設定虛擬私有雲流量記錄
本頁面說明如何設定 VPC 流量記錄。本文假設您熟悉「虛擬私有雲流量記錄」和「關於虛擬私有雲流量記錄」中所述的概念。
事前準備
您可以使用虛擬私有雲流量記錄,為虛擬私有雲 (VPC) 子網路、Cloud Interconnect 的 VLAN 連結和 Cloud VPN 通道設定流量記錄。
設定虛擬私有雲流量記錄前,請先完成下列工作:
如要為子網路設定虛擬私有雲流量記錄,請執行下列操作:
在 Google Cloud 專案中啟用 Compute Engine API。
請確認您在專案中具有下列任一角色:
- Compute Admin 角色 (
roles/compute.admin) - Compute 網路管理員角色 (
roles/compute.networkAdmin)
- Compute Admin 角色 (
如要為 VLAN 連結或 Cloud VPN 通道設定虛擬私有雲流量記錄,請執行下列操作:
在 Google Cloud 專案中啟用 Network Management API。
請確認您在專案中具備下列角色: 網路管理員角色 (
roles/networkmanagement.admin)
選用:如要使用 Google Cloud CLI 設定 VPC 流量記錄檔,請執行下列操作:
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
-
啟用虛擬私有雲流量記錄
您可以依據子網路、VLAN 連結或 Cloud VPN 通道啟用虛擬私有雲流量記錄。為子網路啟用虛擬私有雲流量記錄時,您會為子網路中的所有 VM 啟用記錄功能。
您可以修改寫入記錄的資訊量。如要進一步瞭解您可以控制的參數,請參閱「記錄檔取樣與處理」一文。如要自訂中繼資料欄位,請使用 gcloud CLI 或 API。
為子網路啟用虛擬私有雲流量記錄
您可以在建立子網路時或針對現有子網路啟用虛擬私有雲流量記錄。
在建立子網路時啟用虛擬私有雲流量記錄
主控台
gcloud
執行下列指令:
gcloud compute networks subnets create SUBNET_NAME \
--enable-flow-logs \
[--logging-aggregation-interval=AGGREGATION_INTERVAL] \
[--logging-flow-sampling=SAMPLING_RATE] \
[--logging-filter-expr=FILTER_EXPRESSION] \
[--logging-metadata=LOGGING_METADATA] \
[--logging-metadata-fields=METADATA_FIELDS] \
[other flags as needed]
更改下列內容:
AGGREGATION_INTERVAL:該子網路中流程記錄的匯總間隔。您可以將這個間隔設定為下列任何一項:5 秒 (預設)、30 秒、1 分鐘、5 分鐘、10 分鐘或 15 分鐘。SAMPLING_RATE:次級流程取樣率。您可以將次級流程取樣從0.0(無取樣) 設定為1.0(所有記錄)。預設值為0.5。詳情請參閱「記錄檔取樣與處理」。FILTER_EXPRESSION:定義要保留哪些記錄的運算式。運算式長度上限為 2,048 個半形字元。詳情請參閱「篩選記錄」。LOGGING_METADATA:您要納入記錄中的中繼資料註解:- 使用
include-all納入所有中繼資料註解。 - 使用
exclude-all排除所有中繼資料註解 (預設)。 - 使用
custom加入您在METADATA_FIELDS中指定的中繼資料欄位自訂清單。
- 使用
METADATA_FIELDS:以半形逗號分隔的清單,列出您要納入記錄的中繼資料欄位。例如:src_instance,dst_instance。只有在LOGGING_METADATA設為custom時,才能設定。
API
建立新的子網路時,請啟用虛擬私有雲流量記錄。
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks
{
"logConfig": {
"aggregationInterval": "AGGREGATION_INTERVAL",
"flowSampling": SAMPLING_RATE,
"filterExpr": EXPRESSION,
"metadata": METADATA_SETTING,
"metadataFields": METADATA_FIELDS,
"enable": true
},
"ipCidrRange": "IP_RANGE",
"network": "NETWORK_URL",
"name": "SUBNET_NAME"
}
更改下列內容:
PROJECT_ID:要建立子網路的專案 ID。REGION:要建立子網路的地區。AGGREGATION_INTERVAL:子網路中流程記錄的匯總間隔。您可以將間隔設為下列任一值:INTERVAL_5_SEC、INTERVAL_30_SEC、INTERVAL_1_MIN、INTERVAL_5_MIN、INTERVAL_10_MIN或INTERVAL_15_MIN。SAMPLING_RATE:流程取樣率。您可以將流程取樣從0.0(無取樣) 設定為1.0(所有記錄)。預設值為.0.5。EXPRESSION:用來篩選實際寫入記錄的篩選器運算式。運算式長度上限為 2,048 個半形字元。詳情請參閱「篩選記錄」。METADATA_SETTING:您要納入記錄中的中繼資料註解:- 使用
INCLUDE_ALL_METADATA納入所有中繼資料註解。 - 使用
EXCLUDE_ALL_METADATA排除所有中繼資料註解 (預設)。 - 使用
CUSTOM_METADATA加入您在METADATA_FIELDS中指定的中繼資料欄位自訂清單。
- 使用
METADATA_FIELDS:設定metadata: CUSTOM_METADATA時要擷取的中繼資料欄位。這是以逗號分隔的中繼資料欄位清單,例如src_instance, src_vpc.project_id。IP_RANGE:子網路的主要內部 IP 位址範圍。NETWORK_URL:要建立子網路的虛擬私有雲網路網址。SUBNET_NAME:子網路名稱。
詳情請參閱 subnetworks.insert 方法。
