Configura los registros de flujo de VPC

En esta página, se describe cómo configurar los registros de flujo de VPC. Se supone que conoces los conceptos descritos en Registros de flujo de VPC y Acerca de los registros de flujo de VPC.

Antes de comenzar

Los registros de flujo de VPC te permiten configurar registros de flujo para subredes de nube privada virtual (VPC), adjuntos de VLAN para Cloud Interconnect (versión preliminar) y túneles de Cloud VPN (versión preliminar).

Antes de configurar los registros de flujo de VPC, completa las siguientes tareas:

Habilita los registros de flujo de VPC

Puedes habilitar los registros de flujo de VPC por subred, adjunto de VLAN o túnel de Cloud VPN. Cuando habilitas los registros de flujo de VPC para una subred, se habilita el registro para todas las VMs de la subred.

Puedes modificar la cantidad de información escrita en el registro. Para más detalles sobre los parámetros que puedes controlar, consulta Muestreo y procesamiento de registros. Para personalizar los campos de metadatos, usa la Google Cloud CLI o la API.

Habilita los registros de flujo de VPC en una subred

Puedes habilitar los registros de flujo de VPC cuando creas una subred o para una subred existente.

Habilita los registros de flujo de VPC cuando crees una subred

Console

  1. En la consola de Google Cloud, ve a la página Redes de VPC.

    Ir a las redes de VPC

  2. Haz clic en la red en la que quieres agregar una subred.

  3. Haz clic en Agregar subred.

  4. En Registros de flujo, selecciona Activado.

  5. Opcional: Ajusta el Intervalo de agregación y cualquiera de las siguientes opciones de configuración en la sección Configuración avanzada:

    • Indica si se debe configurar el filtrado de registros. De forma predeterminada, se anula la selección de Conservar solo los registros que coinciden con un filtro.
    • Indica si se deben incluir metadatos en las entradas de registro finales. De forma predeterminada, las anotaciones de metadatos incluyen todos los campos.
    • La tasa de muestreo secundaria. 50% significa que se conserva la mitad de las entradas que genera el proceso de muestreo principal del registro de flujo. La tasa de muestreo del registro de flujo principal no se puede configurar. Para obtener más información, consulta Muestreo y procesamiento de registros.
  6. Propaga los demás campos como corresponda.

  7. Haz clic en Agregar.

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Ejecuta el siguiente comando:

    gcloud compute networks subnets create SUBNET_NAME \
       --enable-flow-logs \
       [--logging-aggregation-interval=AGGREGATION_INTERVAL] \
       [--logging-flow-sampling=SAMPLE_RATE] \
       [--logging-filter-expr=FILTER_EXPRESSION] \
       [--logging-metadata=LOGGING_METADATA] \
       [--logging-metadata-fields=METADATA_FIELDS] \
       [other flags as needed]
    

    Reemplaza lo siguiente:

    • AGGREGATION_INTERVAL: el intervalo de agregación para los registros de flujo en esa subred. El intervalo se puede establecer en cualquiera de las siguientes opciones: 5 s (predeterminado), 30 s, 1 min, 5 min, 10 min o 15 min.
    • SAMPLE_RATE: La tasa de muestreo de flujo secundario. El muestreo de flujo secundario se puede establecer desde 0.0 (sin muestreo) hasta 1.0 (todos los registros). El valor predeterminado es 0.5. Para obtener más información, consulta Muestreo y procesamiento de registros.
    • FILTER_EXPRESSION: Es una expresión que define qué registros deseas conservar. La expresión tiene un límite de 2,048 caracteres. Para obtener más detalles, consulta Filtrado de registros.
    • LOGGING_METADATA: Las anotaciones de metadatos que deseas incluir en los registros:

      • Usa include-all para incluir todas las anotaciones de metadatos.
      • Usa exclude-all para excluir todas las anotaciones de metadatos (predeterminado).
      • Usa custom para incluir una lista personalizada de los campos de metadatos que especifiques en METADATA_FIELDS.
    • METADATA_FIELDS: una lista separada por comas de los campos de metadatos que deseas incluir en los registros. Por ejemplo, src_instance,dst_instance Se puede configurar solo si LOGGING_METADATA se establece como custom.

