本頁面由 Cloud Translation API 翻譯而成。

設定虛擬私有雲流量記錄

本頁面說明如何設定虛擬私有雲流量記錄。本頁假設您熟悉「虛擬私有雲流量記錄」和「關於虛擬私有雲流量記錄」中所述的概念。

事前準備

至少設定下列其中一項：

Network Management API 可讓您為組織、虛擬私有雲 (VPC) 網路、子網路、Cloud Interconnect 的 VLAN 連結和 Cloud VPN 通道設定虛擬私有雲流量記錄。如要使用 Network Management API，請執行下列操作：
1. 在 Google Cloud 專案中啟用 Network Management API。
  
  啟用 Network Management API
2. 確認您具備以下授予的 Network Management 管理員角色 (roles/networkmanagement.admin)：
  - 組織層級 (如要為機構設定虛擬私有雲流量記錄，則為必要)
  - 專案層級 (如要為虛擬私有雲網路、子網路、VLAN 連結或 Cloud VPN 通道設定虛擬私有雲流量記錄，則必須使用這個層級)
3. 此外，如果您想為組織設定虛擬私有雲流量記錄，請務必具備 resourcemanager.organizations.get 權限。
Compute Engine API 可讓您為子網路設定虛擬私有雲流量記錄。透過 Compute Engine API 建立的設定無法透過 Network Management API 管理。如要使用 Compute Engine API，請按照下列步驟操作：
1. 在 Google Cloud 專案中啟用 Compute Engine API。
  
  啟用 Compute Engine API
2. 請確認您在專案中具有下列任一角色：
  - Compute 管理員角色 (roles/compute.admin)
  - Compute 網路管理員角色 (roles/compute.networkAdmin)

設定 Google Cloud CLI

如果您不打算使用 gcloud CLI 設定 VPC 流量記錄，請略過這個步驟。

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

啟用虛擬私有雲流量記錄

如要為資源啟用虛擬私有雲流量記錄，請建立虛擬私有雲流量記錄設定。您可以使用虛擬私有雲流量記錄，在組織和專案層級建立設定：

組織層級設定可為組織中所有虛擬私有雲網路中的所有子網路、VLAN 連結和 Cloud VPN 通道啟用流量記錄。這些設定預設會啟用跨專案註解。
您可以透過專案層級設定，為下列資源啟用流量記錄：
- 特定的 VPC 網路，其中包含網路中的所有子網路、VLAN 連結和 Cloud VPN 通道
- 特定子網路、VLAN 連結或 Cloud VPN 通道

每項資源可新增多個虛擬私有雲流量記錄設定。每個設定都會產生一組獨立的流量記錄。如果您將資源與多個虛擬私有雲流量記錄設定建立關聯，且這些設定的範圍重疊，記錄資訊可能會包含重複的記錄。詳情請參閱「支援的設定」。

您也可以修改寫入記錄的資訊量。如要進一步瞭解可控制的參數，請參閱「記錄檔取樣與處理」一文。

為子網路啟用虛擬私有雲流量記錄

為子網路啟用虛擬私有雲流量記錄時，您會為子網路中的所有 VM 啟用記錄功能。

為子網路啟用虛擬私有雲流量記錄 (Network Management API)

本節說明如何使用 Network Management API，為子網路啟用 VPC 流量記錄。

主控台

在 Google Cloud 控制台中，前往「VPC Networks」(虛擬私有雲網路) 頁面。

前往「VPC networks」(虛擬私有雲網路)
在「目前專案中的子網路」分頁中，選取一或多個子網路，然後按一下「管理流量記錄」。
在「管理工作流程記錄」中，按一下「新增設定」。
在「設定 - 子網路 (預先發布版)」部分中，按一下「新增設定」。
在「名稱」中，輸入新的虛擬私有雲流量記錄設定名稱。
選用：調整「進階設定」部分中的「匯總間隔」和其他設定：
- 是否要設定記錄篩選功能。根據預設，系統會取消選取「只保留符合篩選條件的記錄」。
- 是否要在最終記錄項目中加入中繼資料。根據預設，「中繼資料註解」會包含所有欄位。
- 次級取樣率。100% 表示會保留初級流量記錄取樣程序產生的所有項目。主要流量記錄檔取樣率無法設定。詳情請參閱「記錄檔取樣與處理」。
按一下 [儲存]。

gcloud

如要為子網路啟用虛擬私有雲流量記錄，請使用 gcloud beta network-management vpc-flow-logs-configs create 指令。

如要啟用虛擬私有雲流量記錄，請建立虛擬私有雲流量記錄設定。您可以建立設定，並將所有參數設為預設值，也可以自訂預設值。

在 gcloud CLI 中，將專案設為子網路的 Google Cloud 專案 ID，然後執行下列任一指令：

如要建立預設的虛擬私有雲流量記錄設定，請執行下列指令：

gcloud beta network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --subnet=SUBNET

如要建立自訂 VPC 流程記錄設定，請指定要自訂的每個參數。

舉例來說，如要在建立 VPC 流量記錄檔設定時自訂匯總間隔、篩選、次級取樣率和中繼資料參數，請執行下列指令：
```
gcloud beta network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --subnet=SUBNET \
    --aggregation-interval=AGGREGATION_INTERVAL \
    --filter-expr=FILTER_EXPRESSION \
    --flow-sampling=SAMPLING_RATE \
    --metadata=LOGGING_METADATA
```
更改下列內容：
- CONFIG_NAME：設定名稱。
- SUBNET：您要記錄的子網路。必須使用下列格式指定：projects/PROJECT_ID/regions/REGION/subnetworks/NAME，其中：
  - PROJECT_ID 是包含子網路的 Google Cloud 專案 ID。您必須在這個專案中建立設定。
  - REGION 是子網路的地區。
  - NAME 是子網路的名稱。
如要在自訂設定中設定選用參數，請取代下列項目：
- AGGREGATION_INTERVAL：由此設定產生的流量記錄匯總間隔。這個參數可設為 interval-5-sec(預設)、interval-30-sec、interval-1-min、interval-5-min、interval-10-min 或 interval-15-min。
- FILTER_EXPRESSION：這個運算式會定義要保留哪些記錄。運算式長度上限為 2,048 個半形字元。詳情請參閱「篩選記錄」。
- SAMPLING_RATE：次級流程取樣率。這個參數可以設為大於 0.0 到 1.0 (所有記錄，預設值)。詳情請參閱「記錄檔取樣與處理」。
- LOGGING_METADATA：您要在記錄中加入的中繼資料註解：
  - 使用 include-all-metadata 加入所有中繼資料註解 (預設)。
  - 使用 exclude-all-metadata 排除所有中繼資料註解。
  - 使用 custom-metadata 加入中繼資料欄位的自訂清單。如要指定中繼資料欄位，請使用 --metadata-fields 標記：
    - --metadata-fields=METADATA_FIELDS：將 METADATA_FIELDS 替換為您要納入記錄的中繼資料欄位清單 (以半形逗號分隔)。例如：src_instance,dst_instance。只有在 metadata 設為 custom-metadata 時，才能設定。

API

如要為子網路啟用虛擬私有雲流量記錄，請使用 projects.locations.vpcFlowLogsConfigs.create 方法。

如要啟用虛擬私有雲流量記錄，請建立虛擬私有雲流量記錄設定。您可以建立設定，並將所有參數設為預設值，也可以自訂預設值。

如要建立預設的虛擬私有雲流量記錄設定，請在 API 要求中加入下列參數：

POST https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "subnet": "SUBNET"
}

如要建立自訂 VPC 流程記錄設定，請指定要自訂的每個參數。

舉例來說，如要在建立 VPC 流量記錄檔設定時自訂匯總間隔、篩選、次級取樣率和中繼資料參數，請在 API 要求中加入下列參數：

POST https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "subnet": "SUBNET",
  "aggregationInterval": "AGGREGATION_INTERVAL",
  "filterExpr": "FILTER_EXPRESSION",
  "flowSampling": SAMPLING_RATE,
  "metadata": "LOGGING_METADATA"
}

更改下列內容：

PROJECT_ID：子網路的 Google Cloud 專案 ID。
CONFIG_NAME：設定名稱。
SUBNET：您要記錄的子網路。必須使用下列格式指定：projects/PROJECT_ID/regions/REGION/subnetworks/NAME，其中：
- PROJECT_ID 是子網路的專案 ID。
- REGION 是子網路的地區。
- NAME 是子網路的名稱。

如要在自訂設定中設定選用參數，請取代下列內容：

AGGREGATION_INTERVAL：由此設定產生的流量記錄匯總間隔。這個參數可設為 INTERVAL_5_SEC (預設)、INTERVAL_30_SEC、INTERVAL_1_MIN、INTERVAL_5_MIN、INTERVAL_10_MIN 或 INTERVAL_15_MIN。
FILTER_EXPRESSION：這個運算式會定義要保留哪些記錄。運算式長度上限為 2,048 個半形字元。詳情請參閱「篩選記錄」。
SAMPLING_RATE：次級流程取樣率。這個參數可以設為大於 0.0 到 1.0 (所有記錄，預設值)。詳情請參閱「記錄檔取樣與處理」。
LOGGING_METADATA：您要在記錄中加入的中繼資料註解：
- 使用 INCLUDE_ALL_METADATA 加入所有中繼資料註解 (預設)。
- 使用 EXCLUDE_ALL_METADATA 排除所有中繼資料註解。
- 使用 CUSTOM_METADATA 加入中繼資料欄位的自訂清單。如要指定中繼資料欄位，請使用 metadataFields 參數：
  - metadataFields: METADATA_FIELDS：將 METADATA_FIELDS 替換為以半形逗號分隔的清單，其中包含您要納入記錄的中繼資料欄位。例如：src_instance,dst_instance。只有在 metadata 設為 CUSTOM_METADATA 時，才能設定。

