VPC Flow Logs を構成する

このページでは、VPC Flow Logs を構成する方法について説明します。このページは、VPC Flow LogsVPC Flow Logs のレコードについてで説明されているコンセプトを理解していることを前提としています。

始める前に

次のいずれかを構成します。

  • Network Management API を使用すると、組織、Virtual Private Cloud(VPC)ネットワーク、サブネット、Cloud Interconnect の VLAN アタッチメント、Cloud VPN トンネルの VPC Flow Logs を構成できます。Network Management API を使用するには、次の操作を行います。

    1. Google Cloud プロジェクトで Network Management API を有効にします。

      Network Management API を有効にする

    2. 次のように、Network Management 管理者のロールroles/networkmanagement.admin)が付与されていることを確認します。

      • 組織レベル(組織の VPC Flow Logs を構成する場合に必要)
      • プロジェクト レベル(VPC ネットワーク、サブネット、VLAN アタッチメント、Cloud VPN トンネルに VPC Flow Logs を構成する場合に必要)

    3. また、組織に VPC Flow Logs を構成する場合は、resourcemanager.organizations.get 権限があることを確認してください。

  • Compute Engine API を使用すると、サブネットの VPC Flow Logs を構成できます。Compute Engine API で作成された構成は、Network Management API で管理できません。Compute Engine API を使用するには、次の操作を行います。

    1. プロジェクトで Compute Engine API を有効にします。 Google Cloud

      Compute Engine API を有効にする

    2. プロジェクトで次のいずれかのロールがあることを確認します。

Google Cloud CLI を設定する

gcloud CLI を使用して VPC Flow Logs を構成する予定がない場合は、この手順をスキップしてください。

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

VPC Flow Logs を有効にする

リソースの VPC フローログを有効にするには、VPC フローログ構成を作成します。VPC Flow Logs では、組織レベルとプロジェクト レベルで構成を作成できます。

  • 組織レベルの構成では、組織内のすべての VPC ネットワーク内のすべてのサブネット、VLAN アタッチメント、Cloud VPN トンネルのフローログが有効になります。これらの構成では、デフォルトでプロジェクト間のアノテーションが有効になります。
  • プロジェクト レベルの構成では、次のリソースのフローログを有効にできます。
    • 特定の VPC ネットワーク(ネットワーク内のすべてのサブネット、VLAN アタッチメント、Cloud VPN トンネルを含む)
    • 特定のサブネット、VLAN アタッチメント、または Cloud VPN トンネル

リソースごとに複数の VPC Flow Logs 構成を追加できます。各構成で個別のフローログ セットが生成されます。リソースを複数の VPC フローログ構成に関連付け、そのスコープが重複している場合、ロギング情報に重複するログが含まれることがあります。詳細については、サポートされている構成をご覧ください。

ロギングに書き込まれる情報の量を変更することもできます。制御できるパラメータの詳細については、ログのサンプリングと処理をご覧ください。

サブネットの VPC Flow Logs を有効にする

サブネットで VPC Flow Logs を有効にすると、サブネット内のすべての VM に対してロギングが有効になります。

サブネットの VPC Flow Logs を有効にする(Network Management API)

このセクションでは、Network Management API を使用してサブネットの VPC フローログを有効にする方法について説明します。

コンソール

  1. Google Cloud コンソールで、[VPC ネットワーク] ページに移動します。

    [VPC ネットワーク] に移動

  2. [現在のプロジェクトのサブネット] タブでサブネットを 1 つ以上選択し、 [フローログを管理する] をクリックします。

  3. [フローログを管理する] で、[新しい構成を追加] をクリックします。

  4. [構成 - サブネット(プレビュー)] セクションで、[構成を追加] をクリックします。

  5. [名前] に、新しい VPC Flow Logs 構成の名前を入力します。

  6. 省略可: [集計間隔] と、[詳細設定] セクションのいずれかの設定を調整します。

    • ログのフィルタリングを構成するかどうか。デフォルトでは、[フィルタに一致するログのみ保持] は選択されていません。
    • 最終ログエントリにメタデータを含めるかどうか。デフォルトでは、[メタデータ アノテーション] にはすべてのフィールドが含まれます。
    • セカンダリ サンプリング レート100% では、プライマリ フローログのサンプリング プロセスによって生成されたすべてのエントリが保持されます。プライマリ フローログのサンプリング レートは構成できません。詳細については、ログのサンプリングと処理をご覧ください。

  7. [保存] をクリックします。

gcloud

サブネットの VPC Flow Logs を有効にするには、gcloud beta network-management vpc-flow-logs-configs create コマンドを使用します。

VPC フローログを有効にするには、VPC フローログの構成を作成します。すべてのパラメータをデフォルト値に設定して構成を作成することも、デフォルト値をカスタマイズすることもできます。

gcloud CLI で、プロジェクトをサブネットのプロジェクト ID に設定し、次のいずれかのコマンドを実行します。 Google Cloud

  • デフォルトの VPC Flow Logs 構成を作成するには、次のコマンドを実行します。

    gcloud beta network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --subnet=SUBNET

  • カスタム VPC Flow Logs 構成を作成するには、カスタマイズする各パラメータを指定します。

    たとえば、VPC Flow Logs 構成を作成するときに、集計間隔、フィルタリング、セカンダリ サンプリング レート、メタデータのパラメータをカスタマイズするには、次のコマンドを実行します。

    gcloud beta network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --subnet=SUBNET \
    --aggregation-interval=AGGREGATION_INTERVAL \
    --filter-expr=FILTER_EXPRESSION \
    --flow-sampling=SAMPLING_RATE \
    --metadata=LOGGING_METADATA

    次のように置き換えます。

    • CONFIG_NAME: 構成の名前。
    • SUBNET: ロギングするサブネット。projects/PROJECT_ID/regions/REGION/subnetworks/NAME の形式で指定する必要があります。ここで、
      • PROJECT_ID は、サブネットを含む Google Cloud プロジェクトの ID です。このプロジェクトで構成を作成する必要があります。
      • REGION は、サブネットのリージョンです。
      • NAME はサブネットの名前です。

    カスタム構成でオプション パラメータを設定するには、次のように置き換えます。

    • AGGREGATION_INTERVAL: この構成によって生成されるフローログの集計間隔。このパラメータは、interval-5-sec(デフォルト)、interval-30-secinterval-1-mininterval-5-mininterval-10-mininterval-15-min のいずれかに設定できます。
    • FILTER_EXPRESSION: 保持するログを定義する式です。式は 2,048 文字以内に制限されています。詳細については、ログのフィルタリングをご覧ください。
    • SAMPLING_RATE: セカンダリ フローのサンプリング レート。このパラメータは、0.0 より大きい値から 1.0(すべてのログ、デフォルト)の範囲で設定できます。詳細については、ログのサンプリングと処理をご覧ください。
    • LOGGING_METADATA: ログに含めるメタデータ アノテーション。
      • すべてのメタデータ アノテーションを含めるには、include-all-metadata を使用します(デフォルト)。
      • すべてのメタデータ アノテーションを除外するには、exclude-all-metadata を使用します。
      • メタデータ フィールドのカスタムリストを含めるには、custom-metadata を使用します。メタデータ フィールドを指定するには、--metadata-fields フラグを使用します。
        • --metadata-fields=METADATA_FIELDS: METADATA_FIELDS は、ログに含めるメタデータ フィールドのカンマ区切りのリストに置き換えます。たとえば、src_instance,dst_instance のようにします。metadatacustom-metadata に設定されている場合にのみ設定できます。

API

サブネットの VPC Flow Logs を有効にするには、projects.locations.vpcFlowLogsConfigs.create メソッドを使用します。

VPC フローログを有効にするには、VPC フローログの構成を作成します。すべてのパラメータをデフォルト値に設定して構成を作成することも、デフォルト値をカスタマイズすることもできます。

デフォルトの VPC Flow Logs 構成を作成するには、API リクエストに次のパラメータを含めます。

POST https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "subnet": "SUBNET"
}

カスタム VPC Flow Logs 構成を作成するには、カスタマイズする各パラメータを指定します。

たとえば、VPC Flow Logs 構成を作成するときに、集計間隔、フィルタリング、セカンダリ サンプリング レート、メタデータのパラメータをカスタマイズするには、API リクエストに次のパラメータを含めます。

POST https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "subnet": "SUBNET",
  "aggregationInterval": "AGGREGATION_INTERVAL",
  "filterExpr": "FILTER_EXPRESSION",
  "flowSampling": SAMPLING_RATE,
  "metadata": "LOGGING_METADATA"
}

次のように置き換えます。

  • PROJECT_ID: サブネットの Google Cloud プロジェクト ID。
  • CONFIG_NAME: 構成の名前。
  • SUBNET: ロギングするサブネット。projects/PROJECT_ID/regions/REGION/subnetworks/NAME の形式で指定する必要があります。ここで、
    • PROJECT_ID は、サブネットのプロジェクト ID です。
    • REGION は、サブネットのリージョンです。
    • NAME はサブネット名です。
カスタム構成でオプション パラメータを設定するには、次のように置き換えます。
  • AGGREGATION_INTERVAL: この構成によって生成されるフローログの集計間隔。このパラメータは、INTERVAL_5_SEC(デフォルト)、INTERVAL_30_SECINTERVAL_1_MININTERVAL_5_MININTERVAL_10_MININTERVAL_15_MIN のいずれかに設定できます。
  • FILTER_EXPRESSION: 保持するログを定義する式です。式は 2,048 文字以内に制限されています。詳細については、ログのフィルタリングをご覧ください。
  • SAMPLING_RATE: セカンダリ フローのサンプリング レート。このパラメータは、0.0 より大きい値から 1.0(すべてのログ、デフォルト)の範囲で設定できます。詳細については、ログのサンプリングと処理をご覧ください。
  • LOGGING_METADATA: ログに含めるメタデータ アノテーション。
    • すべてのメタデータ アノテーションを含めるには、INCLUDE_ALL_METADATA を使用します(デフォルト)。
    • すべてのメタデータ アノテーションを除外するには、EXCLUDE_ALL_METADATA を使用します。
    • メタデータ フィールドのカスタムリストを含めるには、CUSTOM_METADATA を使用します。メタデータ フィールドを指定するには、metadataFields パラメータを使用します。
      • metadataFields: METADATA_FIELDS: METADATA_FIELDS は、ログに含めるメタデータ フィールドのカンマ区切りリストに置き換えます。たとえば、src_instance,dst_instance のようにします。metadataCUSTOM_METADATA に設定されている場合にのみ設定できます。

サブネットの VPC Flow Logs を有効にする(Compute Engine API)