API

Habilita los registros de flujo de VPC cuando crees una nueva subred.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks
{
  "logConfig": {
    "aggregationInterval": "AGGREGATION_INTERVAL",
    "flowSampling": SAMPLING_RATE,
    "filterExpr": EXPRESSION,
    "metadata": METADATA_SETTING,
    "metadataFields": METADATA_FIELDS,
    "enable": true
  },
  "ipCidrRange": "IP_RANGE",
  "network": "NETWORK_URL",
  "name": "SUBNET_NAME"
}

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto en el que se creará la subred.
  • REGION: La región en la que se creará la subred.
  • AGGREGATION_INTERVAL: El intervalo de agregación para los registros de flujo en la subred. El intervalo se puede establecer en cualquiera de las siguientes opciones: INTERVAL_5_SEC, INTERVAL_30_SEC, INTERVAL_1_MIN, INTERVAL_5_MIN, INTERVAL_10_MIN o INTERVAL_15_MIN.
  • SAMPLING_RATE: La tasa de muestreo de flujo. El muestreo de flujo se puede establecer desde 0.0 (sin muestreo) hasta 1.0 (todos los registros). El valor predeterminado es .0.5.
  • EXPRESSION: La expresión de filtro que usas para filtrar qué registros se escriben. La expresión tiene un límite de 2,048 caracteres. Para obtener más detalles, consulta Filtrado de registros.
  • METADATA_SETTING: Las anotaciones de metadatos que deseas incluir en los registros:

    • Usa INCLUDE_ALL_METADATA para incluir todas las anotaciones de metadatos.
    • Usa EXCLUDE_ALL_METADATA para excluir todas las anotaciones de metadatos (predeterminado).
    • Usa custom para incluir una lista personalizada de los campos de metadatos que especifiques en METADATA_FIELDS.
  • METADATA_FIELDS: Los campos de metadatos que deseas capturar cuando configuras metadata: CUSTOM_METADATA. Esta es una lista de campos de metadatos separados por comas, como src_instance, src_vpc.project_id.

  • IP_RANGE: El rango de direcciones IP internas principal de la subred.

  • NETWORK_URL: La URL de la red de nube privada virtual en la que se creará la subred.

  • SUBNET_NAME: Es un nombre de la subred.

Para obtener más información, consulta el método subnetworks.insert.

Terraform

Puedes usar un módulo de Terraform para crear una subred y una red de VPC en modo personalizado.

En el siguiente ejemplo, se crean tres subredes de la siguiente manera:

  • subnet-01 tiene inhabilitados los registros de flujo de VPC. Cuando creas una subred, los registros de flujo de VPC se inhabilitan, a menos que los habilites de manera explícita.
  • subnet-02 tiene habilitados los registros de flujo de VPC con la configuración de registro de flujo predeterminada.
  • subnet-03 tiene habilitados los registros de flujo de VPC con algunos parámetros de configuración personalizados.
module "test-vpc-module" {
  source       = "terraform-google-modules/network/google"
  version      = "~> 9.0"
  project_id   = var.project_id # Replace this with your project ID in quotes
  network_name = "my-custom-mode-network"
  mtu          = 1460

  subnets = [
    {
      subnet_name   = "subnet-01"
      subnet_ip     = "10.10.10.0/24"
      subnet_region = "us-west1"
    },
    {
      subnet_name           = "subnet-02"
      subnet_ip             = "10.10.20.0/24"
      subnet_region         = "us-west1"
      subnet_private_access = "true"
      subnet_flow_logs      = "true"
    },
    {
      subnet_name               = "subnet-03"
      subnet_ip                 = "10.10.30.0/24"
      subnet_region             = "us-west1"
      subnet_flow_logs          = "true"
      subnet_flow_logs_interval = "INTERVAL_10_MIN"
      subnet_flow_logs_sampling = 0.7
      subnet_flow_logs_metadata = "INCLUDE_ALL_METADATA"
      subnet_flow_logs_filter   = "false"
    }
  ]
}

Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform.

Habilita los registros de flujo de VPC en una subred existente

Console

  1. En la consola de Google Cloud, ve a la página Redes de VPC.

    Ir a las redes de VPC

  2. Haz clic en la subred que quieres actualizar.

  3. Haz clic en Editar.

  4. En Registros de flujo, selecciona Activado.

  5. Opcional: Ajusta el Intervalo de agregación y cualquiera de las siguientes opciones de configuración en la sección Configuración avanzada:

    • Indica si se debe configurar el filtrado de registros. De forma predeterminada, se anula la selección de Conservar solo los registros que coinciden con un filtro.
    • Indica si se deben incluir metadatos en las entradas de registro finales. De forma predeterminada, las anotaciones de metadatos incluyen todos los campos.
    • La tasa de muestreo secundaria. 50% significa que se conserva la mitad de las entradas que genera el proceso de muestreo principal del registro de flujo. La tasa de muestreo del registro de flujo principal no se puede configurar. Para obtener más información, consulta Muestreo y procesamiento de registros.
  6. Haz clic en Guardar.