為子網路啟用虛擬私有雲流量記錄 (Compute Engine API)

本節說明如何使用 Compute Engine API 為子網路啟用 VPC 流量記錄。您可以在建立子網路或針對現有子網路時啟用虛擬私有雲流程記錄。

在建立子網路時啟用虛擬私有雲流量記錄

主控台

在 Google Cloud 控制台中，前往「VPC Networks」(虛擬私有雲網路) 頁面。

前往「VPC networks」(虛擬私有雲網路)
按一下您要新增子網路的網路。
按一下 [新增子網路]。
針對「流量記錄」，選取「開啟」。
選用：在「進階設定」部分調整「匯總間隔」和下列任一設定：
- 是否要設定記錄篩選功能。根據預設，系統會取消選取「只保留符合篩選條件的記錄」。
- 是否要在最終記錄項目中加入中繼資料。根據預設，「中繼資料註解」會包含所有欄位。
- 次級取樣率。50% 表示系統會保留初級流量記錄檔取樣程序產生的一半項目。主要流量記錄檔取樣率無法設定。詳情請參閱「記錄檔取樣與處理」。
視情況填入其他欄位。
按一下「新增」。

gcloud

執行下列指令：

gcloud compute networks subnets create SUBNET_NAME \
    --enable-flow-logs \
    [--logging-aggregation-interval=AGGREGATION_INTERVAL] \
    [--logging-flow-sampling=SAMPLING_RATE] \
    [--logging-filter-expr=FILTER_EXPRESSION] \
    [--logging-metadata=LOGGING_METADATA] \
    [--logging-metadata-fields=METADATA_FIELDS] \
    [other flags as needed]

更改下列內容：

AGGREGATION_INTERVAL：該子網路中流程記錄的匯總間隔。您可以將這個間隔設定為下列任何一項：5 秒 (預設)、30 秒、1 分鐘、5 分鐘、10 分鐘或 15 分鐘。
SAMPLING_RATE：次級流程取樣率。您可以將次級流程取樣從 0.0 (無取樣) 設定為 1.0 (所有記錄)。預設值為 0.5。詳情請參閱「記錄檔取樣與處理」。
FILTER_EXPRESSION：定義要保留哪些記錄的運算式。運算式長度上限為 2,048 個半形字元。詳情請參閱「篩選記錄」。
LOGGING_METADATA：您要納入記錄中的中繼資料註解：
- 使用 include-all 納入所有中繼資料註解。
- 使用 exclude-all 排除所有中繼資料註解 (預設)。
- 使用 custom 加入您在 METADATA_FIELDS 中指定的中繼資料欄位自訂清單。
注意： 如果子網路在 2021 年 3 月 1 日前的任何時間啟用流量記錄功能，且從未明確設定 LOGGING_METADATA，則 LOGGING_METADATA 的預設值為 include-all。
METADATA_FIELDS：以半形逗號分隔的清單，列出您要納入記錄的中繼資料欄位。例如：src_instance,dst_instance。只有在 LOGGING_METADATA 設為 custom 時，才能設定。

API

建立新的子網路時，請啟用虛擬私有雲流量記錄。

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks
{
  "logConfig": {
    "aggregationInterval": "AGGREGATION_INTERVAL",
    "flowSampling": SAMPLING_RATE,
    "filterExpr": EXPRESSION,
    "metadata": METADATA_SETTING,
    "metadataFields": METADATA_FIELDS,
    "enable": true
  },
  "ipCidrRange": "IP_RANGE",
  "network": "NETWORK_URL",
  "name": "SUBNET_NAME"
}

更改下列內容：

PROJECT_ID：要建立子網路的專案 ID。
REGION：要建立子網路的地區。
AGGREGATION_INTERVAL：子網路中流程記錄的匯總間隔。間隔可以設為下列任一值：INTERVAL_5_SEC、INTERVAL_30_SEC、INTERVAL_1_MIN、INTERVAL_5_MIN、INTERVAL_10_MIN 或 INTERVAL_15_MIN。
SAMPLING_RATE：流程取樣率。您可以將流程取樣從 0.0 (無取樣) 設定為 1.0 (所有記錄)。預設值為 .0.5。
EXPRESSION：用於篩選實際寫入記錄的篩選器運算式。運算式長度上限為 2,048 個半形字元。詳情請參閱「篩選記錄」。
METADATA_SETTING：您要納入記錄中的中繼資料註解：
- 使用 INCLUDE_ALL_METADATA 納入所有中繼資料註解。
- 使用 EXCLUDE_ALL_METADATA 排除所有中繼資料註解 (預設)。
- 使用 CUSTOM_METADATA 加入您在 METADATA_FIELDS 中指定的中繼資料欄位自訂清單。
注意： 如果子網路在 2021 年 3 月 1 日前的任何時間啟用流量記錄功能，且從未明確設定 METADATA_SETTING，則 METADATA_SETTING 的預設值為 INCLUDE_ALL_METADATA。
METADATA_FIELDS：設定 metadata: CUSTOM_METADATA 時要擷取的中繼資料欄位。這是以逗號分隔的中繼資料欄位清單，例如 src_instance, src_vpc.project_id。
IP_RANGE：子網路的主要內部 IP 位址範圍。
NETWORK_URL：要建立子網路的虛擬私有雲網路網址。
SUBNET_NAME：子網路名稱。

詳情請參閱 subnetworks.insert 方法。

Terraform

您可以使用 Terraform 模組建立自訂模式虛擬私有雲網路和子網路。

以下範例會建立三個子網路，如下所示：

subnet-01 已停用虛擬私有雲流量記錄。建立子網路時，系統會停用虛擬私有雲流量記錄，除非您明確啟用。
subnet-02 已啟用虛擬私有雲流量記錄，並使用預設的流量記錄設定。
subnet-03 已啟用虛擬私有雲流程記錄，並設定了一些自訂設定。

module "test-vpc-module" {
  source       = "terraform-google-modules/network/google"
  version      = "~> 10.0"
  project_id   = var.project_id # Replace this with your project ID in quotes
  network_name = "my-custom-mode-network"
  mtu          = 1460

  subnets = [
    {
      subnet_name   = "subnet-01"
      subnet_ip     = "10.10.10.0/24"
      subnet_region = "us-west1"
    },
    {
      subnet_name           = "subnet-02"
      subnet_ip             = "10.10.20.0/24"
      subnet_region         = "us-west1"
      subnet_private_access = "true"
      subnet_flow_logs      = "true"
    },
    {
      subnet_name               = "subnet-03"
      subnet_ip                 = "10.10.30.0/24"
      subnet_region             = "us-west1"
      subnet_flow_logs          = "true"
      subnet_flow_logs_interval = "INTERVAL_10_MIN"
      subnet_flow_logs_sampling = 0.7
      subnet_flow_logs_metadata = "INCLUDE_ALL_METADATA"
      subnet_flow_logs_filter   = "false"
    }
  ]
}

如要瞭解如何套用或移除 Terraform 設定，請參閱「基本 Terraform 指令」。

針對現有子網路啟用虛擬私有雲流量記錄

主控台

在 Google Cloud 控制台中，前往「VPC Networks」(虛擬私有雲網路) 頁面。

前往「VPC networks」(虛擬私有雲網路)
按一下要更新的子網路。
按一下 [編輯]。
針對「流量記錄」，選取「開啟」。
選用：在「進階設定」部分調整「匯總間隔」和下列任一設定：
- 是否要設定記錄篩選功能。根據預設，系統會取消選取「只保留符合篩選條件的記錄」。
- 是否要在最終記錄項目中加入中繼資料。根據預設，「中繼資料註解」會包含所有欄位。
- 次級取樣率。50% 表示系統會保留初級流量記錄檔取樣程序產生的一半項目。主要流量記錄檔取樣率無法設定。詳情請參閱「記錄檔取樣與處理」。
按一下 [儲存]。

gcloud

執行下列指令：

gcloud compute networks subnets update SUBNET_NAME \
    --enable-flow-logs \
    [--logging-aggregation-interval=AGGREGATION_INTERVAL] \
    [--logging-flow-sampling=SAMPLING_RATE] \
    [--logging-filter-expr=FILTER_EXPRESSION] \
    [--logging-metadata=LOGGING_METADATA] \
    [--logging-metadata-fields=METADATA_FIELDS] \
    [other flags as needed]

更改下列內容：

AGGREGATION_INTERVAL：該子網路中流程記錄的匯總間隔。您可以將這個間隔設定為下列任何一項：5 秒 (預設)、30 秒、1 分鐘、5 分鐘、10 分鐘或 15 分鐘。
SAMPLING_RATE：次級流程取樣率。您可以將次級流程取樣從 0.0 (無取樣) 設定為 1.0 (所有記錄)。預設值為 0.5。詳情請參閱「記錄檔取樣與處理」。
FILTER_EXPRESSION：定義要保留哪些記錄的運算式。運算式長度上限為 2,048 個半形字元。詳情請參閱「篩選記錄」。
LOGGING_METADATA：您要納入記錄中的中繼資料註解：
- 使用 include-all 納入所有中繼資料註解。
- 使用 exclude-all 排除所有中繼資料註解 (預設)。
- 使用 custom 加入您在 METADATA_FIELDS 中指定的中繼資料欄位自訂清單。
注意： 如果子網路在 2021 年 3 月 1 日前的任何時間啟用流量記錄功能，且從未明確設定 LOGGING_METADATA，則 LOGGING_METADATA 的預設值為 include-all。
METADATA_FIELDS：以半形逗號分隔的清單，列出您要納入記錄的中繼資料欄位。例如：src_instance,dst_instance。只有在 LOGGING_METADATA 設為 custom 時，才能設定。

API

針對現有子網路啟用虛擬私有雲流量記錄。

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    "enable": true
    ...other logging fields.
  },
  "fingerprint": "SUBNET_FINGERPRINT"
}