このセクションでは、Compute Engine API を使用してサブネットの VPC フローログを有効にする方法について説明します。VPC Flow Logs は、サブネットの作成時に有効にするか、既存のサブネットに対して有効にできます。

サブネットの作成時に VPC Flow Logs を有効にする

コンソール

  1. Google Cloud コンソールで、[VPC ネットワーク] ページに移動します。

    [VPC ネットワーク] に移動

  2. サブネットを追加するネットワークをクリックします。

  3. [サブネットを追加] をクリックします。

  4. [フローログ] で [オン] を選択します。

  5. 省略可: [集計間隔] と、[詳細設定] セクションの次のいずれかの設定を調整します。

    • ログのフィルタリングを構成するかどうか。デフォルトでは、[フィルタに一致するログのみ保持] は選択されていません。
    • 最終ログエントリにメタデータを含めるかどうか。デフォルトでは、[メタデータ アノテーション] にはすべてのフィールドが含まれます。
    • セカンダリ サンプリング レート50% では、プライマリ フローログのサンプリング プロセスによって生成されたエントリの半分が保持されます。プライマリ フローログのサンプリング レートは構成できません。詳細については、ログのサンプリングと処理をご覧ください。

  6. 必要に応じて他のフィールドに値を入力します。

  7. [追加] をクリックします。

gcloud

次のコマンドを実行します。

gcloud compute networks subnets create SUBNET_NAME \
    --enable-flow-logs \
    [--logging-aggregation-interval=AGGREGATION_INTERVAL] \
    [--logging-flow-sampling=SAMPLING_RATE] \
    [--logging-filter-expr=FILTER_EXPRESSION] \
    [--logging-metadata=LOGGING_METADATA] \
    [--logging-metadata-fields=METADATA_FIELDS] \
    [other flags as needed]

次のように置き換えます。

  • AGGREGATION_INTERVAL: サブネットのフローログの集計間隔。間隔は、5 秒(デフォルト)、30 秒、1 分、5 分、10 分、15 分のいずれかに設定できます。
  • SAMPLING_RATE: セカンダリ フローのサンプリング レート。セカンダリ フローのサンプリングは、0.0(サンプリングなし)から 1.0(すべてのログ)の範囲で設定できます。デフォルトは 0.5 です。詳細については、ログのサンプリングと処理をご覧ください。
  • FILTER_EXPRESSION: 保持するログを定義する式です。式は 2,048 文字以内に制限されています。詳細については、ログのフィルタリングをご覧ください。

  • LOGGING_METADATA: ログに含めるメタデータ アノテーション

    • すべてのメタデータ アノテーションを含める場合は、include-all を使用します。
    • すべてのメタデータ アノテーションを除外するには、exclude-all を使用します(デフォルト)。
    • METADATA_FIELDS で指定するメタデータ フィールドのカスタムリストを含める場合は、custom を使用します。

  • METADATA_FIELDS: ログに含めるメタデータ フィールドのカンマ区切りのリスト。たとえば、src_instance,dst_instance のようにします。LOGGING_METADATAcustom に設定されている場合にのみ設定できます。

API

新しいサブネットの作成時に VPC Flow Logs を有効にします。

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks
{
  "logConfig": {
    "aggregationInterval": "AGGREGATION_INTERVAL",
    "flowSampling": SAMPLING_RATE,
    "filterExpr": EXPRESSION,
    "metadata": METADATA_SETTING,
    "metadataFields": METADATA_FIELDS,
    "enable": true
  },
  "ipCidrRange": "IP_RANGE",
  "network": "NETWORK_URL",
  "name": "SUBNET_NAME"
}

次のように置き換えます。

  • PROJECT_ID: サブネットを作成するプロジェクトの ID。
  • REGION: サブネットが作成されるリージョン。
  • AGGREGATION_INTERVAL: サブネット内のフローログの集計間隔。間隔は、INTERVAL_5_SECINTERVAL_30_SECINTERVAL_1_MININTERVAL_5_MININTERVAL_10_MININTERVAL_15_MIN のいずれかに設定できます。
  • SAMPLING_RATE: フロー サンプリング レート。フロー サンプリングは、0.0(サンプリングなし)から1.0(すべてのログ)の範囲で設定できます。デフォルトは .0.5 です。
  • EXPRESSION: 実際に書き込まれるログをフィルタリングするために使用するフィルタ式。式は 2,048 文字以内に制限されています。詳細については、ログのフィルタリングをご覧ください。

  • METADATA_SETTING: ログに含めるメタデータ アノテーション

    • すべてのメタデータ アノテーションを含める場合は、INCLUDE_ALL_METADATA を使用します。
    • すべてのメタデータ アノテーションを除外するには、EXCLUDE_ALL_METADATA を使用します(デフォルト)。
    • METADATA_FIELDS で指定するメタデータ フィールドのカスタムリストを含める場合は、CUSTOM_METADATA を使用します。

  • METADATA_FIELDS: metadata: CUSTOM_METADATA を設定したときにキャプチャするメタデータ フィールド。これは、src_instance, src_vpc.project_id などのメタデータ フィールドのカンマ区切りのリストです。

  • IP_RANGE: サブネットのプライマリ内部 IP アドレスの範囲。

  • NETWORK_URL: サブネットが作成される VPC ネットワーク URL。

  • SUBNET_NAME: サブネットの名前。

詳細については、subnetworks.insert メソッドをご覧ください。

Terraform

Terraform モジュールを使用して、カスタムモードの VPC ネットワークとサブネットを作成できます。

次の例では、3 つのサブネットを作成します。

  • subnet-01 では VPC Flow Logs が無効になっています。サブネットの作成時、明示的に有効にしない限り、VPC Flow Logs は無効になります。
  • subnet-02 では、デフォルトのフローログ設定で VPC Flow Logs が有効になっています。
  • subnet-03 では、一部のカスタム設定で VPC Flow Logs が有効になっています。
module "test-vpc-module" {
  source       = "terraform-google-modules/network/google"
  version      = "~> 10.0"
  project_id   = var.project_id # Replace this with your project ID in quotes
  network_name = "my-custom-mode-network"
  mtu          = 1460

  subnets = [
    {
      subnet_name   = "subnet-01"
      subnet_ip     = "10.10.10.0/24"
      subnet_region = "us-west1"
    },
    {
      subnet_name           = "subnet-02"
      subnet_ip             = "10.10.20.0/24"
      subnet_region         = "us-west1"
      subnet_private_access = "true"
      subnet_flow_logs      = "true"
    },
    {
      subnet_name               = "subnet-03"
      subnet_ip                 = "10.10.30.0/24"
      subnet_region             = "us-west1"
      subnet_flow_logs          = "true"
      subnet_flow_logs_interval = "INTERVAL_10_MIN"
      subnet_flow_logs_sampling = 0.7
      subnet_flow_logs_metadata = "INCLUDE_ALL_METADATA"
      subnet_flow_logs_filter   = "false"
    }
  ]
}

Terraform 構成を適用または削除する方法については、基本的な Terraform コマンドをご覧ください。

既存のサブネットの VPC Flow Logs を有効にする

コンソール

  1. Google Cloud コンソールで、[VPC ネットワーク] ページに移動します。

    [VPC ネットワーク] に移動

  2. 更新するサブネットをクリックします。

  3. [編集] をクリックします。

  4. [フローログ] で [オン] を選択します。

  5. 省略可: [集計間隔] と、[詳細設定] セクションの次のいずれかの設定を調整します。

    • ログのフィルタリングを構成するかどうか。デフォルトでは、[フィルタに一致するログのみ保持] は選択されていません。
    • 最終ログエントリにメタデータを含めるかどうか。デフォルトでは、[メタデータ アノテーション] にはすべてのフィールドが含まれます。
    • セカンダリ サンプリング レート50% では、プライマリ フローログのサンプリング プロセスによって生成されたエントリの半分が保持されます。プライマリ フローログのサンプリング レートは構成できません。詳細については、ログのサンプリングと処理をご覧ください。

  6. [保存] をクリックします。

gcloud

次のコマンドを実行します。

gcloud compute networks subnets update SUBNET_NAME \
    --enable-flow-logs \
    [--logging-aggregation-interval=AGGREGATION_INTERVAL] \
    [--logging-flow-sampling=SAMPLING_RATE] \
    [--logging-filter-expr=FILTER_EXPRESSION] \
    [--logging-metadata=LOGGING_METADATA] \
    [--logging-metadata-fields=METADATA_FIELDS] \
    [other flags as needed]

次のように置き換えます。

  • AGGREGATION_INTERVAL: サブネットのフローログの集計間隔。間隔は、5 秒(デフォルト)、30 秒、1 分、5 分、10 分、15 分のいずれかに設定できます。
  • SAMPLING_RATE: セカンダリ フローのサンプリング レート。セカンダリ フローのサンプリングは、0.0(サンプリングなし)から 1.0(すべてのログ)の範囲で設定できます。デフォルトは 0.5 です。詳細については、ログのサンプリングと処理をご覧ください。
  • FILTER_EXPRESSION: 保持するログを定義する式です。式は 2,048 文字以内に制限されています。詳細については、ログのフィルタリングをご覧ください。

  • LOGGING_METADATA: ログに含めるメタデータ アノテーション

    • すべてのメタデータ アノテーションを含める場合は、include-all を使用します。
    • すべてのメタデータ アノテーションを除外するには、exclude-all を使用します(デフォルト)。
    • METADATA_FIELDS で指定するメタデータ フィールドのカスタムリストを含める場合は、custom を使用します。

  • METADATA_FIELDS: ログに含めるメタデータ フィールドのカンマ区切りのリスト。たとえば、src_instance,dst_instance のようにします。LOGGING_METADATAcustom に設定されている場合にのみ設定できます。

API

既存のサブネットの VPC Flow Logs を有効にします。

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    "enable": true
    ...other logging fields.
  },
  "fingerprint": "SUBNET_FINGERPRINT"
}

次のように置き換えます。

詳細については、subnetworks.patch メソッドをご覧ください。

VLAN アタッチメントの VPC Flow Logs を有効にする

コンソール

  1. Google Cloud コンソールで、[相互接続] ページに移動します。

    [相互接続] に移動

  2. [VLAN アタッチメント] タブで VLAN アタッチメントを 1 つ以上選択し、リストの上部にある選択バーの [フローログを管理する] をクリックします。

