Esta página foi traduzida pela API Cloud Translation.

Registros de fluxo de acesso

Nesta página, descrevemos como acessar os registros de fluxo usando o Cloud Logging.

Registros de fluxo de acesso na Análise de registros

Os registros de fluxo da VPC gravam registros no projeto Google Cloud do informante de registros. É possível conferir os registros de fluxo no Explorador de registros. Os registros de fluxo da VPC usam os seguintes registros para coletar entradas de registro:

O registro networkmanagement.googleapis.com/vpc_flows coleta entradas de registro para redes de nuvem privada virtual (VPC), sub-redes, anexos da VLAN para o Cloud Interconnect e túneis do Cloud VPN.
O registro compute.googleapis.com/vpc_flows coleta entradas de registro para sub-redes. Esse registro só será gerado se você ativar os registros de fluxo de VPC para sub-redes usando a API Compute Engine.

Configurar o IAM

Para configurar o controle de acesso para geração de registros, consulte o guia de controle de acesso do Logging.

Ver registros de fluxo usando filtros de recursos

Para ver os registros de fluxo em um projeto Google Cloud usando filtros de recursos, consulte as seções a seguir. Também é possível usar as consultas da Análise de registros para ver esses registros, conforme descrito em Filtrar registros de fluxo usando consultas.

Ver registros de fluxo para todas as configurações (`networkmanagement.googleapis.com/vpc_flows`)

No console do Google Cloud , acesse a página Análise de registros.

Acessar o Explorador de registros
Clique em Todos os recursos.
Na lista Selecionar recurso, clique em Configuração dos Registros de fluxo de VPC e em Aplicar.

Ver registros de fluxo para uma configuração específica (`networkmanagement.googleapis.com/vpc_flows`)

No console do Google Cloud , acesse a página Análise de registros.

Acessar o Explorador de registros
Clique em Todos os recursos.
Na lista Selecionar recurso, clique em Configuração dos Registros de fluxo de VPC e selecione a configuração que você quer ver.
Clique em Aplicar.

Ver registros de fluxo para todas as configurações (`compute.googleapis.com/vpc_flows`)

Siga estas etapas se você ativou os registros de fluxo de VPC usando a API Compute Engine.

No console do Google Cloud , acesse a página Análise de registros.

Acessar o Explorador de registros
Clique em Todos os recursos.
Na lista Selecionar recurso, clique em Sub-rede e em Aplicar.
Clique em Todos os nomes de registro.
Na lista Selecionar nomes de registro, encontre Compute Engine, clique em vpc_flows e depois em Aplicar.

Ver registros de fluxo de uma sub-rede específica (`compute.googleapis.com/vpc_flows`)

Siga estas etapas se você ativou os registros de fluxo de VPC usando a API Compute Engine.

No console do Google Cloud , acesse a página Análise de registros.

Acessar o Explorador de registros
Clique em Todos os recursos.
Na lista Selecionar recurso, clique em Sub-rede.
Na lista ID da sub-rede, selecione a sub-rede e depois clique em Aplicar.
Clique em Todos os nomes de registro.
Na lista Selecionar nomes de registro, encontre Compute Engine, clique em vpc_flows e depois em Aplicar.

Filtrar registros de fluxo usando consultas

Para ver os registros de fluxo em um projeto Google Cloud usando consultas da Análise de registros, faça o seguinte:

No console do Google Cloud , acesse a página Análise de registros.

Acessar o Explorador de registros
Se você não vir o campo do editor de consultas no painel Consulta, clique no botão de alternância Mostrar consulta.
Insira uma consulta no campo do editor de consultas:
- Por exemplo, para ver os registros de fluxo de um túnel de origem do Cloud VPN específico, insira a seguinte consulta:
```
resource.type="vpc_flow_logs_config"
logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows"
jsonPayload.reporter="SRC_GATEWAY"
labels.target_resource_name="projects/PROJECT_NUMBER/regions/REGION/vpnTunnels/NAME"
```
  Substitua:
  - PROJECT_ID: o ID do projeto Google Cloud do túnel do Cloud VPN
  - PROJECT_NUMBER: o número do projeto do túnel do Cloud VPN
  - REGION: a região do túnel do Cloud VPN
  - NAME: o nome do túnel do Cloud VPN
- Se você ativou os registros de fluxo de VPC para uma sub-rede usando a API Compute Engine, a consulta precisa segmentar compute.googleapis.com. Por exemplo, insira a consulta a seguir, substituindo PROJECT_ID pelo ID do projeto Google Cloud e SUBNET_NAME pela sub-rede:
```
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
resource.labels.subnetwork_name="SUBNET_NAME"
```
  Para mais exemplos de consultas que podem ser executadas para visualizar seus registros de fluxo, consulte Exemplos de consultas da Análise de registros para registros de fluxo de VPC.
Clique em Executar consulta.

