Algumas ou todas as informações nesta página podem não se aplicar à Trusted Cloud da S3NS. Consulte Diferenças do Google Cloud para saber mais.

Esta página foi traduzida pela API Cloud Translation.

Configurar os registros de fluxo de VPC

Nesta página, explicamos como configurar os registros de fluxo de VPC. Ele pressupõe que você conheça os conceitos descritos em Registros de fluxo de VPC e Sobre os registros de fluxo de VPC.

Antes de começar

Configure pelo menos uma das seguintes opções:

Recomendado: a API Network Management permite configurar os registros de fluxo de VPC para organizações, redes de nuvem privada virtual (VPC), sub-redes, anexos da VLAN para o Cloud Interconnect e túneis do Cloud VPN. Para usar a API Network Management, faça o seguinte:
1. Ative a API Network Management no projeto do Trusted Cloud .
  
  Ativar a API Network Management
2. Verifique se você tem o papel de administrador de gerenciamento de rede (roles/networkmanagement.admin), concedido da seguinte maneira:
  - No nível da organização (necessário se você quiser configurar registros de fluxo de VPC para uma organização)
  - Nível do projeto (necessário se você quiser configurar os registros de fluxo de VPC para uma rede VPC, sub-rede, anexo da VLAN ou túnel do Cloud VPN)
3. Além disso, se você quiser configurar os Registros de fluxo de VPC para uma organização, verifique se tem a permissão resourcemanager.organizations.get.
Com a API Compute Engine, é possível configurar os registros de fluxo de VPC apenas para sub-redes. As configurações criadas com a API Compute Engine não podem ser gerenciadas com a API Network Management. Para usar a API Compute Engine, faça o seguinte:
1. Ative a API Compute Engine no projeto do Trusted Cloud .
  
  Ative a API Compute Engine
2. Verifique se você tem um dos seguintes papéis no projeto:
  - Papel Administrador do Compute (roles/compute.admin)
  - Papel Administrador de rede do Compute (roles/compute.networkAdmin)
Para mais informações sobre qual API usar para ativar os registros de fluxo de VPC para sub-redes, consulte Escolher como ativar os registros de fluxo de VPC para uma sub-rede.

Configure a Google Cloud CLI

Pule esta etapa se não planeja usar a CLI gcloud para configurar os Registros de fluxo de VPC.

In the Trusted Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Trusted Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

Ativar VPC Flow Logs

Para ativar os registros de fluxo de VPC em um recurso, crie uma configuração de registros de fluxo de VPC. Com os registros de fluxo de VPC, é possível criar configurações nos níveis da organização e do projeto:

Uma configuração no nível da organização ativa os registros de fluxo para todas as sub-redes, anexos da VLAN e túneis do Cloud VPN em todas as redes VPC da organização.
Com uma configuração no nível do projeto, é possível ativar os registros de fluxo para os seguintes recursos:
- Uma rede VPC específica, que inclui todas as sub-redes, anexos da VLAN e túneis do Cloud VPN na rede
- Uma sub-rede, um anexo da VLAN ou um túnel do Cloud VPN específico

É possível adicionar mais de uma configuração de Registros de fluxo de VPC por recurso. Cada configuração gera um conjunto separado de registros de fluxo. Se você associar um recurso a várias configurações de registros de fluxo da VPC e o escopo delas se sobrepuser, as informações de registro poderão conter registros duplicados.

Também é possível modificar a quantidade de informações gravadas na geração de registros. Para mais informações sobre os parâmetros que podem ser controlados, consulte Amostragem e processamento de registros.

Ativar Registros de fluxo de VPC para uma sub-rede

Quando você ativa os registros de fluxo de VPC para uma sub-rede, os registros são ativados para todas as VMs na sub-rede.

Escolher como ativar os registros de fluxo de VPC para uma sub-rede

É possível usar a API Network Management ou a API Compute Engine para ativar os registros de fluxo de VPC para sub-redes. Como a API Network Management oferece mais opções para ativar os registros de fluxo de VPC, recomendamos que você use essa API.

A API Network Management oferece paridade de recursos com a API Compute Engine. Todas as opções de configuração dos registros de fluxo de VPC para sub-redes disponíveis na API Compute Engine são compatíveis com a API Network Management.

Para configurações atuais de registros de fluxo de VPC gerenciadas pela API Compute Engine, considere o seguinte:

Para mover suas configurações para a API Network Management, use uma das seguintes abordagens:
- É possível criar uma cópia das configurações dos registros de fluxo de VPC usando a API Network Management e excluir as configurações originais. Para mais informações, consulte Ativar os registros de fluxo de VPC para uma sub-rede (API Network Management) e Desativar os registros de fluxo de VPC para uma sub-rede.
- Para simplificar o gerenciamento de configurações dos registros de fluxo de VPC, você pode consolidar as configurações gerenciadas pela API Compute Engine. Por exemplo, em vez de criar uma configuração separada para cada sub-rede, crie uma configuração para a rede VPC ou organização que contém as sub-redes e exclua as configurações originais. Para mais informações, consulte Configurações compatíveis.
Ao contrário da API Compute Engine, a API Network Management não define os campos enableFlowLogs ou logConfig.enable para sub-redes. Se você estiver usando ferramentas de terceiros que dependem desses campos, faça uma das seguintes ações:
- Use o método showEffectiveFlowLogsConfigs da API Network Management para conferir todas as configurações que registram uma sub-rede específica. Para mais informações, consulte Ver todas as configurações de um recurso na guia API.
- Continue usando a API Compute Engine para configurar os registros de fluxo de VPC, conforme descrito em Ativar os registros de fluxo de VPC para uma sub-rede (API Compute Engine).

Ativar registros de fluxo de VPC para uma sub-rede (API Network Management)

Nesta seção, descrevemos como ativar os registros de fluxo da VPC para uma sub-rede usando a API Network Management (recomendado).

Console

No console do Trusted Cloud , acesse a página Redes VPC.

Acessar redes VPC
Na guia Sub-redes no projeto atual, selecione uma ou mais sub-redes e clique em Gerenciar registros de fluxo.
Em Gerenciar registros de fluxo, clique em Adicionar nova configuração.
Escolha uma destas opções:
- Se você selecionou uma sub-rede, na seção Configurações — sub-redes, clique em Adicionar uma configuração.
- Se você selecionou várias sub-redes, na seção Configurar registros de fluxo de VPC, selecione API Network Management.
Em Nome, insira um nome para a nova configuração dos Registros de fluxo de VPC.
Opcional: ajuste o Intervalo de agregação e qualquer uma das configurações na seção Configurações avançadas:
- Se a filtragem de registros será configurada. A opção Manter apenas os registros que correspondem a um filtro fica desmarcada por padrão.
- Defina se os metadados serão incluídos nas entradas de registro finais. Por padrão, Anotações de metadados contém todos os campos.
- A Taxa de amostragem secundária. 100% significa que todas as entradas geradas pelo processo de amostragem de registro de fluxo principal são mantidas. A taxa de amostragem do registro de fluxo principal não é configurável. Para mais informações, consulte Amostragem e processamento de registros.
Clique em Salvar.

gcloud

Para ativar os registros de fluxo de VPC em uma sub-rede, use o comando gcloud network-management vpc-flow-logs-configs create.

Para ativar os registros de fluxo de VPC, crie uma configuração deles. É possível criar a configuração com todos os parâmetros definidos como valores padrão ou personalizar esses valores.

Na CLI gcloud, defina o projeto como o ID Trusted Cloud project da sub-rede e execute um dos seguintes comandos:

Para criar uma configuração padrão dos Registros de fluxo da VPC, execute o seguinte comando:

gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --subnet=SUBNET

Para criar uma configuração personalizada dos Registros de fluxo de VPC, especifique cada parâmetro que você quer personalizar.

Por exemplo, para personalizar o intervalo de agregação, a filtragem, a taxa de amostragem secundária e os parâmetros de metadados ao criar uma configuração dos Registros de fluxo de VPC, execute o seguinte comando:
```
gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --subnet=SUBNET \
    --aggregation-interval=AGGREGATION_INTERVAL \
    --filter-expr=FILTER_EXPRESSION \
    --flow-sampling=SAMPLING_RATE \
    --metadata=LOGGING_METADATA
```
Substitua:
- CONFIG_NAME: um nome para a configuração.
- SUBNET: a sub-rede que você quer registrar. Precisa ser especificado no seguinte formato: projects/PROJECT_ID/regions/REGION/subnetworks/NAME, em que:
  - PROJECT_ID é o ID do projeto Trusted Cloud que contém a sub-rede. A configuração precisa ser criada neste projeto.
  - REGION é a região da sub-rede.
  - NAME é o nome da sub-rede.
Para definir os parâmetros opcionais em uma configuração personalizada, substitua o seguinte:
- AGGREGATION_INTERVAL: o intervalo de agregação para registros de fluxo gerados por essa configuração. Esse parâmetro pode ser definido como interval-5-sec(padrão), interval-30-sec, interval-1-min, interval-5-min,interval-10-min ou interval-15-min.
- FILTER_EXPRESSION: uma expressão que define quais registros você quer manter. A expressão tem um limite de 2.048 caracteres. Para mais informações, consulte Filtragem de registros e Exemplos de filtros de registro.
- SAMPLING_RATE: a taxa de amostragem de fluxo secundário. Esse parâmetro pode ser definido de um valor maior que 0.0 até 1.0 (todos os registros, padrão). Para mais informações, consulte Amostragem e processamento de registros.
- LOGGING_METADATA: as anotações de metadados que você quer incluir nos registros:
  - Use include-all-metadata para incluir todas as anotações de metadados (padrão).
  - Use exclude-all-metadata para excluir todas as anotações de metadados.
  - Use custom-metadata para incluir uma lista personalizada de campos de metadados. Para especificar os campos de metadados, use a flag --metadata-fields:
    - --metadata-fields=METADATA_FIELDS: substitua METADATA_FIELDS por uma lista separada por vírgulas de campos de metadados que você quer incluir nos registros. Por exemplo, src_instance,dst_instance. Só poderá ser definido se metadata estiver definido como custom-metadata.