  3. [フローログを管理する] で、[新しい構成を追加] をクリックします。

  4. [名前] に、新しい VPC Flow Logs 構成の名前を入力します。

  5. 省略可: [集計間隔] と、[詳細設定] セクションのいずれかの設定を調整します。

    • ログのフィルタリングを構成するかどうか。デフォルトでは、[フィルタに一致するログのみ保持] は選択されていません。
    • 最終ログエントリにメタデータを含めるかどうか。デフォルトでは、[メタデータ アノテーション] にはすべてのフィールドが含まれます。
    • セカンダリ サンプリング レート100% では、プライマリ フローログのサンプリング プロセスによって生成されたすべてのエントリが保持されます。プライマリ フローログのサンプリング レートは構成できません。詳細については、ログのサンプリングと処理をご覧ください。

  6. [保存] をクリックします。

gcloud

VLAN アタッチメントの VPC Flow Logs を有効にするには、gcloud network-management vpc-flow-logs-configs create コマンドを使用します。

VPC フローログを有効にするには、VPC フローログの構成を作成します。すべてのパラメータをデフォルト値に設定して構成を作成することも、デフォルト値をカスタマイズすることもできます。

gcloud CLI で、プロジェクトを VLAN アタッチメントのGoogle Cloud プロジェクト ID に設定し、次のいずれかのコマンドを実行します。

  • デフォルトの VPC Flow Logs 構成を作成するには、次のコマンドを実行します。

    gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --interconnect-attachment=VLAN_ATTACHMENT

  • カスタム VPC Flow Logs 構成を作成するには、カスタマイズする各パラメータを指定します。

    たとえば、VPC Flow Logs 構成を作成するときに、集計間隔、フィルタリング、セカンダリ サンプリング レート、メタデータのパラメータをカスタマイズするには、次のコマンドを実行します。

    gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --interconnect-attachment=VLAN_ATTACHMENT \
    --aggregation-interval=AGGREGATION_INTERVAL \
    --filter-expr=FILTER_EXPRESSION \
    --flow-sampling=SAMPLING_RATE \
    --metadata=LOGGING_METADATA

    次のように置き換えます。

    • CONFIG_NAME: 構成の名前。
    • VLAN_ATTACHMENT: ロギングする VLAN アタッチメント。projects/PROJECT_ID/regions/REGION/interconnectAttachments/NAME の形式で指定する必要があります。ここで、
      • PROJECT_ID は、VLAN アタッチメントを含む Google Cloud プロジェクトの ID です。この構成はこのプロジェクトで作成する必要があります。
      • REGION は VLAN アタッチメントのリージョンです。
      • NAME は、VLAN アタッチメントの名前です。

    カスタム構成でオプション パラメータを設定するには、次のように置き換えます。

    • AGGREGATION_INTERVAL: この構成によって生成されるフローログの集計間隔。このパラメータは、interval-5-sec(デフォルト)、interval-30-secinterval-1-mininterval-5-mininterval-10-mininterval-15-min のいずれかに設定できます。
    • FILTER_EXPRESSION: 保持するログを定義する式です。式は 2,048 文字以内に制限されています。詳細については、ログのフィルタリングをご覧ください。
    • SAMPLING_RATE: セカンダリ フローのサンプリング レート。このパラメータは、0.0 より大きい値から 1.0(すべてのログ、デフォルト)の範囲で設定できます。詳細については、ログのサンプリングと処理をご覧ください。
    • LOGGING_METADATA: ログに含めるメタデータ アノテーション。
      • すべてのメタデータ アノテーションを含めるには、include-all-metadata を使用します(デフォルト)。
      • すべてのメタデータ アノテーションを除外するには、exclude-all-metadata を使用します。
      • メタデータ フィールドのカスタムリストを含めるには、custom-metadata を使用します。メタデータ フィールドを指定するには、--metadata-fields フラグを使用します。
        • --metadata-fields=METADATA_FIELDS: METADATA_FIELDS は、ログに含めるメタデータ フィールドのカンマ区切りのリストに置き換えます。たとえば、src_instance,dst_instance のようにします。metadatacustom-metadata に設定されている場合にのみ設定できます。

Terraform

Terraform モジュールを使用して、VLAN アタッチメントの VPC Flow Logs 構成を作成できます。

次のコードブロックは、デフォルトの VPC Flow Logs 構成を作成します。

resource "google_network_management_vpc_flow_logs_config" "vpc_flow_logs_config" {
  vpc_flow_logs_config_id = "vpcflowlogs-config"
  location                = "global"
  interconnect_attachment = google_compute_interconnect_attachment.attachment.id
}

上記の例では、google_compute_interconnect_attachment リソースの名前が attachment であることを前提としています。この構成の完全な例については、terraform-docs-samples リポジトリをご覧ください。

次のコードブロックは、次の VPC Flow Logs 構成を作成します。

  • 集計間隔は INTERVAL_10_MIN に設定されています。
  • セカンダリ フローのサンプリング レートは 0.7 に設定されています。
  • ログに含めるメタデータは INCLUDE_ALL_METADATA に設定されています。
  • 構成の状態が ENABLED に設定されています。
resource "google_network_management_vpc_flow_logs_config" "vpc_flow_logs_config" {
  vpc_flow_logs_config_id = "vpcflowlogs-config"
  location                = "global"
  interconnect_attachment = google_compute_interconnect_attachment.attachment.id
  aggregation_interval    = "INTERVAL_10_MIN"
  description             = "VPC Flow Logs over an Interconnect Attachment."
  flow_sampling           = 0.7
  metadata                = "INCLUDE_ALL_METADATA"
  state                   = "ENABLED"
}

上記の例では、google_compute_interconnect_attachment リソースの名前が attachment であることを前提としています。この構成の完全な例については、terraform-docs-samples リポジトリをご覧ください。

Terraform 構成を適用または削除する方法については、基本的な Terraform コマンドをご覧ください。

API

VLAN アタッチメントの VPC Flow Logs を有効にするには、projects.locations.vpcFlowLogsConfigs.create メソッドを使用します。

VPC フローログを有効にするには、VPC フローログの構成を作成します。すべてのパラメータをデフォルト値に設定して構成を作成することも、デフォルト値をカスタマイズすることもできます。

デフォルトの VPC Flow Logs 構成を作成するには、API リクエストに次のパラメータを含めます。

POST https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "interconnectAttachment": "VLAN_ATTACHMENT"
}

カスタム VPC Flow Logs 構成を作成するには、カスタマイズする各パラメータを指定します。

たとえば、VPC Flow Logs 構成を作成するときに、集計間隔、フィルタリング、セカンダリ サンプリング レート、メタデータのパラメータをカスタマイズするには、API リクエストに次のパラメータを含めます。

POST https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "interconnectAttachment": "VLAN_ATTACHMENT",
  "aggregationInterval": "AGGREGATION_INTERVAL",
  "filterExpr": "FILTER_EXPRESSION",
  "flowSampling": SAMPLING_RATE,
  "metadata": "LOGGING_METADATA"
}

次のように置き換えます。

  • PROJECT_ID: VLAN アタッチメントのプロジェクト ID。 Google Cloud
  • CONFIG_NAME: 構成の名前。
  • VLAN_ATTACHMENT: ロギングする VLAN アタッチメント。projects/PROJECT_ID/regions/REGION/interconnectAttachments/NAME の形式で指定する必要があります。ここで、
    • PROJECT_ID は、VLAN アタッチメントのプロジェクト ID です。
    • REGION は VLAN アタッチメントのリージョンです。
    • NAME は、VLAN アタッチメントの名前です。
カスタム構成でオプション パラメータを設定するには、次のように置き換えます。
  • AGGREGATION_INTERVAL: この構成によって生成されるフローログの集計間隔。このパラメータは、INTERVAL_5_SEC(デフォルト)、INTERVAL_30_SECINTERVAL_1_MININTERVAL_5_MININTERVAL_10_MININTERVAL_15_MIN のいずれかに設定できます。
  • FILTER_EXPRESSION: 保持するログを定義する式です。式は 2,048 文字以内に制限されています。詳細については、ログのフィルタリングをご覧ください。
  • SAMPLING_RATE: セカンダリ フローのサンプリング レート。このパラメータは、0.0 より大きい値から 1.0(すべてのログ、デフォルト)の範囲で設定できます。詳細については、ログのサンプリングと処理をご覧ください。
  • LOGGING_METADATA: ログに含めるメタデータ アノテーション。
    • すべてのメタデータ アノテーションを含めるには、INCLUDE_ALL_METADATA を使用します(デフォルト)。
    • すべてのメタデータ アノテーションを除外するには、EXCLUDE_ALL_METADATA を使用します。
    • メタデータ フィールドのカスタムリストを含めるには、CUSTOM_METADATA を使用します。メタデータ フィールドを指定するには、metadataFields パラメータを使用します。
      • metadataFields: METADATA_FIELDS: METADATA_FIELDS は、ログに含めるメタデータ フィールドのカンマ区切りリストに置き換えます。たとえば、src_instance,dst_instance のようにします。metadataCUSTOM_METADATA に設定されている場合にのみ設定できます。

Cloud VPN トンネルの VPC Flow Logs を有効にする

コンソール

  1. Google Cloud コンソールで、[VPN] ページに移動します。

    [VPN] に移動

  2. [ClOUD VPN トンネル] タブで Cloud VPN トンネルを 1 つ以上選択し、リストの上部にある選択バーの [フローログを管理する] をクリックします。

  3. [フローログを管理する] で、[新しい構成を追加] をクリックします。

  4. [名前] に、新しい VPC Flow Logs 構成の名前を入力します。

  5. 省略可: [集計間隔] と、[詳細設定] セクションのいずれかの設定を調整します。

    • ログのフィルタリングを構成するかどうか。デフォルトでは、[フィルタに一致するログのみ保持] は選択されていません。
    • 最終ログエントリにメタデータを含めるかどうか。デフォルトでは、[メタデータ アノテーション] にはすべてのフィールドが含まれます。
    • セカンダリ サンプリング レート100% では、プライマリ フローログのサンプリング プロセスによって生成されたすべてのエントリが保持されます。プライマリ フローログのサンプリング レートは構成できません。詳細については、ログのサンプリングと処理をご覧ください。

  6. [保存] をクリックします。

gcloud

Cloud VPN トンネルの VPC Flow Logs を有効にするには、gcloud network-management vpc-flow-logs-configs create コマンドを使用します。

VPC フローログを有効にするには、VPC フローログの構成を作成します。すべてのパラメータをデフォルト値に設定して構成を作成することも、デフォルト値をカスタマイズすることもできます。

gcloud CLI で、プロジェクトを Cloud VPN トンネルのGoogle Cloud プロジェクト ID に設定し、次のいずれかのコマンドを実行します。