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Ejecuta el siguiente comando:

    gcloud compute networks subnets update SUBNET_NAME \
       --enable-flow-logs \
       [--logging-aggregation-interval=AGGREGATION_INTERVAL] \
       [--logging-flow-sampling=SAMPLE_RATE] \
       [--logging-filter-expr=FILTER_EXPRESSION] \
       [--logging-metadata=LOGGING_METADATA] \
       [--logging-metadata-fields=METADATA_FIELDS] \
       [other flags as needed]
    

    Reemplaza lo siguiente:

    • AGGREGATION_INTERVAL: el intervalo de agregación para los registros de flujo en esa subred. El intervalo se puede establecer en cualquiera de las siguientes opciones: 5 s (predeterminado), 30 s, 1 min, 5 min, 10 min o 15 min.
    • SAMPLE_RATE: La tasa de muestreo de flujo secundario. El muestreo de flujo secundario se puede establecer desde 0.0 (sin muestreo) hasta 1.0 (todos los registros). El valor predeterminado es 0.5. Para obtener más información, consulta Muestreo y procesamiento de registros.
    • FILTER_EXPRESSION: Es una expresión que define qué registros deseas conservar. La expresión tiene un límite de 2,048 caracteres. Para obtener más detalles, consulta Filtrado de registros.
    • LOGGING_METADATA: Las anotaciones de metadatos que deseas incluir en los registros:

      • Usa include-all para incluir todas las anotaciones de metadatos.
      • Usa exclude-all para excluir todas las anotaciones de metadatos (predeterminado).
      • Usa custom para incluir una lista personalizada de los campos de metadatos que especifiques en METADATA_FIELDS.
    • METADATA_FIELDS: una lista separada por comas de los campos de metadatos que deseas incluir en los registros. Por ejemplo, src_instance,dst_instance Se puede configurar solo si LOGGING_METADATA se establece como custom.

API

Habilita los registros de flujo de VPC en una subred existente.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    "enable": true
    ...other logging fields.
  },
  "fingerprint": "SUBNETWORK_FINGERPRINT"
}

Reemplaza lo siguiente:

Para obtener más información, consulta el método subnetworks.patch.

Habilita los registros de flujo de VPC para un adjunto de VLAN

Console

  1. En la consola de Google Cloud, ve a la página Interconnect.

    Ir a Interconnect

  2. En la pestaña Adjuntos de VLAN, selecciona uno o más adjuntos de VLAN y, luego, haz clic en Administrar registros de flujo en la barra de selección que se encuentra en la parte superior de la lista.

  3. En Administrar registros de flujo, haz clic en Agregar nueva configuración.

  4. Ingresa un Nombre para la nueva configuración de registros de flujo de VPC.

  5. Opcional: Ajusta el Intervalo de agregación y cualquiera de las opciones de configuración de la sección Configuración avanzada:

    • Indica si se debe configurar el filtrado de registros. De forma predeterminada, está deseleccionada la opción Mantener solo los registros que coincidan con un filtro.
    • Indica si se deben incluir metadatos en las entradas de registro finales. De forma predeterminada, las anotaciones de metadatos incluyen todos los campos.
    • La tasa de muestreo secundaria. 100% significa que se conservan todas las entradas generadas por el proceso de muestreo del registro de flujo principal. La tasa de muestreo del registro de flujo principal no se puede configurar. Para obtener más información, consulta Muestreo y procesamiento de registros.
  6. Haz clic en Guardar.

API

Para crear una configuración de registros de flujo de VPC para un adjunto de VLAN, usa el método projects.locations.vpcFlowLogsConfigs.create.

POST https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs
{
  "name": "CONFIG_NAME"
  "interconnectAttachment": "VLAN_ATTACHMENT"
  "description": "DESCRIPTION"
  "state": "STATE"
  "aggregationInterval": "AGGREGATION_INTERVAL",
  "flowSampling": "SAMPLE_RATE",
  "filterExpr": "FILTER_EXPRESSION",
  "metadata": "LOGGING_METADATA",
  "metadataFields": "METADATA_FIELDS"
}