API

Para ativar os Registros de fluxo de VPC para uma sub-rede, use o método projects.locations.vpcFlowLogsConfigs.create.

Para ativar os registros de fluxo de VPC, crie uma configuração deles. É possível criar a configuração com todos os parâmetros definidos como valores padrão ou personalizar esses valores.

Para criar uma configuração padrão dos Registros de fluxo de VPC, inclua os seguintes parâmetros na solicitação da API:

POST https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "subnet": "SUBNET"
}

Para criar uma configuração personalizada dos Registros de fluxo de VPC, especifique cada parâmetro que você quer personalizar.

Por exemplo, para personalizar o intervalo de agregação, a filtragem, a taxa de amostragem secundária e os parâmetros de metadados ao criar uma configuração de registros de fluxo da VPC, inclua os seguintes parâmetros na solicitação de API:

POST https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "subnet": "SUBNET",
  "aggregationInterval": "AGGREGATION_INTERVAL",
  "filterExpr": "FILTER_EXPRESSION",
  "flowSampling": SAMPLING_RATE,
  "metadata": "LOGGING_METADATA"
}

Substitua:

PROJECT_ID: o ID do projeto Trusted Cloud da sub-rede.
CONFIG_NAME: um nome para a configuração.
SUBNET: a sub-rede que você quer registrar. Precisa ser especificado no seguinte formato: projects/PROJECT_ID/regions/REGION/subnetworks/NAME, em que:
- PROJECT_ID é o ID do projeto da sub-rede.
- REGION é a região da sub-rede;
- NAME é o nome da sub-rede.

Para definir os parâmetros opcionais em uma configuração personalizada, substitua o seguinte:

AGGREGATION_INTERVAL: o intervalo de agregação para registros de fluxo gerados por essa configuração. Esse parâmetro pode ser definido como INTERVAL_5_SEC (padrão), INTERVAL_30_SEC, INTERVAL_1_MIN, INTERVAL_5_MIN, INTERVAL_10_MIN ou INTERVAL_15_MIN.
FILTER_EXPRESSION: uma expressão que define quais registros você quer manter. A expressão tem um limite de 2.048 caracteres. Para mais informações, consulte Filtragem de registros.
SAMPLING_RATE: a taxa de amostragem de fluxo secundário. Esse parâmetro pode ser definido de um valor maior que 0.0 até 1.0 (todos os registros, padrão). Para mais informações, consulte Amostragem e processamento de registros.
LOGGING_METADATA: as anotações de metadados que você quer incluir nos registros:
- Use INCLUDE_ALL_METADATA para incluir todas as anotações de metadados (padrão).
- Use EXCLUDE_ALL_METADATA para excluir todas as anotações de metadados.
- Use CUSTOM_METADATA para incluir uma lista personalizada de campos de metadados. Para especificar os campos de metadados, use o parâmetro metadataFields:
  - metadataFields: METADATA_FIELDS: substitua METADATA_FIELDS por uma lista separada por vírgulas de campos de metadados que você quer incluir nos registros. Por exemplo, src_instance,dst_instance. Só poderá ser definido se metadata estiver definido como CUSTOM_METADATA.

Ativar os registros de fluxo de VPC para uma sub-rede (API Compute Engine)

Nesta seção, descrevemos como ativar os registros de fluxo de VPC para uma sub-rede usando a API Compute Engine. É possível ativar os registros de fluxo de VPC ao criar uma sub-rede ou para uma sub-rede existente.

Recomendamos que você ative os registros de fluxo de VPC para uma sub-rede usando a API Network Management.

Ativar registros de fluxo de VPC ao criar uma sub-rede

Console

No console do Trusted Cloud , acesse a página Redes VPC.

Acessar redes VPC
Clique na rede em que você quer adicionar uma sub-rede.
Clique em Add subnet.
Em Registros de fluxo, selecione Ativado.
Opcional: ajuste o Intervalo de agregação e qualquer uma das seguintes configurações na seção Configurações avançadas:
- Se a filtragem de registros será configurada. A opção Manter apenas os registros que correspondem a um filtro fica desmarcada por padrão.
- Defina se os metadados serão incluídos nas entradas de registro finais. Por padrão, Anotações de metadados contém todos os campos.
- A Taxa de amostragem secundária. 50% significa que metade das entradas geradas pelo processo de amostragem do registro de fluxo principal são mantidas. A taxa de amostragem do registro de fluxo principal não é configurável. Para mais informações, consulte Amostragem e processamento de registros.
Preencha outros campos conforme apropriado.
Clique em Adicionar.

gcloud

Execute este comando:

gcloud compute networks subnets create SUBNET_NAME \
    --enable-flow-logs \
    [--logging-aggregation-interval=AGGREGATION_INTERVAL] \
    [--logging-flow-sampling=SAMPLING_RATE] \
    [--logging-filter-expr=FILTER_EXPRESSION] \
    [--logging-metadata=LOGGING_METADATA] \
    [--logging-metadata-fields=METADATA_FIELDS] \
    [other flags as needed]

Substitua:

AGGREGATION_INTERVAL: o intervalo de agregação para registros de fluxo nessa sub-rede. O intervalo de tempo pode ser configurado para: 5 s (padrão), 30 s, 1 min, 5 min, 10 min ou 15 min.
SAMPLING_RATE: a taxa de amostragem de fluxo secundário. A amostragem de fluxo secundário pode ser definida desde 0.0 (sem amostragem) até 1.0 (todos os registros). O padrão é 0.5. Para mais informações, consulte Amostragem e processamento de registros.
FILTER_EXPRESSION: uma expressão que define quais registros você quer manter. A expressão tem um limite de 2.048 caracteres. Para mais informações, consulte Filtragem de registros e Exemplos de filtros de registros.
LOGGING_METADATA: as anotações de metadados que você quer incluir nos registros:
- Use include-all para incluir todas as anotações de metadados.
- Use exclude-all para excluir todas as anotações de metadados (padrão).
- Use custom para incluir uma lista personalizada de campos de metadados especificados em METADATA_FIELDS.
Observação: se uma sub-rede teve a geração de registros de fluxo ativada a qualquer momento antes de 1º de março de 2021 e se LOGGING_METADATA nunca foi explicitamente configurado, o valor padrão de LOGGING_METADATA é include-all.
METADATA_FIELDS: uma lista separada por vírgulas de campos de metadados que você quer incluir nos registros. Por exemplo, src_instance,dst_instance. Só poderá ser definido se LOGGING_METADATA estiver definido como custom.

API

Ative os registros de fluxo de VPC quando criar uma nova sub-rede.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks
{
  "logConfig": {
    "aggregationInterval": "AGGREGATION_INTERVAL",
    "flowSampling": SAMPLING_RATE,
    "filterExpr": EXPRESSION,
    "metadata": METADATA_SETTING,
    "metadataFields": METADATA_FIELDS,
    "enable": true
  },
  "ipCidrRange": "IP_RANGE",
  "network": "NETWORK_URL",
  "name": "SUBNET_NAME"
}

Substitua:

PROJECT_ID: o ID do projeto em que a sub-rede será criado.
REGION: a região em que a sub-rede será criada.
AGGREGATION_INTERVAL: o intervalo de agregação para registros de fluxo na sub-rede. O intervalo pode ser definido como qualquer um dos seguintes: INTERVAL_5_SEC, INTERVAL_30_SEC, INTERVAL_1_MIN, INTERVAL_5_MIN, INTERVAL_10_MIN ou INTERVAL_15_MIN.
SAMPLING_RATE: a taxa de amostragem de fluxo. A amostragem de fluxo pode ser definida de 0.0 (sem amostragem) a 1.0 (todos os registros). O padrão é .0.5.
EXPRESSION: é a expressão de filtro usada para filtrar quais registros realmente serão gravados. A expressão tem um limite de 2.048 caracteres. Para detalhes, consulte Filtragem de registros.
METADATA_SETTING: as anotações de metadados que você quer incluir nos registros:
- Use INCLUDE_ALL_METADATA para incluir todas as anotações de metadados.
- Use EXCLUDE_ALL_METADATA para excluir todas as anotações de metadados (padrão).
- Use CUSTOM_METADATA para incluir uma lista personalizada de campos de metadados especificados em METADATA_FIELDS.
Observação: se uma sub-rede teve a geração de registros de fluxo ativada a qualquer momento antes de 1º de março de 2021 e se METADATA_SETTING nunca foi explicitamente configurado, o valor padrão de METADATA_SETTING é INCLUDE_ALL_METADATA.
METADATA_FIELDS: os campos de metadados que você quer capturar depois de definir metadata: CUSTOM_METADATA. Esta é uma lista separada por vírgulas de campos de metadados, como src_instance, src_vpc.project_id.
IP_RANGE: o intervalo de endereços IP principal da sub-rede.
NETWORK_URL: é o URL da rede de nuvem privada virtual em que a sub-rede será criada.
SUBNET_NAME: um nome para a sub-rede.

Para mais informações, consulte o método subnetworks.insert.