  • デフォルトの VPC Flow Logs 構成を作成するには、次のコマンドを実行します。

    gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --vpn-tunnel=VPN_TUNNEL

  • カスタム VPC Flow Logs 構成を作成するには、カスタマイズする各パラメータを指定します。

    たとえば、VPC Flow Logs 構成を作成するときに、集計間隔、フィルタリング、セカンダリ サンプリング レート、メタデータのパラメータをカスタマイズするには、次のコマンドを実行します。

    gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --vpn-tunnel=VPN_TUNNEL \
    --aggregation-interval=AGGREGATION_INTERVAL \
    --filter-expr=FILTER_EXPRESSION \
    --flow-sampling=SAMPLING_RATE \
    --metadata=LOGGING_METADATA

    次のように置き換えます。

    • CONFIG_NAME: 構成の名前。
    • VPN_TUNNEL: ロギングする Cloud VPN トンネル。projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME の形式で指定する必要があります。ここで、
      • PROJECT_ID は、Cloud VPN トンネルを含む Google Cloud プロジェクトの ID です。このプロジェクトで構成を作成する必要があります。
      • REGION は Cloud VPN トンネルのリージョンです。
      • NAME は Cloud VPN トンネルの名前です。

    カスタム構成でオプション パラメータを設定するには、次のように置き換えます。

    • AGGREGATION_INTERVAL: この構成によって生成されるフローログの集計間隔。このパラメータは、interval-5-sec(デフォルト)、interval-30-secinterval-1-mininterval-5-mininterval-10-mininterval-15-min のいずれかに設定できます。
    • FILTER_EXPRESSION: 保持するログを定義する式です。式は 2,048 文字以内に制限されています。詳細については、ログのフィルタリングをご覧ください。
    • SAMPLING_RATE: セカンダリ フローのサンプリング レート。このパラメータは、0.0 より大きい値から 1.0(すべてのログ、デフォルト)の範囲で設定できます。詳細については、ログのサンプリングと処理をご覧ください。
    • LOGGING_METADATA: ログに含めるメタデータ アノテーション。
      • すべてのメタデータ アノテーションを含めるには、include-all-metadata を使用します(デフォルト)。
      • すべてのメタデータ アノテーションを除外するには、exclude-all-metadata を使用します。
      • メタデータ フィールドのカスタムリストを含めるには、custom-metadata を使用します。メタデータ フィールドを指定するには、--metadata-fields フラグを使用します。
        • --metadata-fields=METADATA_FIELDS: METADATA_FIELDS は、ログに含めるメタデータ フィールドのカンマ区切りのリストに置き換えます。たとえば、src_instance,dst_instance のようにします。metadatacustom-metadata に設定されている場合にのみ設定できます。

Terraform

Terraform モジュールを使用して、Cloud VPN トンネルの VPC Flow Logs 構成を作成できます。

次のコードブロックは、デフォルトの VPC Flow Logs 構成を作成します。

resource "google_network_management_vpc_flow_logs_config" "vpc_flow_logs_config" {
  vpc_flow_logs_config_id = "vpcflowlogs-config"
  location                = "global"
  vpn_tunnel              = google_compute_vpn_tunnel.tunnel.id
}

上記の例では、google_compute_vpn_tunnel リソースの名前が tunnel であることを前提としています。この構成の完全な例については、terraform-docs-samples リポジトリをご覧ください。

次のコードブロックは、次の VPC Flow Logs 構成を作成します。

  • 集計間隔は INTERVAL_10_MIN に設定されています。
  • セカンダリ フローのサンプリング レートは 0.7 に設定されています。
  • ログに含めるメタデータは INCLUDE_ALL_METADATA に設定されています。
  • 構成の状態が ENABLED に設定されています。
resource "google_network_management_vpc_flow_logs_config" "vpc_flow_logs_config" {
  vpc_flow_logs_config_id = "vpcflowlogs-config"
  location                = "global"
  vpn_tunnel              = google_compute_vpn_tunnel.tunnel.id
  aggregation_interval    = "INTERVAL_10_MIN"
  description             = "VPC Flow Logs over a VPN Gateway."
  flow_sampling           = 0.7
  metadata                = "INCLUDE_ALL_METADATA"
  state                   = "ENABLED"
}

上記の例では、google_compute_vpn_tunnel リソースの名前が tunnel であることを前提としています。この構成の完全な例については、terraform-docs-samples リポジトリをご覧ください。

Terraform 構成を適用または削除する方法については、基本的な Terraform コマンドをご覧ください。

API

Cloud VPN トンネルで VPC Flow Logs を有効にするには、projects.locations.vpcFlowLogsConfigs.create メソッドを使用します。

VPC フローログを有効にするには、VPC フローログの構成を作成します。すべてのパラメータをデフォルト値に設定して構成を作成することも、デフォルト値をカスタマイズすることもできます。

デフォルトの VPC Flow Logs 構成を作成するには、API リクエストに次のパラメータを含めます。

POST https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "vpnTunnel": "VPN_TUNNEL"
}

カスタム VPC Flow Logs 構成を作成するには、カスタマイズする各パラメータを指定します。

たとえば、VPC Flow Logs 構成を作成するときに、集計間隔、フィルタリング、セカンダリ サンプリング レート、メタデータのパラメータをカスタマイズするには、API リクエストに次のパラメータを含めます。

POST https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "vpnTunnel": "VPN_TUNNEL",
  "aggregationInterval": "AGGREGATION_INTERVAL",
  "filterExpr": "FILTER_EXPRESSION",
  "flowSampling": SAMPLING_RATE,
  "metadata": "LOGGING_METADATA"
}

次のように置き換えます。

  • PROJECT_ID: Cloud VPN トンネルのプロジェクト ID。 Google Cloud
  • CONFIG_NAME: 構成の名前。
  • VPN_TUNNEL: ロギングする Cloud VPN トンネル。projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME の形式で指定する必要があります。ここで、
    • PROJECT_ID は、Cloud VPN トンネルのプロジェクト ID です。
    • REGION は Cloud VPN トンネルのリージョンです。
    • NAME は Cloud VPN トンネルの名前です。
カスタム構成でオプション パラメータを設定するには、次のように置き換えます。
  • AGGREGATION_INTERVAL: この構成によって生成されるフローログの集計間隔。このパラメータは、INTERVAL_5_SEC(デフォルト)、INTERVAL_30_SECINTERVAL_1_MININTERVAL_5_MININTERVAL_10_MININTERVAL_15_MIN のいずれかに設定できます。
  • FILTER_EXPRESSION: 保持するログを定義する式です。式は 2,048 文字以内に制限されています。詳細については、ログのフィルタリングをご覧ください。
  • SAMPLING_RATE: セカンダリ フローのサンプリング レート。このパラメータは、0.0 より大きい値から 1.0(すべてのログ、デフォルト)の範囲で設定できます。詳細については、ログのサンプリングと処理をご覧ください。
  • LOGGING_METADATA: ログに含めるメタデータ アノテーション。
    • すべてのメタデータ アノテーションを含めるには、INCLUDE_ALL_METADATA を使用します(デフォルト)。
    • すべてのメタデータ アノテーションを除外するには、EXCLUDE_ALL_METADATA を使用します。
    • メタデータ フィールドのカスタムリストを含めるには、CUSTOM_METADATA を使用します。メタデータ フィールドを指定するには、metadataFields パラメータを使用します。
      • metadataFields: METADATA_FIELDS: METADATA_FIELDS は、ログに含めるメタデータ フィールドのカンマ区切りリストに置き換えます。たとえば、src_instance,dst_instance のようにします。metadataCUSTOM_METADATA に設定されている場合にのみ設定できます。

VPC ネットワークの VPC Flow Logs を有効にする

VPC ネットワーク内のすべてのサブネット、VLAN アタッチメント、Cloud VPN トンネルで VPC Flow Logs を有効にするには、次の操作を行います。

コンソール

  1. Google Cloud コンソールで、[VPC ネットワーク] ページに移動します。

    [VPC ネットワーク] に移動

  2. [現在のプロジェクト内のネットワーク] タブでネットワークを 1 つ以上選択し、リストの上部にある [フローログを管理する] をクリックします。

  3. [フローログを管理する] で、[新しい構成を追加] をクリックします。

  4. [名前] に、新しい VPC Flow Logs 構成の名前を入力します。

  5. 省略可: [集計間隔] と、[詳細設定] セクションのいずれかの設定を調整します。

    • ログのフィルタリングを構成するかどうか。デフォルトでは、[フィルタに一致するログのみ保持] は選択されていません。
    • 最終ログエントリにメタデータを含めるかどうか。デフォルトでは、[メタデータ アノテーション] にはすべてのフィールドが含まれます。
    • セカンダリ サンプリング レート100% では、プライマリ フローログのサンプリング プロセスによって生成されたすべてのエントリが保持されます。プライマリ フローログのサンプリング レートは構成できません。詳細については、ログのサンプリングと処理をご覧ください。

  6. [保存] をクリックします。

gcloud

VPC ネットワークで VPC Flow Logs を有効にするには、gcloud beta network-management vpc-flow-logs-configs create コマンドを使用します。

VPC フローログを有効にするには、VPC フローログの構成を作成します。すべてのパラメータをデフォルト値に設定して構成を作成することも、デフォルト値をカスタマイズすることもできます。

gcloud CLI で、プロジェクトを VPC ネットワークのGoogle Cloud プロジェクト ID に設定し、次のいずれかのコマンドを実行します。

  • デフォルトの VPC Flow Logs 構成を作成するには、次のコマンドを実行します。

    gcloud beta network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --network=NETWORK

  • カスタム VPC Flow Logs 構成を作成するには、カスタマイズする各パラメータを指定します。

    たとえば、VPC Flow Logs 構成を作成するときに、集計間隔、フィルタリング、セカンダリ サンプリング レート、メタデータのパラメータをカスタマイズするには、次のコマンドを実行します。

    gcloud beta network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --network=NETWORK \
    --aggregation-interval=AGGREGATION_INTERVAL \
    --filter-expr=FILTER_EXPRESSION \
    --flow-sampling=SAMPLING_RATE \
    --metadata=LOGGING_METADATA

    次のように置き換えます。

    • CONFIG_NAME: 構成の名前。
    • NETWORK: ロギングする VPC ネットワーク。projects/PROJECT_ID/global/networks/NAME の形式で指定する必要があります。ここで、
      • PROJECT_ID は、VPC ネットワークを含む Google Cloud プロジェクトの ID です。このプロジェクトで構成を作成する必要があります。
      • NAME は VPC ネットワークの名前です。