Terraform
您可以使用 Terraform 模組建立自訂模式虛擬私有雲網路和子網路。
以下範例會建立三個子網路,如下所示:
subnet-01已停用虛擬私有雲流量記錄。建立子網路時,系統會停用虛擬私有雲流量記錄,除非您明確啟用。subnet-02已啟用虛擬私有雲流量記錄,並使用預設的流量記錄設定。subnet-03已啟用虛擬私有雲流程記錄,並設定了一些自訂設定。
如要瞭解如何套用或移除 Terraform 設定,請參閱「基本 Terraform 指令」。
針對現有子網路啟用虛擬私有雲流量記錄
主控台
在 Google Cloud 控制台中,前往「VPC Networks」(虛擬私有雲網路) 頁面。
按一下要更新的子網路。
按一下 [編輯]。
針對「流量記錄」,選取「開啟」。
選用:在「進階設定」部分調整「匯總間隔」和下列任一設定:
- 是否要設定記錄篩選功能。根據預設,系統會取消選取「只保留符合篩選條件的記錄」。
- 是否要在最終記錄項目中加入中繼資料。根據預設,「中繼資料註解」會包含所有欄位。
- 次級取樣率。
50%表示系統會保留初級流量記錄檔取樣程序產生的一半項目。主要流量記錄檔取樣率無法設定。詳情請參閱「記錄檔取樣與處理」。
按一下 [儲存]。
gcloud
執行下列指令:
gcloud compute networks subnets update SUBNET_NAME \
--enable-flow-logs \
[--logging-aggregation-interval=AGGREGATION_INTERVAL] \
[--logging-flow-sampling=SAMPLING_RATE] \
[--logging-filter-expr=FILTER_EXPRESSION] \
[--logging-metadata=LOGGING_METADATA] \
[--logging-metadata-fields=METADATA_FIELDS] \
[other flags as needed]
更改下列內容:
AGGREGATION_INTERVAL:該子網路中流程記錄的匯總間隔。您可以將這個間隔設定為下列任何一項:5 秒 (預設)、30 秒、1 分鐘、5 分鐘、10 分鐘或 15 分鐘。SAMPLING_RATE:次級流程取樣率。您可以將次級流程取樣從0.0(無取樣) 設定為1.0(所有記錄)。預設值為0.5。詳情請參閱「記錄檔取樣與處理」。FILTER_EXPRESSION:定義要保留哪些記錄的運算式。運算式長度上限為 2,048 個半形字元。詳情請參閱「篩選記錄」。LOGGING_METADATA:您要納入記錄中的中繼資料註解:- 使用
include-all納入所有中繼資料註解。 - 使用
exclude-all排除所有中繼資料註解 (預設)。 - 使用
custom加入您在METADATA_FIELDS中指定的中繼資料欄位自訂清單。
- 使用
METADATA_FIELDS:以半形逗號分隔的清單,列出您要納入記錄的中繼資料欄位。例如:src_instance,dst_instance。只有在LOGGING_METADATA設為custom時,才能設定。
API
針對現有子網路啟用虛擬私有雲流量記錄。
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
"logConfig": {
"enable": true
...other logging fields.
},
"fingerprint": "SUBNETWORK_FINGERPRINT"
}
更改下列內容:
PROJECT_ID:子網路所在專案的 ID。REGION:子網路所在的地區。SUBNET_NAME:現有子網路的名稱。SUBNET_FINGERPRINT:現有子網路的指紋 ID,會在描述子網路時提供。- 如需其他記錄欄位,請參閱「在建立子網路時啟用虛擬私有雲流程記錄」。
詳情請參閱 subnetworks.patch 方法。
為 VLAN 連結啟用虛擬私有雲流量記錄
主控台
前往 Google Cloud 控制台的「Interconnect」(互連網路) 頁面。
在「VLAN 連結」分頁中,選取一或多個 VLAN 連結,然後在清單頂端的選取列中,點選 「管理流量記錄」。
在「管理工作流程記錄」中,按一下「新增設定」��
輸入新虛擬私有雲流量記錄設定的名稱。
選用:調整「進階設定」部分中的「匯總間隔」和其他設定:
- 是否要設定記錄篩選功能。根據預設,系統會取消選取「只保留符合篩選條件的記錄」。
- 是否要在最終記錄項目中加入中繼資料。根據預設,「中繼資料註解」會包含所有欄位。
- 次級取樣率。
100%表示會保留初級流量記錄取樣程序產生的所有項目。主要流量記錄檔取樣率無法設定。詳情請參閱「記錄檔取樣與處理」。
按一下 [儲存]。
gcloud
如要為 VLAN 連結建立虛擬私有雲流量記錄設定,請使用 gcloud network-management vpc-flow-logs-configs create 指令。您可以建立虛擬私有雲流量記錄設定,並將所有參數設為預設值,也可以在建立設定時自訂預設值。
在 gcloud CLI 中,將專案設為 VLAN 連結的Google Cloud 專案 ID,然後執行下列任一指令:
如要建立預設的虛擬私有雲流量記錄設定,請執行下列指令:
gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \ --location=global \ --interconnect-attachment=VLAN_ATTACHMENT如要建立自訂 VPC 流程記錄設定,請指定要自訂的每個參數。
舉例來說,如要在建立 VPC 流量記錄檔設定時自訂匯總間隔、篩選、次級取樣率和中繼資料參數,請執行下列指令:
gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \ --location=global \ --interconnect-attachment=VLAN_ATTACHMENT \ --aggregation-interval=AGGREGATION_INTERVAL \ --filter-expr=FILTER_EXPRESSION \ --flow-sampling=SAMPLING_RATE \ --metadata=LOGGING_METADATA更改下列內容:
