Halaman ini diterjemahkan oleh Cloud Translation API.

Mengakses log alur

Halaman ini menjelaskan cara mengakses log alur menggunakan Cloud Logging.

Mengakses log alur di Logs Explorer

Log Aliran VPC menulis log ke Google Cloud project pelapor log. Anda dapat melihat log alur di Logs Explorer. Log Aliran VPC menggunakan log berikut untuk mengumpulkan entri log:

Log networkmanagement.googleapis.com/vpc_flows mengumpulkan entri log untuk jaringan Virtual Private Cloud (VPC), subnet, lampiran VLAN untuk Cloud Interconnect, dan tunnel Cloud VPN.
Log compute.googleapis.com/vpc_flows mengumpulkan entri log untuk subnet. Log ini hanya dibuat jika Anda mengaktifkan Log Aliran VPC untuk subnet menggunakan Compute Engine API.

Mengonfigurasi IAM

Guna mengonfigurasi kontrol akses untuk logging, lihat panduan kontrol akses untuk Logging.

Melihat log alur menggunakan filter resource

Untuk melihat log alur dalam project menggunakan filter resource, lihat bagian berikut. Google Cloud Anda juga dapat melihat log ini menggunakan kueri Logs Explorer, seperti yang dijelaskan dalam Memfilter log alur menggunakan kueri.

Melihat log alur untuk semua konfigurasi (`networkmanagement.googleapis.com/vpc_flows`)

Di konsol Google Cloud , buka halaman Logs Explorer.

Buka Logs Explorer
Klik Semua resource.
Dalam daftar Select resource, klik VPC Flow Logs Config, lalu klik Apply.

Melihat log alur untuk konfigurasi tertentu (`networkmanagement.googleapis.com/vpc_flows`)

Di konsol Google Cloud , buka halaman Logs Explorer.

Buka Logs Explorer
Klik Semua resource.
Di daftar Select resource, klik VPC Flow Logs Config dan pilih konfigurasi Log Aliran VPC yang ingin Anda lihat.
Klik Terapkan.

Melihat log alur untuk semua konfigurasi (`compute.googleapis.com/vpc_flows`)

Ikuti langkah-langkah berikut jika Anda mengaktifkan Log Aliran VPC menggunakan Compute Engine API.

Di konsol Google Cloud , buka halaman Logs Explorer.

Buka Logs Explorer
Klik Semua resource.
Di daftar Select resource, klik Subnetwork, lalu klik Apply.
Klik All log names.
Dalam daftar Select log names, cari Compute Engine, klik vpc_flows, lalu klik Apply.

Melihat log alur untuk subnet tertentu (`compute.googleapis.com/vpc_flows`)

Ikuti langkah-langkah berikut jika Anda mengaktifkan Log Aliran VPC menggunakan Compute Engine API.

Di konsol Google Cloud , buka halaman Logs Explorer.

Buka Logs Explorer
Klik Semua resource.
Di daftar Select resource, klik Subnetwork.
Dalam daftar Subnetwork ID, pilih subnet, lalu klik Apply.
Klik All log names.
Dalam daftar Select log names, cari Compute Engine, klik vpc_flows, lalu klik Apply.

Memfilter log alur menggunakan kueri

Untuk melihat log alur dalam project Google Cloud menggunakan kueri Logs Explorer, lakukan langkah-langkah berikut.

Di konsol Google Cloud , buka halaman Logs Explorer.

Buka Logs Explorer
Jika Anda tidak melihat kolom editor kueri di panel Query, klik tombol Show query.
Di kolom editor kueri, masukkan kueri:
- Misalnya, untuk melihat log alur untuk tunnel Cloud VPN sumber tertentu, masukkan kueri berikut:
```
resource.type="vpc_flow_logs_config"
logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows"
jsonPayload.reporter="SRC_GATEWAY"
labels.target_resource_name="projects/PROJECT_NUMBER/regions/REGION/vpnTunnels/NAME"
```
  Ganti kode berikut:
  - PROJECT_ID: Google Cloud project ID tunnel Cloud VPN
  - PROJECT_NUMBER: nomor project tunnel Cloud VPN
  - REGION: region tunnel Cloud VPN
  - NAME: nama tunnel Cloud VPN
- Jika Anda mengaktifkan VPC Flow Logs untuk subnet menggunakan Compute Engine API, kueri harus menargetkan compute.googleapis.com. Misalnya, masukkan kueri berikut, dengan mengganti PROJECT_ID dengan project ID Google Cloud dan SUBNET_NAME dengan subnet Anda:
```
resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
resource.labels.subnetwork_name="SUBNET_NAME"
```
  Untuk contoh kueri lainnya yang dapat Anda jalankan untuk melihat log alur, lihat Contoh kueri Logs Explorer untuk Log Alur VPC.
Klik Run query.

