Mengakses log alur
Halaman ini menjelaskan cara mengakses log alur menggunakan Cloud Logging.
Mengakses log alur di Logs Explorer
Log Aliran VPC menulis log ke Google Cloud project pelapor log. Anda dapat melihat log alur di Logs Explorer. Log Aliran VPC menggunakan log berikut untuk mengumpulkan entri log:
- Log
compute.googleapis.com/vpc_flowsmengumpulkan entri log untuk subnet. Lihat log ini jika Anda mengaktifkan Log Aliran VPC menggunakan Compute Engine API. - Untuk semua konfigurasi Log Aliran VPC lainnya, lihat log
networkmanagement.googleapis.com/vpc_flows. Log ini mengumpulkan entri log untuk jaringan Virtual Private Cloud (VPC) (Pratinjau), subnet (Pratinjau), lampiran VLAN untuk Cloud Interconnect, dan tunnel Cloud VPN.
Mengonfigurasi IAM
Guna mengonfigurasi kontrol akses untuk logging, lihat panduan kontrol akses untuk Logging.
Melihat log alur menggunakan filter resource
Untuk melihat log alur di project Google Cloud menggunakan filter resource, lihat bagian berikut. Anda juga dapat melihat log ini menggunakan kueri Logs Explorer, seperti yang dijelaskan dalam artikel Memfilter log alur menggunakan kueri.
Melihat log alur untuk semua subnet (compute.googleapis.com/vpc_flows)
Di konsol Google Cloud , buka halaman Logs Explorer.
Klik Semua fasilitas.
Di daftar Select resource, klik Subnetwork, lalu klik Apply.
Klik Semua nama log.
Dalam daftar Select log names, temukan Compute Engine, klik vpc_flows, lalu klik Apply.
Melihat log alur untuk subnet tertentu (compute.googleapis.com/vpc_flows)
Di konsol Google Cloud , buka halaman Logs Explorer.
Klik Semua fasilitas.
Di daftar Select resource, klik Subnetwork.
Dalam daftar Subnetwork ID, pilih subnet, lalu klik Apply.
Klik Semua nama log.
Dalam daftar Select log names, temukan Compute Engine, klik vpc_flows, lalu klik Apply.
Melihat log alur untuk semua resource (networkmanagement.googleapis.com/vpc_flows)
Di konsol Google Cloud , buka halaman Logs Explorer.
Klik Semua fasilitas.
Dalam daftar Select resource, klik VPC Flow Logs Config, lalu klik Apply.
Melihat log alur untuk konfigurasi tertentu (networkmanagement.googleapis.com/vpc_flows)
Di konsol Google Cloud , buka halaman Logs Explorer.
Klik Semua fasilitas.
Dalam daftar Select resource, klik VPC Flow Logs Config, lalu pilih konfigurasi VPC Flow Logs yang ingin Anda lihat.
Klik Terapkan.
Memfilter log alur menggunakan kueri
Di konsol Google Cloud , buka halaman Logs Explorer.
Jika Anda tidak melihat kolom editor kueri di panel Kueri, klik tombol Show query.
Di kolom editor kueri, masukkan kueri:
Jika Anda mengaktifkan Log Aliran VPC untuk subnet menggunakan Compute Engine API, untuk melihat log aliran, kueri harus menargetkan
compute.googleapis.com. Misalnya, masukkan kueri berikut, dengan menggantiPROJECT_IDdengan project ID Google Cloud danSUBNET_NAMEdengan subnet Anda:resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" resource.labels.subnetwork_name="SUBNET_NAME"
Untuk semua kueri lainnya, kueri harus menargetkan
networkmanagement.googleapis.com. Misalnya, untuk melihat log alur untuk tunnel Cloud VPN sumber tertentu, masukkan kueri berikut:resource.type="vpc_flow_logs_config" logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" jsonPayload.reporter="src_gateway" labels.target_resource_name="projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME"
Ganti kode berikut:
PROJECT_ID: Google Cloud project IDREGION: region tunnel Cloud VPNNAME: nama tunnel Cloud VPN
Untuk contoh kueri lainnya yang dapat Anda jalankan untuk melihat log aliran, lihat Contoh kueri Logs Explorer untuk Log Aliran VPC.
