VPC-Flusslogs konfigurieren

Auf dieser Seite wird beschrieben, wie Sie VPC-Flusslogs konfigurieren. Dabei wird davon ausgegangen, dass Sie mit den Konzepten in VPC-Flusslogs und Informationen zu Einträgen von VPC-Flusslogs vertraut sind.

Hinweise

Mit VPC-Flusslogs können Sie Flusslogs für VPC-Subnetze (Virtual Private Cloud), VLAN-Anhänge für Cloud Interconnect (Vorabversion) und Cloud VPN-Tunnel (Vorabversion) konfigurieren.

Führen Sie vor dem Konfigurieren von VPC-Flusslogs die folgenden Aufgaben aus:

  • So konfigurieren Sie VPC-Flusslogs für ein Subnetz:

    1. Aktivieren Sie die Compute Engine API in Ihrem Google Cloud-Projekt.

      Compute Engine API aktivieren

    2. Sie müssen für das Projekt eine der folgenden Rollen haben:

  • So konfigurieren Sie VPC-Flusslogs für einen VLAN-Anhang oder einen Cloud VPN-Tunnel:

    1. Aktivieren Sie die Network Management API in Ihrem Google Cloud-Projekt.

      Network Management API aktivieren

    2. Sie benötigen die folgende Rolle für das Projekt: Rolle Network Management Admin (roles/networkmanagement.admin)

  • Optional: Wenn Sie VPC-Flusslogs mit der Google Cloud CLI konfigurieren möchten, gehen Sie so vor:

    • In the Google Cloud console, activate Cloud Shell.

      Activate Cloud Shell

      At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

VPC-Flusslogs aktivieren

Sie können VPC-Flusslogs jeweils pro Subnetz, VLAN-Anhang oder Cloud VPN-Tunnel aktivieren. Wenn Sie VPC-Fluss-Logs für ein Subnetz aktivieren, aktivieren Sie das Logging für alle VMs im Subnetz.

Sie können die Menge der in Logging geschriebenen Informationen ändern. Weitere Informationen zu den Parametern, die Sie festlegen können, finden Sie unter Logprobenahme und Logverarbeitung. Verwenden Sie die gcloud CLI oder API, um Metadatenfelder anzupassen.

VPC-Flusslogs für ein Subnetz aktivieren

Sie können VPC-Flusslogs beim Erstellen eines Subnetzes oder für ein vorhandenes Subnetz aktivieren.

VPC-Flusslogs beim Erstellen eines Subnetzes aktivieren

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

    Zur Seite VPC-Netzwerke

  2. Klicken Sie auf das Netzwerk, dem Sie ein Subnetz hinzufügen möchten.

  3. Klicken Sie auf Subnetz hinzufügen.

  4. Wählen Sie für Flusslogs die Option Ein aus.

  5. Optional: Passen Sie das Aggregationsintervall und die folgenden Einstellungen im Abschnitt Erweiterte Einstellungen an:

    • Ob die Log-Filterung konfiguriert werden soll. Standardmäßig ist Nur Logs aufbewahren, die einem Filter entsprechen deaktiviert.
    • Ob Metadaten in die endgültigen Logeinträge einbezogen werden sollen. Standardmäßig umfasst Metadatenannotationen alle Felder.
    • Die sekundäre Stichprobenrate. 50% bedeutet, dass die Hälfte der Einträge beibehalten wird, die durch die primäre Stichprobenerhebung von Flusslogs generiert wurden. Die primäre Samplingrate für Flussprotokolle ist nicht konfigurierbar. Weitere Informationen finden Sie unter Stichprobenerhebung und Verarbeitung von Logs.

  6. Füllen Sie die anderen Felder je nach Bedarf aus.

  7. Klicken Sie auf Hinzufügen.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud compute networks subnets create SUBNET_NAME \
    --enable-flow-logs \
    [--logging-aggregation-interval=AGGREGATION_INTERVAL] \
    [--logging-flow-sampling=SAMPLING_RATE] \
    [--logging-filter-expr=FILTER_EXPRESSION] \
    [--logging-metadata=LOGGING_METADATA] \
    [--logging-metadata-fields=METADATA_FIELDS] \
    [other flags as needed]

Ersetzen Sie Folgendes:

  • AGGREGATION_INTERVAL: das Aggregationsintervall für Flusslogs in diesem Subnetz. Das Intervall kann 5 Sekunden (Standard), 30 Sekunden, 1 Minute, 5 Minuten, 10 Minuten oder 15 Minuten betragen.
  • SAMPLING_RATE: die sekundäre Flussabtastrate. Das Fluss-Sampling kann auf einen Wert zwischen 0.0 (kein Sampling) und 1.0 (alle Logs) festgelegt werden. Der Standardwert ist 0.5. Weitere Informationen finden Sie unter Stichprobenerhebung und Verarbeitung von Logs.
  • FILTER_EXPRESSION: ein Ausdruck, der definiert, welche Logs Sie behalten möchten. Der Ausdruck ist auf maximal 2.048 Zeichen beschränkt. Weitere Informationen finden Sie unter Logfilterung.

  • LOGGING_METADATA: Die Metadatenannotationen, die in den Logs enthalten sein sollen:

    • Verwenden Sie include-all, um alle Metadatenannotationen einzubeziehen.
    • Verwenden Sie exclude-all zum Ausschließen aller Metadatenannotationen (Standard)
    • Verwenden Sie custom zum Hinzufügen einer benutzerdefinierten Liste von Metadatenfeldern, die Sie in METADATA_FIELDS angeben.

  • METADATA_FIELDS: eine durch Kommas getrennte Liste von Metadatenfeldern, die Sie in die Logs aufnehmen möchten. Beispiel: src_instance,dst_instance Kann nur festgelegt werden, wenn LOGGING_METADATA auf custom gesetzt ist.

API

Aktivieren Sie VPC-Flusslogs, wenn Sie ein neues Subnetz erstellen.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks
{
  "logConfig": {
    "aggregationInterval": "AGGREGATION_INTERVAL",
    "flowSampling": SAMPLING_RATE,
    "filterExpr": EXPRESSION,
    "metadata": METADATA_SETTING,
    "metadataFields": METADATA_FIELDS,
    "enable": true
  },
  "ipCidrRange": "IP_RANGE",
  "network": "NETWORK_URL",
  "name": "SUBNET_NAME"
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Projekts, in dem das Subnetz erstellt wird.
  • REGION: Die Region, in der das Subnetz erstellt wird.
  • AGGREGATION_INTERVAL: das Aggregationsintervall für Flusslogs in diesem Subnetz. Das Intervall kann auf einen der folgenden Werte festgelegt werden: INTERVAL_5_SEC, INTERVAL_30_SEC, INTERVAL_1_MIN, INTERVAL_5_MIN, INTERVAL_10_MIN oder INTERVAL_15_MIN.
  • SAMPLING_RATE: die Flussabtastrate. Das Fluss-Sampling kann auf einen Wert zwischen 0.0 (kein Sampling) und 1.0 (alle Logs) festgelegt werden. Der Standardwert ist .0.5.
  • EXPRESSION ist der Filterausdruck, mit dem Sie filtern, welche Logs tatsächlich geschrieben werden. Der Ausdruck ist auf maximal 2.048 Zeichen beschränkt. Weitere Informationen finden Sie unter Logfilterung.