Contoh kueri Logs Explorer untuk Log Aliran VPC

Bagian ini memberikan contoh kueri Logs Explorer yang dapat Anda jalankan untuk melihat log alur. Sertakan informasi berikut dalam semua kueri:

Tentukan jenis resource dan nama log dari log yang ingin Anda kueri, seperti yang dijelaskan dalam tabel berikut. Anda dapat membuat kueri kedua log dalam satu kueri.

Log	Jenis resource dan nama log
`networkmanagement.googleapis.com/vpc_flows` Mengumpulkan log untuk konfigurasi yang dikelola oleh Network Management API.	resource.type="vpc_flow_logs_config" logName="projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows"
`compute.googleapis.com/vpc_flows` Mengumpulkan log untuk konfigurasi yang dikelola oleh Compute Engine API.	resource.type="gce_subnetwork" logName="projects/`PROJECT_ID`/logs/compute.googleapis.com%2Fvpc_flows"

Ganti PROJECT_ID dengan ID project Google Cloud dari resource pelaporan.

Jika Anda menggunakan beberapa konfigurasi VPC Flow Logs per resource, tentukan nama konfigurasi yang ingin Anda kueri dan target resource dengan menambahkan kolom resource.labels.name dan labels.target_resource_name ke kueri. Tindakan ini memastikan log duplikat dikecualikan dari hasil kueri. Untuk mengetahui informasi selengkapnya, lihat Log duplikat.
- resource.labels.name adalah nama konfigurasi. Anda dapat menentukan beberapa konfigurasi per kueri.
- labels.target_resource_name adalah nama jaringan VPC, subnet, lampiran VLAN, atau tunnel Cloud VPN yang melaporkan. Konfigurasi untuk organisasi tidak menetapkan resource target.
- Kolom ini hanya tersedia di log networkmanagement.googleapis.com/vpc_flows.

Lihat tabel berikut untuk mengetahui contoh kueri Logs Explorer yang dapat Anda gunakan untuk melihat log alur.