Terraform

Use um módulo do Terraform para criar uma rede VPC e sub-redes de modo personalizado.

O exemplo a seguir cria três sub-redes da seguinte maneira:

subnet-01 tem registros de fluxo de VPC desativados. Quando você cria uma sub-rede, os registros de fluxo de VPC são desativados, a menos que você os ative explicitamente.
subnet-02 tem registros de fluxo de VPC ativados com as configurações padrão de registro de fluxo.
subnet-03 tem registros de fluxo de VPC ativados com algumas configurações personalizadas.

module "test-vpc-module" {
  source       = "terraform-google-modules/network/google"
  version      = "~> 12.0"
  project_id   = var.project_id # Replace this with your project ID in quotes
  network_name = "my-custom-mode-network"
  mtu          = 1460

  subnets = [
    {
      subnet_name   = "subnet-01"
      subnet_ip     = "10.10.10.0/24"
      subnet_region = "us-west1"
    },
    {
      subnet_name           = "subnet-02"
      subnet_ip             = "10.10.20.0/24"
      subnet_region         = "us-west1"
      subnet_private_access = "true"
      subnet_flow_logs      = "true"
    },
    {
      subnet_name               = "subnet-03"
      subnet_ip                 = "10.10.30.0/24"
      subnet_region             = "us-west1"
      subnet_flow_logs          = "true"
      subnet_flow_logs_interval = "INTERVAL_10_MIN"
      subnet_flow_logs_sampling = 0.7
      subnet_flow_logs_metadata = "INCLUDE_ALL_METADATA"
      subnet_flow_logs_filter   = "false"
    }
  ]
}

Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.

Ativar registros de fluxo de VPC para uma sub-rede atual

Console

No console do Trusted Cloud , acesse a página Redes VPC.

Acessar redes VPC
Na guia Sub-redes no projeto atual, selecione uma ou mais sub-redes e clique em Gerenciar registros de fluxo.
Em Gerenciar registros de fluxo, clique em Adicionar nova configuração.
Escolha uma destas opções:
- Se você selecionou uma sub-rede, na seção Configurações - sub-redes (API Compute Engine), clique em Adicionar uma configuração.
- Se você selecionou várias sub-redes, na seção Configurar registros de fluxo de VPC, selecione API Compute Engine.
Opcional: ajuste o Intervalo de agregação e qualquer uma das seguintes configurações na seção Configurações avançadas:
- Se a filtragem de registros será configurada. A opção Manter apenas os registros que correspondem a um filtro fica desmarcada por padrão.
- Defina se os metadados serão incluídos nas entradas de registro finais. Por padrão, Anotações de metadados contém todos os campos.
- A Taxa de amostragem secundária. 50% significa que metade das entradas geradas pelo processo de amostragem do registro de fluxo principal são mantidas. A taxa de amostragem do registro de fluxo principal não é configurável. Para mais informações, consulte Amostragem e processamento de registros.
Clique em Salvar.

gcloud

Execute este comando:

gcloud compute networks subnets update SUBNET_NAME \
    --enable-flow-logs \
    [--logging-aggregation-interval=AGGREGATION_INTERVAL] \
    [--logging-flow-sampling=SAMPLING_RATE] \
    [--logging-filter-expr=FILTER_EXPRESSION] \
    [--logging-metadata=LOGGING_METADATA] \
    [--logging-metadata-fields=METADATA_FIELDS] \
    [other flags as needed]

Substitua:

AGGREGATION_INTERVAL: o intervalo de agregação para registros de fluxo nessa sub-rede. O intervalo de tempo pode ser configurado para: 5 s (padrão), 30 s, 1 min, 5 min, 10 min ou 15 min.
SAMPLING_RATE: a taxa de amostragem de fluxo secundário. A amostragem de fluxo secundário pode ser definida desde 0.0 (sem amostragem) até 1.0 (todos os registros). O padrão é 0.5. Para mais informações, consulte Amostragem e processamento de registros.
FILTER_EXPRESSION: uma expressão que define quais registros você quer manter. A expressão tem um limite de 2.048 caracteres. Para mais informações, consulte Filtragem de registros e Exemplos de filtros de registros.
LOGGING_METADATA: as anotações de metadados que você quer incluir nos registros:
- Use include-all para incluir todas as anotações de metadados.
- Use exclude-all para excluir todas as anotações de metadados (padrão).
- Use custom para incluir uma lista personalizada de campos de metadados especificados em METADATA_FIELDS.
Observação: se uma sub-rede teve a geração de registros de fluxo ativada a qualquer momento antes de 1º de março de 2021 e se LOGGING_METADATA nunca foi explicitamente configurado, o valor padrão de LOGGING_METADATA é include-all.
METADATA_FIELDS: uma lista separada por vírgulas de campos de metadados que você quer incluir nos registros. Por exemplo, src_instance,dst_instance. Só poderá ser definido se LOGGING_METADATA estiver definido como custom.

API

Ative os registros de fluxo de VPC para uma sub-rede existente.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    "enable": true
    ...other logging fields.
  },
  "fingerprint": "SUBNET_FINGERPRINT"
}

Substitua:

PROJECT_ID: o ID do projeto em que a sub-rede está localizada.
REGION: a região em que a sub-rede está localizada.
SUBNET_NAME: o nome da sub-rede atual.
SUBNET_FINGERPRINT: o ID de impressão digital da sub-rede atual, que é fornecido quando você descreve uma sub-rede.
Para os outros campos de geração de registros, consulte Ativar os registros de fluxo de VPC quando você cria uma sub-rede.

Para mais informações, consulte o método subnetworks.patch.

Ativar os Registros de fluxo de VPC para um anexo da VLAN

Console

No console Trusted Cloud , acesse a página Interconexão.

Acessar interconexão
Na guia Anexos da VLAN, selecione um ou mais anexos da VLAN e clique em Gerenciar registros de fluxo na barra de seleção, na parte superior da lista.
Em Gerenciar registros de fluxo, clique em Adicionar nova configuração.
Em Nome, insira um nome para a nova configuração dos Registros de fluxo de VPC.
Opcional: ajuste o Intervalo de agregação e qualquer uma das configurações na seção Configurações avançadas:
- Se a filtragem de registros será configurada. A opção Manter apenas os registros que correspondem a um filtro fica desmarcada por padrão.
- Defina se os metadados serão incluídos nas entradas de registro finais. Por padrão, Anotações de metadados contém todos os campos.
- A Taxa de amostragem secundária. 100% significa que todas as entradas geradas pelo processo de amostragem de registro de fluxo principal são mantidas. A taxa de amostragem do registro de fluxo principal não é configurável. Para mais informações, consulte Amostragem e processamento de registros.
Clique em Salvar.

gcloud

Para ativar os Registros de fluxo de VPC para um anexo da VLAN, use o comando gcloud network-management vpc-flow-logs-configs create.

Para ativar os registros de fluxo de VPC, crie uma configuração deles. É possível criar a configuração com todos os parâmetros definidos como valores padrão ou personalizar esses valores.

Na CLI gcloud, defina o projeto como o ID do projetoTrusted Cloud do anexo da VLAN e execute um dos seguintes comandos:

Para criar uma configuração padrão dos Registros de fluxo da VPC, execute o seguinte comando:

gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --interconnect-attachment=VLAN_ATTACHMENT

Para criar uma configuração personalizada dos Registros de fluxo de VPC, especifique cada parâmetro que você quer personalizar.

Por exemplo, para personalizar o intervalo de agregação, a filtragem, a taxa de amostragem secundária e os parâmetros de metadados ao criar uma configuração dos Registros de fluxo de VPC, execute o seguinte comando:
```
gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --interconnect-attachment=VLAN_ATTACHMENT \
    --aggregation-interval=AGGREGATION_INTERVAL \
    --filter-expr=FILTER_EXPRESSION \
    --flow-sampling=SAMPLING_RATE \
    --metadata=LOGGING_METADATA
```
Substitua:
- CONFIG_NAME: um nome para a configuração.
- VLAN_ATTACHMENT: o anexo da VLAN que você quer registrar. Precisa ser especificado no seguinte formato: projects/PROJECT_ID/regions/REGION/interconnectAttachments/NAME, em que:
  - PROJECT_ID é o ID do projeto Trusted Cloud que contém o anexo da VLAN. A configuração precisa ser criada neste projeto.
  - REGION é a região do anexo da VLAN.
  - NAME é o nome do anexo da VLAN.
Para definir os parâmetros opcionais em uma configuração personalizada, substitua o seguinte:
- AGGREGATION_INTERVAL: o intervalo de agregação para registros de fluxo gerados por essa configuração. Esse parâmetro pode ser definido como interval-5-sec(padrão), interval-30-sec, interval-1-min, interval-5-min,interval-10-min ou interval-15-min.
- FILTER_EXPRESSION: uma expressão que define quais registros você quer manter. A expressão tem um limite de 2.048 caracteres. Para mais informações, consulte Filtragem de registros e Exemplos de filtros de registro.
- SAMPLING_RATE: a taxa de amostragem de fluxo secundário. Esse parâmetro pode ser definido de um valor maior que 0.0 até 1.0 (todos os registros, padrão). Para mais informações, consulte Amostragem e processamento de registros.
- LOGGING_METADATA: as anotações de metadados que você quer incluir nos registros:
  - Use include-all-metadata para incluir todas as anotações de metadados (padrão).
  - Use exclude-all-metadata para excluir todas as anotações de metadados.
  - Use custom-metadata para incluir uma lista personalizada de campos de metadados. Para especificar os campos de metadados, use a flag --metadata-fields:
    - --metadata-fields=METADATA_FIELDS: substitua METADATA_FIELDS por uma lista separada por vírgulas de campos de metadados que você quer incluir nos registros. Por exemplo, src_instance,dst_instance. Só poderá ser definido se metadata estiver definido como custom-metadata.