    カスタム構成でオプション パラメータを設定するには、次のように置き換えます。

    • AGGREGATION_INTERVAL: この構成によって生成されるフローログの集計間隔。このパラメータは、interval-5-sec(デフォルト)、interval-30-secinterval-1-mininterval-5-mininterval-10-mininterval-15-min のいずれかに設定できます。
    • FILTER_EXPRESSION: 保持するログを定義する式です。式は 2,048 文字以内に制限されています。詳細については、ログのフィルタリングをご覧ください。
    • SAMPLING_RATE: セカンダリ フローのサンプリング レート。このパラメータは、0.0 より大きい値から 1.0(すべてのログ、デフォルト)の範囲で設定できます。詳細については、ログのサンプリングと処理をご覧ください。
    • LOGGING_METADATA: ログに含めるメタデータ アノテーション。
      • すべてのメタデータ アノテーションを含めるには、include-all-metadata を使用します(デフォルト)。
      • すべてのメタデータ アノテーションを除外するには、exclude-all-metadata を使用します。
      • メタデータ フィールドのカスタムリストを含めるには、custom-metadata を使用します。メタデータ フィールドを指定するには、--metadata-fields フラグを使用します。
        • --metadata-fields=METADATA_FIELDS: METADATA_FIELDS は、ログに含めるメタデータ フィールドのカンマ区切りのリストに置き換えます。たとえば、src_instance,dst_instance のようにします。metadatacustom-metadata に設定されている場合にのみ設定できます。

API

VPC ネットワークの VPC フローログを有効にするには、projects.locations.vpcFlowLogsConfigs.create メソッドを使用します。

VPC フローログを有効にするには、VPC フローログの構成を作成します。すべてのパラメータをデフォルト値に設定して構成を作成することも、デフォルト値をカスタマイズすることもできます。

デフォルトの VPC Flow Logs 構成を作成するには、API リクエストに次のパラメータを含めます。

POST https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "network": "NETWORK"
}

カスタム VPC Flow Logs 構成を作成するには、カスタマイズする各パラメータを指定します。

たとえば、VPC Flow Logs 構成を作成するときに、集計間隔、フィルタリング、セカンダリ サンプリング レート、メタデータのパラメータをカスタマイズするには、API リクエストに次のパラメータを含めます。

POST https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "network": "NETWORK",
  "aggregationInterval": "AGGREGATION_INTERVAL",
  "filterExpr": "FILTER_EXPRESSION",
  "flowSampling": SAMPLING_RATE,
  "metadata": "LOGGING_METADATA"
}

次のように置き換えます。

  • PROJECT_ID: VPC ネットワークのプロジェクト ID。 Google Cloud
  • CONFIG_NAME: 構成の名前。
  • NETWORK: ロギングする VPC ネットワーク。projects/PROJECT_ID/global/networks/NAME の形式で指定する必要があります。ここで、
    • PROJECT_ID は VPC ネットワークのプロジェクト ID です。
    • NAME は VPC ネットワークの名前です。
カスタム構成でオプション パラメータを設定するには、次のように置き換えます。
  • AGGREGATION_INTERVAL: この構成によって生成されるフローログの集計間隔。このパラメータは、INTERVAL_5_SEC(デフォルト)、INTERVAL_30_SECINTERVAL_1_MININTERVAL_5_MININTERVAL_10_MININTERVAL_15_MIN のいずれかに設定できます。
  • FILTER_EXPRESSION: 保持するログを定義する式です。式は 2,048 文字以内に制限されています。詳細については、ログのフィルタリングをご覧ください。
  • SAMPLING_RATE: セカンダリ フローのサンプリング レート。このパラメータは、0.0 より大きい値から 1.0(すべてのログ、デフォルト)の範囲で設定できます。詳細については、ログのサンプリングと処理をご覧ください。
  • LOGGING_METADATA: ログに含めるメタデータ アノテーション。
    • すべてのメタデータ アノテーションを含めるには、INCLUDE_ALL_METADATA を使用します(デフォルト)。
    • すべてのメタデータ アノテーションを除外するには、EXCLUDE_ALL_METADATA を使用します。
    • メタデータ フィールドのカスタムリストを含めるには、CUSTOM_METADATA を使用します。メタデータ フィールドを指定するには、metadataFields パラメータを使用します。
      • metadataFields: METADATA_FIELDS: METADATA_FIELDS は、ログに含めるメタデータ フィールドのカンマ区切りリストに置き換えます。たとえば、src_instance,dst_instance のようにします。metadataCUSTOM_METADATA に設定されている場合にのみ設定できます。

組織の VPC Flow Logs を有効にする

組織内のすべての VPC ネットワーク内のすべてのサブネット、VLAN アタッチメント、Cloud VPN トンネルで VPC Flow Logs を有効にするには、次の操作を行います。

コンソール

  1. Google Cloud コンソールで、[VPC Flow Logs] ページに移動します。

    [VPC Flow Logs] に移動

  2. [VPC Flow Logs の構成を追加]、[組織の構成を追加] の順にクリックします。

  3. [名前] に、新しい VPC Flow Logs 構成の名前を入力します。

  4. 省略可: [集計間隔] と、[詳細設定] セクションのいずれかの設定を調整します。

    • ログのフィルタリングを構成するかどうか。デフォルトでは、[フィルタに一致するログのみ保持] は選択されていません。
    • プロジェクト間のアノテーションを含めるかどうか。デフォルトでは、[プロジェクト間のメタデータ アノテーション] が選択されています。詳細については、プロジェクト間のアノテーションをご覧ください。
    • 最終ログエントリにメタデータを含めるかどうか。デフォルトでは、[メタデータ アノテーション] にはすべてのフィールドが含まれます。
    • セカンダリ サンプリング レート100% では、プライマリ フローログのサンプリング プロセスによって生成されたすべてのエントリが保持されます。プライマリ フローログのサンプリング レートは構成できません。詳細については、ログのサンプリングと処理をご覧ください。

  5. [保存] をクリックします。

gcloud

組織で VPC Flow Logs を有効にするには、gcloud beta network-management vpc-flow-logs-configs create コマンドを使用します。

VPC フローログを有効にするには、VPC フローログの構成を作成します。すべてのパラメータをデフォルト値に設定して構成を作成することも、デフォルト値をカスタマイズすることもできます。

  • デフォルトの VPC Flow Logs 構成を作成するには、次のコマンドを実行します。

    gcloud beta network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --organization=ORGANIZATION

  • カスタム VPC Flow Logs 構成を作成するには、カスタマイズする各パラメータを指定します。

    たとえば、VPC Flow Logs 構成を作成するときに、集計間隔、フィルタリング、セカンダリ サンプリング レート、メタデータのパラメータをカスタマイズするには、次のコマンドを実行します。

    gcloud beta network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --organization=ORGANIZATION \
    --aggregation-interval=AGGREGATION_INTERVAL \
    --filter-expr=FILTER_EXPRESSION \
    --flow-sampling=SAMPLING_RATE \
    --metadata=LOGGING_METADATA \
    --cross-project-metadata=CROSS_PROJECT_METADATA

    次のように置き換えます。

    • CONFIG_NAME: 構成の名前
    • ORGANIZATION: 組織の ID

    カスタム構成でオプション パラメータを設定するには、次のように置き換えます。

    • AGGREGATION_INTERVAL: この構成によって生成されるフローログの集計間隔。このパラメータは、interval-5-sec(デフォルト)、interval-30-secinterval-1-mininterval-5-mininterval-10-mininterval-15-min のいずれかに設定できます。
    • FILTER_EXPRESSION: 保持するログを定義する式です。式は 2,048 文字以内に制限されています。詳細については、ログのフィルタリングをご覧ください。
    • SAMPLING_RATE: セカンダリ フローのサンプリング レート。このパラメータは、0.0 より大きい値から 1.0(すべてのログ、デフォルト)の範囲で設定できます。詳細については、ログのサンプリングと処理をご覧ください。
    • LOGGING_METADATA: ログに含めるメタデータ アノテーション。
      • すべてのメタデータ アノテーションを含めるには、include-all-metadata を使用します(デフォルト)。
      • すべてのメタデータ アノテーションを除外するには、exclude-all-metadata を使用します。
      • メタデータ フィールドのカスタムリストを含めるには、custom-metadata を使用します。メタデータ フィールドを指定するには、--metadata-fields フラグを使用します。
        • --metadata-fields=METADATA_FIELDS: METADATA_FIELDS は、ログに含めるメタデータ フィールドのカンマ区切りのリストに置き換えます。たとえば、src_instance,dst_instance のようにします。metadatacustom-metadata に設定されている場合にのみ設定できます。
    • CROSS_PROJECT_METADATA: プロジェクト間のアノテーション。cross-project-metadata-enabled(デフォルト)または cross-project-metadata-disabled に設定できます。詳細については、プロジェクト間のアノテーションをご覧ください。

API

組織で VPC Flow Logs を有効にするには、organizations.locations.vpcFlowLogsConfigs.create メソッドを使用します。

VPC フローログを有効にするには、VPC フローログの構成を作成します。すべてのパラメータをデフォルト値に設定して構成を作成することも、デフォルト値をカスタマイズすることもできます。

デフォルトの VPC Flow Logs 構成を作成するには、API リクエストに次のパラメータを含めます。

POST -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1beta1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME

カスタム VPC Flow Logs 構成を作成するには、カスタマイズする各パラメータを指定します。

たとえば、VPC Flow Logs 構成を作成するときに、集計間隔、フィルタリング、セカンダリ サンプリング レート、メタデータのパラメータをカスタマイズするには、API リクエストに次のパラメータを含めます。

POST -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1beta1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "aggregationInterval": "AGGREGATION_INTERVAL",
  "filterExpr": "FILTER_EXPRESSION",
  "flowSampling": SAMPLING_RATE,
  "metadata": "LOGGING_METADATA",
  "crossProjectMetadata": "CROSS_PROJECT_METADATA"
}