  • METADATA_SETTING: Die Metadatenannotationen, die in den Logs enthalten sein sollen:

    • Verwenden Sie INCLUDE_ALL_METADATA, um alle Metadatenannotationen einzubeziehen.
    • Verwenden Sie EXCLUDE_ALL_METADATA zum Ausschließen aller Metadatenannotationen (Standard)
    • Verwenden Sie CUSTOM_METADATA zum Hinzufügen einer benutzerdefinierten Liste von Metadatenfeldern, die Sie in METADATA_FIELDS angeben.

  • METADATA_FIELDS: die Metadatenfelder, die Sie erfassen möchten, wenn Sie metadata: CUSTOM_METADATA festgelegt haben. Dies ist eine durch Kommas getrennte Liste von Metadatenfeldern, z. B. src_instance, src_vpc.project_id.

  • IP_RANGE ist der primäre interne IP-Adressbereich des Subnetzes.

  • NETWORK_URL: die URL des Virtual Private Cloud-Netzwerks, in dem das Subnetz erstellt wird.

  • SUBNET_NAME: Ein Name für das Subnetz.

Weitere Informationen finden Sie in der Methode subnetworks.insert.

Terraform

Sie können ein Terraform-Modul verwenden, um benutzerdefinierte VPC-Netzwerke und Subnetze zu erstellen.

Im folgenden Beispiel werden drei Subnetze so erstellt:

  • subnet-01 hat VPC-Flusslogs deaktiviert. Wenn Sie ein Subnetz erstellen, werden VPC-Flusslogs deaktiviert, sofern Sie sie nicht explizit aktivieren.
  • Für subnet-02 sind VPC-Flusslogs mit den Standard-Einstellungen aktiviert.
  • subnet-03 hat VPC-Flusslogs mit einigen benutzerdefinierten Einstellungen aktiviert.
module "test-vpc-module" {
  source       = "terraform-google-modules/network/google"
  version      = "~> 9.0"
  project_id   = var.project_id # Replace this with your project ID in quotes
  network_name = "my-custom-mode-network"
  mtu          = 1460

  subnets = [
    {
      subnet_name   = "subnet-01"
      subnet_ip     = "10.10.10.0/24"
      subnet_region = "us-west1"
    },
    {
      subnet_name           = "subnet-02"
      subnet_ip             = "10.10.20.0/24"
      subnet_region         = "us-west1"
      subnet_private_access = "true"
      subnet_flow_logs      = "true"
    },
    {
      subnet_name               = "subnet-03"
      subnet_ip                 = "10.10.30.0/24"
      subnet_region             = "us-west1"
      subnet_flow_logs          = "true"
      subnet_flow_logs_interval = "INTERVAL_10_MIN"
      subnet_flow_logs_sampling = 0.7
      subnet_flow_logs_metadata = "INCLUDE_ALL_METADATA"
      subnet_flow_logs_filter   = "false"
    }
  ]
}

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

Aktivieren Sie VPC-Flusslogs für ein vorhandenes Subnetz.

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

    Zur Seite VPC-Netzwerke

  2. Klicken Sie auf das Subnetz, das Sie aktualisieren möchten.

  3. Klicken Sie auf Bearbeiten.

  4. Wählen Sie für Flusslogs die Option Ein aus.

  5. Optional: Passen Sie das Aggregationsintervall und die folgenden Einstellungen im Abschnitt Erweiterte Einstellungen an:

    • Ob die Log-Filterung konfiguriert werden soll. Standardmäßig ist Nur Logs aufbewahren, die einem Filter entsprechen deaktiviert.
    • Ob Metadaten in die endgültigen Logeinträge einbezogen werden sollen. Standardmäßig umfasst Metadatenannotationen alle Felder.
    • Die sekundäre Stichprobenrate. 50% bedeutet, dass die Hälfte der Einträge beibehalten wird, die durch die primäre Stichprobenerhebung von Flusslogs generiert wurden. Die primäre Samplingrate für Flussprotokolle ist nicht konfigurierbar. Weitere Informationen finden Sie unter Stichprobenerhebung und Verarbeitung von Logs.

  6. Klicken Sie auf Speichern.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud compute networks subnets update SUBNET_NAME \
    --enable-flow-logs \
    [--logging-aggregation-interval=AGGREGATION_INTERVAL] \
    [--logging-flow-sampling=SAMPLING_RATE] \
    [--logging-filter-expr=FILTER_EXPRESSION] \
    [--logging-metadata=LOGGING_METADATA] \
    [--logging-metadata-fields=METADATA_FIELDS] \
    [other flags as needed]

Ersetzen Sie Folgendes:

  • AGGREGATION_INTERVAL: das Aggregationsintervall für Flusslogs in diesem Subnetz. Das Intervall kann 5 Sekunden (Standard), 30 Sekunden, 1 Minute, 5 Minuten, 10 Minuten oder 15 Minuten betragen.
  • SAMPLING_RATE: die sekundäre Flussabtastrate. Das Fluss-Sampling kann auf einen Wert zwischen 0.0 (kein Sampling) und 1.0 (alle Logs) festgelegt werden. Der Standardwert ist 0.5. Weitere Informationen finden Sie unter Stichprobenerhebung und Verarbeitung von Logs.
  • FILTER_EXPRESSION: ein Ausdruck, der definiert, welche Logs Sie behalten möchten. Der Ausdruck ist auf maximal 2.048 Zeichen beschränkt. Weitere Informationen finden Sie unter Logfilterung.

  • LOGGING_METADATA: Die Metadatenannotationen, die in den Logs enthalten sein sollen:

    • Verwenden Sie include-all, um alle Metadatenannotationen einzubeziehen.
    • Verwenden Sie exclude-all zum Ausschließen aller Metadatenannotationen (Standard)
    • Verwenden Sie custom zum Hinzufügen einer benutzerdefinierten Liste von Metadatenfeldern, die Sie in METADATA_FIELDS angeben.

  • METADATA_FIELDS: eine durch Kommas getrennte Liste von Metadatenfeldern, die Sie in die Logs aufnehmen möchten. Beispiel: src_instance,dst_instance Kann nur festgelegt werden, wenn LOGGING_METADATA auf custom gesetzt ist.

API

Aktivieren Sie VPC-Flusslogs für ein vorhandenes Subnetz.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    "enable": true
    ...other logging fields.
  },
  "fingerprint": "SUBNETWORK_FINGERPRINT"
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Projekts, in dem sich das Subnetz befindet.
  • REGION: die Region, in der sich das Subnetz befindet.
  • SUBNET_NAME ist der Name des vorhandenen Subnetzes.
  • SUBNET_FINGERPRINT: die Fingerabdruck-ID für das bestehende Subnetz, die Sie beim Beschreiben des Subnetzes erhalten.
  • Informationen zu den anderen Logging-Feldern finden Sie unter VPC-Flusslogs beim Erstellen eines Subnetzes aktivieren.

Weitere Informationen finden Sie in der Methode subnetworks.patch.

VPC-Flusslogs für einen VLAN-Anhang aktivieren

Console

  1. Öffnen Sie in der Google Cloud Console die Seite Interconnect.

    Seite "Interconnect" aufrufen

  2. Wählen Sie auf dem Tab VLAN-Anhänge einen oder mehrere VLAN-Anhänge aus und klicken Sie dann oben in der Liste in der Auswahlleiste auf Flusslogs verwalten.