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto de Google Cloud en el que deseas crear la configuración de los registros de flujo de VPC. Debe estar en el mismo proyecto que el adjunto de VLAN.
  • CONFIG_NAME: Es un nombre para la configuración de los registros de flujo de VPC.
  • VLAN_ATTACHMENT: Es el adjunto de VLAN que deseas registrar, en el formato projects/PROJECT_ID/regions/REGION/interconnectAttachments/NAME:
    • PROJECT_ID: el ID del proyecto de Google Cloud al que pertenece el adjunto de VLAN.
    • REGION: Es la región del adjunto de VLAN.
    • NAME: el nombre del adjunto de VLAN.
  • DESCRIPTION: Es una descripción opcional de la configuración de los registros de flujo de VPC.
  • STATE: El estado de la configuración de los registros de flujo de VPC. Este parámetro se debe establecer en ENABLED. Si deseas pausar la recopilación de registros de flujo, puedes cambiar el estado a DISABLED después de crear la configuración como se describe en Actualiza los parámetros de configuración de los adjuntos de VLAN y los túneles de VPN de Cloud.
  • AGGREGATION_INTERVAL: Es el intervalo de agregación para los registros de flujo que genera esta configuración. El intervalo se puede establecer en cualquiera de las siguientes opciones: INTERVAL_5_SEC (predeterminada), INTERVAL_30_SEC, INTERVAL_1_MIN, INTERVAL_5_MIN, INTERVAL_10_MIN o INTERVAL_15_MIN.
  • SAMPLE_RATE: La tasa de muestreo de flujo secundario. El muestreo de flujo secundario se puede establecer a partir de un valor mayor que 0.0 hasta 1.0 (todos los registros). El valor predeterminado es 1.0. Para obtener más información, consulta Muestreo y procesamiento de registros.
  • FILTER_EXPRESSION: Es una expresión que define qué registros deseas conservar. La expresión tiene un límite de 2,048 caracteres. Para obtener más detalles, consulta Filtrado de registros.
  • LOGGING_METADATA: Las anotaciones de metadatos que deseas incluir en los registros::
    • Usa include-all para incluir todas las anotaciones de metadatos (predeterminado).
    • Usa exclude-all para excluir todas las anotaciones de metadatos.
    • Usa custom para incluir una lista personalizada de los campos de metadatos que especifiques en METADATA_FIELDS.
  • METADATA_FIELDS: una lista separada por comas de los campos de metadatos que deseas incluir en los registros. Por ejemplo, src_instance,dst_instance Se puede configurar solo si LOGGING_METADATA se establece como custom.

Puedes agregar más de una configuración de registros de flujo de VPC para un solo adjunto de VLAN. Cada configuración de los registros de flujo de VPC genera un conjunto separado de registros de flujo.

Habilita los registros de flujo de VPC en un túnel de Cloud VPN

Console

  1. En la consola de Google Cloud, ve a la página VPN.

    Ir a VPN

  2. En la pestaña Túneles de Cloud VPN, selecciona uno o más túneles de Cloud VPN y, luego, haz clic en Administrar registros de flujo en la barra de selección que se encuentra en la parte superior de la lista.

  3. En Administrar registros de flujo, haz clic en Agregar nueva configuración.

  4. Ingresa un Nombre para la nueva configuración de registros de flujo de VPC.

  5. Opcional: Ajusta el Intervalo de agregación y cualquiera de las opciones de configuración de la sección Configuración avanzada:

    • Indica si se debe configurar el filtrado de registros. De forma predeterminada, está deseleccionada la opción Mantener solo los registros que coincidan con un filtro.
    • Indica si se deben incluir metadatos en las entradas de registro finales. De forma predeterminada, las anotaciones de metadatos incluyen todos los campos.
    • La tasa de muestreo secundaria. 100% significa que se conservan todas las entradas que genera el proceso de muestreo de registros de flujo principal. La tasa de muestreo del registro de flujo principal no se puede configurar. Para obtener más información, consulta Muestreo y procesamiento de registros.
  6. Haz clic en Guardar.

API

A fin de crear una configuración de registros de flujo de VPC para un túnel de Cloud VPN, usa el método projects.locations.vpcFlowLogsConfigs.create.

POST https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs
{
  "name": "CONFIG_NAME"
  "vpnTunnel": "VPN_TUNNEL"
  "description": "DESCRIPTION"
  "state": "STATE"
  "aggregationInterval": "AGGREGATION_INTERVAL",
  "flowSampling": "SAMPLE_RATE",
  "filterExpr": "FILTER_EXPRESSION",
  "metadata": "LOGGING_METADATA",
  "metadataFields": "METADATA_FIELDS"
}