更改下列內容：

PROJECT_ID：子網路所在專案的 ID。
REGION：子網路所在的地區。
SUBNET_NAME：現有子網路的名稱。
SUBNET_FINGERPRINT：現有子網路的指紋 ID，會在描述子網路時提供。
如需其他記錄欄位，請參閱「在建立子網路時啟用虛擬私有雲流程記錄」。

詳情請參閱 subnetworks.patch 方法。

為 VLAN 連結啟用虛擬私有雲流量記錄

主控台

前往 Google Cloud 控制台的「Interconnect」頁面。

前往互連網路
在「VLAN 連結」分頁中，選取一或多個 VLAN 連結，然後在清單頂端的選取列中，點選「管理流量記錄」。
在「管理工作流程記錄」中，按一下「新增設定」。
在「名稱」中，輸入新的虛擬私有雲流量記錄設定名稱。
選用：調整「進階設定」部分中的「匯總間隔」和其他設定：
- 是否要設定記錄篩選功能。根據預設，系統會取消選取「只保留符合篩選條件的記錄」。
- 是否要在最終記錄項目中加入中繼資料。根據預設，「中繼資料註解」會包含所有欄位。
- 次級取樣率。100% 表示會保留初級流量記錄取樣程序產生的所有項目。主要流量記錄檔取樣率無法設定。詳情請參閱「記錄檔取樣與處理」。
按一下 [儲存]。

gcloud

如要為 VLAN 連結啟用虛擬私有雲流量記錄，請使用 gcloud network-management vpc-flow-logs-configs create 指令。

如要啟用虛擬私有雲流量記錄，請建立虛擬私有雲流量記錄設定。您可以建立設定，並將所有參數設為預設值，也可以自訂預設值。

在 gcloud CLI 中，將專案設為 VLAN 連結的Google Cloud 專案 ID，然後執行下列任一指令：

如要建立預設的虛擬私有雲流量記錄設定，請執行下列指令：

gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --interconnect-attachment=VLAN_ATTACHMENT

如要建立自訂 VPC 流程記錄設定，請指定要自訂的每個參數。

舉例來說，如要在建立 VPC 流量記錄檔設定時自訂匯總間隔、篩選、次級取樣率和中繼資料參數，請執行下列指令：
```
gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --interconnect-attachment=VLAN_ATTACHMENT \
    --aggregation-interval=AGGREGATION_INTERVAL \
    --filter-expr=FILTER_EXPRESSION \
    --flow-sampling=SAMPLING_RATE \
    --metadata=LOGGING_METADATA
```
更改下列內容：
- CONFIG_NAME：設定名稱。
- VLAN_ATTACHMENT：您要記錄的 VLAN 連結。必須使用下列格式指定：projects/PROJECT_ID/regions/REGION/interconnectAttachments/NAME，其中：
  - PROJECT_ID 是包含 VLAN 連結的 Google Cloud 專案 ID。您必須在這個專案中建立設定。
  - REGION 是 VLAN 連結的區域。
  - NAME 是 VLAN 連結的名稱。
如要在自訂設定中設定選用參數，請取代下列項目：
- AGGREGATION_INTERVAL：由此設定產生的流量記錄匯總間隔。這個參數可設為 interval-5-sec(預設)、interval-30-sec、interval-1-min、interval-5-min、interval-10-min 或 interval-15-min。
- FILTER_EXPRESSION：定義要保留哪些記錄的運算式。運算式長度上限為 2,048 個半形字元。詳情請參閱「篩選記錄」。
- SAMPLING_RATE：次級流程取樣率。這個參數可以設為大於 0.0 到 1.0 (所有記錄，預設值)。詳情請參閱「記錄檔取樣與處理」。
- LOGGING_METADATA：您要在記錄中加入的中繼資料註解：
  - 使用 include-all-metadata 加入所有中繼資料註解 (預設)。
  - 使用 exclude-all-metadata 排除所有中繼資料註解。
  - 使用 custom-metadata 加入中繼資料欄位的自訂清單。如要指定中繼資料欄位，請使用 --metadata-fields 標記：
    - --metadata-fields=METADATA_FIELDS：將 METADATA_FIELDS 替換為您要納入記錄的中繼資料欄位清單 (以半形逗號分隔)。例如：src_instance,dst_instance。只有在 metadata 設為 custom-metadata 時，才能設定。

Terraform

您可以使用 Terraform 模組為 VLAN 連結建立虛擬私有雲流量記錄設定。

下列程式碼區塊會建立預設的虛擬私有雲流量記錄設定。

resource "google_network_management_vpc_flow_logs_config" "vpc_flow_logs_config" {
  vpc_flow_logs_config_id = "vpcflowlogs-config"
  location                = "global"
  interconnect_attachment = google_compute_interconnect_attachment.attachment.id
}

上述範例假設 google_compute_interconnect_attachment 資源的名稱為 attachment。如需此設定的完整範例，請參閱 terraform-docs-samples 存放區。

下列程式碼區塊會建立虛擬私有雲流量記錄設定，其中：

匯總時間間隔設為 INTERVAL_10_MIN。
次要流程取樣率設為 0.7。
將要納入記錄檔的中繼資料設為 INCLUDE_ALL_METADATA。
設定狀態已設為 ENABLED。

resource "google_network_management_vpc_flow_logs_config" "vpc_flow_logs_config" {
  vpc_flow_logs_config_id = "vpcflowlogs-config"
  location                = "global"
  interconnect_attachment = google_compute_interconnect_attachment.attachment.id
  aggregation_interval    = "INTERVAL_10_MIN"
  description             = "VPC Flow Logs over an Interconnect Attachment."
  flow_sampling           = 0.7
  metadata                = "INCLUDE_ALL_METADATA"
  state                   = "ENABLED"
}

上述範例假設 google_compute_interconnect_attachment 資源的名稱為 attachment。如需此設定的完整範例，請參閱 terraform-docs-samples 存放區。

如要瞭解如何套用或移除 Terraform 設定，請參閱「基本 Terraform 指令」。

API

如要為 VLAN 連結啟用虛擬私有雲流量記錄，請使用 projects.locations.vpcFlowLogsConfigs.create 方法。

您可以建立虛擬私有雲流量記錄設定，啟用虛擬私有雲流量記錄。您可以建立設定，並將所有參數設為預設值，也可以自訂預設值。

如要建立預設的虛擬私有雲流量記錄設定，請在 API 要求中加入下列參數：

POST https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "interconnectAttachment": "VLAN_ATTACHMENT"
}

如要建立自訂 VPC 流程記錄設定，請指定要自訂的每個參數。

舉例來說，如要在建立 VPC 流量記錄檔設定時自訂匯總間隔、篩選、次級取樣率和中繼資料參數，請在 API 要求中加入下列參數：

POST https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "interconnectAttachment": "VLAN_ATTACHMENT",
  "aggregationInterval": "AGGREGATION_INTERVAL",
  "filterExpr": "FILTER_EXPRESSION",
  "flowSampling": SAMPLING_RATE,
  "metadata": "LOGGING_METADATA"
}

更改下列內容：

PROJECT_ID：VLAN 連結的 Google Cloud 專案 ID。
CONFIG_NAME：設定名稱。
VLAN_ATTACHMENT：您要記錄的 VLAN 連結。必須使用下列格式指定：projects/PROJECT_ID/regions/REGION/interconnectAttachments/NAME，其中：
- PROJECT_ID 是 VLAN 連結的專案 ID。
- REGION 是 VLAN 連結的區域。
- NAME 是 VLAN 連結的名稱。

如要在自訂設定中設定選用參數，請取代下列內容：

AGGREGATION_INTERVAL：由此設定產生的流量記錄匯總間隔。這個參數可設為 INTERVAL_5_SEC (預設)、INTERVAL_30_SEC、INTERVAL_1_MIN、INTERVAL_5_MIN、INTERVAL_10_MIN 或 INTERVAL_15_MIN。
FILTER_EXPRESSION：這個運算式會定義要保留哪些記錄。運算式長度上限為 2,048 個半形字元。詳情請參閱「篩選記錄」。
SAMPLING_RATE：次級流程取樣率。這個參數可以設為大於 0.0 到 1.0 (所有記錄，預設值)。詳情請參閱「記錄檔取樣與處理」。
LOGGING_METADATA：您要在記錄中加入的中繼資料註解：
- 使用 INCLUDE_ALL_METADATA 加入所有中繼資料註解 (預設)。
- 使用 EXCLUDE_ALL_METADATA 排除所有中繼資料註解。
- 使用 CUSTOM_METADATA 加入中繼資料欄位的自訂清單。如要指定中繼資料欄位，請使用 metadataFields 參數：
  - metadataFields: METADATA_FIELDS：將 METADATA_FIELDS 替換為以逗號分隔的清單，列出您要納入記錄的中繼資料欄位。例如：src_instance,dst_instance。只有在 metadata 設為 CUSTOM_METADATA 時，才能設定。

為 Cloud VPN 通道啟用虛擬私有雲流量記錄

主控台

前往 Google Cloud 控制台的「VPN」VPN頁面。

前往 VPN
在「Cloud VPN 通道」分頁中，選取一或多個 Cloud VPN 通道，然後在清單頂端的選取列中，按一下「管理流量記錄」。
在「管理工作流程記錄」中，按一下「新增設定」。
在「名稱」中，輸入新的虛擬私有雲流量記錄設定名稱。
選用：調整「進階設定」部分中的「匯總間隔」和其他設定：
- 是否要設定記錄篩選功能。根據預設，系統會取消選取「只保留符合篩選條件的記錄」。
- 是否要在最終記錄項目中加入中繼資料。根據預設，「中繼資料註解」會包含所有欄位。
- 次級取樣率。100% 表示會保留初級流量記錄取樣程序產生的所有項目。主要流量記錄檔取樣率無法設定。詳情請參閱「記錄檔取樣與處理」。
按一下 [儲存]。

gcloud

如要為 Cloud VPN 通道啟用虛擬私有雲流量記錄，請使用 gcloud network-management vpc-flow-logs-configs create 指令。