  3. Klicken Sie unter Flussprotokolle verwalten auf Neue Konfiguration hinzufügen.

  4. Geben Sie einen Namen für die neue VPC-Flusslogkonfiguration ein.

  5. Optional: Passen Sie das Aggregationsintervall und die Einstellungen im Abschnitt Erweiterte Einstellungen an:

    • Ob die Log-Filterung konfiguriert werden soll. Standardmäßig ist Nur Logs aufbewahren, die einem Filter entsprechen deaktiviert.
    • Ob Metadaten in die endgültigen Logeinträge einbezogen werden sollen. Standardmäßig umfasst Metadatenannotationen alle Felder.
    • Die sekundäre Stichprobenrate. 100% bedeutet, dass alle Einträge beibehalten werden, die durch die primäre Stichprobenerhebung von Flusslogs generiert wurden. Die primäre Samplingrate für Flussprotokolle ist nicht konfigurierbar. Weitere Informationen finden Sie unter Stichprobenerhebung und Verarbeitung von Logs.

  6. Klicken Sie auf Speichern.

gcloud

Verwenden Sie den Befehl gcloud beta network-management vpc-flow-logs-configs create, um eine VPC-Flusslogkonfiguration für einen VLAN-Anhang zu erstellen. Sie können eine VPC-Flusslogkonfiguration mit allen Standardwerten für die Parameter erstellen oder die Standardwerte beim Erstellen der Konfiguration anpassen.

Legen Sie in der gcloud CLI Ihr Projekt auf die Google Cloud-Projekt-ID des VLAN-Anhang fest und führen Sie einen der folgenden Befehle aus:

  • Führen Sie den folgenden Befehl aus, um eine Standardkonfiguration für VPC-Flusslogs zu erstellen:

    gcloud beta network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --interconnect-attachment=VLAN_ATTACHMENT

  • Wenn Sie eine benutzerdefinierte VPC-Flusslogkonfiguration erstellen möchten, geben Sie jeden Parameter an, den Sie anpassen möchten.

    Wenn Sie beispielsweise das Aggregationsintervall, die Filterung, die sekundäre Stichprobenrate und die Metadatenparameter beim Erstellen einer VPC-Flusslog-Konfiguration anpassen möchten, führen Sie den folgenden Befehl aus:

    gcloud beta network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --interconnect-attachment=VLAN_ATTACHMENT \
    --aggregation-interval=AGGREGATION_INTERVAL \
    --filter-expr=FILTER_EXPRESSION \
    --flow-sampling=SAMPLING_RATE \
    --metadata=LOGGING_METADATA

    Ersetzen Sie Folgendes:

    • CONFIG_NAME: ein Name für die VPC-Flusslogkonfiguration.
    • VLAN_ATTACHMENT: Der VLAN-Anhang, den Sie protokollieren möchten. Muss im folgenden Format angegeben werden: projects/PROJECT_ID/regions/REGION/interconnectAttachments/NAME. Ersetzen Sie Folgendes:
      • PROJECT_ID: die ID des Google Cloud-Projekts, das den VLAN-Anhang enthält. Die VPC-Flusslogkonfiguration muss in diesem Projekt erstellt werden.
      • REGION: die Region des VLAN-Anhangs.
      • NAME: der Name des VLAN-Anhangs.

    Wenn Sie die optionalen Parameter in einer benutzerdefinierten Konfiguration festlegen möchten, ersetzen Sie Folgendes:

    • AGGREGATION_INTERVAL: das Aggregationsintervall für Flussprotokolle, die von dieser Konfiguration generiert werden. Das Intervall kann auf einen der folgenden Werte festgelegt werden: interval-5-sec(Standard), interval-30-sec, interval-1-min, interval-5-min, interval-10-min oder interval-15-min.
    • FILTER_EXPRESSION: ein Ausdruck, der definiert, welche Logs Sie behalten möchten. Der Ausdruck ist auf maximal 2.048 Zeichen beschränkt. Weitere Informationen finden Sie unter Logfilterung.
    • SAMPLING_RATE: die sekundäre Flussabtastrate. Die sekundäre Flussstichprobenerhebung kann auf einen Wert zwischen größer als 0.0 bis 1.0 (alle Logs, Standard) festgelegt werden. Weitere Informationen finden Sie unter Stichprobenerhebung und Verarbeitung von Logs.
    • LOGGING_METADATA: Die Metadatenannotationen, die in den Logs enthalten sein sollen:
      • Verwenden Sie include-all-metadata zum Einschließen aller Metadatenannotationen (Standard)
      • Verwenden Sie exclude-all-metadata zum Ausschließen aller Metadatenannotationen
      • Verwenden Sie custom-metadata, um eine benutzerdefinierte Liste von Metadatenfeldern anzugeben. Verwenden Sie den Parameter --metadata-fields, um die Metadatenfelder anzugeben:
        • --metadata-fields=METADATA_FIELDS: Ersetzen Sie METADATA_FIELDS durch eine durch Kommas getrennte Liste von Metadatenfeldern, die Sie in die Protokolle aufnehmen möchten. Beispiel: src_instance,dst_instance Kann nur festgelegt werden, wenn metadata auf custom-metadata gesetzt ist.

API

Verwenden Sie die Methode projects.locations.vpcFlowLogsConfigs.create, um eine VPC-Flusslogkonfiguration für einen VLAN-Anhang zu erstellen. Sie können eine VPC-Flusslogkonfiguration mit allen Standardwerten für die Parameter erstellen oder die Standardwerte beim Erstellen der Konfiguration anpassen.

Wenn Sie eine Standardkonfiguration für VPC-Flusslogs erstellen möchten, fügen Sie Ihrem API-Aufruf die folgenden Parameter hinzu:

POST https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "interconnectAttachment": "VLAN_ATTACHMENT"
}

Wenn Sie eine benutzerdefinierte VPC-Flusslogkonfiguration erstellen möchten, geben Sie jeden Parameter an, den Sie anpassen möchten.

Wenn Sie beispielsweise das Aggregationsintervall, die Filterung, die sekundäre Stichprobenrate und die Metadatenparameter beim Erstellen einer VPC-Flussprotokollkonfiguration anpassen möchten, fügen Sie Ihrem API-Aufruf die folgenden Parameter hinzu:

POST https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "interconnectAttachment": "VLAN_ATTACHMENT",
  "aggregationInterval": "AGGREGATION_INTERVAL",
  "filterExpr": "FILTER_EXPRESSION",
  "flowSampling": SAMPLING_RATE,
  "metadata": "LOGGING_METADATA"
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Google Cloud-Projekts, in dem Sie die VPC-Flussprotokollkonfiguration erstellen möchten. Muss sich im selben Projekt wie der VLAN-Anhang befinden.
  • CONFIG_NAME: ein Name für die VPC-Flusslogkonfiguration.
  • VLAN_ATTACHMENT: Der VLAN-Anhang, den Sie protokollieren möchten. Muss in folgendem Format vorliegen: projects/PROJECT_ID/regions/REGION/interconnectAttachments/NAME.
    • PROJECT_ID: die ID des Google Cloud-Projekts, das den VLAN-Anhang enthält.
    • REGION: die Region des VLAN-Anhangs.
    • NAME: der Name des VLAN-Anhangs.
Ersetzen Sie die folgenden Angaben, um die optionalen Parameter in einer benutzerdefinierten Konfiguration festzulegen:
  • AGGREGATION_INTERVAL: das Aggregationsintervall für Flussprotokolle, die von dieser Konfiguration generiert werden. Das Intervall kann auf einen der folgenden Werte festgelegt werden: INTERVAL_5_SEC (Standard), INTERVAL_30_SEC, INTERVAL_1_MIN, INTERVAL_5_MIN, INTERVAL_10_MIN oder INTERVAL_15_MIN.
  • FILTER_EXPRESSION: ein Ausdruck, der definiert, welche Logs Sie behalten möchten. Der Ausdruck ist auf maximal 2.048 Zeichen beschränkt. Weitere Informationen finden Sie unter Logfilterung.
  • SAMPLING_RATE: die sekundäre Flussabtastrate. Die sekundäre Flussstichprobenerhebung kann auf einen Wert zwischen größer als 0.0 bis 1.0 (alle Logs, Standard) festgelegt werden. Weitere Informationen finden Sie unter Stichprobenerhebung und Verarbeitung von Logs.
  • LOGGING_METADATA: Die Metadatenannotationen, die in den Logs enthalten sein sollen:
    • Verwenden Sie INCLUDE_ALL_METADATA zum Einschließen aller Metadatenannotationen (Standard)
    • Verwenden Sie EXCLUDE_ALL_METADATA zum Ausschließen aller Metadatenannotationen
    • Verwenden Sie CUSTOM_METADATA, um eine benutzerdefinierte Liste von Metadatenfeldern anzugeben. Verwenden Sie den Parameter metadataFields, um die Metadatenfelder anzugeben:
      • metadataFields: METADATA_FIELDS: Ersetzen Sie METADATA_FIELDS durch eine durch Kommas getrennte Liste von Metadatenfeldern, die Sie in die Protokolle aufnehmen möchten. Beispiel: src_instance,dst_instance. Kann nur festgelegt werden, wenn metadata auf CUSTOM_METADATA gesetzt ist.