CONFIG_NAME:虛擬私有雲流量記錄設定的名稱。VLAN_ATTACHMENT:您要記錄的 VLAN 連結。格式必須為projects/PROJECT_ID/regions/REGION/interconnectAttachments/NAME。替換下列內容:PROJECT_ID:包含 VLAN 連結的 Google Cloud 專案 ID。虛擬私有雲流量記錄設定必須在這個專案中建立。REGION:VLAN 連結的區域。NAME:VLAN 連結的名稱。
如要在自訂設定中設定選用參數,請取代下列項目:
-
AGGREGATION_INTERVAL:由此設定產生的流量記錄匯總間隔。間隔可以設為下列任一值:interval-5-sec(預設)、interval-30-sec、interval-1-min、interval-5-min、interval-10-min或interval-15-min。 -
FILTER_EXPRESSION:定義要保留哪些記錄的運算式。運算式長度上限為 2,048 個半形字元。詳情請參閱「篩選記錄」。 -
SAMPLING_RATE:次級流程取樣率。您可以將次要流程取樣從大於0.0設定為1.0(所有記錄,預設值)。詳情請參閱「記錄檔取樣與處理」。 -
LOGGING_METADATA:您要在記錄中加入的中繼資料註解:- 使用
include-all-metadata加入所有中繼資料註解 (預設)。 - 使用
exclude-all-metadata排除所有中繼資料註解。 - 使用
custom-metadata加入中繼資料欄位的自訂清單。如要指定中繼資料欄位,請使用--metadata-fields參數:--metadata-fields=METADATA_FIELDS:將METADATA_FIELDS替換為您要納入記錄的中繼資料欄位清單 (以半形逗號分隔)。例如:src_instance,dst_instance。只有在metadata設為custom-metadata時,才能設定。
- 使用
Terraform
您可以使用 Terraform 模組為 VLAN 連結建立虛擬私有雲流量記錄設定。
下列程式碼區塊會建立預設的虛擬私有雲流量記錄設定。
上述範例假設 google_compute_interconnect_attachment 資源的名稱為 attachment。如需此設定的完整範例,請參閱 terraform-docs-samples 存放區。
下列程式碼區塊會建立虛擬私有雲流量記錄設定,其中:
- 匯總時間間隔設為
INTERVAL_10_MIN。 - 次要流程取樣率設為
0.7。 - 將要納入記錄檔的中繼資料設為
INCLUDE_ALL_METADATA。 - 設定狀態已設為
ENABLED。
上述範例假設 google_compute_interconnect_attachment 資源的名稱為 attachment。如需此設定的完整範例,請參閱 terraform-docs-samples 存放區。
如要瞭解如何套用或移除 Terraform 設定,請參閱「基本 Terraform 指令」。
API
如要為 VLAN 連結建立虛擬私有雲流量記錄設定,請使用 projects.locations.vpcFlowLogsConfigs.create 方法。您可以建立虛擬私有雲流量記錄設定,並將所有參數設為預設值,也可以在建立設定時自訂預設值。
如要建立預設的虛擬私有雲流量記錄設定,請在 API 呼叫中加入下列參數:
POST https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
"interconnectAttachment": "VLAN_ATTACHMENT"
}
如要建立自訂 VPC 流程記錄設定,請指定要自訂的每個參數。
舉例來說,如要在建立 VPC 流量記錄檔設定時自訂匯總間隔、篩選、次級取樣率和中繼資料參數,請在 API 呼叫中加入下列參數:
POST https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
"interconnectAttachment": "VLAN_ATTACHMENT",
"aggregationInterval": "AGGREGATION_INTERVAL",
"filterExpr": "FILTER_EXPRESSION",
"flowSampling": SAMPLING_RATE,
"metadata": "LOGGING_METADATA"
}
更改下列內容:
-
PROJECT_ID:您要建立虛擬私有雲流量記錄設定的 Google Cloud 專案 ID。必須與 VLAN 連結位於同一項專案。 -
CONFIG_NAME:虛擬私有雲流量記錄設定的名稱。 -
VLAN_ATTACHMENT:您要記錄的 VLAN 連結。格式必須為下列格式:projects/PROJECT_ID/regions/REGION/interconnectAttachments/NAME。PROJECT_ID:包含 VLAN 連結的 Google Cloud 專案 ID。REGION:VLAN 連結的區域。NAME:VLAN 連結的名稱。
-
AGGREGATION_INTERVAL:由此設定產生的流量記錄匯總間隔。間隔可設為下列任一值:INTERVAL_5_SEC(預設)、INTERVAL_30_SEC、INTERVAL_1_MIN、INTERVAL_5_MIN、INTERVAL_10_MIN或INTERVAL_15_MIN。 -
FILTER_EXPRESSION:定義要保留哪些記錄的運算式。運算式長度上限為 2,048 個半形字元。詳情請參閱「篩選記錄」。 -
SAMPLING_RATE:次級流程取樣率。您可以將次要流程取樣從大於0.0設定為1.0(所有記錄,預設值)。詳情請參閱「記錄檔取樣與處理」。 -
LOGGING_METADATA:您要在記錄中加入的中繼資料註解:- 使用
INCLUDE_ALL_METADATA加入所有中繼資料註解 (預設)。 - 使用
EXCLUDE_ALL_METADATA排除所有中繼資料註解。 - 使用