Klik Run query.
Contoh kueri Logs Explorer untuk Log Aliran VPC
Tabel berikut memberikan contoh kueri Logs Explorer yang dapat Anda jalankan untuk melihat log alur di project Google Cloud .
Contoh di bagian Kueri untuk networkmanagement.googleapis.com/vpc_flows mengasumsikan bahwa setiap resource dicatat ke dalam log oleh satu konfigurasi VPC Flow Logs. Jika Anda menggunakan beberapa konfigurasi Log Aliran VPC per resource, tentukan konfigurasi yang ingin Anda kueri untuk mengecualikan log duplikat dari hasil kueri. Anda juga dapat menentukan beberapa konfigurasi dalam kueri.
| Log yang ingin Anda lihat | Kueri |
|---|---|
| Semua log aliran |
resource.type=("gce_subnetwork" OR "vpc_flow_logs_config")
logName=("projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" OR
"projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows") |
Membuat kueri untuk log compute.googleapis.com/vpc_flows |
|
| Log untuk semua subnet | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" |
| Log untuk subnet tertentu | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" resource.labels.subnetwork_name="SUBNET_NAME" |
| Log untuk instance virtual machine (VM) tertentu | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" (jsonPayload.src_instance.vm_name="VM_NAME" OR jsonPayload.dest_instance.vm_name="VM_NAME") |
| Log untuk traffic ke rentang subnet tertentu | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" ip_in_net(jsonPayload.connection.dest_ip, SUBNET_RANGE) |
| Log untuk cluster Google Kubernetes Engine (GKE) tertentu | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" (jsonPayload.src_gke_details.cluster.cluster_name="CLUSTER_NAME" OR jsonPayload.dest_gke_details.cluster.cluster_name="CLUSTER_NAME") |
| Log hanya untuk traffic keluar dari subnet | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" AND jsonPayload.reporter="SRC" AND jsonPayload.src_vpc.subnetwork_name="SUBNET_NAME" AND (jsonPayload.dest_vpc.subnetwork_name!="SUBNET_NAME" OR NOT jsonPayload.dest_vpc.subnetwork_name:*) |
| Log untuk semua traffic keluar dari jaringan Virtual Private Cloud (VPC) | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" AND jsonPayload.reporter="SRC" AND jsonPayload.src_vpc.vpc_name="VPC_NAME" AND (jsonPayload.dest_vpc.vpc_name!="VPC_NAME" OR NOT jsonPayload.dest_vpc:*) |
| Log untuk setiap port tujuan | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" jsonPayload.connection.dest_port=PORT jsonPayload.connection.protocol=PROTOCOL |
| Log untuk beberapa port tujuan | resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" jsonPayload.connection.dest_port=(PORT1 OR PORT2) jsonPayload.connection.protocol=PROTOCOL |
Membuat kueri untuk log networkmanagement.googleapis.com/vpc_flows |
|
| Log untuk semua konfigurasi Log Aliran VPC | resource.type="vpc_flow_logs_config" logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" |
| Log untuk konfigurasi Log Aliran VPC tertentu | resource.type="vpc_flow_logs_config" logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" resource.labels.name="CONFIG_NAME" |
| Log untuk tunnel Cloud VPN sumber tertentu | resource.type="vpc_flow_logs_config" logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" jsonPayload.reporter="src_gateway" labels.target_resource_name="projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME" |