Sie können für einen einzelnen VLAN-Anhang mehrere VPC-Flusslogkonfigurationen hinzufügen. Für jede VPC-Flusslogkonfiguration wird ein separater Satz von Flusslogs generiert.

VPC-Flusslogs für einen Cloud VPN-Tunnel aktivieren

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPN auf.

    Zu VPN

  2. Wählen Sie auf dem Tab Cloud VPN-Tunnel einen oder mehrere Cloud VPN-Tunnel aus und klicken Sie dann oben in der Liste in der Auswahlleiste auf Flusslogs verwalten.

  3. Klicken Sie unter Flussprotokolle verwalten auf Neue Konfiguration hinzufügen.

  4. Geben Sie einen Namen für die neue VPC-Flusslogkonfiguration ein.

  5. Optional: Passen Sie das Aggregationsintervall und die Einstellungen im Abschnitt Erweiterte Einstellungen an:

    • Ob die Log-Filterung konfiguriert werden soll. Standardmäßig ist Nur Logs aufbewahren, die einem Filter entsprechen deaktiviert.
    • Ob Metadaten in die endgültigen Logeinträge einbezogen werden sollen. Standardmäßig umfasst Metadatenannotationen alle Felder.
    • Die sekundäre Stichprobenrate. 100% bedeutet, dass alle Einträge beibehalten werden, die durch die primäre Stichprobenerhebung von Flusslogs generiert wurden. Die primäre Samplingrate für Flussprotokolle ist nicht konfigurierbar. Weitere Informationen finden Sie unter Stichprobenerhebung und Verarbeitung von Logs.

  6. Klicken Sie auf Speichern.

gcloud

Verwenden Sie den Befehl gcloud beta network-management vpc-flow-logs-configs create, um eine VPC-Flusslogkonfiguration für einen Cloud VPN-Tunnel zu erstellen. Sie können eine VPC-Flusslogkonfiguration mit allen Standardwerten für die Parameter erstellen oder die Standardwerte beim Erstellen der Konfiguration anpassen.

Legen Sie in der gcloud CLI Ihr Projekt auf die Google Cloud-Projekt-ID des Cloud VPN-Tunnels fest und führen Sie einen der folgenden Befehle aus:

  • Führen Sie den folgenden Befehl aus, um eine Standardkonfiguration für VPC-Flusslogs zu erstellen:

    gcloud beta network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --vpn-tunnel=VPN_TUNNEL

  • Wenn Sie eine benutzerdefinierte VPC-Flusslogkonfiguration erstellen möchten, geben Sie jeden Parameter an, den Sie anpassen möchten.

    Wenn Sie beispielsweise das Aggregationsintervall, die Filterung, die sekundäre Stichprobenrate und die Metadatenparameter beim Erstellen einer VPC-Flusslog-Konfiguration anpassen möchten, führen Sie den folgenden Befehl aus:

    gcloud beta network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --vpn-tunnel=VPN_TUNNEL \
    --aggregation-interval=AGGREGATION_INTERVAL \
    --filter-expr=FILTER_EXPRESSION \
    --flow-sampling=SAMPLING_RATE \
    --metadata=LOGGING_METADATA

    Ersetzen Sie Folgendes:

    • CONFIG_NAME: ein Name für die VPC-Flusslogkonfiguration.
    • VPN_TUNNEL: Der Cloud VPN-Tunnel, den Sie protokollieren möchten. Er muss im folgenden Format angegeben werden: projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME. Ersetzen Sie Folgendes:
      • PROJECT_ID: die ID des Google Cloud-Projekts, das den Cloud VPN-Tunnel enthält. Die VPC-Flusslogkonfiguration muss in diesem Projekt erstellt werden.
      • REGION: die Region des Cloud VPN-Tunnels.
      • NAME: Name des Cloud VPN-Tunnels.

    Wenn Sie die optionalen Parameter in einer benutzerdefinierten Konfiguration festlegen möchten, ersetzen Sie Folgendes:

    • AGGREGATION_INTERVAL: das Aggregationsintervall für Flussprotokolle, die von dieser Konfiguration generiert werden. Das Intervall kann auf einen der folgenden Werte festgelegt werden: interval-5-sec(Standard), interval-30-sec, interval-1-min, interval-5-min, interval-10-min oder interval-15-min.
    • FILTER_EXPRESSION: ein Ausdruck, der definiert, welche Logs Sie behalten möchten. Der Ausdruck ist auf maximal 2.048 Zeichen beschränkt. Weitere Informationen finden Sie unter Logfilterung.
    • SAMPLING_RATE: die sekundäre Flussabtastrate. Die sekundäre Flussstichprobenerhebung kann auf einen Wert zwischen größer als 0.0 bis 1.0 (alle Logs, Standard) festgelegt werden. Weitere Informationen finden Sie unter Stichprobenerhebung und Verarbeitung von Logs.
    • LOGGING_METADATA: Die Metadatenannotationen, die in den Logs enthalten sein sollen:
      • Verwenden Sie include-all-metadata zum Einschließen aller Metadatenannotationen (Standard)
      • Verwenden Sie exclude-all-metadata zum Ausschließen aller Metadatenannotationen
      • Verwenden Sie custom-metadata, um eine benutzerdefinierte Liste von Metadatenfeldern anzugeben. Verwenden Sie den Parameter --metadata-fields, um die Metadatenfelder anzugeben:
        • --metadata-fields=METADATA_FIELDS: Ersetzen Sie METADATA_FIELDS durch eine durch Kommas getrennte Liste von Metadatenfeldern, die Sie in die Protokolle aufnehmen möchten. Beispiel: src_instance,dst_instance Kann nur festgelegt werden, wenn metadata auf custom-metadata gesetzt ist.

API

Verwenden Sie die Methode projects.locations.vpcFlowLogsConfigs.create, um eine VPC-Flusslogkonfiguration für einen Cloud VPN-Tunnel zu erstellen. Sie können eine VPC-Flusslogkonfiguration erstellen, bei der alle Parameter auf die Standardwerte festgelegt sind, oder die Standardwerte beim Erstellen der Konfiguration anpassen.