Terraform

Use um módulo do Terraform para criar uma configuração dos Registros de fluxo de VPC para um anexo da VLAN.

O bloco de código a seguir cria uma configuração padrão dos Registros de fluxo da VPC.

resource "google_network_management_vpc_flow_logs_config" "vpc_flow_logs_config" {
  vpc_flow_logs_config_id = "vpcflowlogs-config"
  location                = "global"
  interconnect_attachment = google_compute_interconnect_attachment.attachment.id
}

O exemplo anterior pressupõe que o nome do recurso google_compute_interconnect_attachment seja attachment. Para um exemplo completo dessa configuração, consulte o repositório terraform-docs-samples.

O bloco de código a seguir cria uma configuração dos Registros de fluxo da VPC em que:

O intervalo de agregação está definido como INTERVAL_10_MIN.
A taxa de amostragem de fluxo secundário está definida como 0.7.
Os metadados a serem incluídos nos registros são definidos como INCLUDE_ALL_METADATA.
O estado da configuração é definido como ENABLED.

resource "google_network_management_vpc_flow_logs_config" "vpc_flow_logs_config" {
  vpc_flow_logs_config_id = "vpcflowlogs-config"
  location                = "global"
  interconnect_attachment = google_compute_interconnect_attachment.attachment.id
  aggregation_interval    = "INTERVAL_10_MIN"
  description             = "VPC Flow Logs over an Interconnect Attachment."
  flow_sampling           = 0.7
  metadata                = "INCLUDE_ALL_METADATA"
  state                   = "ENABLED"
}

Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.

API

Para ativar os Registros de fluxo de VPC para um anexo da VLAN, use o método projects.locations.vpcFlowLogsConfigs.create.

Para ativar os registros de fluxo de VPC, crie uma configuração deles. É possível criar a configuração com todos os parâmetros definidos como valores padrão ou personalizar esses valores.

Para criar uma configuração padrão dos Registros de fluxo de VPC, inclua os seguintes parâmetros na solicitação da API:

POST https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "interconnectAttachment": "VLAN_ATTACHMENT"
}

Para criar uma configuração personalizada dos Registros de fluxo de VPC, especifique cada parâmetro que você quer personalizar.

POST https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "interconnectAttachment": "VLAN_ATTACHMENT",
  "aggregationInterval": "AGGREGATION_INTERVAL",
  "filterExpr": "FILTER_EXPRESSION",
  "flowSampling": SAMPLING_RATE,
  "metadata": "LOGGING_METADATA"
}

Substitua:

PROJECT_ID: o Trusted Cloud ID do projeto do anexo da VLAN.
CONFIG_NAME: um nome para a configuração.
VLAN_ATTACHMENT: o anexo da VLAN que você quer registrar. Precisa ser especificado no seguinte formato: projects/PROJECT_ID/regions/REGION/interconnectAttachments/NAME, em que:
- PROJECT_ID é o ID do projeto do anexo da VLAN.
- REGION é a região do anexo da VLAN.
- NAME é o nome do anexo da VLAN.

Para definir os parâmetros opcionais em uma configuração personalizada, substitua o seguinte:

AGGREGATION_INTERVAL: o intervalo de agregação para registros de fluxo gerados por essa configuração. Esse parâmetro pode ser definido como INTERVAL_5_SEC (padrão), INTERVAL_30_SEC, INTERVAL_1_MIN, INTERVAL_5_MIN, INTERVAL_10_MIN ou INTERVAL_15_MIN.
FILTER_EXPRESSION: uma expressão que define quais registros você quer manter. A expressão tem um limite de 2.048 caracteres. Para mais informações, consulte Filtragem de registros.
SAMPLING_RATE: a taxa de amostragem de fluxo secundário. Esse parâmetro pode ser definido de um valor maior que 0.0 até 1.0 (todos os registros, padrão). Para mais informações, consulte Amostragem e processamento de registros.
LOGGING_METADATA: as anotações de metadados que você quer incluir nos registros:
- Use INCLUDE_ALL_METADATA para incluir todas as anotações de metadados (padrão).
- Use EXCLUDE_ALL_METADATA para excluir todas as anotações de metadados.
- Use CUSTOM_METADATA para incluir uma lista personalizada de campos de metadados. Para especificar os campos de metadados, use o parâmetro metadataFields:
  - metadataFields: METADATA_FIELDS: substitua METADATA_FIELDS por uma lista separada por vírgulas de campos de metadados que você quer incluir nos registros. Por exemplo, src_instance,dst_instance. Só poderá ser definido se metadata estiver definido como CUSTOM_METADATA.

Ativar os Registros de fluxo de VPC para um túnel do Cloud VPN

Console

No console Trusted Cloud , acesse a página VPN.

Acessar a VPN
Na guia Túneis do Cloud VPN, selecione um ou mais túneis do Cloud VPN e clique em Gerenciar registros de fluxo na barra de seleção, na parte superior da lista.
Em Gerenciar registros de fluxo, clique em Adicionar nova configuração.
Em Nome, insira um nome para a nova configuração dos Registros de fluxo de VPC.
Opcional: ajuste o Intervalo de agregação e qualquer uma das configurações na seção Configurações avançadas:
- Se a filtragem de registros será configurada. A opção Manter apenas os registros que correspondem a um filtro fica desmarcada por padrão.
- Defina se os metadados serão incluídos nas entradas de registro finais. Por padrão, Anotações de metadados contém todos os campos.
- A Taxa de amostragem secundária. 100% significa que todas as entradas geradas pelo processo de amostragem de registro de fluxo principal são mantidas. A taxa de amostragem do registro de fluxo principal não é configurável. Para mais informações, consulte Amostragem e processamento de registros.
Clique em Salvar.

gcloud

Para ativar os Registros de fluxo de VPC em um túnel do Cloud VPN, use o comando gcloud network-management vpc-flow-logs-configs create.

Para ativar os registros de fluxo de VPC, crie uma configuração deles. É possível criar a configuração com todos os parâmetros definidos como valores padrão ou personalizar esses valores.

Na CLI gcloud, defina o projeto como o ID do projetoTrusted Cloud do túnel da Cloud VPN e execute um dos seguintes comandos:

Para criar uma configuração padrão dos Registros de fluxo da VPC, execute o seguinte comando:

gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --vpn-tunnel=VPN_TUNNEL

Para criar uma configuração personalizada dos Registros de fluxo de VPC, especifique cada parâmetro que você quer personalizar.

Por exemplo, para personalizar o intervalo de agregação, a filtragem, a taxa de amostragem secundária e os parâmetros de metadados ao criar uma configuração dos Registros de fluxo de VPC, execute o seguinte comando:
```
gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --vpn-tunnel=VPN_TUNNEL \
    --aggregation-interval=AGGREGATION_INTERVAL \
    --filter-expr=FILTER_EXPRESSION \
    --flow-sampling=SAMPLING_RATE \
    --metadata=LOGGING_METADATA
```
Substitua:
- CONFIG_NAME: um nome para a configuração.
- VPN_TUNNEL: o túnel do Cloud VPN que você quer registrar. Precisa ser especificado no seguinte formato: projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME, em que:
  - PROJECT_ID é o ID do projeto Trusted Cloud que contém o túnel do Cloud VPN. A configuração precisa ser criada neste projeto.
  - REGION é a região do túnel do Cloud VPN.
  - NAME é o nome do túnel do Cloud VPN.
Para definir os parâmetros opcionais em uma configuração personalizada, substitua o seguinte:
- AGGREGATION_INTERVAL: o intervalo de agregação para registros de fluxo gerados por essa configuração. Esse parâmetro pode ser definido como interval-5-sec(padrão), interval-30-sec, interval-1-min, interval-5-min,interval-10-min ou interval-15-min.
- FILTER_EXPRESSION: uma expressão que define quais registros você quer manter. A expressão tem um limite de 2.048 caracteres. Para mais informações, consulte Filtragem de registros e Exemplos de filtros de registro.
- SAMPLING_RATE: a taxa de amostragem de fluxo secundário. Esse parâmetro pode ser definido de um valor maior que 0.0 até 1.0 (todos os registros, padrão). Para mais informações, consulte Amostragem e processamento de registros.
- LOGGING_METADATA: as anotações de metadados que você quer incluir nos registros:
  - Use include-all-metadata para incluir todas as anotações de metadados (padrão).
  - Use exclude-all-metadata para excluir todas as anotações de metadados.
  - Use custom-metadata para incluir uma lista personalizada de campos de metadados. Para especificar os campos de metadados, use a flag --metadata-fields:
    - --metadata-fields=METADATA_FIELDS: substitua METADATA_FIELDS por uma lista separada por vírgulas de campos de metadados que você quer incluir nos registros. Por exemplo, src_instance,dst_instance. Só poderá ser definido se metadata estiver definido como custom-metadata.

Terraform

Use um módulo do Terraform para criar uma configuração dos Registros de fluxo de VPC para um túnel do Cloud VPN.

O bloco de código a seguir cria uma configuração padrão dos Registros de fluxo da VPC.

resource "google_network_management_vpc_flow_logs_config" "vpc_flow_logs_config" {
  vpc_flow_logs_config_id = "vpcflowlogs-config"
  location                = "global"
  vpn_tunnel              = google_compute_vpn_tunnel.tunnel.id
}

O exemplo anterior pressupõe que o nome do recurso google_compute_vpn_tunnel seja tunnel. Para um exemplo completo dessa configuração, consulte o repositório terraform-docs-samples.