次のように置き換えます。

  • PROJECT_ID: 割り当てプロジェクトの ID。API リクエストはこのプロジェクトに対してカウントされます。Network Management API の割り当て値は、プロジェクト レベルと組織レベルの両方の割り当てで 1 分あたり 1,200 リクエストに設定されています。
  • ORGANIZATION_ID: 組織の ID。
  • CONFIG_NAME: 構成の名前。
カスタム構成でオプション パラメータを設定するには、次のように置き換えます。
  • AGGREGATION_INTERVAL: この構成によって生成されるフローログの集計間隔。このパラメータは、INTERVAL_5_SEC(デフォルト)、INTERVAL_30_SECINTERVAL_1_MININTERVAL_5_MININTERVAL_10_MININTERVAL_15_MIN のいずれかに設定できます。
  • FILTER_EXPRESSION: 保持するログを定義する式です。式は 2,048 文字以内に制限されています。詳細については、ログのフィルタリングをご覧ください。
  • SAMPLING_RATE: セカンダリ フローのサンプリング レート。このパラメータは、0.0 より大きい値から 1.0(すべてのログ、デフォルト)の範囲で設定できます。詳細については、ログのサンプリングと処理をご覧ください。
  • LOGGING_METADATA: ログに含めるメタデータ アノテーション。
    • すべてのメタデータ アノテーションを含めるには、INCLUDE_ALL_METADATA を使用します(デフォルト)。
    • すべてのメタデータ アノテーションを除外するには、EXCLUDE_ALL_METADATA を使用します。
    • メタデータ フィールドのカスタムリストを含めるには、CUSTOM_METADATA を使用します。メタデータ フィールドを指定するには、metadataFields パラメータを使用します。
      • metadataFields: METADATA_FIELDS: METADATA_FIELDS は、ログに含めるメタデータ フィールドのカンマ区切りリストに置き換えます。たとえば、src_instance,dst_instance のようにします。metadataCUSTOM_METADATA に設定されている場合にのみ設定できます。
  • CROSS_PROJECT_METADATA: プロジェクト間のアノテーション。CROSS_PROJECT_METADATA_ENABLED(デフォルト)または CROSS_PROJECT_METADATA_DISABLED に設定できます。詳細については、プロジェクト間のアノテーションをご覧ください。

組織で VPC Flow Logs が有効になっている場合、フローログは書き込まれ、フローログを報告するリソースのプロジェクトに課金されます。 Google Cloud 詳細については、料金と請求をご覧ください。

VPC Flow Logs 構成のステータスを表示する

VPC Flow Logs 構成を表示すると、VPC Flow Logs が有効になっているリソースを確認できます。

VPC Flow Logs 構成を表示する

コンソール

すべての VPC Flow Logs 構成を表示するには、次の操作を行います。

  1. Google Cloud コンソールで、[VPC Flow Logs] ページに移動します。

    [VPC Flow Logs] に移動

  2. [組織レベルの構成] セクションと [プロジェクト レベルの構成] セクションで、アクティブな構成と一時停止中の構成を確認します。リソースの VPC Flow Logs 構成のステータスが [オン] の場合、ロギングがオンになっています。

VPC Flow Logs の構成は、リソースページの [フローログ構成] 列でも確認できます。たとえば、VPC Flow Logs の構成が適用されている VPC ネットワークとサブネットを表示するには、次のコマンドを使用します。

  1. [VPC ネットワーク] ページに移動します。

    [VPC ネットワーク] に移動

  2. [現在のプロジェクト内のネットワーク] または [現在のプロジェクトのサブネット] タブをクリックし、[フローログの構成] 列で、有効な VPC Flow Logs 構成と一時停止中の VPC Flow Logs 構成を表示します。

gcloud

VPC Flow Logs 構成を表示するには、gcloud network-management vpc-flow-logs-configs list コマンドと gcloud network-management vpc-flow-logs-configs describe コマンドを使用します。

組織レベルの構成を表示するプレビュー

  • 組織のすべての VPC Flow Logs 構成を表示するには、次のコマンドを実行します。

    gcloud beta network-management vpc-flow-logs-configs list --location=global \
    --organization=ORGANIZATION

  • 特定の VPC Flow Logs 構成を表示するには、次のコマンドを実行します。

    gcloud beta network-management vpc-flow-logs-configs describe CONFIG_NAME \
    --location=global \
    --organization=ORGANIZATION

    次のように置き換えます。

    • ORGANIZATION: 組織の ID
    • CONFIG_NAME: 構成の名前

プロジェクト レベルの構成を表示する

  • プロジェクト内のすべての VPC Flow Logs 構成を表示するには、次のコマンドを実行します。

    gcloud network-management vpc-flow-logs-configs list --location=global

  • 特定の VPC Flow Logs 構成を表示するには、次のコマンドを実行します。

    gcloud network-management vpc-flow-logs-configs describe CONFIG_NAME \
    --location=global

    CONFIG_NAME は、表示する VPC Flow Logs 構成の名前に置き換えます。

    VPC ネットワークとサブネットの VPC Flow Logs 構成を表示するには、これらのコマンドのベータ版を使用します。

API

組織レベルの構成を表示するプレビュー

  • 組織のすべての VPC Flow Logs 構成を表示するには、organizations.locations.vpcFlowLogsConfigs.list メソッドを使用します。

    GET -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1beta1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs

  • 組織の特定の VPC Flow Logs 構成を表示するには、organizations.locations.vpcFlowLogsConfigs.get メソッドを使用します。

    GET -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1beta1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME

    次のように置き換えます。

    • PROJECT_ID: 割り当てプロジェクトの ID。API リクエストはこのプロジェクトに対してカウントされます。
    • ORGANIZATION_ID: 組織の ID。
    • CONFIG_NAME: 構成の名前。

  • 組織レベルで上記のタスクを実行するための権限がない場合は、次のリクエストを使用して、組織のすべての VPC Flow Logs 構成を表示できます。

    GET https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs:queryOrgVpcFlowLogsConfigs

    PROJECT_ID は、プロジェクトの ID に置き換えます。

プロジェクト レベルの構成を表示する

  • プロジェクト内のすべての VPC Flow Logs 構成を表示するには、projects.locations.vpcFlowLogsConfigs.list メソッドを使用します。

    GET https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs

  • 特定の VPC Flow Logs 構成を表示するには、projects.locations.vpcFlowLogsConfigs.get メソッドを使用します。

    GET https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME

    次のように置き換えます。

    • PROJECT_ID: プロジェクトの ID
    • CONFIG_NAME: VPC Flow Logs 構成の名前

    VPC ネットワークとサブネットの VPC Flow Logs 構成を表示するには、これらのリクエストの v1beta1 バージョンを使用します。

VPC Flow Logs が有効になっているネットワーク内のサブネットを表示する

このセクションでは、Compute Engine API によって管理されているサブネットの VPC Flow Logs 構成を確認する方法について説明します。すべての VPC Flow Logs 構成を表示するには、VPC Flow Logs 構成を表示するをご覧ください。

コンソール

  1. Google Cloud コンソールで、[VPC Flow Logs] ページに移動します。

    [VPC Flow Logs] に移動

  2. [プロジェクト レベルの構成] セクションで、[サブネット(Compute Engine API)] タブをクリックし、プロジェクト内のどのサブネットで VPC Flow Logs が有効になっているかを確認します。

    これらの構成は Compute Engine API によって管理されます。Network Management API によって管理される構成は、[サブネット] タブに表示されます。

gcloud

VPC ネットワークで VPC フローログが有効になっているサブネットを表示するには、次のコマンドを実行します。

gcloud compute networks subnets list \
    --project PROJECT_ID \
    --network="NETWORK" \
    --format="csv(name,region,logConfig.enable)"

次のように置き換えます。

  • PROJECT_ID: クエリするプロジェクトの ID
  • NETWORK: サブネットを含むネットワークの名前

VPC Flow Logs 構成を更新する

VPC Flow Logs 構成を更新できます。変更可能なパラメータの詳細については、ログのサンプリングと処理をご覧ください。

組織レベルの構成を更新する

組織の VPC Flow Logs 構成(プレビュー)を更新すると、変更された構成が組織内のすべての VPC ネットワークのすべてのサブネット、VLAN アタッチメント、Cloud VPN トンネルに適用されます。

コンソール

  1. Google Cloud コンソールで、[VPC Flow Logs] ページに移動します。

    [VPC Flow Logs] に移動

  2. [組織レベルの構成] セクションで、更新する構成を 1 つ以上選択し、[編集] をクリックします。

  3. 次のいずれかを調整します。

    • 集計間隔。デフォルトでは、集計間隔は [5 秒] に設定されています。
    • VPC Flow Logs 構成の [ステータス] を [オン] または [オフ] に設定するかどうか。[オン] ステータスの場合、選択した VPC Flow Logs 構成がアクティブで、フローログが生成されます。
    • ログのフィルタリングを構成するかどうか。デフォルトでは、[フィルタに一致するログのみ保持] は選択されていません。
    • プロジェクト間のアノテーションを含めるかどうか。デフォルトでは、[プロジェクト間のメタデータ アノテーション] が選択されています。詳細については、プロジェクト間のアノテーションをご覧ください。
    • 最終ログエントリにメタデータを含めるかどうか。デフォルトでは、[メタデータ アノテーション] にはすべてのフィールドが含まれます。
    • セカンダリ サンプリング レート100% では、プライマリ フローログのサンプリング プロセスによって生成されたすべてのエントリが保持されます。プライマリ フローログのサンプリング レートは構成できません。詳細については、ログのサンプリングと処理をご覧ください。

  4. [保存] をクリックします。

gcloud

gcloud beta network-management vpc-flow-logs-configs update コマンドを使用します。次のコマンドの角かっこ [] は、オプションのパラメータを示します。

組織の VPC Flow Logs 構成を更新するには、次のコマンドを実行します。

gcloud beta network-management vpc-flow-logs-configs update CONFIG_NAME \
    --location=global \
    --organization=ORGANIZATION \
    [--aggregation-interval=AGGREGATION_INTERVAL] \
    [--filter-expr=FILTER_EXPRESSION] \
    [--flow-sampling=SAMPLING_RATE] \
    [--metadata=LOGGING_METADATA] \
    [--cross-project-metadata=CROSS_PROJECT_METADATA] \
    [--state=STATE]

たとえば、集計間隔パラメータを更新するには、次のコマンドを実行します。

gcloud beta network-management vpc-flow-logs-configs update CONFIG_NAME \
    --location=global \
    --organization=ORGANIZATION \
    --aggregation-interval=AGGREGATION_INTERVAL

次のように置き換えます。

  • ORGANIZATION: 組織の ID。
  • CONFIG_NAME: 更新する構成の名前。構成は、構成が使用されるリソースと同じ Google Cloud プロジェクトにあります。