Wenn Sie eine Standardkonfiguration für VPC-Flusslogs erstellen möchten, fügen Sie Ihrem API-Aufruf die folgenden Parameter hinzu:

POST https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "vpnTunnel": "VPN_TUNNEL"
}

Wenn Sie eine benutzerdefinierte VPC-Flusslogkonfiguration erstellen möchten, geben Sie jeden Parameter an, den Sie anpassen möchten.

Wenn Sie beispielsweise das Aggregationsintervall, die Filterung, die sekundäre Stichprobenrate und die Metadatenparameter beim Erstellen einer VPC-Flussprotokollkonfiguration anpassen möchten, fügen Sie Ihrem API-Aufruf die folgenden Parameter hinzu:

POST https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "vpnTunnel": "VPN_TUNNEL",
  "aggregationInterval": "AGGREGATION_INTERVAL",
  "filterExpr": "FILTER_EXPRESSION",
  "flowSampling": SAMPLING_RATE,
  "metadata": "LOGGING_METADATA"
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Google Cloud-Projekts, in dem Sie die VPC-Flussprotokollkonfiguration erstellen möchten. Muss sich im selben Projekt wie der Cloud VPN-Tunnel befinden.
  • CONFIG_NAME: ein Name für die VPC-Flusslogkonfiguration.
  • VPN_TUNNEL: Der Cloud VPN-Tunnel, den Sie protokollieren möchten. Muss in folgendem Format vorliegen: projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME.
    • PROJECT_ID: die ID des Google Cloud-Projekts, das den Cloud VPN-Tunnel enthält.
    • REGION: die Region des Cloud VPN-Tunnels.
    • NAME: Name des Cloud VPN-Tunnels.
Ersetzen Sie die folgenden Angaben, um die optionalen Parameter in einer benutzerdefinierten Konfiguration festzulegen:
  • AGGREGATION_INTERVAL: das Aggregationsintervall für Flussprotokolle, die von dieser Konfiguration generiert werden. Das Intervall kann auf einen der folgenden Werte festgelegt werden: INTERVAL_5_SEC (Standard), INTERVAL_30_SEC, INTERVAL_1_MIN, INTERVAL_5_MIN, INTERVAL_10_MIN oder INTERVAL_15_MIN.
  • FILTER_EXPRESSION: ein Ausdruck, der definiert, welche Logs Sie behalten möchten. Der Ausdruck ist auf maximal 2.048 Zeichen beschränkt. Weitere Informationen finden Sie unter Logfilterung.
  • SAMPLING_RATE: die sekundäre Flussabtastrate. Die sekundäre Flussstichprobenerhebung kann auf einen Wert zwischen größer als 0.0 bis 1.0 (alle Logs, Standard) festgelegt werden. Weitere Informationen finden Sie unter Stichprobenerhebung und Verarbeitung von Logs.
  • LOGGING_METADATA: Die Metadatenannotationen, die in den Logs enthalten sein sollen:
    • Verwenden Sie INCLUDE_ALL_METADATA zum Einschließen aller Metadatenannotationen (Standard)
    • Verwenden Sie EXCLUDE_ALL_METADATA zum Ausschließen aller Metadatenannotationen
    • Verwenden Sie CUSTOM_METADATA, um eine benutzerdefinierte Liste von Metadatenfeldern anzugeben. Verwenden Sie den Parameter metadataFields, um die Metadatenfelder anzugeben:
      • metadataFields: METADATA_FIELDS: Ersetzen Sie METADATA_FIELDS durch eine durch Kommas getrennte Liste von Metadatenfeldern, die Sie in die Protokolle aufnehmen möchten. Beispiel: src_instance,dst_instance. Kann nur festgelegt werden, wenn metadata auf CUSTOM_METADATA gesetzt ist.

Sie können einem einzelnen Cloud VPN-Tunnel mehrere VPC-Flusslogkonfigurationen hinzufügen. Für jede VPC-Flusslogkonfiguration werden separate Flusslogs generiert.

Konfigurationsstatus von VPC-Flusslogs aufrufen

Sie können Folgendes einsehen:

  • Für welche Subnetze VPC-Flusslogs aktiviert sind
  • Für welche VLAN-Anhänge und Cloud VPN-Tunnel VPC-Flusslogs aktiviert sind (Vorabversion)

Ansehen, für welche Subnetze in einem Netzwerk VPC-Flusslogs aktiviert sind

Sie können prüfen, für welche Subnetze in einem VPC-Netzwerk VPC-Flusslogs aktiviert sind. Informationen zum Ansehen aller Subnetze in einem Google Cloud-Projekt, für die VPC-Flusslogs aktiviert sind, finden Sie unter VPC-Flusslogkonfigurationen ansehen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

    Zur Seite VPC-Netzwerke

  2. Klicken Sie auf das VPC-Netzwerk, in dem Sie die Subnetze ansehen möchten.

  3. Klicken Sie auf den Tab Subnetze und sehen Sie in der Spalte Flusslogs nach, ob die Protokollierung aktiviert oder deaktiviert ist.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud compute networks subnets list \
    --project PROJECT_ID \
    --network="NETWORK" \
    --format="csv(name,region,logConfig.enable)"

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des von Ihnen abgefragten Projekts.
  • NETWORK: der Name des Netzwerks mit den Subnetzen

Ansehen, für welche Anhänge und Tunnel in einem Projekt VPC-Flusslogs aktiviert sind

Sie können prüfen, für welche VLAN-Anhänge und Cloud VPN-Tunnel in einem Google Cloud-Projekt VPC-Flusslogs aktiviert sind. Informationen zum Aufrufen aller VPC-Flusslogkonfigurationen für VLAN-Anhänge und Cloud VPN-Tunnel in einem Google Cloud-Projekt finden Sie unter VPC-Flusslogkonfigurationen ansehen.

Console

Gehen Sie in der Google Cloud Console so vor:

  • So rufen Sie auf, für welche VLAN-Anhänge VPC-Flusslogs aktiviert sind:

    1. Rufen Sie die Seite Interconnect auf.

      Seite "Interconnect" aufrufen

    2. Klicken Sie auf den Tab VLAN-Anhänge und sehen Sie in der Spalte Flusslogs nach, ob das Logging aktiviert oder deaktiviert ist.

  • So rufen Sie auf, für welche Cloud VPN-Tunnel VPC-Flusslogs aktiviert sind:

    1. Zur VPN-Seite

      Zu VPN

    2. Klicken Sie auf den Tab Cloud VPN-Tunnel und sehen Sie in der Spalte Flusslogs nach, ob die Protokollierung aktiviert oder deaktiviert ist.

VPC-Flusslogkonfigurationen aufrufen

Wenn Sie VPC-Flusslogs für ein Subnetz, einen VLAN-Anhang oder einen Cloud VPN-Tunnel konfigurieren, erstellt Google Cloud eine VPC-Flusslogkonfiguration für Ihr Subnetz, Ihren VLAN-Anhang oder Ihren VPN-Tunnel mit den von Ihnen festgelegten Konfigurationswerten. Ein einzelner VLAN-Anhang oder Cloud VPN-Tunnel kann eine oder mehrere VPC-Flusslogkonfigurationen haben. Für ein Subnetz, für das VPC-Flusslogs aktiviert sind, kann es nur eine VPC-Flusslogkonfiguration geben.