Exemplos de consultas da Análise de registros para registros de fluxo de VPC

Nesta seção, mostramos exemplos de consultas da Análise de registros que podem ser executadas para visualizar os registros de fluxo. Inclua as seguintes informações em todas as consultas:

Especifique o tipo de recurso e o nome do registro que você quer consultar, conforme descrito na tabela a seguir. É possível consultar os dois registros em uma única consulta.

Registro	Tipo de recurso e nome do registro
`networkmanagement.googleapis.com/vpc_flows` Coleta registros de configurações gerenciadas pela API Network Management.	resource.type="vpc_flow_logs_config" logName="projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows"
`compute.googleapis.com/vpc_flows` Coleta registros de configurações gerenciadas pela API Compute Engine.	resource.type="gce_subnetwork" logName="projects/`PROJECT_ID`/logs/compute.googleapis.com%2Fvpc_flows"

Substitua PROJECT_ID pelo Google Cloud ID do projeto do recurso de relatórios.

Se você usar várias configurações de Registros de fluxo de VPC por recurso, especifique o nome da configuração que quer consultar e o recurso de destino adicionando os campos resource.labels.name e labels.target_resource_name à consulta. Isso garante que os registros duplicados sejam excluídos dos resultados da consulta. Para mais informações, consulte Registros duplicados.
- resource.labels.name é o nome da configuração. É possível especificar várias configurações por consulta.
- labels.target_resource_name é o nome da rede VPC, sub-rede, anexo da VLAN ou túnel do Cloud VPN que gerou o relatório. As configurações das organizações não definem um recurso de destino.
- Esses campos estão disponíveis apenas no registro networkmanagement.googleapis.com/vpc_flows.

Consulte a tabela a seguir para exemplos de consultas da Análise de registros que podem ser usadas para visualizar os registros de fluxo.