オプション パラメータを更新するには、次のように置き換えます。

  • AGGREGATION_INTERVAL: この構成によって生成されるフローログの集計間隔。このパラメータは、interval-5-sec(デフォルト)、interval-30-secinterval-1-mininterval-5-mininterval-10-mininterval-15-min のいずれかに設定できます。
  • FILTER_EXPRESSION: 保持するログを定義する式です。式は 2,048 文字以内に制限されています。詳細については、ログのフィルタリングをご覧ください。
  • SAMPLING_RATE: セカンダリ フローのサンプリング レート。このパラメータは、0.0 より大きい値から 1.0(すべてのログ、デフォルト)の範囲で設定できます。詳細については、ログのサンプリングと処理をご覧ください。
  • LOGGING_METADATA: ログに含めるメタデータ アノテーション。
    • すべてのメタデータ アノテーションを含めるには、include-all-metadata を使用します(デフォルト)。
    • すべてのメタデータ アノテーションを除外するには、exclude-all-metadata を使用します。
    • メタデータ フィールドのカスタムリストを含めるには、custom-metadata を使用します。メタデータ フィールドを指定するには、--metadata-fields フラグを使用します。
      • --metadata-fields=METADATA_FIELDS: METADATA_FIELDS は、ログに含めるメタデータ フィールドのカンマ区切りのリストに置き換えます。たとえば、src_instance,dst_instance のようにします。metadatacustom-metadata に設定されている場合にのみ設定できます。
  • CROSS_PROJECT_METADATA: プロジェクト間のアノテーション。cross-project-metadata-enabled(デフォルト)または cross-project-metadata-disabled に設定できます。詳細については、プロジェクト間のアノテーションをご覧ください。
  • STATE: 構成の状態。enabled(デフォルト)または disabled を指定できます。

API

organizations.locations.vpcFlowLogsConfigs.patch メソッドを使用します。変更可能なフィールドについては、REST リソース: projects.locations.vpcFlowLogsConfigs をご覧ください。

組織の VPC Flow Logs 構成を更新するには、API リクエストに次のパラメータを含めます。

PATCH -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1beta1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME?updateMask=FIELDS
{
  ...fields to modify
}

次のように置き換えます。

  • PROJECT_ID: 割り当てプロジェクトの ID。API リクエストはこのプロジェクトに対してカウントされます。Network Management API の割り当て値は、プロジェクト レベルと組織レベルの両方の割り当てで 1 分あたり 1,200 リクエストに設定されています。
  • ORGANIZATION_ID: 構成が使用される組織の ID。
  • CONFIG_NAME: 更新する構成の名前。
  • FIELDS: 更新するフィールドの名前(カンマ区切り)。例: aggregationInterval,flowSampling,metadata

たとえば、my-organization の構成 my-configaggregationInterval フィールドを更新するには、次の API リクエストを使用します。

PATCH -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1beta1/organizations/my-organization/locations/global/vpcFlowLogsConfigs/my-config?updateMask=aggregationInterval
{
  aggregationInterval:AGGREGATION_INTERVAL
}

次のように置き換えます。

  • PROJECT_ID: 割り当てプロジェクトの ID。API リクエストは、このプロジェクトに対してカウントされます。
  • AGGREGATION_INTERVAL は、このパラメータでサポートされている値に置き換えます。

プロジェクト レベルの構成を更新する

プロジェクト レベルの構成には、VPC ネットワーク(プレビュー)、サブネット(プレビュー)、VLAN アタッチメント、Cloud VPN トンネルの構成が含まれます。VPC ネットワークの VPC Flow Logs 構成を更新すると、変更された構成がネットワーク内のすべてのサブネット、VLAN アタッチメント、Cloud VPN トンネルに適用されます。

Compute Engine API によって管理される VPC Flow Logs 構成を更新するには、サブネットの構成パラメータを更新するをご覧ください。

コンソール

  1. Google Cloud コンソールで、[VPC Flow Logs] ページに移動します。

    [VPC Flow Logs] に移動

  2. [プロジェクト レベルの構成] セクションで、更新する構成を 1 つ以上選択し、[編集] をクリックします。

  3. 次のいずれかを調整します。

    • 集計間隔。デフォルトでは、集計間隔は [5 秒] に設定されています。
    • VPC Flow Logs 構成の [ステータス] を [オン] または [オフ] に設定するかどうか。[オン] ステータスの場合、選択した VPC Flow Logs 構成がアクティブで、フローログが生成されます。
    • ログのフィルタリングを構成するかどうか。デフォルトでは、[フィルタに一致するログのみ保持] は選択されていません。
    • 最終ログエントリにメタデータを含めるかどうか。デフォルトでは、[メタデータ アノテーション] にはすべてのフィールドが含まれます。
    • セカンダリ サンプリング レート100% では、プライマリ フローログのサンプリング プロセスによって生成されたすべてのエントリが保持されます。プライマリ フローログのサンプリング レートは構成できません。詳細については、ログのサンプリングと処理をご覧ください。

  4. [保存] をクリックします。

次の場所にある [フローログを管理する] メニューを使用して、VPC Flow Logs の構成を編集することもできます。

  • [VPC ネットワーク] ページの [現在のプロジェクトのネットワーク] タブと [現在のプロジェクトのサブネット] タブ
  • [相互接続] ページの [VLAN アタッチメント] タブ
  • [VPN] ページの [VPN トンネル] タブ

gcloud

gcloud network-management vpc-flow-logs-configs update コマンドと gcloud beta network-management vpc-flow-logs-configs update コマンドを使用します。次のコマンドの角かっこ [] は、オプションのパラメータを示します。

VPC ネットワークまたはサブネット(プレビュー)の VPC Flow Logs 構成を更新するには、次のコマンドを実行します。

gcloud beta network-management vpc-flow-logs-configs update CONFIG_NAME \
    --location=global \
    [--network=NETWORK | --subnet=SUBNET] \
    [--aggregation-interval=AGGREGATION_INTERVAL] \
    [--filter-expr=FILTER_EXPRESSION] \
    [--flow-sampling=SAMPLING_RATE] \
    [--metadata=LOGGING_METADATA] \
    [--state=STATE]

VLAN アタッチメントまたは Cloud VPN トンネルの VPC Flow Logs 構成を更新するには、次のコマンドを実行します。

gcloud network-management vpc-flow-logs-configs update CONFIG_NAME \
    --location=global \
    [--interconnect-attachment=VLAN_ATTACHMENT | --vpn-tunnel=VPN_TUNNEL] \
    [--aggregation-interval=AGGREGATION_INTERVAL] \
    [--filter-expr=FILTER_EXPRESSION] \
    [--flow-sampling=SAMPLING_RATE] \
    [--metadata=LOGGING_METADATA] \
    [--state=STATE]

たとえば、VLAN アタッチメントまたは Cloud VPN トンネルの集計間隔パラメータを更新するには、次のコマンドを実行します。

gcloud network-management vpc-flow-logs-configs update CONFIG_NAME \
    --location=global \
    --aggregation-interval=AGGREGATION_INTERVAL

次のように置き換えます。

  • CONFIG_NAME: 更新する構成の名前。構成は、構成が使用されるリソースと同じ Google Cloud プロジェクト内にあります。

オプション パラメータを更新するには、次のように置き換えます。

  • NETWORKSUBNETVLAN_ATTACHMENTVPN_TUNNEL: ターゲット リソースの名前。構成ごとに指定できるリソースは 1 つだけです。このオプションは、ターゲット リソースの名前を更新する場合に使用します。次の形式で指定する必要があります。
    • VPC ネットワーク: projects/PROJECT_ID/global/networks/NAME
    • サブネット: projects/PROJECT_ID/regions/REGION/subnetworks/NAME
    • VLAN アタッチメント: projects/PROJECT_ID/regions/REGION/interconnectAttachments/NAME
    • Cloud VPN トンネル: projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME
    • 次のように置き換えます。
      • PROJECT_ID: リソースを含む Google Cloud プロジェクトの ID。
      • REGION: リソースのリージョン。
      • NAME: リソースの名前。
  • AGGREGATION_INTERVAL: この構成によって生成されるフローログの集計間隔。このパラメータは、interval-5-sec(デフォルト)、interval-30-secinterval-1-mininterval-5-mininterval-10-mininterval-15-min のいずれかに設定できます。
  • FILTER_EXPRESSION: 保持するログを定義する式です。式は 2,048 文字以内に制限されています。詳細については、ログのフィルタリングをご覧ください。
  • SAMPLING_RATE: セカンダリ フローのサンプリング レート。このパラメータは、0.0 より大きい値から 1.0(すべてのログ、デフォルト)の範囲で設定できます。詳細については、ログのサンプリングと処理をご覧ください。
  • LOGGING_METADATA: ログに含めるメタデータ アノテーション。
    • すべてのメタデータ アノテーションを含めるには、include-all-metadata を使用します(デフォルト)。
    • すべてのメタデータ アノテーションを除外するには、exclude-all-metadata を使用します。
    • メタデータ フィールドのカスタムリストを含めるには、custom-metadata を使用します。メタデータ フィールドを指定するには、--metadata-fields フラグを使用します。
      • --metadata-fields=METADATA_FIELDS: METADATA_FIELDS は、ログに含めるメタデータ フィールドのカンマ区切りのリストに置き換えます。たとえば、src_instance,dst_instance のようにします。metadatacustom-metadata に設定されている場合にのみ設定できます。
  • STATE: 構成の状態。enabled(デフォルト)または disabled を指定できます。

API

projects.locations.vpcFlowLogsConfigs.patch メソッドと projects.locations.vpcFlowLogsConfigs.patch(v1beta1)メソッドを使用します。変更可能なフィールドについては、REST リソース: projects.locations.vpcFlowLogsConfigs をご覧ください。

VPC ネットワークまたはサブネット(プレビュー)の VPC Flow Logs 構成を更新するには、API リクエストに次のパラメータを含めます。

PATCH https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME?updateMask=FIELDS
{
  ...fields to modify
}

VLAN アタッチメントまたは Cloud VPN トンネルの VPC Flow Logs 構成を更新するには、API リクエストに次のパラメータを含めます。

PATCH https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME?updateMask=FIELDS
{
  ...fields to modify
}

次のように置き換えます。

  • PROJECT_ID: VPC Flow Logs 構成を含む Google Cloud プロジェクトの ID。この ID は、構成が使用されるリソースのプロジェクト ID と同じです。
  • CONFIG_NAME: 更新する構成の名前。
  • FIELDS: 更新するフィールドの名前(カンマ区切り)。例: aggregationInterval,flowSampling,metadata

たとえば、my-project の構成 my-configaggregationInterval フィールドを更新するには、次の API リクエストを使用します。

PATCH https://networkmanagement.googleapis.com/v1/projects/my-project/locations/global/vpcFlowLogsConfigs/my-config?updateMask=aggregationInterval
{
  aggregationInterval:AGGREGATION_INTERVAL
}