| Log untuk semua lampiran VLAN tujuan | resource.type="vpc_flow_logs_config" logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" jsonPayload.reporter="dest_gateway" jsonPayload.dest_gateway.type="INTERCONNECT_ATTACHMENT" |
| Log untuk semua lampiran VLAN tujuan di region tertentu | resource.type="vpc_flow_logs_config" logName="projects/PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" jsonPayload.reporter="dest_gateway" jsonPayload.dest_gateway.type="INTERCONNECT_ATTACHMENT" jsonPayload.dest_gateway.location="REGION" |
Ganti kode berikut:
PROJECT_ID: the project IDSUBNET_NAME: nama subnet.VM_NAME: nama VMSUBNET_RANGE: rentang CIDR, seperti192.168.1.0/24CLUSTER_NAME: nama cluster GKEVPC_NAME: nama jaringan VPCPORT1danPORT2: port tujuanPROTOCOL: protokol komunikasiCONFIG_NAME: nama konfigurasi VPC Flow LogsREGION: region lampiran VLAN atau tunnel Cloud VPNNAME: nama tunnel Cloud VPN
Merutekan log ke BigQuery, Pub/Sub, dan target kustom
Anda dapat merutekan log alur dari Logging ke tujuan pilihan Anda seperti yang dijelaskan dalam Ringkasan perutean dan penyimpanan dalam dokumentasi Logging. Lihat bagian sebelumnya untuk contoh filter.
Pemecahan masalah
Tidak ada vpc_flows yang muncul di Logging untuk resource gce_subnetwork
- Pastikan logging diaktifkan untuk subnet tertentu.
- Alur VPC hanya didukung untuk jaringan VPC. Jika memiliki jaringan lama, Anda tidak akan melihat log apa pun.
- Di jaringan VPC Bersama, log hanya muncul di project host, bukan project layanan. Pastikan Anda mencari log di project host.
- Filter pengecualian logging memblokir log yang ditentukan.
Pastikan tidak ada aturan pengecualian yang menghapus Log Aliran VPC:
- Buka Router log.
- Di menu More actions untuk bucket logging, klik View sink details.
- Pastikan tidak ada aturan pengecualian yang mungkin menghapus Log Aliran VPC.
- Gunakan Google Cloud CLI atau API untuk menentukan apakah konfigurasi pemfilteran log
memfilter semua traffic di subnet tertentu. Misalnya, jika
filterExprditetapkan kefalse, Anda tidak akan melihat log apa pun.
Tidak ada nilai RTT atau byte di beberapa log
- Pengukuran RTT mungkin tidak ada jika sampel yang diambil tidak cukup untuk menangkap RTT. Hal ini lebih mungkin terjadi untuk koneksi bervolume rendah.
- Nilai RTT hanya tersedia untuk alur TCP yang dilaporkan dari VM.
- Beberapa paket dikirim tanpa payload. Jika paket khusus header diambil sampelnya, nilai byte-nya akan menjadi 0.
Beberapa alur tidak ada
- Paket masuk diambil sampelnya setelah aturan firewall VPC masuk. Pastikan tidak ada aturan firewall masuk yang menolak paket yang Anda harapkan untuk dicatat. Jika tidak yakin apakah aturan firewall VPC memblokir paket masuk atau tidak, Anda dapat mengaktifkan Logging Aturan Firewall dan memeriksa log.
- Hanya protokol TCP, UDP, ICMP, ESP, dan GRE yang didukung. Log Alur VPC tidak mendukung protokol lainnya.
- Log diambil sampelnya. Beberapa paket dalam alur volume sangat rendah mungkin terlewat.
Anotasi GKE tidak ada di beberapa log
Pastikan cluster GKE Anda merupakan versi yang didukung.
Log tidak ada untuk beberapa alur GKE
Pastikan Visibilitas intranode diaktifkan di cluster. Jika tidak, alur antar Pod pada node yang sama tidak dicatat dalam log.
Langkah berikutnya
- Lihat dokumentasi Logging
- Lihat dokumentasi Logging sink
- Menganalisis log alur di Flow Analyzer