Sie können sich ansehen, für welche VLAN-Anhänge und Cloud VPN-Tunnel Flusslogs aktiviert oder deaktiviert sind, indem Sie den Status der VPC-Flusslogkonfigurationen prüfen. Wenn der Status einer VPC-Flusslogkonfiguration aktiviert ist, sind auch die Flussprotokolle für den VLAN-Anhang oder Cloud VPN-Tunnel aktiviert, für den diese Konfiguration verwendet wird. VPC-Flusslogkonfigurationen für Subnetze können nicht deaktiviert, sondern nur gelöscht werden.

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Flusslogs auf.

    Zu VPC-Flusslogs

  2. Klicken Sie auf den Tab Subnetze, VLAN-Anhänge oder VPN-Tunnel.

    • Unter Subnetze werden Subnetze mit einer aktiven VPC-Flusslogkonfiguration aufgeführt.
    • Auf der Seite VLAN-Anhänge sind VLAN-Anhänge für Cloud Interconnect aufgeführt, für die aktive oder pausierte VPC-Flusslogkonfigurationen vorhanden sind.
    • Unter VPN-Tunnel sind Cloud VPN-Tunnel mit aktiven oder pausierten VPC-Flusslogkonfigurationen aufgeführt.

gcloud

Verwenden Sie die Befehle gcloud beta network-management vpc-flow-logs-configs list und gcloud beta network-management vpc-flow-logs-configs describe, um VPC-Flusslogkonfigurationen für VLAN-Anhänge und Cloud VPN-Tunnel aufzurufen.

Führen Sie einen der folgenden Befehle aus:

  • So rufen Sie alle VPC-Flusslogkonfigurationen in einem Google Cloud-Projekt auf:

    gcloud beta network-management vpc-flow-logs-configs list --location=global

  • Wenn Sie eine einzelne VPC-Flusslogkonfiguration aufrufen möchten, führen Sie Folgendes aus:

    gcloud beta network-management vpc-flow-logs-configs describe CONFIG_NAME \
    --location=global

    Ersetzen Sie CONFIG_NAME durch den Namen der VPC-Flusslogkonfiguration, die Sie aufrufen möchten.

API

Verwenden Sie die Methode projects.locations.vpcFlowLogsConfigs.list, um sich alle VPC-Flusslogkonfigurationen für VLAN-Anhänge und Cloud VPN-Tunnel in einem Google Cloud-Projekt anzusehen:

GET https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs

Verwenden Sie die Methode projects.locations.vpcFlowLogsConfigs.get, um eine einzelne VPC-Flusslogkonfiguration aufzurufen:

GET https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Google Cloud-Projekts, das die VPC-Flusslog-Konfiguration oder ‑Konfigurationen enthält, die Sie aufrufen möchten.
  • CONFIG_NAME: der Name der VPC-Flusslogkonfiguration.

Konfiguration von VPC-Flusslogs aktualisieren

Sie können die Log-Sampling-Parameter anpassen. Informationen zu den Parametern, die Sie festlegen können, finden Sie unter Logprobenahme und Logverarbeitung. Verwenden Sie die gcloud CLI oder API, um Metadatenfelder anzupassen.

Konfigurationsparameter für Subnetze aktualisieren

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

    Zur Seite VPC-Netzwerke

  2. Klicken Sie unter Subnetze im aktuellen Projekt auf das Subnetz, das Sie aktualisieren möchten.

  3. Klicken Sie auf Bearbeiten.

  4. Optional: Passen Sie die folgenden Einstellungen an:

    • Das Aggregationsintervall. Das Aggregationsintervall ist standardmäßig auf 5 Sekunden festgelegt.
    • Ob die Log-Filterung konfiguriert werden soll. Standardmäßig ist Nur Logs aufbewahren, die einem Filter entsprechen deaktiviert.
    • Ob Metadaten in die endgültigen Logeinträge einbezogen werden sollen. Standardmäßig umfasst Metadatenannotationen alle Felder.
    • Die sekundäre Stichprobenrate. 50% bedeutet, dass die Hälfte der Einträge beibehalten wird, die durch die primäre Stichprobenerhebung von Flusslogs generiert wurden. Die primäre Samplingrate für Flussprotokolle ist nicht konfigurierbar. Weitere Informationen finden Sie unter Stichprobenerhebung und Verarbeitung von Logs.

  5. Klicken Sie auf Speichern.

Alternativ können Sie die Konfigurationsparameter für VPC-Flusslogs über das Menü  Flusslogs verwalten unter Subnetze im aktuellen Projekt auf der Seite VPC-Netzwerke aktualisieren.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud compute networks subnets update SUBNET_NAME \
    [--logging-aggregation-interval=AGGREGATION_INTERVAL] \
    [--logging-flow-sampling=SAMPLING_RATE] \
    [--logging-filter-expr=FILTER_EXPRESSION] \
    [--logging-metadata=LOGGING_METADATA] \
    [--logging-metadata-fields=METADATA_FIELDS] \

Ersetzen Sie Folgendes:

  • AGGREGATION_INTERVAL: das Aggregationsintervall für Flusslogs in diesem Subnetz. Das Intervall kann 5 Sekunden (Standard), 30 Sekunden, 1 Minute, 5 Minuten, 10 Minuten oder 15 Minuten betragen.
  • SAMPLING_RATE: die sekundäre Flussabtastrate. Das Fluss-Sampling kann auf einen Wert zwischen 0.0 (kein Sampling) und 1.0 (alle Logs) festgelegt werden. Der Standardwert ist 0.5. Weitere Informationen finden Sie unter Stichprobenerhebung und Verarbeitung von Logs.
  • FILTER_EXPRESSION: ein Ausdruck, der festlegt, welche Logs Sie behalten möchten. Der Ausdruck ist auf maximal 2.048 Zeichen beschränkt. Weitere Informationen finden Sie unter Logfilterung.

  • LOGGING_METADATA: Die Metadatenannotationen, die in den Logs enthalten sein sollen:

    • Verwenden Sie include-all, um alle Metadatenannotationen einzubeziehen.
    • Verwenden Sie exclude-all zum Ausschließen aller Metadatenannotationen (Standard)
    • Verwenden Sie custom zum Hinzufügen einer benutzerdefinierten Liste von Metadatenfeldern, die Sie in METADATA_FIELDS angeben.

  • METADATA_FIELDS: eine durch Kommas getrennte Liste von Metadatenfeldern, die Sie in die Logs aufnehmen möchten. Beispiel: src_instance,dst_instance Kann nur festgelegt werden, wenn LOGGING_METADATA auf custom gesetzt ist.

API

Ändern Sie die Log-Sampling-Felder, um das Verhalten der VPC-Flusslogs zu aktualisieren.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    ...fields to modify
  },
  "fingerprint": "SUBNETWORK_FINGERPRINT"
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Projekts, in dem sich das Subnetz befindet.
  • REGION: die Region, in der sich das Subnetz befindet.
  • SUBNET_NAME ist der Name des vorhandenen Subnetzes.
  • SUBNET_FINGERPRINT: die Fingerabdruck-ID für das bestehende Subnetz, die Sie beim Beschreiben des Subnetzes erhalten.
  • Informationen zu den Feldern, die Sie ändern können, finden Sie unter VPC-Flusslogs beim Erstellen eines Subnetzes aktivieren.

Weitere Informationen finden Sie in der Methode subnetworks.patch.

Konfigurationsparameter für VLAN-Anhänge und Cloud VPN-Tunnel aktualisieren

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Flusslogs auf.