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto de Google Cloud en el que deseas crear la configuración de los registros de flujo de VPC. Debe estar en el mismo proyecto que el túnel de Cloud VPN.
  • CONFIG_NAME: Es un nombre para la configuración de los registros de flujo de VPC.
  • VPN_TUNNEL: el túnel de Cloud VPN que deseas registrar, en el formato projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME:
    • PROJECT_ID: El ID del proyecto de Google Cloud al que pertenece el túnel de Cloud VPN.
    • REGION: Es la región del túnel de Cloud VPN.
    • NAME: Es el nombre del túnel de Cloud VPN.
  • DESCRIPTION: Es la descripción opcional de la configuración de los registros de flujo de VPC.
  • STATE: El estado de la configuración de los registros de flujo de VPC. Este parámetro se debe establecer en ENABLED. Si deseas pausar la recopilación de registros de flujo, puedes cambiar el estado a DISABLED después de crear la configuración como se describe en Actualiza los parámetros de configuración de los adjuntos de VLAN y los túneles de VPN de Cloud.
  • AGGREGATION_INTERVAL: El intervalo de agregación para los registros de flujo que genera esta configuración. El intervalo se puede establecer en cualquiera de las siguientes opciones: INTERVAL_5_SEC (predeterminada), INTERVAL_30_SEC, INTERVAL_1_MIN, INTERVAL_5_MIN, INTERVAL_10_MIN o INTERVAL_15_MIN.
  • SAMPLE_RATE: La tasa de muestreo de flujo secundario. El muestreo de flujo secundario se puede establecer a partir de un valor mayor que 0.0 hasta 1.0 (todos los registros). El valor predeterminado es 1.0. Para obtener más información, consulta Muestreo y procesamiento de registros.
  • FILTER_EXPRESSION: Es una expresión que define qué registros deseas conservar. La expresión tiene un límite de 2,048 caracteres. Para obtener más detalles, consulta Filtrado de registros.
  • LOGGING_METADATA: Las anotaciones de metadatos que deseas incluir en los registros::
    • Usa include-all para incluir todas las anotaciones de metadatos (predeterminado).
    • Usa exclude-all para excluir todas las anotaciones de metadatos.
    • Usa custom para incluir una lista personalizada de los campos de metadatos que especifiques en METADATA_FIELDS.
  • METADATA_FIELDS: una lista separada por comas de los campos de metadatos que deseas incluir en los registros. Por ejemplo, src_instance,dst_instance Solo se puede configurar si LOGGING_METADATA se establece como custom.

Puedes agregar más de una configuración de registros de flujo de VPC para un solo túnel de Cloud VPN. Cada configuración de los registros de flujo de VPC genera un conjunto independiente de registros de flujo.

Consulta el estado de configuración de los registros de flujo de VPC

Puedes ver lo siguiente:

  • Qué subredes tienen habilitados los registros de flujo de VPC
  • Qué adjuntos de VLAN y túneles de Cloud VPN tienen habilitados los registros de flujo de VPC (versión preliminar)

Visualiza qué subredes en una red tienen habilitados los registros de flujo de VPC

Puedes verificar qué subredes en una red de VPC tienen habilitados los registros de flujo de VPC. Para ver todas las subredes de un proyecto de Google Cloud que tienen habilitados los registros de flujo de VPC, consulta Cómo ver la configuración de los registros de flujo de VPC.

Console

  1. En la consola de Google Cloud, ve a la página Redes de VPC.

    Ir a las redes de VPC

  2. Haz clic en la red de VPC en la que deseas ver las subredes.

  3. Haz clic en la pestaña Subredes y consulta la columna Registros de flujo para ver si el registro está activado o desactivado.

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Ejecuta el siguiente comando:

    gcloud compute networks subnets list \
       --project PROJECT_ID \
       --network="NETWORK" \
       --format="csv(name,region,logConfig.enable)"

    Reemplaza lo siguiente:

    • PROJECT_ID es el ID del proyecto que consultas.
    • NETWORK es el nombre de la red que contiene las subredes.

Visualiza qué archivos adjuntos y túneles de un proyecto tienen habilitados los registros de flujo de VPC

Puedes verificar qué adjuntos de VLAN y túneles de Cloud VPN en un proyecto de Google Cloud tienen habilitados los registros de flujo de VPC. Para ver todas las opciones de configuración de los registros de flujo de VPC para los adjuntos de VLAN y los túneles de Cloud VPN en un proyecto de Google Cloud, consulta Visualiza las configuraciones de los registros de flujo de VPC.

Console

En la consola de Google Cloud, haz lo siguiente.

  • Para ver qué adjuntos de VLAN tienen habilitados los registros de flujo de VPC, sigue estos pasos:

    1. Ve a la página Interconexión.

      Ir a Interconnect

    2. Haz clic en la pestaña Adjuntos de VLAN y consulta la columna Registros de flujo para ver si el registro está activado o desactivado.

  • Para ver qué túneles de Cloud VPN tienen habilitados los registros de flujo de VPC, haz lo siguiente:

    1. Ir a la página de VPN.

      Ir a VPN

    2. Haz clic en la pestaña Túneles de Cloud VPN y consulta la columna Registros de flujo para ver si el registro está activado o desactivado.