Registros que você quer visualizar	Consulta
Todos os registros de fluxo	resource.type=("vpc_flow_logs_config" OR "gce_subnetwork") logName=("projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR "projects/`PROJECT_ID`/logs/compute.googleapis.com%2Fvpc_flows")
Registros de uma configuração específica	resource.type="vpc_flow_logs_config" logName="projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" resource.labels.name="`CONFIG_NAME`"
Registros de instâncias de VM em uma rede VPC específica	resource.type=("vpc_flow_logs_config" OR "gce_subnetwork") logName=("projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR "projects/`PROJECT_ID`/logs/compute.googleapis.com%2Fvpc_flows") (jsonPayload.src_vpc.vpc_name="`NETWORK_NAME`" OR jsonPayload.dest_vpc.vpc_name="`NETWORK_NAME`")
Registros de instâncias de VM em uma sub-rede específica	resource.type=("vpc_flow_logs_config" OR "gce_subnetwork") logName=("projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR "projects/`PROJECT_ID`/logs/compute.googleapis.com%2Fvpc_flows") (jsonPayload.src_vpc.subnetwork_name="`SUBNET_NAME`" OR jsonPayload.dest_vpc.subnetwork_name="`SUBNET_NAME`")
Registros de uma instância de VM específica	resource.type=("vpc_flow_logs_config" OR "gce_subnetwork") logName=("projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR "projects/`PROJECT_ID`/logs/compute.googleapis.com%2Fvpc_flows") (jsonPayload.src_instance.vm_name="`VM_NAME`" OR jsonPayload.dest_instance.vm_name="`VM_NAME`")
Registros de um cluster específico do Google Kubernetes Engine	resource.type=("vpc_flow_logs_config" OR "gce_subnetwork") logName=("projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR "projects/`PROJECT_ID`/logs/compute.googleapis.com%2Fvpc_flows") (jsonPayload.src_gke_details.cluster.cluster_name="`CLUSTER_NAME`" OR jsonPayload.dest_gke_details.cluster.cluster_name="`CLUSTER_NAME`")
Registros apenas do tráfego de saída de VM de uma sub-rede	resource.type=("vpc_flow_logs_config" OR "gce_subnetwork") logName=("projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR "projects/`PROJECT_ID`/logs/compute.googleapis.com%2Fvpc_flows") jsonPayload.reporter="SRC" AND jsonPayload.src_vpc.subnetwork_name="`SUBNET_NAME`" AND (jsonPayload.dest_vpc.subnetwork_name!="`SUBNET_NAME`" OR NOT jsonPayload.dest_vpc.subnetwork_name:*)
Registros apenas do tráfego de saída de VMs de uma rede VPC	resource.type=("vpc_flow_logs_config" OR "gce_subnetwork") logName=("projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR "projects/`PROJECT_ID`/logs/compute.googleapis.com%2Fvpc_flows") jsonPayload.reporter="SRC" AND jsonPayload.src_vpc.vpc_name="`VPC_NAME`" AND (jsonPayload.dest_vpc.vpc_name!="`VPC_NAME`" OR NOT jsonPayload.dest_vpc:*)
Registros de tráfego para um intervalo de sub-rede específico	resource.type=("vpc_flow_logs_config" OR "gce_subnetwork") logName=("projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR "projects/`PROJECT_ID`/logs/compute.googleapis.com%2Fvpc_flows") ip_in_net(jsonPayload.connection.dest_ip, "`SUBNET_RANGE`")
Registros de uma porta de destino individual	resource.type=("vpc_flow_logs_config" OR "gce_subnetwork") logName=("projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR "projects/`PROJECT_ID`/logs/compute.googleapis.com%2Fvpc_flows") jsonPayload.connection.dest_port=`PORT` jsonPayload.connection.protocol=`PROTOCOL`
Registros para várias portas de destino	resource.type=("vpc_flow_logs_config" OR "gce_subnetwork") logName=("projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR "projects/`PROJECT_ID`/logs/compute.googleapis.com%2Fvpc_flows") jsonPayload.connection.dest_port=(`PORT_1` OR `PORT_2`) jsonPayload.connection.protocol=`PROTOCOL`
Registros de um túnel de origem do Cloud VPN específico	resource.type="vpc_flow_logs_config" logName="projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" jsonPayload.reporter="SRC_GATEWAY" labels.target_resource_name="projects/`PROJECT_NUMBER`/regions/`REGION`/vpnTunnels/`NAME`"
Registros de todos os anexos da VLAN de destino	resource.type="vpc_flow_logs_config" logName="projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" jsonPayload.reporter="DEST_GATEWAY" jsonPayload.dest_gateway.type="INTERCONNECT_ATTACHMENT"
Registros de todos os anexos da VLAN de destino em uma região específica	resource.type="vpc_flow_logs_config" logName="projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" jsonPayload.reporter="DEST_GATEWAY" jsonPayload.dest_gateway.type="INTERCONNECT_ATTACHMENT" jsonPayload.dest_gateway.location="`REGION`"

Substitua:

PROJECT_ID: o ID do projeto;
CONFIG_NAME: o nome da configuração dos Registros de fluxo de VPC.
SUBNET_NAME: o nome da sub-rede
VM_NAME: o nome da VM
SUBNET_RANGE: um intervalo CIDR, como 192.168.1.0/24.
CLUSTER_NAME: o nome do cluster do GKE
VPC_NAME: o nome da rede VPC.
PORT_1 e PORT_2: as portas de destino.
PROTOCOL: o protocolo de comunicação
PROJECT_NUMBER: o número do projeto do túnel do Cloud VPN
REGION: a região do anexo da VLAN ou do túnel do Cloud VPN
NAME: o nome do túnel do Cloud VPN

Rotear registros para o BigQuery, o Pub/Sub e destinos personalizados

É possível rotear registros de fluxo do Logging para um destino de sua escolha, conforme descrito na Visão geral de roteamento e armazenamento na documentação do Logging. Consulte a seção anterior, por exemplo, os filtros.

Solução de problemas

Nenhum `vpc_flows` aparece no Logging para o recurso `gce_subnetwork`

Confirme se a geração de registros está ativada para a sub-rede especificada.
Os fluxos de VPC são compatíveis apenas com redes VPC. Se você tiver uma rede legada, não verá nenhum registro.
Em redes VPC compartilhadas, os registros só aparecem no projeto host, não nos projetos de serviço. Procure os registros no projeto host.
Os filtros de exclusão do Logging bloqueiam registros especificados. Verifique se não há regras de exclusão que descartem os registros de fluxo de VPC:
1. Acesse o roteador de registros.
2. No menu Mais ações do bucket de geração de registros, clique em Visualizar detalhes do coletor.
3. Verifique se não há regras de exclusão que possam descartar os registros de fluxo de VPC.
Use a API ou CLI do Google Cloud para determinar se uma configuração de filtragem de registros está filtrando todo o tráfego em uma determinada sub-rede. Por exemplo, se filterExpr estiver definido como false, você não verá registros.