O bloco de código a seguir cria uma configuração dos Registros de fluxo da VPC em que:

O intervalo de agregação está definido como INTERVAL_10_MIN.
A taxa de amostragem de fluxo secundário está definida como 0.7.
Os metadados a serem incluídos nos registros são definidos como INCLUDE_ALL_METADATA.
O estado da configuração é definido como ENABLED.

resource "google_network_management_vpc_flow_logs_config" "vpc_flow_logs_config" {
  vpc_flow_logs_config_id = "vpcflowlogs-config"
  location                = "global"
  vpn_tunnel              = google_compute_vpn_tunnel.tunnel.id
  aggregation_interval    = "INTERVAL_10_MIN"
  description             = "VPC Flow Logs over a VPN Gateway."
  flow_sampling           = 0.7
  metadata                = "INCLUDE_ALL_METADATA"
  state                   = "ENABLED"
}

O exemplo anterior pressupõe que o nome do recurso google_compute_vpn_tunnel seja tunnel. Para um exemplo completo dessa configuração, consulte o repositório terraform-docs-samples.

Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.

API

Para ativar os Registros de fluxo de VPC em um túnel do Cloud VPN, use o método projects.locations.vpcFlowLogsConfigs.create.

Para ativar os registros de fluxo de VPC, crie uma configuração deles. É possível criar a configuração com todos os parâmetros definidos como valores padrão ou personalizar esses valores.

Para criar uma configuração padrão dos Registros de fluxo de VPC, inclua os seguintes parâmetros na solicitação da API:

POST https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "vpnTunnel": "VPN_TUNNEL"
}

Para criar uma configuração personalizada dos Registros de fluxo de VPC, especifique cada parâmetro que você quer personalizar.

POST https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "vpnTunnel": "VPN_TUNNEL",
  "aggregationInterval": "AGGREGATION_INTERVAL",
  "filterExpr": "FILTER_EXPRESSION",
  "flowSampling": SAMPLING_RATE,
  "metadata": "LOGGING_METADATA"
}

Substitua:

PROJECT_ID: o ID do projeto Trusted Cloud do túnel do Cloud VPN.
CONFIG_NAME: um nome para a configuração.
VPN_TUNNEL: o túnel do Cloud VPN que você quer registrar. Precisa ser especificado no seguinte formato: projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME, em que:
- PROJECT_ID é o ID do projeto do túnel da Cloud VPN.
- REGION é a região do túnel do Cloud VPN.
- NAME é o nome do túnel do Cloud VPN.

Para definir os parâmetros opcionais em uma configuração personalizada, substitua o seguinte:

AGGREGATION_INTERVAL: o intervalo de agregação para registros de fluxo gerados por essa configuração. Esse parâmetro pode ser definido como INTERVAL_5_SEC (padrão), INTERVAL_30_SEC, INTERVAL_1_MIN, INTERVAL_5_MIN, INTERVAL_10_MIN ou INTERVAL_15_MIN.
FILTER_EXPRESSION: uma expressão que define quais registros você quer manter. A expressão tem um limite de 2.048 caracteres. Para mais informações, consulte Filtragem de registros.
SAMPLING_RATE: a taxa de amostragem de fluxo secundário. Esse parâmetro pode ser definido de um valor maior que 0.0 até 1.0 (todos os registros, padrão). Para mais informações, consulte Amostragem e processamento de registros.
LOGGING_METADATA: as anotações de metadados que você quer incluir nos registros:
- Use INCLUDE_ALL_METADATA para incluir todas as anotações de metadados (padrão).
- Use EXCLUDE_ALL_METADATA para excluir todas as anotações de metadados.
- Use CUSTOM_METADATA para incluir uma lista personalizada de campos de metadados. Para especificar os campos de metadados, use o parâmetro metadataFields:
  - metadataFields: METADATA_FIELDS: substitua METADATA_FIELDS por uma lista separada por vírgulas de campos de metadados que você quer incluir nos registros. Por exemplo, src_instance,dst_instance. Só poderá ser definido se metadata estiver definido como CUSTOM_METADATA.

Ativar os registros de fluxo de VPC para uma rede VPC

Para ativar os registros de fluxo de VPC em todas as sub-redes, anexos de VLAN e túneis do Cloud VPN em uma rede VPC, faça o seguinte:

Console

No console do Trusted Cloud , acesse a página Redes VPC.

Acessar redes VPC
Na guia Redes no projeto atual, selecione uma ou mais redes e clique em Gerenciar registros de fluxo na parte de cima da lista.
Em Gerenciar registros de fluxo, clique em Adicionar nova configuração.
Em Nome, insira um nome para a nova configuração dos Registros de fluxo de VPC.
Opcional: ajuste o Intervalo de agregação e qualquer uma das configurações na seção Configurações avançadas:
- Se a filtragem de registros será configurada. A opção Manter apenas os registros que correspondem a um filtro fica desmarcada por padrão.
- Defina se os metadados serão incluídos nas entradas de registro finais. Por padrão, Anotações de metadados contém todos os campos.
- A Taxa de amostragem secundária. 100% significa que todas as entradas geradas pelo processo de amostragem de registro de fluxo principal são mantidas. A taxa de amostragem do registro de fluxo principal não é configurável. Para mais informações, consulte Amostragem e processamento de registros.
Clique em Salvar.

gcloud

Para ativar os registros de fluxo de VPC em uma rede VPC, use o comando gcloud network-management vpc-flow-logs-configs create.

Para ativar os registros de fluxo de VPC, crie uma configuração deles. É possível criar a configuração com todos os parâmetros definidos como valores padrão ou personalizar esses valores.

Na CLI gcloud, defina o projeto como o ID do projetoTrusted Cloud da rede VPC e execute um dos seguintes comandos:

Para criar uma configuração padrão dos Registros de fluxo da VPC, execute o seguinte comando:

gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --network=NETWORK

Para criar uma configuração personalizada dos Registros de fluxo de VPC, especifique cada parâmetro que você quer personalizar.

Por exemplo, para personalizar o intervalo de agregação, a filtragem, a taxa de amostragem secundária e os parâmetros de metadados ao criar uma configuração dos Registros de fluxo de VPC, execute o seguinte comando:
```
gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --network=NETWORK \
    --aggregation-interval=AGGREGATION_INTERVAL \
    --filter-expr=FILTER_EXPRESSION \
    --flow-sampling=SAMPLING_RATE \
    --metadata=LOGGING_METADATA
```
Substitua:
- CONFIG_NAME: um nome para a configuração.
- NETWORK: a rede VPC que você quer registrar. Precisa ser especificado no seguinte formato: projects/PROJECT_ID/global/networks/NAME, em que:
  - PROJECT_ID é o ID do projeto Trusted Cloud que contém a rede VPC. A configuração precisa ser criada neste projeto.
  - NAME é o nome da rede VPC.
Para definir os parâmetros opcionais em uma configuração personalizada, substitua o seguinte:
- AGGREGATION_INTERVAL: o intervalo de agregação para registros de fluxo gerados por essa configuração. Esse parâmetro pode ser definido como interval-5-sec(padrão), interval-30-sec, interval-1-min, interval-5-min,interval-10-min ou interval-15-min.
- FILTER_EXPRESSION: uma expressão que define quais registros você quer manter. A expressão tem um limite de 2.048 caracteres. Para mais informações, consulte Filtragem de registros e Exemplos de filtros de registro.
- SAMPLING_RATE: a taxa de amostragem de fluxo secundário. Esse parâmetro pode ser definido de um valor maior que 0.0 até 1.0 (todos os registros, padrão). Para mais informações, consulte Amostragem e processamento de registros.
- LOGGING_METADATA: as anotações de metadados que você quer incluir nos registros:
  - Use include-all-metadata para incluir todas as anotações de metadados (padrão).
  - Use exclude-all-metadata para excluir todas as anotações de metadados.
  - Use custom-metadata para incluir uma lista personalizada de campos de metadados. Para especificar os campos de metadados, use a flag --metadata-fields:
    - --metadata-fields=METADATA_FIELDS: substitua METADATA_FIELDS por uma lista separada por vírgulas de campos de metadados que você quer incluir nos registros. Por exemplo, src_instance,dst_instance. Só poderá ser definido se metadata estiver definido como custom-metadata.

API

Para ativar os registros de fluxo de VPC em uma rede VPC, use o método projects.locations.vpcFlowLogsConfigs.create.

Para ativar os registros de fluxo de VPC, crie uma configuração deles. É possível criar a configuração com todos os parâmetros definidos como valores padrão ou personalizar esses valores.

Para criar uma configuração padrão dos Registros de fluxo de VPC, inclua os seguintes parâmetros na solicitação da API:

POST https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "network": "NETWORK"
}

Para criar uma configuração personalizada dos Registros de fluxo de VPC, especifique cada parâmetro que você quer personalizar.

POST https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "network": "NETWORK",
  "aggregationInterval": "AGGREGATION_INTERVAL",
  "filterExpr": "FILTER_EXPRESSION",
  "flowSampling": SAMPLING_RATE,
  "metadata": "LOGGING_METADATA"
}

Substitua:

PROJECT_ID: o ID do projeto Trusted Cloud da rede VPC.
CONFIG_NAME: um nome para a configuração.
NETWORK: a rede VPC que você quer registrar. Precisa ser especificado no seguinte formato: projects/PROJECT_ID/global/networks/NAME, em que:
- PROJECT_ID é o ID do projeto da rede VPC.
- NAME é o nome da rede VPC.