CUSTOM_METADATA加入中繼資料欄位的自訂清單。如要指定中繼資料欄位,請使用metadataFields參數:metadataFields: METADATA_FIELDS:將METADATA_FIELDS替換為以逗號分隔的清單,列出您要納入記錄的中繼資料欄位。例如:src_instance,dst_instance。只有在metadata設為CUSTOM_METADATA時才能設定。
- 使用
您可以為單一 VLAN 連結新增多個虛擬私有雲流量記錄設定。每個虛擬私有雲流量記錄設定都會產生一組獨立的流量記錄。
為 Cloud VPN 通道啟用虛擬私有雲流量記錄
主控台
前往 Google Cloud 控制台的「VPN」VPN頁面。
在「Cloud VPN 通道」分頁中,選取一或多個 Cloud VPN 通道,然後在清單頂端的選取列中,按一下 「管理流量記錄」。
在「管理工作流程記錄」中,按一下「新增設定」。
輸入新虛擬私有雲流量記錄設定的名稱。
選用:調整「進階設定」部分中的「匯總間隔」和其他設定:
- 是否要設定記錄篩選功能。根據預設,系統會取消選取「只保留符合篩選條件的記錄」。
- 是否要在最終記錄項目中加入中繼資料。根據預設,「中繼資料註解」會包含所有欄位。
- 次級取樣率。
100%表示會保留初級流量記錄取樣程序產生的所有項目。主要流量記錄檔取樣率無法設定。詳情請參閱「記錄檔取樣與處理」。
按一下 [儲存]。
gcloud
如要為 Cloud VPN 通道建立虛擬私有雲流量記錄設定,請使用 gcloud network-management vpc-flow-logs-configs create 指令。您可以建立虛擬私有雲流量記錄設定,並將所有參數設為預設值,也可以在建立設定時自訂預設值。
在 gcloud CLI 中,將專案設為 Cloud VPN 通道的Google Cloud 專案 ID,然後執行下列任一指令:
如要建立預設的虛擬私有雲流量記錄設定,請執行下列指令:
gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \ --location=global \ --vpn-tunnel=VPN_TUNNEL如要建立自訂 VPC 流程記錄設定,請指定要自訂的每個參數。
舉例來說,如要在建立 VPC 流量記錄檔設定時自訂匯總間隔、篩選、次級取樣率和中繼資料參數,請執行下列指令:
gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \ --location=global \ --vpn-tunnel=VPN_TUNNEL \ --aggregation-interval=AGGREGATION_INTERVAL \ --filter-expr=FILTER_EXPRESSION \ --flow-sampling=SAMPLING_RATE \ --metadata=LOGGING_METADATA更改下列內容:
CONFIG_NAME:虛擬私有雲流量記錄設定的名稱。VPN_TUNNEL:您要記錄的 Cloud VPN 通道。格式必須為projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME。替換下列內容:PROJECT_ID:包含 Cloud VPN 通道的 Google Cloud 專案 ID。虛擬私有雲流量記錄設定必須在這個專案中建立。REGION:Cloud VPN 通道的地區。NAME:Cloud VPN 通道的名稱。
如要在自訂設定中設定選用參數,請取代下列項目:
-
AGGREGATION_INTERVAL:由此設定產生的流量記錄匯總間隔。間隔可以設為下列任一值:interval-5-sec(預設)、interval-30-sec、interval-1-min、interval-5-min、interval-10-min或interval-15-min。 -
FILTER_EXPRESSION:定義要保留哪些記錄的運算式。運算式長度上限為 2,048 個半形字元。詳情請參閱「篩選記錄」。 -
SAMPLING_RATE:次級流程取樣率。您可以將次要流程取樣從大於0.0設定為1.0(所有記錄,預設值)。詳情請參閱「記錄檔取樣與處理」。 -
LOGGING_METADATA:您要在記錄中加入的中繼資料註解:- 使用
include-all-metadata加入所有中繼資料註解 (預設)。 - 使用
exclude-all-metadata排除所有中繼資料註解。 - 使用
custom-metadata加入中繼資料欄位的自訂清單。如要指定中繼資料欄位,請使用--metadata-fields參數:--metadata-fields=METADATA_FIELDS:將METADATA_FIELDS替換為您要納入記錄的中繼資料欄位清單 (以半形逗號分隔)。例如:src_instance,dst_instance。只有在metadata設為custom-metadata時,才能設定。
- 使用
Terraform
您可以使用 Terraform 模組為 Cloud VPN 通道建立虛擬私有雲流量記錄設定。
下列程式碼區塊會建立預設的虛擬私有雲流量記錄設定。
上述範例假設 google_compute_vpn_tunnel 資源的名稱為 tunnel。如需此設定的完整範例,請參閱 terraform-docs-samples 存放區。
下列程式碼區塊會建立虛擬私有雲流量記錄設定,其中:
- 匯總時間間隔設為
INTERVAL_10_MIN。 - 次要流程取樣率設為
0.7。 - 將要納入記錄檔的中繼資料設為
INCLUDE_ALL_METADATA。 - 設定狀態已設為
ENABLED。
上述範例假設 google_compute_vpn_tunnel 資源的名稱為 tunnel。如需此設定的完整範例,請參閱 terraform-docs-samples 存放區。
如要瞭解如何套用或移除 Terraform 設定,請參閱「基本 Terraform 指令」。
API
如要為 Cloud VPN 通道建立虛擬私有雲流量記錄設定,請使用 projects.locations.vpcFlowLogsConfigs.create 方法。您可以建立虛擬私有雲流量記錄設定,並將所有參數設為預設值,也可以在建立設定時自訂預設值。
如要建立預設的虛擬私有雲流量記錄設定,請在 API 呼叫中加入下列參數:
POST https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
"vpnTunnel": "VPN_TUNNEL"
}
如要建立自訂 VPC 流程記錄設定,請指定要自訂的每個參數。
舉例來說,如要在建立 VPC 流量記錄設定時自訂匯總間隔、篩選、次級取樣率和中繼資料參數,請在 API 呼叫中加入下列參數:
POST https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
"vpnTunnel": "VPN_TUNNEL",
"aggregationInterval": "AGGREGATION_INTERVAL",
"filterExpr": "FILTER_EXPRESSION",
"flowSampling": SAMPLING_RATE,
"metadata": "LOGGING_METADATA"
}
更改下列內容:
-
PROJECT_ID:您要建立虛擬私有雲流量記錄設定的 Google Cloud 專案 ID。必須位於與 Cloud VPN 通道相同的專案中。 -
CONFIG_NAME:虛擬私有雲流量記錄設定的名稱。 -
VPN_TUNNEL:您要記錄的 Cloud VPN 通道。格式必須為下列格式:projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME。PROJECT_ID:包含 Cloud VPN 通道的 Google Cloud 專案 ID。REGION:Cloud VPN 通道的地區。NAME:Cloud VPN 通道的名稱。
-
AGGREGATION_INTERVAL:由此設定產生的流量記錄匯總間隔。間隔可設為下列任一值:INTERVAL_5_SEC(預設)、INTERVAL_30_SEC、INTERVAL_1_MIN、INTERVAL_5_MIN、INTERVAL_10_MIN或INTERVAL_15_MIN。 -
FILTER_EXPRESSION:定義要保留哪些記錄的運算式。運算式長度上限為 2,048 個半形字元。詳情請參閱「篩選記錄」。 -
SAMPLING_RATE:次級流程取樣率。您可以將次要流程取樣從大於0.0設定為1.0(所有記錄,預設值)。詳情請參閱「記錄檔取樣與處理」。 -
LOGGING_METADATA:您要在記錄中加入的中繼資料註解:- 使用
INCLUDE_ALL_METADATA加入所有中繼資料註解 (預設)。 - 使用
EXCLUDE_ALL_METADATA排除所有中繼資料註解。 - 使用
CUSTOM_METADATA加入中繼資料欄位的自訂清單。如要指定中繼資料欄位,請使用metadataFields參數:metadataFields: METADATA_FIELDS:將METADATA_FIELDS替換為以逗號分隔的清單,列出您要納入記錄的中繼資料欄位。例如:src_instance,dst_instance。只有在metadata設為CUSTOM_METADATA時才能設定。
- 使用
您可以為單一 Cloud VPN 通道新增多個虛擬私有雲流量記錄設定。每個虛擬私有雲流量記錄設定都會產生一組獨立的流量記錄。
查看虛擬私有雲流量記錄設定狀態
您可以查看下列項目:
- 哪些子網路已啟用虛擬私有雲流量記錄
- 哪些 VLAN 連結和 Cloud VPN 通道已啟用虛擬私有雲流量記錄
查看網路中哪些子網路已啟用虛擬私有雲流量記錄
您可以查看虛擬私有雲網路中哪些子網路已啟用虛擬私有雲流量記錄。如要查看Google Cloud 專案中已啟用虛擬私有雲流量記錄的所有子網路,請參閱「查看虛擬私有雲流量記錄設定」。
主控台
在 Google Cloud 控制台中,前往「VPC Networks」(虛擬私有雲網路) 頁面。
按一下要查看子網路的虛擬私有雲網路。
按一下「子網路」分頁標籤,然後查看「流量記錄」欄,瞭解記錄功能是否已開啟。
gcloud
執行下列指令:
gcloud compute networks subnets list \
--project PROJECT_ID \
--network="NETWORK" \
--format="csv(name,region,logConfig.enable)"更改下列內容:
PROJECT_ID:您要查詢的專案 ID。NETWORK:包含子網路的網路名稱。
查看專案中哪些連結和通道已啟用虛擬私有雲流量記錄
您可以查看Google Cloud 專案中哪些 VLAN 連結和 Cloud VPN 通道已啟用虛擬私有雲流量記錄。如要查看 Google Cloud 專案中 VLAN 連結和 Cloud VPN 通道的所有虛擬私有雲流量記錄設定,請參閱「查看虛擬私有雲流量記錄設定」。
主控台
在 Google Cloud 主控台中執行下列操作:
查看虛擬私有雲流量記錄設定
為子網路、VLAN 連結或 Cloud VPN 通道設定 VPC 流量記錄時, Google Cloud會使用您設定的設定值,為子網路、VLAN 連結或 VPN 通道建立 VPC 流量記錄設定。單一 VLAN 連結或 Cloud VPN 通道可以有一個或多個虛擬私有雲流量記錄設定。已啟用虛擬私有雲流量記錄的子網路只能有一個虛擬私有雲流量記錄設定。
您可以查看 VLAN 連結和 Cloud VPN 通道的虛擬私有雲流量記錄設定狀態,瞭解哪些項目已啟用或停用流量記錄。如果虛擬私有雲流量記錄設定的狀態為開啟,表示已為使用此設定的 VLAN 連結或 Cloud VPN 通道啟用流量記錄。您無法關閉子網路的虛擬私有雲流量記錄設定,只能刪除。
主控台
在 Google Cloud 控制台中,前往「VPC Flow Logs」頁面。
按一下「子網路」、「VLAN 連結」或「VPN 通道」分頁標籤。
- 「子網路」會列出已啟用虛擬私有雲流量記錄設定的子網路。
- 「VLAN 連結」會列出 Cloud Interconnect 的 VLAN 連結,這些連結已啟用或暫停虛擬私有雲流量記錄設定。
- 「VPN 通道」會列出已啟用或暫停虛擬私有雲流量記錄設定的 Cloud VPN 通道。
gcloud
如要查看 VLAN 連結和 Cloud VPN 通道的虛擬私有雲流量記錄設定,請使用 gcloud network-management vpc-flow-logs-configs list 和 gcloud network-management vpc-flow-logs-configs describe 指令。