Visualiza las configuraciones de los registros de flujo de VPC

Cuando configuras registros de flujo de VPC para una subred, un adjunto de VLAN o un túnel de Cloud VPN, Google Cloud crea una configuración de registros de flujo de VPC para tu subred, adjunto de VLAN o túnel de VPN con los valores de configuración que estableciste. Un solo adjunto de VLAN o túnel de Cloud VPN puede tener una o más configuraciones de registro de flujo de VPC. Una subred que tiene habilitados los registros de flujo de VPC solo puede tener una configuración de registros de flujo de VPC.

Para ver qué adjuntos de VLAN y túneles de Cloud VPN tienen los registros de flujo activados o desactivados, verifica el estado de su configuración de registros de flujo de VPC. Si el estado de la configuración de los registros de flujo de VPC es activado, significa que están activados los registros de flujo para el adjunto de VLAN o el túnel de Cloud VPN que usa esta configuración. Los parámetros de configuración de registros de flujo de VPC para subredes no se pueden desactivar, solo borrar.

Console

  1. En la consola de Google Cloud, ve a la página Registros de flujo de VPC.

    Ve a Registros de flujo de VPC

  2. Haz clic en la pestaña Subredes, Adjuntos de VLAN o Túneles VPN.

    • Subredes muestra las subredes que tienen una configuración de registros de flujo de VPC activa.
    • Adjuntos de VLAN muestra los adjuntos de VLAN para Cloud Interconnect que tienen configuraciones de registros de flujo de VPC activas o pausadas.
    • En Túneles de VPN, se enumeran los túneles de Cloud VPN que tienen configuraciones de registros de flujo de VPC activas o pausadas.

API

Para ver las configuraciones de los registros de flujo de VPC, usa los métodos projects.locations.vpcFlowLogsConfigs.list y projects.locations.vpcFlowLogsConfigs.get.

Consulta todas las configuraciones de los registros de flujo de VPC.

GET https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs

Consulta una sola configuración de registros de flujo de VPC.

GET https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto de Google Cloud que contiene la configuración de los registros de flujo de VPC que deseas ver.
  • CONFIG_NAME es el nombre de la configuración de los registros de flujo de VPC.

Actualiza la configuración de los registros de flujo de VPC

Puedes modificar los parámetros de muestreo de registros. Para obtener información sobre los parámetros que puedes controlar, consulta Muestreo y procesamiento de registros. Para personalizar los campos de metadatos, usa la gcloud CLI o la API

Actualiza los parámetros de configuración de las subredes

Console

  1. En la consola de Google Cloud, ve a la página Redes de VPC.

    Ir a las redes de VPC

  2. En Subredes del proyecto actual, haz clic en la subred que quieres actualizar.

  3. Haz clic en Editar.

  4. Opcional: Ajusta cualquiera de los siguientes parámetros de configuración:

    • El Intervalo de agregación De forma predeterminada, el intervalo de agregación se establece en 5 s.
    • Indica si se debe configurar el filtrado de registros. De forma predeterminada, se anula la selección de Conservar solo los registros que coinciden con un filtro.
    • Indica si se deben incluir metadatos en las entradas de registro finales. De forma predeterminada, las anotaciones de metadatos incluyen todos los campos.
    • La tasa de muestreo secundaria. 50% significa que se conserva la mitad de las entradas generadas por el proceso de muestreo del registro de flujo principal. La tasa de muestreo del registro de flujo principal no se puede configurar. Para obtener más información, consulta Muestreo y procesamiento de registros.
  5. Haz clic en Guardar.

Como alternativa, puedes actualizar los parámetros de configuración de los registros de flujo de VPC con el menú  Administrar registros de flujo en Subredes en el proyecto actual en la página Redes de VPC.

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Ejecuta el siguiente comando:

    gcloud compute networks subnets update SUBNET_NAME \
       [--logging-aggregation-interval=AGGREGATION_INTERVAL] \
       [--logging-flow-sampling=SAMPLE_RATE] \
       [--logging-filter-expr=FILTER_EXPRESSION] \
       [--logging-metadata=LOGGING_METADATA] \
       [--logging-metadata-fields=METADATA_FIELDS] \
    

    Reemplaza lo siguiente:

    • AGGREGATION_INTERVAL: El intervalo de agregación para los registros de flujo en esa subred. El intervalo se puede establecer en cualquiera de las siguientes opciones: 5 s (predeterminado), 30 s, 1 min, 5 min, 10 min o 15 min.
    • SAMPLE_RATE: La tasa de muestreo de flujo secundario. El muestreo de flujo secundario se puede establecer desde 0.0 (sin muestreo) hasta 1.0 (todos los registros). El valor predeterminado es 0.5. Para obtener más información, consulta Muestreo y procesamiento de registros.
    • FILTER_EXPRESSION: Una expresión que define qué registros deseas conservar. La expresión tiene un límite de 2,048 caracteres. Para obtener más detalles, consulta Filtrado de registros.
    • LOGGING_METADATA: Las anotaciones de metadatos que deseas incluir en los registros:

      • Usa include-all para incluir todas las anotaciones de metadatos.
      • Usa exclude-all para excluir todas las anotaciones de metadatos (predeterminado).
      • Usa custom para incluir una lista personalizada de los campos de metadatos que especifiques en METADATA_FIELDS.
    • METADATA_FIELDS: una lista separada por comas de los campos de metadatos que deseas incluir en los registros. Por ejemplo, src_instance,dst_instance Se puede configurar solo si LOGGING_METADATA se establece como custom.

API

Modifica los campos de muestreo de registros para actualizar los comportamientos de los registros de flujo de VPC.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    ...fields to modify
  },
  "fingerprint": "SUBNETWORK_FINGERPRINT"
}

Reemplaza lo siguiente:

Para obtener más información, consulta el método subnetworks.patch.

Actualiza los parámetros de configuración de los adjuntos de VLAN y los túneles de Cloud VPN

Console

  1. En la consola de Google Cloud, ve a la página Registros de flujo de VPC.

    Ve a Registros de flujo de VPC

  2. Selecciona la pestaña Adjuntos de VLAN o Túneles VPN:

    • Para actualizar los parámetros de los registros de flujo de VPC para los adjuntos de VLAN, selecciona Adjuntos de VLAN.
    • Para actualizar los parámetros de registros de flujo de VPC para los túneles de Cloud VPN, selecciona Túneles de VPN.
  3. Selecciona uno o más parámetros de configuración de registros de flujo de VPC que quieras actualizar y haz clic en Editar.

  4. Opcional: Ajusta cualquiera de las siguientes opciones:

    • El Intervalo de agregación De forma predeterminada, el intervalo de agregación se establece en 5 s.
    • Indica si se debe establecer el Estado de la configuración de los registros de flujo de VPC como activado o desactivado. El estado Activado significa que la configuración de los registros de flujo de VPC seleccionada está activa y genera registros de flujo.
    • Indica si se debe configurar el filtrado de registros. De forma predeterminada, se anula la selección de Conservar solo los registros que coinciden con un filtro.
    • Indica si se deben incluir metadatos en las entradas de registro finales. De forma predeterminada, las anotaciones de metadatos incluyen todos los campos.
    • La tasa de muestreo secundaria. 100% significa que se conservan todas las entradas que genera el proceso de muestreo de registros de flujo principal. La tasa de muestreo del registro de flujo principal no se puede configurar. Para obtener más información, consulta Muestreo y procesamiento de registros.
  5. Haz clic en Guardar.

Como alternativa, puedes actualizar los parámetros de configuración de los registros de flujo de VPC con el menú  Administrar registros de flujo en la pestaña Adjuntos de VLAN de la página Interconexión y en la pestaña Túneles de VPN de la página VPN.

API

Para modificar los parámetros de configuración de los registros de flujo de VPC, usa el método projects.locations.vpcFlowLogsConfigs.patch.

Actualiza la configuración de los registros de flujo de VPC para un adjunto de VLAN.

PATCH https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME
{
  "interconnectAttachment": "VLAN_ATTACHMENT"
  ...fields to modify
}

Actualiza la configuración de registros de flujo de VPC para un túnel de Cloud VPN.

PATCH https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME
{
  "vpnTunnel": "VPN_TUNNEL"
  ...fields to modify
}

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto de Google Cloud que contiene la configuración de los registros de flujo de VPC.
  • CONFIG_NAME es el nombre de la configuración de los registros de flujo de VPC que deseas actualizar.
  • VLAN_ATTACHMENT o VPN_TUNNEL:
    • Para actualizar una configuración de registros de flujo de VPC para un adjunto de VLAN, especifica el VLAN_ATTACHMENT en el formato projects/PROJECT_ID/regions/REGION/interconnectAttachments/NAME.
    • Para actualizar una configuración de los registros de flujo de VPC en un túnel de VPN, especifica VPN_TUNNEL en el formato projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME.
    • Reemplaza lo siguiente:
      • PROJECT_ID: Es el ID del proyecto de Google Cloud al que pertenece el adjunto de VLAN o el túnel de Cloud VPN.
      • REGION: Es la región del adjunto de VLAN o el túnel de Cloud VPN.
      • NAME: Es el nombre del adjunto de VLAN o del túnel de Cloud VPN.