Nenhum valor de RTT ou byte em alguns dos registros

As medições de RTT talvez não sejam mostradas se não houver uma amostra com pacotes suficientes para capturar o RTT. É mais provável que isso aconteça para conexões de baixo volume.
Os valores RTT estão disponíveis apenas para fluxos TCP relatados por VMs.
Alguns pacotes são enviados sem payload. Se houver amostras de pacotes somente de cabeçalho, o valor de bytes será geralmente zero. Para mais informações, consulte Formato de registro.

Alguns fluxos estão ausentes

Os pacotes de entrada são amostrados depois das regras de firewall de entrada. Verifique se não há regras de firewall de entrada que neguem os pacotes que você espera que sejam registrados. Se você não tiver certeza se as regras de firewall da VPC estão bloqueando pacotes de entrada, ative a geração de registros de regras de firewall e inspecione os registros.
Somente protocolos TCP, UDP, ICMP, ESP e GRE são compatíveis. Os registros de fluxo de VPC não são compatíveis com nenhum outro protocolo.
Os registros são amostrados. Alguns pacotes em fluxos de volume muito baixo podem não ser mostrados.

Anotações do GKE ausentes em alguns registros

Verifique se o cluster do GKE é uma versão compatível.

Registros ausentes para alguns fluxos do GKE

Verifique se a Visibilidade intranós está ativada no cluster. Caso contrário, os fluxos entre os pods no mesmo nó não serão registrados.

Registros duplicados

Cada configuração dos Registros de fluxo de VPC gera um conjunto separado de registros. Se as informações de registro contiverem registros duplicados, verifique se o recurso de geração de relatórios está associado a mais de uma configuração.

Um recurso é associado a mais de uma configuração se você criar várias configurações por recurso ou se criar várias configurações e os escopos delas se sobrepuserem, conforme descrito na lista a seguir:

Os registros de fluxo de VPC estão configurados para a organização, e você tem outras configurações para a organização ou redes VPC, sub-redes, anexos de VLAN ou túneis do Cloud VPN em qualquer um dos projetos da organização.

Por padrão, uma configuração de Registros de fluxo de VPC para uma organização gera registros de todas as instâncias de VM em todas as sub-redes, todos os anexos de VLAN e todos os túneis do Cloud VPN na organização. Se você criar outras configurações, cada uma delas vai gerar um conjunto de registros.
Os registros de fluxo de VPC estão configurados para uma rede VPC, e você tem outras configurações para sub-redes, anexos da VLAN ou túneis do Cloud VPN na mesma rede.

Por padrão, uma configuração de registros de fluxo de VPC para uma rede VPC gera registros para todas as instâncias de VM em todas as sub-redes, todos os anexos de VLAN e todos os túneis do Cloud VPN na rede. Se você criar outras configurações, cada uma delas vai gerar um conjunto de registros.
Os registros de fluxo de VPC são configurados para uma sub-rede usando a API Network Management e a API Compute Engine. A configuração de registros de fluxo de VPC gerenciada pela API Compute Engine para a sub-rede e cada configuração aplicável criada usando a API Network Management para gerar registros.

Para mais informações sobre quais recursos são registrados por cada escopo de configuração dos registros de fluxo de VPC, consulte Configurações compatíveis. Para ver as configurações dos Registros de fluxo de VPC, consulte Ver as configurações dos Registros de fluxo de VPC (todas).

Para filtrar registros duplicados ao visualizá-los, use os seguintes campos:

Para filtrar registros por nome, especifique os campos resource_type e log_name.
Para filtrar registros por configuração e nome do recurso de destino, especifique os campos resource.labels.name e labels.target_resource_name.

Para mais informações sobre esses campos e como usá-los, consulte Exemplos de consultas da Análise de registros para registros de fluxo de VPC.

A seguir

Veja a documentação do Logging
Veja a documentação Coletores do Logging
Analisar registros de fluxo no Flow Analyzer

Registros de fluxo de acesso