執行下列其中一個指令:
如要查看Google Cloud 專案中的所有虛擬私有雲流量記錄設定,請執行以下命令:
gcloud network-management vpc-flow-logs-configs list --location=global
如要查看單一虛擬私有雲流量記錄設定,請執行:
gcloud network-management vpc-flow-logs-configs describe CONFIG_NAME \ --location=global將
CONFIG_NAME替換為您要查看的虛擬私有雲流量記錄設定名稱。
API
如要查看Google Cloud 專案中 VLAN 連結和 Cloud VPN 通道的所有虛擬私有雲流量記錄設定,請使用 projects.locations.vpcFlowLogsConfigs.list 方法:
GET https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs
如要查看單一虛擬私有雲流量記錄設定,請使用 projects.locations.vpcFlowLogsConfigs.get 方法:
GET https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME
更改下列內容:
PROJECT_ID:包含虛擬私有雲流量記錄設定的 Google Cloud 專案 ID,或您要查看的設定。CONFIG_NAME:虛擬私有雲流量記錄設定的名稱。
更新虛擬私有雲流量記錄設定
您可以修改記錄取樣參數。如要進一步瞭解可控制的參數,請參閱「記錄取樣和處理」一文。如要自訂中繼資料欄位,請使用 gcloud CLI 或 API。
更新子網路的設定參數
主控台
在 Google Cloud 控制台中,前往「VPC Networks」(虛擬私有雲網路) 頁面。
在「目前專案中的子網路」下方,按一下要更新的子網路。
按一下 [編輯]。
選用:調整下列任一設定:
- 匯總時間間隔。匯總時間間隔預設為 5 秒。
- 是否要設定記錄篩選功能。根據預設,系統會取消選取「只保留符合篩選條件的記錄」。
- 是否要在最終記錄項目中加入中繼資料。根據預設,「中繼資料註解」會包含所有欄位。
- 次級取樣率。
50%表示系統會保留初級流量記錄檔取樣程序產生的一半項目。主要流量記錄檔取樣率無法設定。詳情請參閱「記錄檔取樣與處理」。
按一下 [儲存]。
或者,您也可以在「VPC 網路」頁面中,點選「目前專案中的子網路」下方的 「管理流量記錄」選單,更新虛擬私有雲流量記錄設定參數。
gcloud
執行下列指令:
gcloud compute networks subnets update SUBNET_NAME \
[--logging-aggregation-interval=AGGREGATION_INTERVAL] \
[--logging-flow-sampling=SAMPLING_RATE] \
[--logging-filter-expr=FILTER_EXPRESSION] \
[--logging-metadata=LOGGING_METADATA] \
[--logging-metadata-fields=METADATA_FIELDS] \
更改下列內容:
AGGREGATION_INTERVAL:該子網路中流程記錄的匯總間隔。您可以將這個間隔設定為下列任何一項:5 秒 (預設)、30 秒、1 分鐘、5 分鐘、10 分鐘或 15 分鐘。SAMPLING_RATE:次級流程取樣率。您可以將次級流程取樣從0.0(無取樣) 設定為1.0(所有記錄)。預設值為0.5。詳情請參閱「記錄檔取樣與處理」。FILTER_EXPRESSION:定義要保留哪些記錄的運算式。運算式長度上限為 2,048 個半形字元。詳情請參閱「篩選記錄」。LOGGING_METADATA:您要���入記錄中的中繼資料註解:- 使用
include-all納入所有中繼資料註解。 - 使用
exclude-all排除所有中繼資料註解 (預設)。 - 使用
custom加入您在METADATA_FIELDS中指定的中繼資料欄位自訂清單。
- 使用
METADATA_FIELDS:以半形逗號分隔的清單,列出您要納入記錄的中繼資料欄位。例如:src_instance,dst_instance。只有在LOGGING_METADATA設為custom時,才能設定。
API
修改記錄取樣欄位,更新虛擬私有雲流量記錄行為。
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
"logConfig": {
...fields to modify
},
"fingerprint": "SUBNETWORK_FINGERPRINT"
}
更改下列內容:
PROJECT_ID:子網路所在專案的 ID。REGION:子網路所在的地區。SUBNET_NAME:現有子網路的名稱。SUBNET_FINGERPRINT:現有子網路的指紋 ID,會在描述子網路時提供。- 如要瞭解可修改的欄位,請參閱「在建立子網路時啟用虛擬私有雲流量記錄」。
詳情請參閱 subnetworks.patch 方法。
更新 VLAN 連結和 Cloud VPN 通道的設定參數
主控台
在 Google Cloud 控制台中,前往「VPC Flow Logs」頁面。
選取「VLAN 連結」或「VPN 通道」分頁:
- 如要更新 VLAN 連結的虛擬私有雲流量記錄參數,請選取「VLAN 連結」。
- 如要更新 Cloud VPN 通道的虛擬私有雲流量記錄參數,請選取「VPN 通道」。
選取要更新的一或多個虛擬私有雲流量記錄設定,然後按一下「編輯」。
選用:調整下列任一項目:
- 匯總時間間隔。匯總時間間隔預設為 5 秒。
- 是否將 VPC 流量記錄設定的「狀態」設為開啟或關閉。「開啟」狀態表示所選的 VPC 流量記錄設定處於啟用狀態,並會產生流量記錄。
- 是否要設定記錄篩選功能。根據預設,系統會取消選取「只保留符合篩選條件的記錄」。
- 是否要在最終記錄項目中加入中繼資料。根據預設,「中繼資料註解」會包含所有欄位。
- 次級取樣率。
