pacotes em fluxos de volume muito baixo podem não ser detetados.

Anotações do GKE em falta em alguns registos

Certifique-se de que o cluster do GKE é uma versão suportada.

Faltam registos para alguns fluxos do GKE

Certifique-se de que a visibilidade intranode está ativada no cluster. Caso contrário, os fluxos entre Pods no mesmo nó não são registados.

Registos duplicados

Cada configuração dos registos de fluxo da VPC gera um conjunto de registos separado. Se as suas informações de registo contiverem registos duplicados, verifique se o recurso de relatórios está associado a mais do que uma configuração.

Um recurso está associado a mais do que uma configuração se criar várias configurações por recurso ou se criar várias configurações e os respetivos âmbitos se sobrepuserem, conforme descrito na seguinte lista:

  • Os registos de fluxo da VPC estão configurados para a organização e tem configurações adicionais para a organização ou redes VPC, sub-redes, anexos de VLAN ou túneis de VPN na nuvem em qualquer um dos projetos da organização.

    Por predefinição, uma configuração dos registos de fluxo de VPC para uma organização gera registos para todas as instâncias de VMs em todas as sub-redes, todos os anexos de VLAN e todos os túneis de Cloud VPN na organização. Se criar configurações adicionais, cada configuração adicional gera o seu próprio conjunto de registos.

  • Os registos de fluxo da VPC estão configurados para uma rede VPC e tem configurações adicionais para sub-redes, anexos de VLAN ou túneis de VPN na nuvem na mesma rede.

    Por predefinição, uma configuração dos registos de fluxo da VPC para uma rede VPC gera registos para todas as instâncias de VMs em todas as sub-redes, todos os anexos de VLAN e todos os túneis da VPN Cloud na rede. Se criar configurações adicionais, cada configuração adicional gera o seu próprio conjunto de registos.

  • Os registos de fluxo de VPC estão configurados para uma sub-rede através da API Network Management e da API Compute Engine. Ambas as configurações dos registos de fluxo da VPC geridas pela API Compute Engine para a sub-rede e cada configuração aplicável que criar através da API Network Management para gerar registos.

Para mais informações sobre os recursos registados por cada âmbito de configuração dos registos de fluxo da VPC, consulte as configurações suportadas. Para ver as suas configurações de registos de fluxo de VPC, consulte o artigo Ver configurações de registos de fluxo de VPC (tudo).

Para filtrar registos duplicados quando os visualiza, pode usar os seguintes campos:

  • Para filtrar registos por nome do registo, especifique os campos resource_type e log_name.
  • Para filtrar os registos por configuração e nome do recurso de destino, especifique os campos resource.labels.name e labels.target_resource_name.

Para mais informações sobre estes campos e como os usar, consulte os exemplos de consultas do Explorador de registos para registos de fluxo de VPC.

O que se segue?