    Zu VPC-Flusslogs

  2. Wählen Sie den Tab VLAN-Anhänge oder VPN-Tunnel aus:

    • Wenn Sie die Parameter für VPC-Flusslogs für VLAN-Anhänge aktualisieren möchten, wählen Sie VLAN-Anhänge aus.
    • Wenn Sie die Parameter für VPC-Flusslogs für Cloud VPN-Tunnel aktualisieren möchten, wählen Sie VPN-Tunnel aus.

  3. Wählen Sie eine oder mehrere VPC-Flusslogkonfigurationen aus, die Sie aktualisieren möchten, und klicken Sie auf Bearbeiten.

  4. Optional: Passen Sie eine der folgenden Optionen an:

    • Das Aggregationsintervall. Das Aggregationsintervall ist standardmäßig auf 5 Sekunden festgelegt.
    • Legen Sie fest, ob der Status der VPC-Flusslogkonfiguration aktiviert oder deaktiviert werden soll. Der Status An bedeutet, dass die ausgewählte VPC-Flusslogkonfiguration aktiv ist und Flusslogs generiert.
    • Ob die Log-Filterung konfiguriert werden soll. Standardmäßig ist Nur Logs aufbewahren, die einem Filter entsprechen deaktiviert.
    • Ob Metadaten in die endgültigen Logeinträge einbezogen werden sollen. Standardmäßig umfasst Metadatenannotationen alle Felder.
    • Die sekundäre Stichprobenrate. 100% bedeutet, dass alle Einträge beibehalten werden, die durch die primäre Stichprobenerhebung von Flusslogs generiert wurden. Die primäre Samplingrate für Flussprotokolle ist nicht konfigurierbar. Weitere Informationen finden Sie unter Stichprobenerhebung und Verarbeitung von Logs.

  5. Klicken Sie auf Speichern.

Alternativ können Sie die Konfigurationsparameter für VPC-Flusslogs über das Menü  Flusslogs verwalten auf dem Tab VLAN-Anhänge auf der Seite Interconnect und auf dem Tab VPN-Tunnel auf der Seite VPN aktualisieren.

gcloud

Verwenden Sie den Befehl gcloud beta network-management vpc-flow-logs-configs update, um eine VPC-Flusslogkonfiguration für einen VLAN-Anhang oder einen Cloud VPN-Tunnel zu aktualisieren.

Führen Sie den Befehl gcloud beta network-management vpc-flow-logs-configs update mit einem oder mehreren der folgenden optionalen Parameter aus:

gcloud beta network-management vpc-flow-logs-configs update CONFIG_NAME \
    --location=global \
    [--interconnect-attachment=VLAN_ATTACHMENT | --vpn-tunnel=VPN_TUNNEL] \
    [--aggregation-interval=AGGREGATION_INTERVAL] \
    [--filter-expr=FILTER_EXPRESSION] \
    [--flow-sampling=SAMPLING_RATE] \
    [--metadata=LOGGING_METADATA] \
    [--state=STATE]

Führen Sie beispielsweise den folgenden Befehl aus, um den Parameter für das Aggregationsintervall zu aktualisieren:

gcloud beta network-management vpc-flow-logs-configs update CONFIG_NAME \
    --location=global \
    --aggregation-interval=AGGREGATION_INTERVAL

Ersetzen Sie Folgendes:

  • CONFIG_NAME: Der Name der VPC-Flusslogkonfiguration, die Sie aktualisieren möchten. Die Konfiguration befindet sich im selben Google Cloud-Projekt wie die VLAN_ATTACHMENT oder VPN_TUNNEL, für die sie verwendet wird.

Ersetzen Sie zum Aktualisieren der optionalen Parameter Folgendes:

  • VLAN_ATTACHMENT oder VPN_TUNNEL:
    • Wenn Sie eine VPC-Flusslogkonfiguration für einen VLAN-Anhang aktualisieren möchten, geben Sie den VLAN-Anhang im folgenden Format an: projects/PROJECT_ID/regions/REGION/interconnectAttachments/NAME.
    • Wenn Sie eine VPC-Flusslogkonfiguration für einen Cloud VPN-Tunnel aktualisieren möchten, geben Sie den Cloud VPN-Tunnel im folgenden Format an: projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME.
    • Ersetzen Sie Folgendes:
      • PROJECT_ID: die ID des Google Cloud-Projekts, das den VLAN-Anhang oder Cloud VPN-Tunnel enthält.
      • REGION: die Region des VLAN-Anhangs oder Cloud VPN-Tunnels.
      • NAME: der Name des VLAN-Anhangs oder Cloud VPN-Tunnels.
  • AGGREGATION_INTERVAL: das Aggregationsintervall für Flussprotokolle, die von dieser Konfiguration generiert werden. Das Intervall kann auf einen der folgenden Werte festgelegt werden: interval-5-sec(Standard), interval-30-sec, interval-1-min, interval-5-min, interval-10-min oder interval-15-min.
  • FILTER_EXPRESSION: ein Ausdruck, der definiert, welche Logs Sie behalten möchten. Der Ausdruck ist auf maximal 2.048 Zeichen beschränkt. Weitere Informationen finden Sie unter Logfilterung.
  • SAMPLING_RATE: die sekundäre Flussabtastrate. Die sekundäre Flussstichprobenerhebung kann auf einen Wert zwischen größer als 0.0 bis 1.0 (alle Logs, Standard) festgelegt werden. Weitere Informationen finden Sie unter Stichprobenerhebung und Verarbeitung von Logs.
  • LOGGING_METADATA: Die Metadatenannotationen, die in den Logs enthalten sein sollen:
    • Verwenden Sie include-all-metadata zum Einschließen aller Metadatenannotationen (Standard)
    • Verwenden Sie exclude-all-metadata zum Ausschließen aller Metadatenannotationen
    • Verwenden Sie custom-metadata, um eine benutzerdefinierte Liste von Metadatenfeldern anzugeben. Verwenden Sie den Parameter --metadata-fields, um die Metadatenfelder anzugeben:
      • --metadata-fields=METADATA_FIELDS: Ersetzen Sie METADATA_FIELDS durch eine durch Kommas getrennte Liste von Metadatenfeldern, die Sie in die Protokolle aufnehmen möchten. Beispiel: src_instance,dst_instance Kann nur festgelegt werden, wenn metadata auf custom-metadata gesetzt ist.
  • STATE: Der Status der VPC-Flusslogkonfiguration. Kann enabled (Standard) oder disabled sein.

API

Verwenden Sie die Methode projects.locations.vpcFlowLogsConfigs.patch, um eine VPC-Flusslogkonfiguration zu aktualisieren. Informationen zu den Feldern, die Sie ändern können, finden Sie unter REST-Ressource: projects.locations.vpcFlowLogsConfigs.

So aktualisieren Sie eine VPC-Flusslogkonfiguration für einen VLAN-Anhang oder einen Cloud VPN-Tunnel:

PATCH https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME?updateMask=FIELDS
{
  ...fields to modify
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Google Cloud-Projekts, das die VPC-Flusslog-Konfiguration enthält. Diese ID entspricht der Projekt-ID des VLAN-Anhang oder Cloud VPN-Tunnels, für den die Konfiguration verwendet wird.
  • CONFIG_NAME: Der Name der VPC-Flusslogkonfiguration, die Sie aktualisieren möchten.
  • FIELDS: Der Name des oder der Felder, die Sie aktualisieren möchten, durch Kommas getrennt. Beispiel: aggregationInterval,flowSampling,metadata

Wenn Sie beispielsweise das Feld aggregationInterval für eine VPC-Flusslog-Konfiguration my-config in my-project aktualisieren möchten, verwenden Sie den folgenden API-Aufruf:

PATCH https://networkmanagement.googleapis.com/v1beta1/projects/my-project/locations/global/vpcFlowLogsConfigs/my-config?updateMask=aggregationInterval
{
  aggregationInterval:AGGREGATION_INTERVAL
}

Ersetzen Sie AGGREGATION_INTERVAL durch einen der unterstützten Werte für diesen Parameter.