100%表示會保留初級流量記錄取樣程序產生的所有項目。主要流量記錄檔取樣率無法設定。詳情請參閱「記錄檔取樣與處理」。
按一下 [儲存]。
或者,您也可以在「連線」頁面的「VLAN 連結」分頁和「VPN」VPN頁面的「VPN 通道」分頁中,使用 「管理流量記錄」選單來更新 VPC 流量記錄設定參數。
gcloud
如要更新 VLAN 連結或 Cloud VPN 通道的虛擬私有雲流量記錄設定,請使用 gcloud network-management vpc-flow-logs-configs update 指令。
搭配下列一或多個選用參數執行 gcloud network-management vpc-flow-logs-configs update 指令:
gcloud network-management vpc-flow-logs-configs update CONFIG_NAME \
--location=global \
[--interconnect-attachment=VLAN_ATTACHMENT | --vpn-tunnel=VPN_TUNNEL] \
[--aggregation-interval=AGGREGATION_INTERVAL] \
[--filter-expr=FILTER_EXPRESSION] \
[--flow-sampling=SAMPLING_RATE] \
[--metadata=LOGGING_METADATA] \
[--state=STATE]
舉例來說,如要更新匯總間隔參數,請執行下列指令:
gcloud network-management vpc-flow-logs-configs update CONFIG_NAME \
--location=global \
--aggregation-interval=AGGREGATION_INTERVAL
更改下列內容:
CONFIG_NAME:您要更新的虛擬私有雲流量記錄設定名稱。設定位於與要使用的VLAN_ATTACHMENT或VPN_TUNNEL相同的 Google Cloud 專案中。
如要更新選用參數,請替換下列項目:
VLAN_ATTACHMENT或VPN_TUNNEL:- 如要更新 VLAN 連結的虛擬私有雲流量記錄設定,請使用以下格式指定 VLAN 連結:
projects/PROJECT_ID/regions/REGION/interconnectAttachments/NAME。 - 如要更新 Cloud VPN 通道的虛擬私有雲流量記錄設定,請使用以下格式指定 Cloud VPN 通道:
projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME。 - 替換下列內容:
PROJECT_ID:包含 VLAN 連結或 Cloud VPN 通道的 Google Cloud 專案 ID。REGION:VLAN 連結或 Cloud VPN 通道的區域。NAME:VLAN 連結或 Cloud VPN 通道的名稱。
- 如要更新 VLAN 連結的虛擬私有雲流量記錄設定,請使用以下格式指定 VLAN 連結:
-
AGGREGATION_INTERVAL:由此設定產生的流量記錄匯總間隔。間隔可以設為下列任一值:interval-5-sec(預設)、interval-30-sec、interval-1-min、interval-5-min、interval-10-min或interval-15-min。 -
FILTER_EXPRESSION:定義要保留哪些記錄的運算式。運算式長度上限為 2,048 個半形字元。詳情請參閱「篩選記錄」。 -
SAMPLING_RATE:次級流程取樣率。您可以將次要流程取樣從大於0.0設定為1.0(所有記錄,預設值)。詳情請參閱「記錄檔取樣與處理」。 -
LOGGING_METADATA:您要在記錄中加入的中繼資料註解:- 使用
include-all-metadata加入所有中繼資料註解 (預設)。 - 使用
exclude-all-metadata排除所有中繼資料註解。 - 使用
custom-metadata加入中繼資料欄位的自訂清單。如要指定中繼資料欄位,請使用--metadata-fields參數:--metadata-fields=METADATA_FIELDS:將METADATA_FIELDS替換為您要納入記錄的中繼資料欄位清單 (以半形逗號分隔)。例如:src_instance,dst_instance。只有在metadata設為custom-metadata時,才能設定。
- 使用
STATE:虛擬私有雲流量記錄設定的狀態。可以是enabled(預設) 或disabled。
API
如要更新虛擬私有雲流量記錄設定,請使用 projects.locations.vpcFlowLogsConfigs.patch 方法。如要瞭解可修改的欄位,請參閱 REST 資源:projects.locations.vpcFlowLogsConfigs。
更新 VLAN 連結或 Cloud VPN 通道的虛擬私有雲流量記錄設定:
PATCH https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME?updateMask=FIELDS
{
...fields to modify
}
更改下列內容:
PROJECT_ID:包含虛擬私有雲流量記錄設定的 Google Cloud 專案 ID。這個 ID 與 VLAN 連結或 Cloud VPN 通道 (適用設定) 的專案 ID 相同。CONFIG_NAME:您要更新的虛擬私有雲流量記錄設定名稱。FIELDS:要更新的欄位名稱,以半形逗號分隔。例如:aggregationInterval,flowSampling,metadata。
舉例來說,如要更新 my-project 中虛擬私有雲流量記錄設定 my-config 的 aggregationInterval 欄位,請使用下列 API 呼叫:
PATCH https://networkmanagement.googleapis.com/v1/projects/my-project/locations/global/vpcFlowLogsConfigs/my-config?updateMask=aggregationInterval
{
aggregationInterval:AGGREGATION_INTERVAL