Log yang ingin Anda lihat	Kueri
Semua log alur	resource.type=("vpc_flow_logs_config" OR "gce_subnetwork") logName=("projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR "projects/`PROJECT_ID`/logs/compute.googleapis.com%2Fvpc_flows")
Log untuk konfigurasi tertentu	resource.type="vpc_flow_logs_config" logName="projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" resource.labels.name="`CONFIG_NAME`"
Log untuk instance VM di jaringan VPC tertentu	resource.type=("vpc_flow_logs_config" OR "gce_subnetwork") logName=("projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR "projects/`PROJECT_ID`/logs/compute.googleapis.com%2Fvpc_flows") (jsonPayload.src_vpc.vpc_name="`NETWORK_NAME`" OR jsonPayload.dest_vpc.vpc_name="`NETWORK_NAME`")
Log untuk instance VM di subnet tertentu	resource.type=("vpc_flow_logs_config" OR "gce_subnetwork") logName=("projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR "projects/`PROJECT_ID`/logs/compute.googleapis.com%2Fvpc_flows") (jsonPayload.src_vpc.subnetwork_name="`SUBNET_NAME`" OR jsonPayload.dest_vpc.subnetwork_name="`SUBNET_NAME`")
Log untuk instance VM tertentu	resource.type=("vpc_flow_logs_config" OR "gce_subnetwork") logName=("projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR "projects/`PROJECT_ID`/logs/compute.googleapis.com%2Fvpc_flows") (jsonPayload.src_instance.vm_name="`VM_NAME`" OR jsonPayload.dest_instance.vm_name="`VM_NAME`")
Log untuk cluster Google Kubernetes Engine tertentu	resource.type=("vpc_flow_logs_config" OR "gce_subnetwork") logName=("projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR "projects/`PROJECT_ID`/logs/compute.googleapis.com%2Fvpc_flows") (jsonPayload.src_gke_details.cluster.cluster_name="`CLUSTER_NAME`" OR jsonPayload.dest_gke_details.cluster.cluster_name="`CLUSTER_NAME`")
Log hanya untuk traffic VM keluar dari subnet	resource.type=("vpc_flow_logs_config" OR "gce_subnetwork") logName=("projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR "projects/`PROJECT_ID`/logs/compute.googleapis.com%2Fvpc_flows") jsonPayload.reporter="SRC" AND jsonPayload.src_vpc.subnetwork_name="`SUBNET_NAME`" AND (jsonPayload.dest_vpc.subnetwork_name!="`SUBNET_NAME`" OR NOT jsonPayload.dest_vpc.subnetwork_name:*)
Log hanya untuk traffic VM keluar dari jaringan VPC	resource.type=("vpc_flow_logs_config" OR "gce_subnetwork") logName=("projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR "projects/`PROJECT_ID`/logs/compute.googleapis.com%2Fvpc_flows") jsonPayload.reporter="SRC" AND jsonPayload.src_vpc.vpc_name="`VPC_NAME`" AND (jsonPayload.dest_vpc.vpc_name!="`VPC_NAME`" OR NOT jsonPayload.dest_vpc:*)
Log untuk traffic ke rentang subnet tertentu	resource.type=("vpc_flow_logs_config" OR "gce_subnetwork") logName=("projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR "projects/`PROJECT_ID`/logs/compute.googleapis.com%2Fvpc_flows") ip_in_net(jsonPayload.connection.dest_ip, "`SUBNET_RANGE`")
Log untuk port tujuan satu per satu	resource.type=("vpc_flow_logs_config" OR "gce_subnetwork") logName=("projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR "projects/`PROJECT_ID`/logs/compute.googleapis.com%2Fvpc_flows") jsonPayload.connection.dest_port=`PORT` jsonPayload.connection.protocol=`PROTOCOL`
Log untuk beberapa port tujuan	resource.type=("vpc_flow_logs_config" OR "gce_subnetwork") logName=("projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" OR "projects/`PROJECT_ID`/logs/compute.googleapis.com%2Fvpc_flows") jsonPayload.connection.dest_port=(`PORT_1` OR `PORT_2`) jsonPayload.connection.protocol=`PROTOCOL`
Log untuk tunnel Cloud VPN sumber tertentu	resource.type="vpc_flow_logs_config" logName="projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" jsonPayload.reporter="SRC_GATEWAY" labels.target_resource_name="projects/`PROJECT_NUMBER`/regions/`REGION`/vpnTunnels/`NAME`"
Log untuk semua lampiran VLAN tujuan	resource.type="vpc_flow_logs_config" logName="projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" jsonPayload.reporter="DEST_GATEWAY" jsonPayload.dest_gateway.type="INTERCONNECT_ATTACHMENT"
Log untuk semua lampiran VLAN tujuan di region tertentu	resource.type="vpc_flow_logs_config" logName="projects/`PROJECT_ID`/logs/networkmanagement.googleapis.com%2Fvpc_flows" jsonPayload.reporter="DEST_GATEWAY" jsonPayload.dest_gateway.type="INTERCONNECT_ATTACHMENT" jsonPayload.dest_gateway.location="`REGION`"

Ganti kode berikut:

PROJECT_ID: the project ID
CONFIG_NAME: nama konfigurasi VPC Flow Logs
SUBNET_NAME: nama subnet.
VM_NAME: nama VM
SUBNET_RANGE: rentang CIDR, seperti 192.168.1.0/24
CLUSTER_NAME: nama cluster GKE
VPC_NAME: nama jaringan VPC
PORT_1 dan PORT_2: port tujuan
PROTOCOL: protokol komunikasi
PROJECT_NUMBER: nomor project tunnel Cloud VPN
REGION: region lampiran VLAN atau tunnel Cloud VPN
NAME: nama tunnel Cloud VPN

Merutekan log ke BigQuery, Pub/Sub, dan target kustom

Anda dapat merutekan log alur dari Logging ke tujuan pilihan Anda seperti yang dijelaskan dalam Ringkasan perutean dan penyimpanan dalam dokumentasi Logging. Lihat bagian sebelumnya untuk contoh filter.

Pemecahan masalah

Tidak ada `vpc_flows` yang muncul di Logging untuk resource `gce_subnetwork`

Pastikan logging diaktifkan untuk subnet tertentu.
Alur VPC hanya didukung untuk jaringan VPC. Jika memiliki jaringan lama, Anda tidak akan melihat log apa pun.
Di jaringan VPC Bersama, log hanya muncul di project host, bukan project layanan. Pastikan Anda mencari log di project host.
Filter pengecualian logging memblokir log yang ditentukan. Pastikan tidak ada aturan pengecualian yang menghapus Log Aliran VPC:
1. Buka Router log.
2. Di menu More actions untuk bucket logging Anda, klik View sink details.
3. Pastikan tidak ada aturan pengecualian yang mungkin menghapus Log Alur VPC.
Gunakan Google Cloud CLI atau API untuk menentukan apakah konfigurasi pemfilteran log memfilter semua traffic dalam subnet tertentu. Misalnya, jika filterExpr ditetapkan ke false, Anda tidak akan melihat log apa pun.