Logerfassung beenden

Sie können VPC-Flusslogs für ein Subnetz deaktivieren. Dadurch wird die Erfassung von Protokollen beendet und die VPC-Flusslogkonfiguration gelöscht.

Sie können die Protokollerstellung für einen VLAN-Anhang oder Cloud VPN-Tunnel pausieren, indem Sie alle aktiven VPC-Flusslogkonfigurationen deaktivieren. Die Protokollerfassung für ein Subnetz kann nicht pausiert werden.

Wenn Sie eine VPC-Flusslogkonfiguration nicht mehr benötigen, können Sie sie löschen. Die Protokollerhebung wird beendet und die Konfiguration gelöscht.

VPC-Flusslogs für ein Subnetz deaktivieren

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

    Zur Seite VPC-Netzwerke

  2. Klicken Sie auf das Subnetz, das Sie aktualisieren möchten.

  3. Klicken Sie auf Bearbeiten.

  4. Wählen Sie für Flusslogs die Option Aus aus.

  5. Klicken Sie auf Speichern.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud compute networks subnets update SUBNET_NAME \
    --no-enable-flow-logs

API

Deaktivieren Sie VPC-Flusslogs für ein Subnetz, um die Erfassung von Logeinträgen zu beenden.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    "enable": false
  },
  "fingerprint": "SUBNETWORK_FINGERPRINT"
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Projekts, in dem sich das Subnetz befindet.
  • REGION: die Region, in der sich das Subnetz befindet.
  • SUBNET_NAME ist der Name des vorhandenen Subnetzes.
  • SUBNET_FINGERPRINT: die Fingerabdruck-ID für das bestehende Subnetz, die Sie beim Beschreiben des Subnetzes erhalten.

Weitere Informationen finden Sie in der Methode subnetworks.patch.

VPC-Flusslogkonfiguration deaktivieren

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Flusslogs auf.

    Zu VPC-Flusslogs

  2. Wählen Sie den Tab VLAN-Anhänge oder VPN-Tunnel aus:

    • Wenn Sie eine VPC-Flusslogkonfiguration für einen VLAN-Anhang deaktivieren möchten, wählen Sie VLAN-Anhänge aus.
    • Wenn Sie eine VPC-Flusslogkonfiguration für einen Cloud VPN-Tunnel deaktivieren möchten, wählen Sie VPN-Tunnel aus.

  3. Wählen Sie eine oder mehrere VPC-Flusslogkonfigurationen aus, die Sie deaktivieren möchten, und ändern Sie den Konfigurationsstatus in Deaktivieren oder Alle deaktivieren. Die Option Alle deaktivieren im Menü Konfigurationsstatus ändern wird nur angezeigt, wenn Ihre Auswahl sowohl aktive als auch inaktive VPC-Flusslogkonfigurationen enthält.

gcloud

Verwenden Sie den Befehl gcloud beta network-management vpc-flow-logs-configs update, um die Protokollerfassung für eine VPC-Flusslogkonfiguration zu pausieren.

Führen Sie dazu diesen Befehl aus:

gcloud beta network-management vpc-flow-logs-configs update CONFIG_NAME \
    --location=global \
    --state=disabled

Ersetzen Sie CONFIG_NAME durch den Namen der VPC-Flusslogkonfiguration, die Sie aktualisieren möchten. Die Konfiguration befindet sich im selben Google Cloud-Projekt wie der VLAN-Anhang oder Cloud VPN-Tunnel, für den sie verwendet wird.

API

Verwenden Sie die Methode projects.locations.vpcFlowLogsConfigs.patch, um die Protokollerfassung für eine VPC-Flusslogkonfiguration zu pausieren.

Protokollerstellung für eine VPC-Flusslogkonfiguration pausieren:

PATCH https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME?updateMask=state
{
  "state": "DISABLED"
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Google Cloud-Projekts, das die VPC-Flusslog-Konfiguration enthält. Diese ID entspricht der Projekt-ID des VLAN-Anhang oder Cloud VPN-Tunnels, für den die Konfiguration verwendet wird.
  • CONFIG_NAME: Der Name der VPC-Flusslogkonfiguration, die Sie aktualisieren möchten.

VPC-Flusslogkonfiguration löschen

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Flusslogs auf.

    Zu VPC-Flusslogs

  2. Wählen Sie den Tab Subnetze, VLAN-Anhänge oder VPN-Tunnel aus:

    • Wenn Sie eine VPC-Flusslogkonfiguration für ein Subnetz löschen möchten, wählen Sie Subnetze aus.
    • Wenn Sie eine VPC-Flusslogkonfiguration für einen VLAN-Anhang löschen möchten, wählen Sie VLAN-Anhänge aus.
    • Wenn Sie eine VPC-Flusslogkonfiguration für einen Cloud VPN-Tunnel löschen möchten, wählen Sie VPN-Tunnel aus.

  3. Wählen Sie eine oder mehrere VPC-Flusslogkonfigurationen aus, die Sie löschen möchten, und klicken Sie auf Löschen.

gcloud

Verwenden Sie den Befehl gcloud beta network-management vpc-flow-logs-configs delete, um eine VPC-Flusslogkonfiguration für einen VLAN-Anhang oder einen Cloud VPN-Tunnel zu löschen.

Führen Sie dazu diesen Befehl aus:

gcloud beta network-management vpc-flow-logs-configs delete CONFIG_NAME \
    --location=global

Ersetzen Sie CONFIG_NAME durch den Namen der VPC-Flussinstanzprotokollkonfiguration, die Sie löschen möchten.

API

Verwenden Sie die Methode projects.locations.vpcFlowLogsConfigs.delete, um eine VPC-Flusslogkonfiguration für einen VLAN-Anhang oder einen Cloud VPN-Tunnel zu löschen:

DELETE https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Google Cloud-Projekts, das die VPC-Flusslog-Konfiguration enthält, die Sie löschen möchten.
  • CONFIG_NAME: der Name der VPC-Flusslogkonfiguration.

Fehlerbehebung

Flusslogs für Subnetze sind scheinbar deaktiviert, obwohl sie aktiviert wurden

  • Wenn Sie ein Nur-Proxysubnetz für interne Application Load Balancer konfigurieren und den Befehl gcloud compute networks subnets verwenden, um VPC-Flusslogs zu aktivieren, scheint der Befehl erfolgreich zu sein, obwohl die Flusslogs eigentlich nicht aktiviert sind. Das Flag --enable-flow-logs wird nicht wirksam, wenn Sie auch das Flag --purpose=INTERNAL_HTTPS_LOAD_BALANCER einfügen.

    Wenn Sie Flusslogs über die Google Cloud Console oder die API aktivieren, wird folgende Fehlermeldung angezeigt: „Ungültiger Wert für Feld 'resource.enableFlowLogs': 'true'.“ Ungültiges Feld mit dem Zweck INTERNAL_HTTPS_LOAD_BALANCER im Subnetzwerk festgelegt."

    Da Nur-Proxysubnetze keine VMs haben, werden VPC-Flusslogs nicht unterstützt. Das ist so gewollt.

Nächste Schritte