如要啟用虛擬私有雲流量記錄，請建立虛擬私有雲流量記錄設定。您可以建立設定，並將所有參數設為預設值，也可以自訂預設值。

在 gcloud CLI 中，將專案設為 Cloud VPN 通道的Google Cloud 專案 ID，然後執行下列任一指令：

如要建立預設的虛擬私有雲流量記錄設定，請執行下列指令：

gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --vpn-tunnel=VPN_TUNNEL

如要建立自訂 VPC 流程記錄設定，請指定要自訂的每個參數。

舉例來說，如要在建立 VPC 流量記錄檔設定時自訂匯總間隔、篩選、次級取樣率和中繼資料參數，請執行下列指令：
```
gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --vpn-tunnel=VPN_TUNNEL \
    --aggregation-interval=AGGREGATION_INTERVAL \
    --filter-expr=FILTER_EXPRESSION \
    --flow-sampling=SAMPLING_RATE \
    --metadata=LOGGING_METADATA
```
更改下列內容：
- CONFIG_NAME：設定名稱。
- VPN_TUNNEL：您要記錄的 Cloud VPN 通道。必須使用下列格式指定：projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME，其中：
  - PROJECT_ID 是包含 Cloud VPN 通道的 Google Cloud 專案 ID。您必須在這個專案中建立設定。
  - REGION 是 Cloud VPN 通道的區域。
  - NAME 是 Cloud VPN 通道的名稱。
如要在自訂設定中設定選用參數，請取代下列項目：
- AGGREGATION_INTERVAL：由此設定產生的流量記錄匯總間隔。這個參數可設為 interval-5-sec(預設)、interval-30-sec、interval-1-min、interval-5-min、interval-10-min 或 interval-15-min。
- FILTER_EXPRESSION：這個運算式會定義要保留哪些記錄。運算式長度上限為 2,048 個半形字元。詳情請參閱「篩選記錄」。
- SAMPLING_RATE：次級流程取樣率。這個參數可以設為大於 0.0 到 1.0 (所有記錄，預設值)。詳情請參閱「記錄檔取樣與處理」。
- LOGGING_METADATA：您要在記錄中加入的中繼資料註解：
  - 使用 include-all-metadata 加入所有中繼資料註解 (預設)。
  - 使用 exclude-all-metadata 排除所有中繼資料註解。
  - 使用 custom-metadata 加入中繼資料欄位的自訂清單。如要指定中繼資料欄位，請使用 --metadata-fields 標記：
    - --metadata-fields=METADATA_FIELDS：將 METADATA_FIELDS 替換為您要納入記錄的中繼資料欄位清單 (以半形逗號分隔)。例如：src_instance,dst_instance。只有在 metadata 設為 custom-metadata 時，才能設定。

Terraform

您可以使用 Terraform 模組為 Cloud VPN 通道建立虛擬私有雲流量記錄設定。

下列程式碼區塊會建立預設的虛擬私有雲流量記錄設定。

resource "google_network_management_vpc_flow_logs_config" "vpc_flow_logs_config" {
  vpc_flow_logs_config_id = "vpcflowlogs-config"
  location                = "global"
  vpn_tunnel              = google_compute_vpn_tunnel.tunnel.id
}

上述範例假設 google_compute_vpn_tunnel 資源的名稱為 tunnel。如需此設定的完整範例，請參閱 terraform-docs-samples 存放區。

下列程式碼區塊會建立虛擬私有雲流量記錄設定，其中：

匯總時間間隔設為 INTERVAL_10_MIN。
次要流程取樣率設為 0.7。
將要納入記錄檔的中繼資料設為 INCLUDE_ALL_METADATA。
設定狀態已設為 ENABLED。

resource "google_network_management_vpc_flow_logs_config" "vpc_flow_logs_config" {
  vpc_flow_logs_config_id = "vpcflowlogs-config"
  location                = "global"
  vpn_tunnel              = google_compute_vpn_tunnel.tunnel.id
  aggregation_interval    = "INTERVAL_10_MIN"
  description             = "VPC Flow Logs over a VPN Gateway."
  flow_sampling           = 0.7
  metadata                = "INCLUDE_ALL_METADATA"
  state                   = "ENABLED"
}

上述範例假設 google_compute_vpn_tunnel 資源的名稱為 tunnel。如需此設定的完整範例，請參閱 terraform-docs-samples 存放區。

如要瞭解如何套用或移除 Terraform 設定，請參閱「基本 Terraform 指令」。

API

如要為 Cloud VPN 通道啟用虛擬私有雲流量記錄，請使用 projects.locations.vpcFlowLogsConfigs.create 方法。

如要啟用虛擬私有雲流量記錄，請建立虛擬私有雲流量記錄設定。您可以建立設定，並將所有參數設為預設值，也可以自訂預設值。

如要建立預設的虛擬私有雲流量記錄設定，請在 API 要求中加入下列參數：

POST https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "vpnTunnel": "VPN_TUNNEL"
}

如要建立自訂 VPC 流程記錄設定，請指定要自訂的每個參數。

舉例來說，如要在建立 VPC 流量記錄設定時自訂匯總間隔、篩選、次要取樣率和中繼資料參數，請在 API 要求中加入下列參數：

POST https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "vpnTunnel": "VPN_TUNNEL",
  "aggregationInterval": "AGGREGATION_INTERVAL",
  "filterExpr": "FILTER_EXPRESSION",
  "flowSampling": SAMPLING_RATE,
  "metadata": "LOGGING_METADATA"
}

更改下列內容：

PROJECT_ID：Cloud VPN 通道的 Google Cloud 專案 ID。
CONFIG_NAME：設定的名稱。
VPN_TUNNEL：您要記錄的 Cloud VPN 通道。必須採用下列格式：projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME，其中：
- PROJECT_ID 是 Cloud VPN 通道的專案 ID。
- REGION 是 Cloud VPN 通道的區域。
- NAME 是 Cloud VPN 通道的名稱。

如要在自訂設定中設定選用參數，請取代下列內容：

AGGREGATION_INTERVAL：由此設定產生的流量記錄匯總間隔。這個參數可設為 INTERVAL_5_SEC (預設)、INTERVAL_30_SEC、INTERVAL_1_MIN、INTERVAL_5_MIN、INTERVAL_10_MIN 或 INTERVAL_15_MIN。
FILTER_EXPRESSION：這個運算式會定義要保留哪些記錄。運算式長度上限為 2,048 個半形字元。詳情請參閱「篩選記錄」。
SAMPLING_RATE：次級流程取樣率。這個參數可以設為大於 0.0 到 1.0 (所有記錄，預設值)。詳情請參閱「記錄檔取樣與處理」。
LOGGING_METADATA：您要在記錄中加入的中繼資料註解：
- 使用 INCLUDE_ALL_METADATA 加入所有中繼資料註解 (預設)。
- 使用 EXCLUDE_ALL_METADATA 排除所有中繼資料註解。
- 使用 CUSTOM_METADATA 加入中繼資料欄位的自訂清單。如要指定中繼資料欄位，請使用 metadataFields 參數：
  - metadataFields: METADATA_FIELDS：將 METADATA_FIELDS 替換為以半形逗號分隔的清單，其中包含您要納入記錄的中繼資料欄位。例如：src_instance,dst_instance。只有在 metadata 設為 CUSTOM_METADATA 時，才能設定。

為虛擬私有雲網路啟用虛擬私有雲流量記錄

如要為虛擬私有雲網路中的所有子網路、VLAN 連結和 Cloud VPN 通道啟用虛擬私有雲流量記錄，請執行下列操作。

主控台

在 Google Cloud 控制台中，前往「VPC Networks」(虛擬私有雲網路) 頁面。

前往「VPC networks」(虛擬私有雲網路)
在「Current project networks」分頁中選取一或多個網路，然後按一下清單頂端的「Manage flow logs」。
在「管理工作流程記錄」中，按一下「新增設定」。
在「名稱」中，輸入新的虛擬私有雲流量記錄設定名稱。
選用：調整「進階設定」部分中的「匯總間隔」和其他設定：
- 是否要設定記錄篩選功能。根據預設，系統會取消選取「只保留符合篩選條件的記錄」。
- 是否要在最終記錄項目中加入中繼資料。根據預設，「中繼資料註解」會包含所有欄位。
- 次級取樣率。100% 表示會保留初級流量記錄取樣程序產生的所有項目。主要流量記錄檔取樣率無法設定。詳情請參閱「記錄檔取樣與處理」。
按一下 [儲存]。

gcloud

如要為 VPC 網路啟用虛擬私有雲流量記錄，請使用 gcloud beta network-management vpc-flow-logs-configs create 指令。

您可以建立虛擬私有雲流量記錄設定，啟用虛擬私有雲流量記錄。您可以建立設定，並將所有參數設為預設值，也可以自訂預設值。

在 gcloud CLI 中，將專案設為 VPC 網路的Google Cloud 專案 ID，然後執行下列指令之一：

如要建立預設的虛擬私有雲流量記錄設定，請執行下列指令：

gcloud beta network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --network=NETWORK