Para definir os parâmetros opcionais em uma configuração personalizada, substitua o seguinte:

AGGREGATION_INTERVAL: o intervalo de agregação para registros de fluxo gerados por essa configuração. Esse parâmetro pode ser definido como INTERVAL_5_SEC (padrão), INTERVAL_30_SEC, INTERVAL_1_MIN, INTERVAL_5_MIN, INTERVAL_10_MIN ou INTERVAL_15_MIN.
FILTER_EXPRESSION: uma expressão que define quais registros você quer manter. A expressão tem um limite de 2.048 caracteres. Para mais informações, consulte Filtragem de registros.
SAMPLING_RATE: a taxa de amostragem de fluxo secundário. Esse parâmetro pode ser definido de um valor maior que 0.0 até 1.0 (todos os registros, padrão). Para mais informações, consulte Amostragem e processamento de registros.
LOGGING_METADATA: as anotações de metadados que você quer incluir nos registros:
- Use INCLUDE_ALL_METADATA para incluir todas as anotações de metadados (padrão).
- Use EXCLUDE_ALL_METADATA para excluir todas as anotações de metadados.
- Use CUSTOM_METADATA para incluir uma lista personalizada de campos de metadados. Para especificar os campos de metadados, use o parâmetro metadataFields:
  - metadataFields: METADATA_FIELDS: substitua METADATA_FIELDS por uma lista separada por vírgulas de campos de metadados que você quer incluir nos registros. Por exemplo, src_instance,dst_instance. Só poderá ser definido se metadata estiver definido como CUSTOM_METADATA.

Ativar os registros de fluxo de VPC para uma organização

Para ativar os registros de fluxo de VPC em todas as sub-redes, anexos de VLAN e túneis do Cloud VPN em todas as redes VPC de uma organização, faça o seguinte:

Console

No console do Trusted Cloud , acesse a página Logs de fluxo de VPC.

Acessar Registros de fluxo de VPC
Clique em Adicionar configuração dos Registros de fluxo de VPC e em Adicionar uma configuração para a organização.
Em Nome, insira um nome para a nova configuração dos Registros de fluxo de VPC.
Opcional: ajuste o Intervalo de agregação e qualquer uma das configurações na seção Configurações avançadas:
- Se a filtragem de registros será configurada. A opção Manter apenas os registros que correspondem a um filtro fica desmarcada por padrão.
- Indica se as anotações entre projetos precisam ser incluídas. Por padrão, a opção Anotações de metadados entre projetos está selecionada. Para mais informações, consulte Anotações entre projetos.
- Defina se os metadados serão incluídos nas entradas de registro finais. Por padrão, Anotações de metadados contém todos os campos.
- A Taxa de amostragem secundária. 100% significa que todas as entradas geradas pelo processo de amostragem de registro de fluxo principal são mantidas. A taxa de amostragem do registro de fluxo principal não é configurável. Para mais informações, consulte Amostragem e processamento de registros.
Clique em Salvar.

gcloud

Para ativar os Registros de fluxo de VPC em uma organização, use o comando gcloud network-management vpc-flow-logs-configs create.

Para ativar os registros de fluxo de VPC, crie uma configuração deles. É possível criar a configuração com todos os parâmetros definidos como valores padrão ou personalizar esses valores.

Para criar uma configuração padrão dos Registros de fluxo da VPC, execute o seguinte comando:

gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --organization=ORGANIZATION

Para criar uma configuração personalizada dos Registros de fluxo de VPC, especifique cada parâmetro que você quer personalizar.

Por exemplo, para personalizar o intervalo de agregação, a filtragem, a taxa de amostragem secundária e os parâmetros de metadados ao criar uma configuração dos Registros de fluxo de VPC, execute o seguinte comando:
```
gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \
    --location=global \
    --organization=ORGANIZATION \
    --aggregation-interval=AGGREGATION_INTERVAL \
    --filter-expr=FILTER_EXPRESSION \
    --flow-sampling=SAMPLING_RATE \
    --metadata=LOGGING_METADATA \
    --cross-project-metadata=CROSS_PROJECT_METADATA
```
Substitua:
- CONFIG_NAME: um nome para a configuração
- ORGANIZATION: o ID da organização.
Para definir os parâmetros opcionais em uma configuração personalizada, substitua o seguinte:
- AGGREGATION_INTERVAL: o intervalo de agregação para registros de fluxo gerados por essa configuração. Esse parâmetro pode ser definido como interval-5-sec(padrão), interval-30-sec, interval-1-min, interval-5-min,interval-10-min ou interval-15-min.
- FILTER_EXPRESSION: uma expressão que define quais registros você quer manter. A expressão tem um limite de 2.048 caracteres. Para mais informações, consulte Filtragem de registros e Exemplos de filtros de registro.
- SAMPLING_RATE: a taxa de amostragem de fluxo secundário. Esse parâmetro pode ser definido de um valor maior que 0.0 até 1.0 (todos os registros, padrão). Para mais informações, consulte Amostragem e processamento de registros.
- LOGGING_METADATA: as anotações de metadados que você quer incluir nos registros:
  - Use include-all-metadata para incluir todas as anotações de metadados (padrão).
  - Use exclude-all-metadata para excluir todas as anotações de metadados.
  - Use custom-metadata para incluir uma lista personalizada de campos de metadados. Para especificar os campos de metadados, use a flag --metadata-fields:
    - --metadata-fields=METADATA_FIELDS: substitua METADATA_FIELDS por uma lista separada por vírgulas de campos de metadados que você quer incluir nos registros. Por exemplo, src_instance,dst_instance. Só poderá ser definido se metadata estiver definido como custom-metadata.
- CROSS_PROJECT_METADATA: anotações entre projetos. Pode ser definido como cross-project-metadata-enabled (padrão) ou cross-project-metadata-disabled. Para mais informações, consulte Anotações entre projetos.

API

Para ativar os Registros de fluxo de VPC em uma organização, use o método organizations.locations.vpcFlowLogsConfigs.create.

Para ativar os registros de fluxo de VPC, crie uma configuração deles. É possível criar a configuração com todos os parâmetros definidos como valores padrão ou personalizar esses valores.

Para criar uma configuração padrão dos Registros de fluxo de VPC, inclua os seguintes parâmetros na solicitação da API:

POST -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME

Para criar uma configuração personalizada dos Registros de fluxo de VPC, especifique cada parâmetro que você quer personalizar.

POST -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
  "aggregationInterval": "AGGREGATION_INTERVAL",
  "filterExpr": "FILTER_EXPRESSION",
  "flowSampling": SAMPLING_RATE,
  "metadata": "LOGGING_METADATA",
  "crossProjectMetadata": "CROSS_PROJECT_METADATA"
}

Substitua:

PROJECT_ID: o ID do projeto de cota. As solicitações de API são contabilizadas nesse projeto. O valor da cota para a API Network Management é definido como 1.200 solicitações por minuto, tanto para a cota no nível do projeto quanto da organização.
ORGANIZATION_ID: o ID da organização.
CONFIG_NAME: um nome para a configuração.

Para definir os parâmetros opcionais em uma configuração personalizada, substitua o seguinte:

AGGREGATION_INTERVAL: o intervalo de agregação para registros de fluxo gerados por essa configuração. Esse parâmetro pode ser definido como INTERVAL_5_SEC (padrão), INTERVAL_30_SEC, INTERVAL_1_MIN, INTERVAL_5_MIN, INTERVAL_10_MIN ou INTERVAL_15_MIN.
FILTER_EXPRESSION: uma expressão que define quais registros você quer manter. A expressão tem um limite de 2.048 caracteres. Para mais informações, consulte Filtragem de registros.
SAMPLING_RATE: a taxa de amostragem de fluxo secundário. Esse parâmetro pode ser definido de um valor maior que 0.0 até 1.0 (todos os registros, padrão). Para mais informações, consulte Amostragem e processamento de registros.
LOGGING_METADATA: as anotações de metadados que você quer incluir nos registros:
- Use INCLUDE_ALL_METADATA para incluir todas as anotações de metadados (padrão).
- Use EXCLUDE_ALL_METADATA para excluir todas as anotações de metadados.
- Use CUSTOM_METADATA para incluir uma lista personalizada de campos de metadados. Para especificar os campos de metadados, use o parâmetro metadataFields:
  - metadataFields: METADATA_FIELDS: substitua METADATA_FIELDS por uma lista separada por vírgulas de campos de metadados que você quer incluir nos registros. Por exemplo, src_instance,dst_instance. Só poderá ser definido se metadata estiver definido como CUSTOM_METADATA.

CROSS_PROJECT_METADATA: anotações entre projetos. Pode ser definido como CROSS_PROJECT_METADATA_ENABLED (padrão) ou CROSS_PROJECT_METADATA_DISABLED. Para mais informações, consulte Anotações entre projetos.

Quando os registros de fluxo de VPC são ativados para uma organização, eles são gravados e faturados no projeto Trusted Cloud do recurso que os informa. Para mais informações, consulte Preços e faturamento.

Veja o status da configuração dos Registros de fluxo de VPC

É possível verificar quais recursos têm os Registros de fluxo de VPC ativados ao consultar as configurações deles. Para conferir todas as configurações, consulte Ver as configurações dos Registros de fluxo de VPC (todas). Se você usa a API Compute Engine para ativar e gerenciar os registros de fluxo de VPC, consulte Ver as configurações dos registros de fluxo de VPC (somente API Compute Engine).