}
將 AGGREGATION_INTERVAL 替換為這個參數支援的任何值。
停止記錄收集
您可以停用子網路的虛擬私有雲流量記錄,這麼做會停止記錄收集,並刪除相關的虛擬私有雲流量記錄設定。
如要暫停收集 VLAN 連結或 Cloud VPN 通道的記錄,請關閉所有有效的虛擬私有雲流量記錄設定。您無法暫停子網路的記錄收集。
如果您不再需要虛擬私有雲流量記錄設定,可以刪除設定。記錄收集作業會停止,系統也會刪除相關設定。
針對子網路停用虛擬私有雲流量記錄
主控台
在 Google Cloud 控制台中,前往「VPC Networks」(虛擬私有雲網路) 頁面。
按一下要更新的子網路。
按一下 [編輯]。
針對「流量記錄」,選取「關閉」。
按一下 [儲存]。
gcloud
執行下���指令:
gcloud compute networks subnets update SUBNET_NAME \
--no-enable-flow-logs
API
停用子網路上的虛擬私有雲流量記錄,停止收集記錄檔。
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
"logConfig": {
"enable": false
},
"fingerprint": "SUBNETWORK_FINGERPRINT"
}
更改下列內容:
PROJECT_ID:子網路所在專案的 ID。REGION:子網路所在的地區。SUBNET_NAME:現有子網路的名稱。SUBNET_FINGERPRINT:現有子網路的指紋 ID,會在描述子網路時提供。
詳情請參閱 subnetworks.patch 方法。
停用虛擬私有雲流量記錄設定
主控台
在 Google Cloud 控制台中,前往「VPC Flow Logs」頁面。
選取「VLAN 連結」或「VPN 通道」分頁:
- 如要關閉 VLAN 連結的虛擬私有雲流量記錄設定,請選取「VLAN 連結」。
- 如要關閉 Cloud VPN 通道的虛擬私有雲流量記錄設定,請選取「VPN 通道」。
選取要關閉的一或多個虛擬私有雲流量記錄設定,然後將設定狀態變更為「關閉」或「全部關閉」。只有在所選項目包含啟用和停用的虛擬私有雲流量記錄設定時,「變更設定狀態」選單中的「全部關閉」選項才會顯示。
gcloud
如要暫停收集虛擬私有雲流量記錄設定的記錄,請使用 gcloud network-management vpc-flow-logs-configs update 指令。
執行下列指令:
gcloud network-management vpc-flow-logs-configs update CONFIG_NAME \
--location=global \
--state=disabled
將 CONFIG_NAME 替換為要更新的虛擬私有雲流量記錄設定名稱。設定位於與 VLAN 連結或 Cloud VPN 通道相同的 Google Cloud 專案中。
API
如要暫停收集 VPC 流量記錄設定的記錄,請使用 projects.locations.vpcFlowLogsConfigs.patch 方法。
暫停收集虛擬私有雲流量記錄設定的記錄:
PATCH https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME?updateMask=state
{
"state": "DISABLED"
}
更改下列內容:
PROJECT_ID:包含虛擬私有雲流量記錄設定的 Google Cloud 專案 ID。這個 ID 與 VLAN 連結或 Cloud VPN 通道的專案 ID 相同,這兩者都會用於設定。CONFIG_NAME:您要更新的虛擬私有雲流量記錄設定名稱。
刪除虛擬私有雲流量記錄設定
主控台
在 Google Cloud 控制台中,前往「VPC Flow Logs」頁面。
選取「子網路」、「VLAN 連結」或「VPN 通道」分頁:
- 如要刪除子網路的虛擬私有雲流量記錄設定,請選取「子網路」。
- 如要刪除 VLAN 連結的虛擬私有雲流量記錄設定,請選取「VLAN 連結」。
- 如要刪除 Cloud VPN 通道的虛擬私有雲流量記錄設定,請選取「VPN 通道」。
選取一或多個要刪除的虛擬私有雲流量記錄設定,然後按一下「刪除」。
gcloud
如要刪除 VLAN 連結或 Cloud VPN 通道的虛擬私有雲流量記錄設定,請使用 gcloud network-management vpc-flow-logs-configs delete 指令。
執行下列指令:
gcloud network-management vpc-flow-logs-configs delete CONFIG_NAME \
--location=global
將 CONFIG_NAME 替換為要刪除的虛擬私有雲流量記錄設定名稱。
API
如要刪除 VLAN 連結或 Cloud VPN 通道的虛擬私有雲流量記錄設定,請使用 projects.locations.vpcFlowLogsConfigs.delete 方法:
DELETE https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME
更改下列內容:
PROJECT_ID:包含您要刪除的虛擬私有雲流量記錄設定的 Google Cloud 專案 ID。CONFIG_NAME:虛擬私有雲流量記錄設定的名稱。
疑難排解
即使您已啟用子網路的流量記錄,但這些記錄似乎仍處於停用狀態
當您為內部應用程式負載平衡器設定僅代理程式的子網路,並使用
gcloud compute networks subnets指令啟用虛擬私有雲端流程記錄時,指令似乎會成功,但實際上並未啟用流程記錄。如果您同時加入--purpose=INTERNAL_HTTPS_LOAD_BALANCER旗標,--enable-flow-logs旗標就不會生效。使用 Google Cloud 控制台或 API 啟用流程記錄時,您會��到以下錯誤訊息:「欄位 'resource.enableFlowLogs' 的值無效:'true'。���網路的用途為 INTERNAL_HTTPS_LOAD_BALANCER 時,其中的欄位集無效。」
由於只有 Proxy 的子網路沒有虛擬機器,因此不支援虛擬私有雲流量記錄。這是預期的行為。