如要建立自訂 VPC 流程記錄設定，請指定要自訂的每個參數。

舉例來說，如要在建立 VPC 流量記錄檔設定時自訂匯總間隔、篩選、次級取樣率和中繼資料參數，請執行下列指令：
```
gcloud beta network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --network=NETWORK \
    --aggregation-interval=AGGREGATION_INTERVAL \
    --filter-expr=FILTER_EXPRESSION \
    --flow-sampling=SAMPLING_RATE \
    --metadata=LOGGING_METADATA
```
更改下列內容：
- CONFIG_NAME：設定名稱。
- NETWORK：您要記錄的虛擬私有雲端網路。必須使用下列格式指定：projects/PROJECT_ID/global/networks/NAME，其中：
  - PROJECT_ID 是含有虛擬私人雲端網路的 Google Cloud 專案 ID。您必須在這個專案中建立設定。
  - NAME 是虛擬私有雲網路的名稱。
如要在自訂設定中設定選用參數，請取代下列項目：
- AGGREGATION_INTERVAL：由此設定產生的流量記錄匯總間隔。這個參數可設為 interval-5-sec(預設)、interval-30-sec、interval-1-min、interval-5-min、interval-10-min 或 interval-15-min。
- FILTER_EXPRESSION：這個運算式會定義要保留哪些記錄。運算式長度上限為 2,048 個半形字元。詳情請參閱「篩選記錄」。
- SAMPLING_RATE：次級流程取樣率。這個參數可以設為大於 0.0 到 1.0 (所有記錄，預設值)。詳情請參閱「記錄檔取樣與處理」。
- LOGGING_METADATA：您要在記錄中加入的中繼資料註解：
  - 使用 include-all-metadata 加入所有中繼資料註解 (預設)。
  - 使用 exclude-all-metadata 排除所有中繼資料註解。
  - 使用 custom-metadata 加入中繼資料欄位的自訂清單。如要指定中繼資料欄位，請使用 --metadata-fields 標記：
    - --metadata-fields=METADATA_FIELDS：將 METADATA_FIELDS 替換為您要納入記錄的中繼資料欄位清單 (以半形逗號分隔)。例如：src_instance,dst_instance。只有在 metadata 設為 custom-metadata 時，才能設定。

API

如要為 VPC 網路啟用 VPC 流量記錄，請使用 projects.locations.vpcFlowLogsConfigs.create 方法。

如要啟用虛擬私有雲流量記錄，請建立虛擬私有雲流量記錄設定。您可以建立設定，並將所有參數設為預設值，也可以自訂預設值。

如要建立預設的虛擬私有雲流量記錄設定，請在 API 要求中加入下列參數：

POST https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "network": "NETWORK"
}

如要建立自訂 VPC 流程記錄設定，請指定要自訂的每個參數。

舉例來說，如要在建立 VPC 流量記錄檔設定時自訂匯總間隔、篩選、次級取樣率和中繼資料參數，請在 API 要求中加入下列參數：

POST https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "network": "NETWORK",
  "aggregationInterval": "AGGREGATION_INTERVAL",
  "filterExpr": "FILTER_EXPRESSION",
  "flowSampling": SAMPLING_RATE,
  "metadata": "LOGGING_METADATA"
}

更改下列內容：

PROJECT_ID：VPC 網路的 Google Cloud 專案 ID。
CONFIG_NAME：設定名稱。
NETWORK：您要記錄的虛擬私有雲網路。必須採用下列格式指定：projects/PROJECT_ID/global/networks/NAME，其中：
- PROJECT_ID 是 VPC 網路的專案 ID。
- NAME 是虛擬私有雲網路的名稱。

如要在自訂設定中設定選用參數，請取代下列內容：

AGGREGATION_INTERVAL：由此設定產生的流量記錄匯總間隔。這個參數可設為 INTERVAL_5_SEC (預設)、INTERVAL_30_SEC、INTERVAL_1_MIN、INTERVAL_5_MIN、INTERVAL_10_MIN 或 INTERVAL_15_MIN。
FILTER_EXPRESSION：這個運算式會定義要保留哪些記錄。運算式長度上限為 2,048 個半形字元。詳情請參閱「篩選記錄」。
SAMPLING_RATE：次級流程取樣率。這個參數可以設為大於 0.0 到 1.0 (所有記錄，預設值)。詳情請參閱「記錄檔取樣與處理」。
LOGGING_METADATA：您要在記錄中加入的中繼資料註解：
- 使用 INCLUDE_ALL_METADATA 加入所有中繼資料註解 (預設)。
- 使用 EXCLUDE_ALL_METADATA 排除所有中繼資料註解。
- 使用 CUSTOM_METADATA 加入中繼資料欄位的自訂清單。如要指定中繼資料欄位，請使用 metadataFields 參數：
  - metadataFields: METADATA_FIELDS：將 METADATA_FIELDS 替換為以半形逗號分隔的清單，其中包含您要納入記錄的中繼資料欄位。例如：src_instance,dst_instance。只有在 metadata 設為 CUSTOM_METADATA 時，才能設定。

為組織啟用虛擬私有雲流量記錄

如要為組織中的所有虛擬私有雲網路中的所有子網路、VLAN 連結和 Cloud VPN 通道啟用虛擬私有雲流量記錄，請執行下列操作。

主控台

在 Google Cloud 控制台中，前往「VPC Flow Logs」頁面。

前往「VPC Flow Logs」
按一下「新增虛擬私有雲流量記錄設定」，然後點選「新增組織的設定」。
在「名稱」中，輸入新的虛擬私有雲流量記錄設定名稱。
選用：調整「進階設定」部分中的「匯總間隔」和其他設定：
- 是否要設定記錄篩選功能。根據預設，系統會取消選取「只保留符合篩選條件的記錄」。
- 是否要加入跨專案註解。根據預設，系統會選取「跨專案中繼資料註解」。詳情請參閱「跨專案註解」。
- 是否要在最終記錄項目中加入中繼資料。根據預設，「中繼資料註解」會包含所有欄位。
- 次級取樣率。100% 表示會保留初級流量記錄取樣程序產生的所有項目。主要流量記錄檔取樣率無法設定。詳情請參閱「記錄檔取樣與處理」。
按一下 [儲存]。

gcloud

如要為組織啟用虛擬私有雲流量記錄，請使用 gcloud beta network-management vpc-flow-logs-configs create 指令。

如要啟用虛擬私有雲流量記錄，請建立虛擬私有雲流量記錄設定。您可以建立設定，並將所有參數設為預設值，也可以自訂預設值。

如要建立預設的虛擬私有雲流量記錄設定，請執行下列指令：

gcloud beta network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --organization=ORGANIZATION

如要建立自訂 VPC 流程記錄設定，請指定要自訂的每個參數。

舉例來說，如要在建立 VPC 流量記錄檔設定時自訂匯總間隔、篩選、次級取樣率和中繼資料參數，請執行下列指令：
```
gcloud beta network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --organization=ORGANIZATION \
    --aggregation-interval=AGGREGATION_INTERVAL \
    --filter-expr=FILTER_EXPRESSION \
    --flow-sampling=SAMPLING_RATE \
    --metadata=LOGGING_METADATA \
    --cross-project-metadata=CROSS_PROJECT_METADATA
```
更改下列內容：
- CONFIG_NAME：設定名稱
- ORGANIZATION：機構 ID
如要在自訂設定中設定選用參數，請取代下列項目：
- AGGREGATION_INTERVAL：由此設定產生的流量記錄匯總間隔。這個參數可設為 interval-5-sec(預設)、interval-30-sec、interval-1-min、interval-5-min、interval-10-min 或 interval-15-min。
- FILTER_EXPRESSION：這個運算式會定義要保留哪些記錄。運算式長度上限為 2,048 個半形字元。詳情請參閱「篩選記錄」。
- SAMPLING_RATE：次級流程取樣率。這個參數可以設為大於 0.0 到 1.0 (所有記錄，預設值)。詳情請參閱「記錄檔取樣與處理」。
- LOGGING_METADATA：您要在記錄中加入的中繼資料註解：
  - 使用 include-all-metadata 加入所有中繼資料註解 (預設)。
  - 使用 exclude-all-metadata 排除所有中繼資料註解。
  - 使用 custom-metadata 加入中繼資料欄位的自訂清單。如要指定中繼資料欄位，請使用 --metadata-fields 標記：
    - --metadata-fields=METADATA_FIELDS：將 METADATA_FIELDS 替換為您要納入記錄的中繼資料欄位清單 (以半形逗號分隔)。例如：src_instance,dst_instance。只有在 metadata 設為 custom-metadata 時，才能設定。
- CROSS_PROJECT_METADATA：跨專案註解。可設為 cross-project-metadata-enabled (預設) 或 cross-project-metadata-disabled。詳情請參閱「跨專案註解」。

API

如要為組織啟用虛擬私有雲流量記錄，請使用 organizations.locations.vpcFlowLogsConfigs.create 方法。

如要啟用虛擬私有雲流量記錄，請建立虛擬私有雲流量記錄設定。您可以建立設定，並將所有參數設為預設值，也可以自訂預設值。

如要建立預設的虛擬私有雲流量記錄設定，請在 API 要求中加入下列參數：

POST -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1beta1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME

如要建立自訂 VPC 流程記錄設定，請指定要自訂的每個參數。

舉例來說，如要在建立 VPC 流量記錄檔設定時自訂匯總間隔、篩選、次級取樣率和中繼資料參數，請在 API 要求中加入下列參數：

POST -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1beta1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "aggregationInterval": "AGGREGATION_INTERVAL",
  "filterExpr": "FILTER_EXPRESSION",
  "flowSampling": SAMPLING_RATE,
  "metadata": "LOGGING_METADATA",
  "crossProjectMetadata": "CROSS_PROJECT_METADATA"
}

更改下列內容：

PROJECT_ID：配額專案的 ID。API 要求會計入此專案。Network Management API 的配額值已設為每分鐘 1,200 個要求，適用於專案和機構層級配額。
ORGANIZATION_ID：機構 ID。
CONFIG_NAME：設定名稱。