Ver todas as configurações dos Registros de fluxo de VPC

Console

Para ver todas as configurações dos Registros de fluxo de VPC, faça o seguinte:

No console do Trusted Cloud , acesse a página Logs de fluxo de VPC.

Acessar Registros de fluxo de VPC
Nas seções Configurações no nível da organização e Configurações no nível do projeto, confira as configurações ativas e pausadas. Se o status de uma configuração de Registros de fluxo de VPC para um recurso for Ativado, isso significa que o registro está ativado.

Também é possível conferir as configurações dos Registros de fluxo de VPC na coluna Configurações de registro de fluxo na página de recursos. Por exemplo, para ver quais redes VPC e sub-redes têm configurações de Registros de fluxo de VPC:

Acesse a página Redes VPC.

Acessar redes VPC
Clique na guia Redes no projeto atual ou Sub-redes no projeto atual e, na coluna Configurações de registro de fluxo, confira as configurações ativas e pausadas dos Registros de fluxo de VPC.

gcloud

Para ver as configurações dos Registros de fluxo de VPC, use os comandos gcloud network-management vpc-flow-logs-configs list e gcloud network-management vpc-flow-logs-configs describe.

Ver configurações no nível da organização

Para conferir todas as configurações dos Registros de fluxo de VPC de uma organização, execute o seguinte comando:
```
gcloud network-management vpc-flow-logs-configs list --location=global \
    --organization=ORGANIZATION
```
Para conferir uma configuração específica dos Registros de fluxo de VPC, execute o seguinte comando:
```
gcloud network-management vpc-flow-logs-configs describe CONFIG_NAME \
    --location=global \
    --organization=ORGANIZATION
```
Substitua:
- ORGANIZATION: o ID da organização
- CONFIG_NAME: o nome da configuração

Ver configurações no nível do projeto

Para conferir todas as configurações dos Registros de fluxo de VPC em um projeto, execute o seguinte comando:
```
gcloud network-management vpc-flow-logs-configs list --location=global
```
Para conferir uma configuração específica dos Registros de fluxo de VPC, execute o seguinte comando:
```
gcloud network-management vpc-flow-logs-configs describe CONFIG_NAME \
    --location=global
```
Substitua CONFIG_NAME pelo nome da configuração dos Registros de fluxo de VPC que você quer visualizar.

API

Ver configurações no nível da organização

Para conferir todas as configurações dos Registros de fluxo de VPC de uma organização, use o método organizations.locations.vpcFlowLogsConfigs.list:
```
GET -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs
```
Para conferir uma configuração específica dos Registros de fluxo de VPC de uma organização, use o método organizations.locations.vpcFlowLogsConfigs.get:
```
GET -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME
```
Substitua:
- PROJECT_ID: o ID do projeto de cota. As solicitações de API são contabilizadas nesse projeto.
- ORGANIZATION_ID: o ID da organização.
- CONFIG_NAME: o nome da configuração.
Se você não tiver as permissões necessárias para realizar as tarefas anteriores no nível da organização, use a solicitação a seguir para ver todas as configurações dos Registros de fluxo de VPC da organização:
```
GET https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs:queryOrgVpcFlowLogsConfigs
```
Substitua PROJECT_ID pelo ID do projeto.

Ver configurações no nível do projeto

Para conferir todas as configurações dos Registros de fluxo de VPC em um projeto, use o método projects.locations.vpcFlowLogsConfigs.list:
```
GET https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs
```
Para conferir uma configuração específica dos Registros de fluxo de VPC, use o método projects.locations.vpcFlowLogsConfigs.get:
```
GET https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME
```
Substitua:
- PROJECT_ID: o ID do projeto
- CONFIG_NAME: o nome da configuração dos Registros de fluxo de VPC.

Ver todas as configurações de um recurso

Para conferir todas as configurações dos Registros de fluxo de VPC de uma rede VPC, sub-rede, anexo da VLAN ou túnel de VPN, use a seguinte solicitação:

  GET https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs:showEffectiveFlowLogsConfigs?resource="TARGET_RESOURCE"

Substitua:

PROJECT_ID: o ID do projeto Trusted Cloud
TARGET_RESOURCE: um dos seguintes recursos de destino:
- projects/PROJECT_ID/global/networks/NETWORK: lista todas as configurações da rede VPC, incluindo o seguinte:
  - Todas as configurações em que a rede é o recurso de destino
  - Todas as configurações da organização proprietária do projeto da rede
- projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET: lista todas as configurações da sub-rede, incluindo:
  - Todas as configurações em que a sub-rede é o recurso de destino
  - Todas as configurações da rede VPC da sub-rede
  - Todas as configurações da organização proprietária do projeto da sub-rede
  - Somente API Compute Engine: a configuração dos registros de fluxo da VPC para a sub-rede
    
    Para identificar a configuração na saída, procure "scope": "COMPUTE_API_SUBNET". Essa configuração não existe se você usar apenas a API Network Management para configurar os registros de fluxo de VPC.
- projects/PROJECT_ID/regions/REGION/interconnectAttachments/VLAN_ATTACHMENT: lista todas as configurações do anexo da VLAN, incluindo o seguinte:
  - Todas as configurações em que o anexo da VLAN é o recurso de destino
  - Todas as configurações da rede VPC do anexo da VLAN
  - Todas as configurações da organização proprietária do projeto do anexo da VLAN
- projects/PROJECT_ID/regions/REGION/vpnTunnels/VPN_TUNNEL: lista todas as configurações do túnel do Cloud VPN, incluindo o seguinte:
  - Todas as configurações em que o túnel VPN é o recurso de destino
  - Todas as configurações da rede VPC do túnel do Cloud VPN
  - Todas as configurações da organização proprietária do projeto do túnel do Cloud VPN
Ao especificar o recurso de destino, substitua o seguinte:
- PROJECT_ID: o ID do projeto do recurso de destino.
- REGION: a região do recurso de destino
- NETWORK: o nome da rede
- SUBNET: o nome da sub-rede
- VLAN_ATTACHMENT: o nome do anexo da VLAN
- VPN_TUNNEL: o nome do túnel da VPN

Ver as configurações dos Registros de fluxo de VPC (somente API Compute Engine)

Nesta seção, descrevemos como ver quais configurações de registros de fluxo de VPC para sub-redes são gerenciadas pela API Compute Engine. Para ver todas as configurações dos Registros de fluxo de VPC, consulte Ver as configurações dos Registros de fluxo de VPC.

Console

No console do Trusted Cloud , acesse a página Logs de fluxo de VPC.

Acessar Registros de fluxo de VPC
Na seção Configurações no nível do projeto, clique na guia Sub-redes (API Compute Engine) e veja quais sub-redes do projeto têm os Registros de fluxo de VPC ativados.

Essas configurações são gerenciadas pela API Compute Engine. As configurações gerenciadas pela API Network Management são mostradas na guia Sub-redes.

gcloud

Para conferir quais sub-redes em uma rede VPC têm os Registros de fluxo de VPC ativados, execute o seguinte comando:

gcloud compute networks subnets list \
    --project PROJECT_ID \
    --network="NETWORK" \
    --format="csv(name,region,logConfig.enable)"

Substitua:

PROJECT_ID: o ID do projeto que você está consultando.
NETWORK: o nome da rede que contém as sub-redes.

Atualizar a configuração dos Registros de fluxo de VPC

É possível atualizar uma configuração dos Registros de fluxo de VPC. Para mais informações sobre os parâmetros que podem ser modificados, consulte Amostragem e processamento de registros.

Atualizar uma configuração no nível da organização

Ao atualizar uma configuração dos Registros de fluxo de VPC para uma organização, a configuração modificada é aplicada a todas as sub-redes, anexos de VLAN e túneis do Cloud VPN em todas as redes VPC da organização.

Console

No console do Trusted Cloud , acesse a página Logs de fluxo de VPC.

Acessar Registros de fluxo de VPC
Na seção Configurações no nível da organização, selecione uma ou mais configurações que você quer atualizar e clique em Editar.
Ajuste qualquer uma das seguintes opções:
- O intervalo de agregação Por padrão, o intervalo de agregação é definido como 5 segundos.
- Define se o Status da configuração dos Registros de fluxo de VPC será ativado ou desativado. O status Ativado significa que a configuração dos Registros de fluxo de VPC selecionada está ativa e gera registros de fluxo.
- Se a filtragem de registros será configurada. A opção Manter apenas os registros que correspondem a um filtro fica desmarcada por padrão.
- Indica se as anotações entre projetos precisam ser incluídas. Por padrão, a opção Anotações de metadados entre projetos está selecionada. Para mais informações, consulte Anotações entre projetos.
- Defina se os metadados serão incluídos nas entradas de registro finais. Por padrão, Anotações de metadados contém todos os campos.
- A Taxa de amostragem secundária. 100% significa que todas as entradas geradas pelo processo de amostragem de registro de fluxo principal são mantidas. A taxa de amostragem do registro de fluxo principal não é configurável. Para mais informações, consulte Amostragem e processamento de registros.
Clique em Salvar.

gcloud

Use o comando gcloud network-management vpc-flow-logs-configs update. Os colchetes [] nos comandos a seguir indicam parâmetros opcionais.