Para obtener información sobre los campos que puedes modificar, consulta Habilita los registros de flujo de VPC para un adjunto de VLAN (versión preliminar) o Habilita los registros de flujo de VPC para un túnel de VPN (versión preliminar).

Detén la recopilación de registros

Puedes inhabilitar los registros de flujo de VPC en una subred, lo que detiene la recopilación de registros y borra la configuración de los registros de flujo de VPC.

Para pausar la recopilación de registros de un adjunto de VLAN o un túnel de Cloud VPN, desactiva todas sus configuraciones activas de registros de flujo de VPC. No puedes detener la recopilación de registros de una subred.

Si ya no necesitas una configuración de registros de flujo de VPC, puedes borrarla. La recopilación de registros se detiene y se borra la configuración.

Inhabilita los registros de flujo de VPC en una subred

Console

  1. En la consola de Google Cloud, ve a la página Redes de VPC.

    Ir a las redes de VPC

  2. Haz clic en la subred que quieres actualizar.

  3. Haz clic en Editar.

  4. En Registros de flujo, selecciona Desactivado.

  5. Haz clic en Guardar.

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Ejecuta el siguiente comando:

    gcloud compute networks subnets update SUBNET_NAME \
       --no-enable-flow-logs
    

API

Inhabilita los registros de flujo de VPC en una subred para dejar de recopilar registros.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    "enable": false
  },
  "fingerprint": "SUBNETWORK_FINGERPRINT"
}

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto en el que está la subred.
  • REGION: La región en la que se encuentra la subred.
  • SUBNET_NAME: Es el nombre de la subred existente.
  • SUBNET_FINGERPRINT: Es el ID de huella digital de la subred existente, que se proporciona cuando describes una subred.

Para obtener más información, consulta el método subnetworks.patch.

Cómo desactivar una configuración de registros de flujo de VPC

Console

  1. En la consola de Google Cloud, ve a la página Registros de flujo de VPC.

    Ve a Registros de flujo de VPC

  2. Selecciona la pestaña Adjuntos de VLAN o Túneles VPN:

    • Para desactivar la configuración de los registros de flujo de VPC en un adjunto de VLAN, selecciona Adjuntos de VLAN.
    • Para desactivar una configuración de registros de flujo de VPC para un túnel de Cloud VPN, selecciona Túneles de VPN.
  3. Selecciona una o más configuraciones de registros de flujo de VPC que quieras desactivar y cambia el estado de configuración a Desactivar o Desactivar todo. La opción Desactivar todo en el menú Cambiar el estado de configuración aparece solo si tu selección incluye configuraciones de registros de flujo de VPC activas e inactivas.

Borra una configuración de registros de flujo de VPC

Console

  1. En la consola de Google Cloud, ve a la página Registros de flujo de VPC.

    Ve a Registros de flujo de VPC

  2. Selecciona la pestaña Subredes, Adjuntos de VLAN o Túneles de VPN:

    • Para borrar la configuración de registros de flujo de VPC de una subred, selecciona Subredes.
    • Para borrar una configuración de los registros de flujo de VPC para un adjunto de VLAN, selecciona Adjuntos de VLAN.
    • Para borrar una configuración de los registros de flujo de VPC para un túnel de Cloud VPN, selecciona Túneles VPN.
  3. Selecciona uno o más parámetros de configuración de registros de flujo de VPC que quieras borrar y haz clic en Borrar.

API

Para borrar una configuración de registros de flujo de VPC para un adjunto de VLAN o un túnel de Cloud VPN, usa el método projects.locations.vpcFlowLogsConfigs.delete.

DELETE https://networkmanagement.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto de Google Cloud que contiene la configuración de los registros de flujo de VPC que deseas borrar.
  • CONFIG_NAME es el nombre de la configuración de los registros de flujo de VPC.

Soluciona problemas

Los registros de flujo de las subredes parecen estar inhabilitados aunque los hayas habilitado

  • Cuando configuras una subred de solo proxy para balanceador de cargas de aplicaciones internos y usas el comando gcloud compute networks subnets para habilitar los registros de flujo de VPC, parece que el comando se ejecuta con éxito, pero los registros de flujo en realidad no están habilitados. La marca --enable-flow-logs no se aplica cuando también incluyes la marca --purpose=INTERNAL_HTTPS_LOAD_BALANCER.

    Si usas la consola de Google Cloud o la API para habilitar los registros de flujo, verás el mensaje de error: “Valor no válido para el campo ‘resource.enableFlowLogs’: ‘true’. Campo no válido configurado en la subred con el propósito INTERNAL_HTTPS_LOAD_BALANCEER”.

    Debido a que las subredes de solo proxy no tienen VMs, no se admiten los registros de flujo de VPC. Este es el comportamiento esperado.

¿Qué sigue?