如要在自訂設定中設定選用參數，請取代下列內容：

AGGREGATION_INTERVAL：由此設定產生的流量記錄匯總間隔。這個參數可設為 INTERVAL_5_SEC (預設)、INTERVAL_30_SEC、INTERVAL_1_MIN、INTERVAL_5_MIN、INTERVAL_10_MIN 或 INTERVAL_15_MIN。
FILTER_EXPRESSION：這個運算式會定義要保留哪些記錄。運算式長度上限為 2,048 個半形字元。詳情請參閱「篩選記錄」。
SAMPLING_RATE：次級流程取樣率。這個參數可以設為大於 0.0 到 1.0 (所有記錄，預設值)。詳情請參閱「記錄檔取樣與處理」。
LOGGING_METADATA：您要在記錄中加入的中繼資料註解：
- 使用 INCLUDE_ALL_METADATA 加入所有中繼資料註解 (預設)。
- 使用 EXCLUDE_ALL_METADATA 排除所有中繼資料註解。
- 使用 CUSTOM_METADATA 加入中繼資料欄位的自訂清單。如要指定中繼資料欄位，請使用 metadataFields 參數：
  - metadataFields: METADATA_FIELDS：將 METADATA_FIELDS 替換為以半形逗號分隔的清單，其中包含您要納入記錄的中繼資料欄位。例如：src_instance,dst_instance。只有在 metadata 設為 CUSTOM_METADATA 時，才能設定。

CROSS_PROJECT_METADATA：跨專案註解。可設為 CROSS_PROJECT_METADATA_ENABLED (預設) 或 CROSS_PROJECT_METADATA_DISABLED。詳情請參閱「跨專案註解」。

為組織啟用虛擬私有雲流程記錄後，系統會寫入流程記錄，並向回報流程記錄的資源 Google Cloud 專案收費。詳情請參閱「定價和帳單」。

查看虛擬私有雲流量記錄設定狀態

您可以查看資源的虛擬私有雲流量記錄設定，瞭解哪些資源已啟用虛擬私有雲流量記錄。

查看虛擬私有雲流量記錄設定

主控台

如要查看所有虛擬私有雲流量記錄設定，請按照下列步驟操作：

在 Google Cloud 控制台中，前往「VPC Flow Logs」頁面。

前往「VPC Flow Logs」
在「組織層級設定」和「專案層級設定」部分，查看目前啟用和暫停的設定。如果資源的 VPC 流量記錄設定狀態為「開啟」，表示已啟用記錄功能。

您也可以在資源頁面的「流量記錄設定」欄中查看虛擬私有雲流量記錄設定。舉例來說，如要查看哪些虛擬私有雲網路和子網路設有虛擬私有雲流量記錄設定，請按照下列步驟操作：

前往「VPC 網路」頁面。

前往「VPC networks」(虛擬私有雲網路)
按一下「目前專案中的網路」或「目前專案中的子網路」分頁，然後在「流量記錄設定」欄中查看目前啟用和暫停的虛擬私有雲流量記錄設定。

gcloud

如要查看虛擬私有雲流量記錄設定，請使用 gcloud network-management vpc-flow-logs-configs list 和 gcloud network-management vpc-flow-logs-configs describe 指令。

查看機構層級設定 (預先發布版)

如要查看機構的所有虛擬私有雲流量記錄設定，請執行下列指令：

gcloud beta network-management vpc-flow-logs-configs list --location=global \
    --organization=ORGANIZATION

如要查看特定的虛擬私有雲流量記錄設定，請執行下列指令：
```
gcloud beta network-management vpc-flow-logs-configs describe CONFIG_NAME \
    --location=global \
    --organization=ORGANIZATION
```
更改下列內容：
- ORGANIZATION：機構 ID
- CONFIG_NAME：設定名稱

查看專案層級設定

如要查看專案中的所有虛擬私有雲流量記錄設定，請執行下列指令：
```
gcloud network-management vpc-flow-logs-configs list --location=global
```
如要查看特定的虛擬私有雲流量記錄設定，請執行下列指令：
```
gcloud network-management vpc-flow-logs-configs describe CONFIG_NAME \
    --location=global
```
將 CONFIG_NAME 替換為您要查看的虛擬私有雲流量記錄設定名稱。

如要查看虛擬私有雲網路和子網路的虛擬私有雲流量記錄設定，請使用這些指令的 Beta 版。

API

查看機構層級設定 (預先發布版)

如要查看機構的所有虛擬私有雲流量記錄設定，請使用 organizations.locations.vpcFlowLogsConfigs.list 方法：

GET -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1beta1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs

如要查看組織的特定虛擬私有雲流量記錄設定，請使用 organizations.locations.vpcFlowLogsConfigs.get 方法：
```
GET -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1beta1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME
```
更改下列內容：
- PROJECT_ID：配額專案的 ID。API 要求會計入此專案。
- ORGANIZATION_ID：機構 ID。
- CONFIG_NAME：設定名稱。
如果您缺少執行上述機構層級工作所需的權限，可以使用以下要求查看機構的所有虛擬私有雲流量記錄設定：
```
GET https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs:queryOrgVpcFlowLogsConfigs
```
將 PROJECT_ID 替換為專案 ID。

查看專案層級設定

如要查看專案中的所有虛擬私有雲流量記錄設定，請使用 projects.locations.vpcFlowLogsConfigs.list 方法：
```
GET https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs
```
如要查看特定的虛擬私有雲流量記錄設定，請使用 projects.locations.vpcFlowLogsConfigs.get 方法：
```
GET https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME
```
更改下列內容：
- PROJECT_ID：專案 ID
- CONFIG_NAME：虛擬私有雲流量記錄設定的名稱
如要查看虛擬私有雲網路和子網路的虛擬私有雲流量記錄設定，請使用這些要求的 v1beta1 版。

查看網路中哪些子網路已啟用虛擬私有雲流量記錄

本節說明如何查看 Compute Engine API 管理的子網路虛擬私有雲流量記錄設定。如要查看所有虛擬私有雲流量記錄設定，請參閱「查看虛擬私有雲流量記錄設定」。

主控台

在 Google Cloud 控制台中，前往「VPC Flow Logs」頁面。

前往「VPC Flow Logs」
在「專案層級設定」部分，按一下「子網路 (Compute Engine API)」分頁標籤，查看專案中哪些子網路已啟用虛擬私有雲流量記錄。

這些設定由 Compute Engine API 管理。由 Network Management API 管理的設定會顯示在「子網路」分頁中。

gcloud

如要查看虛擬私有雲網路中哪些子網路已啟用虛擬私有雲流量記錄，請執行下列指令：

gcloud compute networks subnets list \
    --project PROJECT_ID \
    --network="NETWORK" \
    --format="csv(name,region,logConfig.enable)"

更改下列內容：

PROJECT_ID：您要查詢的專案 ID
NETWORK：包含子網路的網路名稱

更新虛擬私有雲流量記錄設定

您可以更新虛擬私有雲流量記錄設定。如要進一步瞭解可修改的參數，請參閱「記錄取樣和處理」。

更新組織層級設定

更新組織的虛擬私有雲流量記錄設定 (預先發布) 會將修改後的設定套用至組織中所有虛擬私有雲網路中的所有子網路、VLAN 連結和 Cloud VPN 通道。

主控台

在 Google Cloud 控制台中，前往「VPC Flow Logs」頁面。

前往「VPC Flow Logs」
在「機構層級設定」部分中，選取一或多個要更新的設定，然後按一下「編輯」。
調整下列任一項目：
- 匯總時間間隔。匯總時間間隔預設為 5 秒。
- 是否將 VPC 流量記錄設定的「狀態」設為開啟或關閉。「開啟」狀態表示所選的 VPC 流量記錄設定處於啟用狀態，並會產生流量記錄。
- 是否要設定記錄篩選功能。根據預設，系統會取消選取「只保留符合篩選條件的記錄」。
- 是否要加入跨專案註解。根據預設，系統會選取「跨專案中繼資料註解」。詳情請參閱「跨專案註解」。
- 是否要在最終記錄項目中加入中繼資料。根據預設，「中繼資料註解」會包含所有欄位。
- 次級取樣率。100% 表示會保留初級流量記錄取樣程序產生的所有項目。主要流量記錄檔取樣率無法設定。詳情請參閱「記錄檔取樣與處理」。
按一下 [儲存]。

gcloud

使用 gcloud beta network-management vpc-flow-logs-configs update 指令。下列指令中的方括號 [] 表示選用參數。

如要更新組織的虛擬私有雲流量記錄設定，請執行下列指令：

gcloud beta network-management vpc-flow-logs-configs update CONFIG_NAME \
    --location=global \
    --organization=ORGANIZATION \
    [--aggregation-interval=AGGREGATION_INTERVAL] \
    [--filter-expr=FILTER_EXPRESSION] \
    [--flow-sampling=SAMPLING_RATE] \
    [--metadata=LOGGING_METADATA] \
    [--cross-project-metadata=CROSS_PROJECT_METADATA] \
    [--state=STATE]

舉例來說，如要更新匯總間隔參數，請執行下列指令：

gcloud beta network-management vpc-flow-logs-configs update CONFIG_NAME \
    --location=global \
    --organization=ORGANIZATION \
    --aggregation-interval=AGGREGATION_INTERVAL