AGGREGATION_INTERVAL は、このパラメータでサポートされている値に置き換えます。

サブネットの構成パラメータを更新する

このセクションでは、Compute Engine API によって管理される VPC Flow Logs 構成を更新する方法について説明します。

Compute Engine API によって管理されている VPC Flow Logs の構成を表示するには、VPC Flow Logs が有効になっているネットワーク内のサブネットを表示するをご覧ください。

コンソール

  1. Google Cloud コンソールで、[VPC ネットワーク] ページに移動します。

    [VPC ネットワーク] に移動

  2. [現在のプロジェクトのサブネット] で、更新するサブネットをクリックします。

  3. [編集] をクリックします。

  4. 省略可: 次のいずれかの設定を調整します。

    • 集計間隔。デフォルトでは、集計間隔は [5 秒] に設定されています。
    • ログのフィルタリングを構成するかどうか。デフォルトでは、[フィルタに一致するログのみ保持] は選択されていません。
    • 最終ログエントリにメタデータを含めるかどうか。デフォルトでは、[メタデータ アノテーション] にはすべてのフィールドが含まれます。
    • セカンダリ サンプリング レート50% では、プライマリ フローログのサンプリング プロセスによって生成されたエントリの半分が保持されます。プライマリ フローログのサンプリング レートは構成できません。詳細については、ログのサンプリングと処理をご覧ください。

  5. [保存] をクリックします。

または、[VPC ネットワーク] ページの [現在のプロジェクトのサブネット] にある [フローログを管理する] メニューを使用して、VPC Flow Logs 構成パラメータを更新することもできます。

gcloud

次のコマンドを実行します。

gcloud compute networks subnets update SUBNET_NAME \
    [--logging-aggregation-interval=AGGREGATION_INTERVAL] \
    [--logging-flow-sampling=SAMPLING_RATE] \
    [--logging-filter-expr=FILTER_EXPRESSION] \
    [--logging-metadata=LOGGING_METADATA] \
    [--logging-metadata-fields=METADATA_FIELDS] \

次のように置き換えます。

  • AGGREGATION_INTERVAL: サブネットのフローログの集計間隔。間隔は、5 秒(デフォルト)、30 秒、1 分、5 分、10 分、15 分のいずれかに設定できます。
  • SAMPLING_RATE: セカンダリ フローのサンプリング レート。セカンダリ フローのサンプリングは、0.0(サンプリングなし)から 1.0(すべてのログ)の範囲で設定できます。デフォルトは 0.5 です。詳細については、ログのサンプリングと処理をご覧ください。
  • FILTER_EXPRESSION: 保持するログを定義する式です。式は 2,048 文字以内に制限されています。詳細については、ログのフィルタリングをご覧ください。

  • LOGGING_METADATA: ログに含めるメタデータ アノテーション

    • すべてのメタデータ アノテーションを含める場合は、include-all を使用します。
    • すべてのメタデータ アノテーションを除外するには、exclude-all を使用します(デフォルト)。
    • METADATA_FIELDS で指定するメタデータ フィールドのカスタムリストを含める場合は、custom を使用します。

  • METADATA_FIELDS: ログに含めるメタデータ フィールドのカンマ区切りのリスト。たとえば、src_instance,dst_instance のようにします。LOGGING_METADATAcustom に設定されている場合にのみ設定できます。

API

ログ サンプリング フィールドを変更して、VPC Flow Logs の動作を更新します。

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    ...fields to modify
  },
  "fingerprint": "SUBNET_FINGERPRINT"
}

次のように置き換えます。

詳細については、subnetworks.patch メソッドをご覧ください。

ログの収集を停止する

リソースのログの収集を一時停止するには、有効なすべての VPC Flow Logs 構成を無効にします。

VPC Flow Logs 構成が不要になった場合は、構成を削除できます。ログの収集が停止され、構成が削除されます。

ログの収集を停止し、Compute Engine API によって管理されている VPC Flow Logs 構成を削除するには、サブネットの VPC Flow Logs を無効にするをご覧ください。

VPC Flow Logs 構成を無効にする

コンソール

  1. Google Cloud コンソールで、[VPC Flow Logs] ページに移動します。

    [VPC Flow Logs] に移動

  2. [組織レベルの構成] または [プロジェクト レベルの構成] セクションで、無効にする VPC Flow Logs 構成を 1 つ以上選択し、構成ステータスを [オフ] に変更します。

    選択に有効な構成と無効な構成の両方が含まれている場合は、[構成ステータスを変更] メニューで [すべてオフにする] をクリックします。

gcloud

VPC Flow Logs 構成のログの収集を一時停止するには、gcloud network-management vpc-flow-logs-configs update コマンドと gcloud beta network-management vpc-flow-logs-configs update コマンドを使用します。

組織レベルの構成を一時停止するプレビュー

gcloud beta network-management vpc-flow-logs-configs update CONFIG_NAME \
    --location=global \
    --organization=ORGANIZATION \
    --state=disabled

次のように置き換えます。

  • CONFIG_NAME: 構成の名前
  • ORGANIZATION: 組織の ID

プロジェクト レベルの構成を一時停止する

gcloud network-management vpc-flow-logs-configs update CONFIG_NAME \
    --location=global \
    --state=disabled

CONFIG_NAME は、構成の名前に置き換えます。

VPC ネットワークまたはサブネットの VPC Flow Logs 構成を一時停止するには、このコマンドのベータ版を使用します。

API

組織レベルの構成を一時停止するプレビュー

ログの収集を一時停止するには、organizations.locations.vpcFlowLogsConfigs.patch メソッドを使用します。

PATCH -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1beta1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME?updateMask=state
{
  "state": "DISABLED"
}

次のように置き換えます。

  • PROJECT_ID: 割り当てプロジェクトの ID。API リクエストはこのプロジェクトに対してカウントされます。
  • ORGANIZATION_ID: 組織の ID。
  • CONFIG_NAME: 構成の名前。

プロジェクト レベルの構成を一時停止する

ログの収集を一時停止するには、projects.locations.vpcFlowLogsConfigs.patch メソッドを使用します。

PATCH https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME?updateMask=state
{
  "state": "DISABLED"
}

次のように置き換えます。

  • PROJECT_ID: 構成を含む Google Cloud プロジェクトの ID。この ID は、構成が使用されるリソースのプロジェクト ID と同じです。
  • CONFIG_NAME: 構成の名前。

VPC ネットワークまたはサブネットの VPC Flow Logs 構成を一時停止するには、このリクエストの v1beta1 バージョンを使用します。

VPC Flow Logs 構成を削除する

コンソール

  1. Google Cloud コンソールで、[VPC Flow Logs] ページに移動します。

    [VPC Flow Logs] に移動

  2. [組織レベルの構成] または [プロジェクト レベルの構成] セクションで、削除する VPC Flow Logs 構成を 1 つ以上選択し、[削除] をクリックします。

gcloud

VPC Flow Logs 構成を削除するには、gcloud network-management vpc-flow-logs-configs delete コマンドと gcloud beta network-management vpc-flow-logs-configs delete コマンドを使用します。

組織レベルの構成を削除するプレビュー

gcloud beta network-management vpc-flow-logs-configs delete CONFIG_NAME \
    --location=global \
    --organization=ORGANIZATION

次のように置き換えます。

  • CONFIG_NAME: 構成の名前
  • ORGANIZATION: 組織の ID

プロジェクト レベルの構成を削除する

gcloud network-management vpc-flow-logs-configs delete CONFIG_NAME \
    --location=global

CONFIG_NAME は、削除する構成の名前に置き換えます。

VPC ネットワークまたはサブネットの VPC Flow Logs 構成を削除するには、このコマンドのベータ版を使用します。

API

組織レベルの構成を削除するプレビュー

VPC Flow Logs 構成を削除するには、organizations.locations.vpcFlowLogsConfigs.delete メソッドを使用します。

DELETE -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1beta1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME

次のように置き換えます。

  • PROJECT_ID: 割り当てプロジェクトの ID。API リクエストはこのプロジェクトに対してカウントされます。
  • ORGANIZATION_ID: 組織の ID。
  • CONFIG_NAME: 構成の名前。

プロジェクト レベルの構成を削除する

VPC Flow Logs 構成を削除するには、projects.locations.vpcFlowLogsConfigs.delete メソッドを使用します。

DELETE https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME

次のように置き換えます。

  • PROJECT_ID: 構成を含む Google Cloud プロジェクトの ID
  • CONFIG_NAME: 構成の名前

VPC ネットワークまたはサブネットの VPC Flow Logs 構成を削除するには、このリクエストの v1beta1 バージョンを使用します。

サブネットの VPC Flow Logs を無効にする

このセクションでは、Compute Engine API によって管理されている VPC Flow Logs 構成を削除する方法について説明します。サブネットの VPC Flow Logs を無効にすると、ログの収集が停止し、構成が削除されます。

コンソール

  1. Google Cloud コンソールで、[VPC ネットワーク] ページに移動します。

    [VPC ネットワーク] に移動

  2. 更新するサブネットをクリックします。

  3. [編集] をクリックします。

  4. [フローログ] で [オフ] を選択します。

  5. [保存] をクリックします。

gcloud

次のコマンドを実行します。

gcloud compute networks subnets update SUBNET_NAME \
    --no-enable-flow-logs

API

ログレコードの収集を停止するには、サブネットの VPC Flow Logs を無効にします。

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    "enable": false
  },
  "fingerprint": "SUBNET_FINGERPRINT"
}

次のように置き換えます。

  • PROJECT_ID: サブネットが存在するプロジェクトの ID
  • REGION: サブネットが配置されているリージョン
  • SUBNET_NAME: 既存のサブネットの名前
  • SUBNET_FINGERPRINT: 既存のサブネットのフィンガープリント ID。サブネットの詳細を取得するときに指定します。

詳細については、subnetworks.patch メソッドをご覧ください。

トラブルシューティング

サブネットのフローログを有効にした場合でも無効として表示される

  • 内部アプリケーション ロードバランサのプロキシ専用サブネットを構成し、gcloud compute networks subnets コマンドを使用して VPC Flow Logs を有効にした場合、コマンドは成功したように見えますが、フローログは実際には有効になりません。--purpose=INTERNAL_HTTPS_LOAD_BALANCER フラグも指定した場合、--enable-flow-logs フラグは有効になりません。

    Google Cloud コンソールまたは API を使用してフローログを有効にすると、「Invalid value for field 'resource.enableFlowLogs': 'true'. Invalid field set in subnetwork with purpose INTERNAL_HTTPS_LOAD_BALANCER.」というエラー メッセージが表示されます。

    プロキシ専用サブネットには VM がないため、VPC Flow Logs はサポートされません。これは想定どおりの挙動です。

次のステップ