Tidak ada nilai RTT atau byte di beberapa log

Pengukuran RTT mungkin tidak ada jika sampel yang diambil tidak cukup untuk menangkap RTT. Hal ini lebih mungkin terjadi untuk koneksi bervolume rendah.
Nilai RTT hanya tersedia untuk alur TCP yang dilaporkan dari VM.
Beberapa paket dikirim tanpa payload. Jika paket khusus header diambil sampelnya, nilai byte biasanya nol. Untuk mengetahui informasi selengkapnya, lihat Format rekaman.

Beberapa alur tidak ada

Paket masuk diambil sampelnya setelah aturan firewall VPC masuk. Pastikan tidak ada aturan firewall masuk yang menolak paket yang Anda harapkan untuk dicatat. Jika tidak yakin apakah aturan firewall VPC memblokir paket masuk atau tidak, Anda dapat mengaktifkan Logging Aturan Firewall dan memeriksa log.
Hanya protokol TCP, UDP, ICMP, ESP, dan GRE yang didukung. Log Alur VPC tidak mendukung protokol lainnya.
Log diambil sampelnya. Beberapa paket dalam alur volume sangat rendah mungkin terlewat.

Anotasi GKE tidak ada di beberapa log

Pastikan cluster GKE Anda merupakan versi yang didukung.

Log tidak ada untuk beberapa alur GKE

Pastikan Visibilitas intranode diaktifkan di cluster. Jika tidak, alur antar Pod pada node yang sama tidak dicatat dalam log.

Log duplikat

Setiap konfigurasi Log Aliran VPC menghasilkan serangkaian log yang terpisah. Jika informasi logging Anda berisi log duplikat, periksa apakah resource pelaporan dikaitkan dengan lebih dari satu konfigurasi.

Resource dikaitkan dengan lebih dari satu konfigurasi jika Anda membuat beberapa konfigurasi per resource atau jika Anda membuat beberapa konfigurasi dan cakupannya tumpang-tindih seperti yang dijelaskan dalam daftar berikut:

VPC Flow Logs dikonfigurasi untuk organisasi, dan Anda memiliki konfigurasi tambahan untuk organisasi atau jaringan VPC, subnet, lampiran VLAN, atau tunnel Cloud VPN di salah satu project organisasi.

Secara default, konfigurasi VPC Flow Logs untuk organisasi menghasilkan log untuk semua instance VM di semua subnet, semua lampiran VLAN, dan semua tunnel Cloud VPN di organisasi. Jika Anda membuat konfigurasi tambahan, setiap konfigurasi tambahan akan menghasilkan kumpulan lognya sendiri.
Log Aliran Traffic VPC dikonfigurasi untuk jaringan VPC, dan Anda memiliki konfigurasi tambahan untuk subnet, lampiran VLAN, atau tunnel Cloud VPN di jaringan yang sama.

Secara default, konfigurasi VPC Flow Logs untuk jaringan VPC akan membuat log untuk semua instance VM di semua subnet, semua lampiran VLAN, dan semua tunnel Cloud VPN di jaringan. Jika Anda membuat konfigurasi tambahan, setiap konfigurasi tambahan akan menghasilkan kumpulan lognya sendiri.
VPC Flow Logs dikonfigurasi untuk subnet melalui Network Management API dan Compute Engine API. Konfigurasi Log Aliran VPC yang dikelola Compute Engine API untuk subnet dan setiap konfigurasi yang berlaku yang Anda buat menggunakan Network Management API untuk menghasilkan log.

Untuk mengetahui informasi selengkapnya tentang resource yang dicatat oleh setiap cakupan konfigurasi Log Aliran VPC, lihat Konfigurasi yang didukung. Untuk melihat konfigurasi Log Aliran VPC, lihat Melihat konfigurasi Log Aliran VPC (semua).

Untuk memfilter log duplikat saat melihatnya, Anda dapat menggunakan kolom berikut:

Untuk memfilter log menurut nama log, tentukan kolom resource_type dan log_name.
Untuk memfilter log menurut konfigurasi dan nama resource target, tentukan kolom resource.labels.name dan labels.target_resource_name.

Untuk mengetahui informasi selengkapnya tentang kolom ini dan cara menggunakannya, lihat Contoh kueri Logs Explorer untuk Log Aliran VPC.

Langkah berikutnya

Lihat dokumentasi Logging
Lihat dokumentasi Logging sink
Menganalisis log alur di Flow Analyzer

Mengakses log alur