更改下列內容：

ORGANIZATION：機構 ID。
CONFIG_NAME：您要更新的設定名稱。設定會位於與所用資源相同的 Google Cloud 專案中。

如要更新選用參數，請取代下列項目：

AGGREGATION_INTERVAL：由此設定產生的流量記錄匯總間隔。這個參數可設為 interval-5-sec(預設)、interval-30-sec、interval-1-min、interval-5-min、interval-10-min 或 interval-15-min。
FILTER_EXPRESSION：這個運算式會定義要保留哪些記錄。運算式長度上限為 2,048 個半形字元。詳情請參閱「篩選記錄」。
SAMPLING_RATE：次級流程取樣率。這個參數可以設為大於 0.0 到 1.0 (所有記錄，預設值)。詳情請參閱「記錄檔取樣與處理」。
LOGGING_METADATA：您要在記錄中加入的中繼資料註解：
- 使用 include-all-metadata 加入所有中繼資料註解 (預設)。
- 使用 exclude-all-metadata 排除所有中繼資料註解。
- 使用 custom-metadata 加入中繼資料欄位的自訂清單。如要指定中繼資料欄位，請使用 --metadata-fields 標記：
  - --metadata-fields=METADATA_FIELDS：將 METADATA_FIELDS 替換為您要納入記錄的中繼資料欄位清單 (以半形逗號分隔)。例如：src_instance,dst_instance。只有在 metadata 設為 custom-metadata 時，才能設定。
CROSS_PROJECT_METADATA：跨專案註解。可設為 cross-project-metadata-enabled (預設) 或 cross-project-metadata-disabled。詳情請參閱「跨專案註解」。
STATE：設定的狀態。可以是 enabled (預設) 或 disabled。

API

請使用 organizations.locations.vpcFlowLogsConfigs.patch 方法。如要瞭解可修改的欄位，請參閱 REST 資源：projects.locations.vpcFlowLogsConfigs。

如要更新組織的虛擬私有雲流量記錄設定，請在 API 要求中加入下列參數：

PATCH -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1beta1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME?updateMask=FIELDS
{
  ...fields to modify
}

更改下列內容：

PROJECT_ID：配額專案的 ID。API 要求會計入此專案。Network Management API 的配額值已設為每分鐘 1,200 個要求，適用於專案和機構層級配額。
ORGANIZATION_ID：設定所用機構的 ID。
CONFIG_NAME：您要更新的設定名稱。
FIELDS：要更新的欄位名稱，以半形逗號分隔，例如 aggregationInterval,flowSampling,metadata。

舉例來說，如要更新 my-organization 中設定 my-config 的 aggregationInterval 欄位，請使用下列 API 要求：

PATCH -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1beta1/organizations/my-organization/locations/global/vpcFlowLogsConfigs/my-config?updateMask=aggregationInterval
{
  aggregationInterval:AGGREGATION_INTERVAL
}

更改下列內容：

PROJECT_ID：配額專案的 ID。API 要求會計入此專案。
AGGREGATION_INTERVAL 與此參數支援的任何值。

更新專案層級設定

專案層級設定包括 VPC 網路 (預先發布)、子網路 (預先發布)、VLAN 連結和 Cloud VPN 通道。更新虛擬私有雲網路的虛擬私有雲流量記錄設定後，系統會將修改後的設定套用至網路中的所有子網路、VLAN 連結和 Cloud VPN 通道。

如要更新由 Compute Engine API 管理的虛擬私有雲流量記錄設定，請參閱「更新子網路的設定參數」。

主控台

在 Google Cloud 控制台中，前往「VPC Flow Logs」頁面。

前往「VPC Flow Logs」
在「專案層級設定」部分中，選取要更新的一或多個設定，然後按一下「編輯」。
調整下列任一項目：
- 匯總時間間隔。匯總時間間隔預設為 5 秒。
- 是否將 VPC 流量記錄設定的「狀態」設為開啟或關閉。「開啟」狀態表示所選的 VPC 流量記錄設定處於啟用狀態，並會產生流量記錄。
- 是否要設定記錄篩選功能。根據預設，系統會取消選取「只保留符合篩選條件的記錄」。
- 是否要在最終記錄項目中加入中繼資料。根據預設，「中繼資料註解」會包含所有欄位。
- 次級取樣率。100% 表示會保留初級流量記錄取樣程序產生的所有項目。主要流量記錄檔取樣率無法設定。詳情請參閱「記錄檔取樣與處理」。
按一下 [儲存]。

您也可以在下列位置使用「管理流程記錄」選單，編輯虛擬私有雲流程記錄設定：

「VPC networks」頁面中的「Networks in current project」和「Subnets in current project」分頁
「Interconnect」頁面中的「VLAN attachments」分頁
「VPN」VPN頁面中的「VPN 通道」分頁

gcloud

使用 gcloud network-management vpc-flow-logs-configs update 和 gcloud beta network-management vpc-flow-logs-configs update 指令。下列指令中的方括號 [] 表示選用參數。

如要更新虛擬私有雲網路或子網路的虛擬私有雲流量記錄設定 (預先發布)，請執行下列指令：

gcloud beta network-management vpc-flow-logs-configs update CONFIG_NAME \
    --location=global \
    [--network=NETWORK | --subnet=SUBNET] \
    [--aggregation-interval=AGGREGATION_INTERVAL] \
    [--filter-expr=FILTER_EXPRESSION] \
    [--flow-sampling=SAMPLING_RATE] \
    [--metadata=LOGGING_METADATA] \
    [--state=STATE]

如要更新 VLAN 連結或 Cloud VPN 通道的虛擬私有雲流量記錄設定，請執行下列指令：

gcloud network-management vpc-flow-logs-configs update CONFIG_NAME \
    --location=global \
    [--interconnect-attachment=VLAN_ATTACHMENT | --vpn-tunnel=VPN_TUNNEL] \
    [--aggregation-interval=AGGREGATION_INTERVAL] \
    [--filter-expr=FILTER_EXPRESSION] \
    [--flow-sampling=SAMPLING_RATE] \
    [--metadata=LOGGING_METADATA] \
    [--state=STATE]

舉例來說，如要更新 VLAN 連結或 Cloud VPN 通道的匯總間隔參數，請執行下列指令：

gcloud network-management vpc-flow-logs-configs update CONFIG_NAME \
    --location=global \
    --aggregation-interval=AGGREGATION_INTERVAL

更改下列內容：

CONFIG_NAME：您要更新的設定名稱。設定位於與所用資源相同的 Google Cloud 專案中。

如要更新選用參數，請取代下列項目：

NETWORK、SUBNET、VLAN_ATTACHMENT 或 VPN_TUNNEL：目標資源的名稱。每個設定只能指定一個資源。使用這個選項可更新目標資源的名稱。格式必須如下：
- 虛擬私有雲網路：projects/PROJECT_ID/global/networks/NAME
- 子網路： projects/PROJECT_ID/regions/REGION/subnetworks/NAME
- VLAN 連結： projects/PROJECT_ID/regions/REGION/interconnectAttachments/NAME
- Cloud VPN 通道： projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME
- 替換下列內容：
  - PROJECT_ID：包含資源的 Google Cloud 專案 ID。
  - REGION：資源的區域。
  - NAME：資源名稱。
AGGREGATION_INTERVAL：由此設定產生的流量記錄匯總間隔。這個參數可設為 interval-5-sec(預設)、interval-30-sec、interval-1-min、interval-5-min、interval-10-min 或 interval-15-min。
FILTER_EXPRESSION：這個運算式會定義要保留哪些記錄。運算式長度上限為 2,048 個半形字元。詳情請參閱「篩選記錄」。
SAMPLING_RATE：次級流程取樣率。這個參數可以設為大於 0.0 到 1.0 (所有記錄，預設值)。詳情請參閱「記錄檔取樣與處理」。
LOGGING_METADATA：您要在記錄中加入的中繼資料註解：
- 使用 include-all-metadata 加入所有中繼資料註解 (預設)。
- 使用 exclude-all-metadata 排除所有中繼資料註解。
- 使用 custom-metadata 加入中繼資料欄位的自訂清單。如要指定中繼資料欄位，請使用 --metadata-fields 標記：
  - --metadata-fields=METADATA_FIELDS：將 METADATA_FIELDS 替換為您要納入記錄的中繼資料欄位清單 (以半形逗號分隔)。例如：src_instance,dst_instance。只有在 metadata 設為 custom-metadata 時，才能設定。
STATE：設定的狀態。可以是 enabled (預設) 或 disabled。

API

請使用 projects.locations.vpcFlowLogsConfigs.patch 和 projects.locations.vpcFlowLogsConfigs.patch (v1beta1) 方法。如要瞭解可修改的欄位，請參閱 REST 資源：projects.locations.vpcFlowLogsConfigs。

如要更新 VPC 網路或子網路的虛擬私有雲流量記錄設定 (預先發布版)，請在 API 要求中加入下列參數：

PATCH https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME?updateMask=FIELDS
{
  ...fields to modify
}

如要更新 VLAN 連結或 Cloud VPN 通道的虛擬私有雲流量記錄設定，請在 API 要求中加入下列參數：

PATCH https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME?updateMask=FIELDS
{
  ...fields to modify
}

更改下列內容：

PROJECT_ID：包含虛擬私有雲流量記錄設定的 Google Cloud 專案 ID。這個 ID 與所用設定的資源專案 ID 相同。
CONFIG_NAME：您要更新的設定名稱。
FIELDS：要更新的欄位名稱，以半形逗號分隔，例如 aggregationInterval,flowSampling,metadata。

舉例來說，如要更新 my-project 中設定 my-config 的 aggregationInterval 欄位，請使用下列 API 要求：

PATCH https://networkmanagement.googleapis.com/v1/projects/my-project/locations/global/vpcFlowLogsConfigs/my-config?updateMask=aggregationInterval
{
  aggregationInterval:AGGREGATION_INTERVAL
}

將 AGGREGATION_INTERVAL 替換為這個參數支援的任何值。

更新子網路的設定參數

本節說明如何更新由 Compute Engine API 管理的虛擬私有雲流量記錄設定。

如要查看 Compute Engine API 管理的虛擬私有雲流量記錄設定，請參閱「查看網路中哪些子網路已啟用虛擬私有雲流量記錄」。

主控台

在 Google Cloud 控制台中，前往「VPC Networks」(虛擬私有雲網路) 頁面。

前往「VPC networks」(虛擬私有雲網路)
在「目前專案中的子網路」下方，按一下要更新的子網路。
按一下 [編輯]。
選用：調整下列任一設定：
- 匯總時間間隔。匯總時間間隔預設為 5 秒。
- 是否要設定記錄篩選功能。根據預設，系統會取消選取「只保留符合篩選條件的記錄」。
- 是否要在最終記錄項目中加入中繼資料。根據預設，「中繼資料註解」會包含所有欄位。
- 次級取樣率。50% 表示系統會保留初級流量記錄檔取樣程序產生的一半項目。主要流量記錄檔取樣率無法設定。詳情請參閱「記錄檔取樣與處理」。
按一下 [儲存]。

或者，您也可以在「VPC 網路」頁面中，點選「目前專案中的子網路」下方的「管理流量記錄」選單，更新虛擬私有雲流量記錄設定參數。

gcloud

執行下列指令：

gcloud compute networks subnets update SUBNET_NAME \
    [--logging-aggregation-interval=AGGREGATION_INTERVAL] \
    [--logging-flow-sampling=SAMPLING_RATE] \
    [--logging-filter-expr=FILTER_EXPRESSION] \
    [--logging-metadata=LOGGING_METADATA] \
    [--logging-metadata-fields=METADATA_FIELDS] \

更改下列內容：

AGGREGATION_INTERVAL：該子網路中流程記錄的匯總間隔。您可以將這個間隔設定為下列任何一項：5 秒 (預設)、30 秒、1 分鐘、5 分鐘、10 分鐘或 15 分鐘。
SAMPLING_RATE：次級流程取樣率。您可以將次級流程取樣從 0.0 (無取樣) 設定為 1.0 (所有記錄)。預設值為 0.5。詳情請參閱「記錄檔取樣與處理」。
FILTER_EXPRESSION：定義要保留哪些記錄的運算式。運算式長度上限為 2,048 個半形字元。詳情請參閱「篩選記錄」。
LOGGING_METADATA：您要納入記錄中的中繼資料註解：
- 使用 include-all 納入所有中繼資料註解。
- 使用 exclude-all 排除所有中繼資料註解 (預設)。
- 使用 custom 加入您在 METADATA_FIELDS 中指定的中繼資料欄位自訂清單。
注意： 如果子網路在 2021 年 3 月 1 日前曾啟用流量記錄，且從未明確設定 LOGGING_METADATA，則 LOGGING_METADATA 的預設值為 include-all。
METADATA_FIELDS：以半形逗號分隔的清單，列出您要納入記錄的中繼資料欄位。例如：src_instance,dst_instance。只有在 LOGGING_METADATA 設為 custom 時，才能設定。

API

修改記錄取樣欄位，更新虛擬私有雲流量記錄行為。

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    ...fields to modify
  },
  "fingerprint": "SUBNET_FINGERPRINT"
}

更改下列內容：

PROJECT_ID：子網路所在專案的 ID。
REGION：子網路所在的地區。
SUBNET_NAME：現有子網路的名稱。
SUBNET_FINGERPRINT：現有子網路的指紋 ID，會在描述子網路時提供。
如要瞭解可修改的欄位，請參閱「在建立子網路時啟用虛擬私有雲流程記錄」。

詳情請參閱 subnetworks.patch 方法。

停止記錄收集

如要暫停收集資源的記錄，請關閉所有有效的虛擬私有雲流量記錄設定。

如果您不再需要虛擬私有雲流量記錄設定，可以刪除設定。記錄收集作業會停止，系統也會刪除相關設定。

如要停止記錄收集並刪除由 Compute Engine API 管理的虛擬私有雲流量記錄設定，請參閱為子網路停用虛擬私有雲流量記錄。

停用虛擬私有雲流量記錄設定

主控台

在 Google Cloud 控制台中，前往「VPC Flow Logs」頁面。

前往「VPC Flow Logs」
在「機構層級設定」或「專案層級設定」部分，選取要關閉的一或多個虛擬私有雲流量記錄設定，然後將設定狀態變更為「關閉」。

如果您選取的設定包含有效和無效的設定，請在「變更設定狀態」選單中按一下「關閉所有設定」。

gcloud

如要暫停收集虛擬私有雲流量記錄設定的記錄，請使用 gcloud network-management vpc-flow-logs-configs update 和 gcloud beta network-management vpc-flow-logs-configs update 指令。

暫停機構層級設定 (預先發布版)

gcloud beta network-management vpc-flow-logs-configs update CONFIG_NAME \
    --location=global \
    --organization=ORGANIZATION \
    --state=disabled

更改下列內容：

CONFIG_NAME：設定名稱
ORGANIZATION：機構 ID

暫停專案層級設定

gcloud network-management vpc-flow-logs-configs update CONFIG_NAME \
    --location=global \
    --state=disabled

將 CONFIG_NAME 替換為設定名稱。

如要暫停 VPC 網路或子網路的虛擬私有雲流量記錄設定，請使用這項指令的 Beta 版。

API

暫停機構層級設定 (預先發布版)

如要暫停收集記錄，請使用 organizations.locations.vpcFlowLogsConfigs.patch 方法。

PATCH -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1beta1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME?updateMask=state
{
  "state": "DISABLED"
}

更改下列內容：

PROJECT_ID：配額專案的 ID。API 要求會計入此專案。
ORGANIZATION_ID：機構 ID。
CONFIG_NAME：設定名稱。

暫停專案層級設定

如要暫停收集記錄，請使用 projects.locations.vpcFlowLogsConfigs.patch 方法。

PATCH https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME?updateMask=state
{
  "state": "DISABLED"
}

更改下列內容：

PROJECT_ID：包含設定的 Google Cloud 專案 ID。這個 ID 與所用設定的資源專案 ID 相同。
CONFIG_NAME：設定名稱。

如要暫停虛擬私有雲網路或子網路的虛擬私有雲流量記錄設定，請使用這項要求的 v1beta1 版本。

刪除虛擬私有雲流量記錄設定

主控台

在 Google Cloud 控制台中，前往「VPC Flow Logs」頁面。

前往「VPC Flow Logs」
在「機構層級設定」或「專案層級設定」部分中，選取要刪除的一或多個虛擬私有雲流量記錄設定，然後按一下「刪除」。

gcloud

如要刪除虛擬私有雲流量記錄設定，請使用 gcloud network-management vpc-flow-logs-configs delete 和 gcloud beta network-management vpc-flow-logs-configs delete 指令。

刪除機構層級設定 (預先發布版)

gcloud beta network-management vpc-flow-logs-configs delete CONFIG_NAME \
    --location=global \
    --organization=ORGANIZATION

更改下列內容：

CONFIG_NAME：設定名稱
ORGANIZATION：機構 ID

刪除專案層級設定

gcloud network-management vpc-flow-logs-configs delete CONFIG_NAME \
    --location=global

將 CONFIG_NAME 替換為要刪除的設定名稱。

如要刪除 VPC 網路或子網路的虛擬私有雲流量記錄設定，請使用這項指令的 Beta 版。

API

刪除機構層級設定 (預先發布版)

如要刪除虛擬私有雲流量記錄設定，請使用 organizations.locations.vpcFlowLogsConfigs.delete 方法。

DELETE -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1beta1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME

更改下列內容：

PROJECT_ID：配額專案的 ID。API 要求會計入此專案。
ORGANIZATION_ID：機構 ID。
CONFIG_NAME：設定名稱。

刪除專案層級設定

如要刪除虛擬私有雲流量記錄設定，請使用 projects.locations.vpcFlowLogsConfigs.delete 方法。

DELETE https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME

更改下列內容：

PROJECT_ID：包含設定的 Google Cloud 專案 ID
CONFIG_NAME：設定名稱

如要刪除 VPC 網路或子網路的虛擬私有雲流量記錄設定，請使用這項要求的 v1beta1 版。

針對子網路停用虛擬私有雲流量記錄

本節說明如何刪除由 Compute Engine API 管理的虛擬私有雲流量記錄設定。當您為子網路停用虛擬私有雲流量記錄時，系統會停止收集記錄，並刪除相關設定。

主控台

在 Google Cloud 控制台中，前往「VPC Networks」(虛擬私有雲網路) 頁面。

前往「VPC networks」(虛擬私有雲網路)
按一下要更新的子網路。
按一下 [編輯]。
針對「流量記錄」，選取「關閉」。
按一下 [儲存]。

gcloud

執行下列指令：

gcloud compute networks subnets update SUBNET_NAME \
    --no-enable-flow-logs

API

停用子網路上的虛擬私有雲流量記錄，停止收集記錄檔。

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    "enable": false
  },
  "fingerprint": "SUBNET_FINGERPRINT"
}

更改下列內容：

PROJECT_ID：子網路所在專案的 ID
REGION：子網路所在的區域
SUBNET_NAME：現有子網路的名稱
SUBNET_FINGERPRINT：現有子網路的指紋 ID，會在描述子網路時提供

詳情請參閱 subnetworks.patch 方法。

疑難排解

即使您已啟用子網路的流量記錄，但這些記錄似乎仍處於停用狀態

當您為內部應用程式負載平衡器設定僅代理程式的子網路，並使用 gcloud compute networks subnets 指令啟用虛擬私有雲端流程記錄時，指令似乎會成功，但實際上並未啟用流程記錄。如果您同時加入 --purpose=INTERNAL_HTTPS_LOAD_BALANCER 旗標，--enable-flow-logs 旗標就不會生效。

使用 Google Cloud 控制台或 API 啟用流程記錄時，您會看到以下錯誤訊息：「欄位 'resource.enableFlowLogs' 的值無效：'true'。子網路的用途為 INTERNAL_HTTPS_LOAD_BALANCER 時，其中的欄位集無效。」

由於只有 Proxy 的子網路沒有虛擬機器，因此不支援虛擬私有雲流量記錄。這是預期的行為。

後續步驟

存取流程記錄檔