Para atualizar uma configuração dos Registros de fluxo de VPC para uma organização, execute o seguinte comando:

gcloud network-management vpc-flow-logs-configs update CONFIG_NAME \
    --location=global \
    --organization=ORGANIZATION \
    [--aggregation-interval=AGGREGATION_INTERVAL] \
    [--filter-expr=FILTER_EXPRESSION] \
    [--flow-sampling=SAMPLING_RATE] \
    [--metadata=LOGGING_METADATA] \
    [--cross-project-metadata=CROSS_PROJECT_METADATA] \
    [--state=STATE]

Por exemplo, para atualizar o parâmetro de intervalo de agregação, execute o seguinte comando:

gcloud network-management vpc-flow-logs-configs update CONFIG_NAME \
    --location=global \
    --organization=ORGANIZATION \
    --aggregation-interval=AGGREGATION_INTERVAL

Substitua:

CONFIG_NAME: o nome da configuração que você quer atualizar. A configuração está localizada no mesmo projeto Trusted Cloud do recurso em que ela é usada.
ORGANIZATION: o ID da organização.

Para atualizar os parâmetros opcionais, substitua o seguinte:

AGGREGATION_INTERVAL: o intervalo de agregação para registros de fluxo gerados por essa configuração. Esse parâmetro pode ser definido como interval-5-sec(padrão), interval-30-sec, interval-1-min, interval-5-min,interval-10-min ou interval-15-min.
FILTER_EXPRESSION: uma expressão que define quais registros você quer manter. A expressão tem um limite de 2.048 caracteres. Para mais informações, consulte Filtragem de registros e Exemplos de filtros de registro.
SAMPLING_RATE: a taxa de amostragem de fluxo secundário. Esse parâmetro pode ser definido de um valor maior que 0.0 até 1.0 (todos os registros, padrão). Para mais informações, consulte Amostragem e processamento de registros.
LOGGING_METADATA: as anotações de metadados que você quer incluir nos registros:
- Use include-all-metadata para incluir todas as anotações de metadados (padrão).
- Use exclude-all-metadata para excluir todas as anotações de metadados.
- Use custom-metadata para incluir uma lista personalizada de campos de metadados. Para especificar os campos de metadados, use a flag --metadata-fields:
  - --metadata-fields=METADATA_FIELDS: substitua METADATA_FIELDS por uma lista separada por vírgulas de campos de metadados que você quer incluir nos registros. Por exemplo, src_instance,dst_instance. Só poderá ser definido se metadata estiver definido como custom-metadata.
CROSS_PROJECT_METADATA: anotações entre projetos. Pode ser definido como cross-project-metadata-enabled (padrão) ou cross-project-metadata-disabled. Para mais informações, consulte Anotações entre projetos.
STATE: o estado da configuração. Pode ser enabled (padrão) ou disabled.

API

Use o método organizations.locations.vpcFlowLogsConfigs.patch. Para informações sobre os campos que podem ser modificados, consulte Recurso REST: projects.locations.vpcFlowLogsConfigs.

Para atualizar uma configuração dos registros de fluxo de VPC de uma organização, inclua os seguintes parâmetros na solicitação de API:

PATCH -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME?updateMask=FIELDS
{
  ...fields to modify
}

Substitua:

PROJECT_ID: o ID do projeto de cota. As solicitações de API são contabilizadas nesse projeto. O valor da cota para a API Network Management é definido como 1.200 solicitações por minuto, tanto para a cota no nível do projeto quanto da organização.
ORGANIZATION_ID: o ID da organização em que a configuração é usada.
CONFIG_NAME: o nome da configuração que você quer atualizar.
FIELDS: o nome do campo ou dos campos que você quer atualizar, separados por vírgulas. Por exemplo, aggregationInterval,flowSampling,metadata.

Por exemplo, para atualizar o campo aggregationInterval de uma configuração my-config em my-organization, use a seguinte solicitação de API:

PATCH -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1/organizations/my-organization/locations/global/vpcFlowLogsConfigs/my-config?updateMask=aggregationInterval
{
  aggregationInterval:AGGREGATION_INTERVAL
}

Substitua:

PROJECT_ID: o ID do projeto de cota. As solicitações de API são contabilizadas nesse projeto.
AGGREGATION_INTERVAL com qualquer um dos valores aceitos para esse parâmetro.

Atualizar uma configuração no nível do projeto

As configurações no nível do projeto incluem configurações para redes VPC, sub-redes, anexos de VLAN e túneis do Cloud VPN. A atualização de uma configuração dos registros de fluxo de VPC para uma rede VPC aplica a configuração modificada a todas as sub-redes, anexos de VLAN e túneis do Cloud VPN na rede.

Para atualizar uma configuração dos Registros de fluxo de VPC gerenciada pela API Compute Engine, consulte Atualizar parâmetros de configuração para sub-redes.

Console

No console do Trusted Cloud , acesse a página Logs de fluxo de VPC.

Acessar Registros de fluxo de VPC
Na seção Configurações no nível do projeto, selecione uma ou mais configurações que você quer atualizar e clique em Editar.
Ajuste qualquer uma das seguintes opções:
- O intervalo de agregação Por padrão, o intervalo de agregação é definido como 5 segundos.
- Define se o Status da configuração dos Registros de fluxo de VPC será ativado ou desativado. O status Ativado significa que a configuração dos Registros de fluxo de VPC selecionada está ativa e gera registros de fluxo.
- Se a filtragem de registros será configurada. A opção Manter apenas os registros que correspondem a um filtro fica desmarcada por padrão.
- Defina se os metadados serão incluídos nas entradas de registro finais. Por padrão, Anotações de metadados contém todos os campos.
- A Taxa de amostragem secundária. 100% significa que todas as entradas geradas pelo processo de amostragem de registro de fluxo principal são mantidas. A taxa de amostragem do registro de fluxo principal não é configurável. Para mais informações, consulte Amostragem e processamento de registros.
Clique em Salvar.

Você também pode usar o menu Gerenciar registros de fluxo nos seguintes locais para editar as configurações dos registros de fluxo de VPC:

As guias Redes no projeto atual e Sub-redes no projeto atual na página Redes VPC
A guia Anexos da VLAN na página Interconexão
A guia Túneis da VPN na página VPN

gcloud

Use o comando gcloud network-management vpc-flow-logs-configs update. Os colchetes [] no comando a seguir indicam parâmetros opcionais.

gcloud network-management vpc-flow-logs-configs update CONFIG_NAME \
    --location=global \
    [--network=NETWORK | --subnet=SUBNET | --interconnect-attachment=VLAN_ATTACHMENT | --vpn-tunnel=VPN_TUNNEL] \
    [--aggregation-interval=AGGREGATION_INTERVAL] \
    [--filter-expr=FILTER_EXPRESSION] \
    [--flow-sampling=SAMPLING_RATE] \
    [--metadata=LOGGING_METADATA] \
    [--state=STATE]

Por exemplo, para atualizar o parâmetro de intervalo de agregação, execute o seguinte comando:

gcloud network-management vpc-flow-logs-configs update CONFIG_NAME \
    --location=global \
    --aggregation-interval=AGGREGATION_INTERVAL

Substitua:

CONFIG_NAME: o nome da configuração que você quer atualizar. A configuração está localizada no mesmo projeto Trusted Cloud do recurso em que ela é usada.

Para atualizar os parâmetros opcionais, substitua o seguinte:

NETWORK, SUBNET, VLAN_ATTACHMENT ou VPN_TUNNEL: o nome do recurso de destino. Só é possível especificar um recurso por configuração. Use essa opção para atualizar o nome do recurso de destino. Precisa ser especificado no seguinte formato:
- Rede VPC: projects/PROJECT_ID/global/networks/NAME
- Sub-rede: projects/PROJECT_ID/regions/REGION/subnetworks/NAME
- Anexo da VLAN: projects/PROJECT_ID/regions/REGION/interconnectAttachments/NAME
- Túnel do Cloud VPN: projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME
- Substitua:
  - PROJECT_ID: o ID do projeto Trusted Cloud que contém o recurso.
  - REGION: a região do recurso.
  - NAME: o nome do recurso.
AGGREGATION_INTERVAL: o intervalo de agregação para registros de fluxo gerados por essa configuração. Esse parâmetro pode ser definido como interval-5-sec(padrão), interval-30-sec, interval-1-min, interval-5-min,interval-10-min ou interval-15-min.
FILTER_EXPRESSION: uma expressão que define quais registros você quer manter. A expressão tem um limite de 2.048 caracteres. Para mais informações, consulte Filtragem de registros e Exemplos de filtros de registro.
SAMPLING_RATE: a taxa de amostragem de fluxo secundário. Esse parâmetro pode ser definido de um valor maior que 0.0 até 1.0 (todos os registros, padrão). Para mais informações, consulte Amostragem e processamento de registros.
LOGGING_METADATA: as anotações de metadados que você quer incluir nos registros:
- Use include-all-metadata para incluir todas as anotações de metadados (padrão).
- Use exclude-all-metadata para excluir todas as anotações de metadados.
- Use custom-metadata para incluir uma lista personalizada de campos de metadados. Para especificar os campos de metadados, use a flag --metadata-fields:
  - --metadata-fields=METADATA_FIELDS: substitua METADATA_FIELDS por uma lista separada por vírgulas de campos de metadados que você quer incluir nos registros. Por exemplo, src_instance,dst_instance. Só poderá ser definido se metadata estiver definido como custom-metadata.
STATE: o estado da configuração. Pode ser enabled (padrão) ou disabled.

API

Use o método projects.locations.vpcFlowLogsConfigs.patch. Para informações sobre os campos que podem ser modificados, consulte Recurso REST: projects.locations.vpcFlowLogsConfigs.

Para atualizar uma configuração dos Registros de fluxo de VPC, inclua os seguintes parâmetros na solicitação de API:

PATCH https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME?updateMask=FIELDS
{
  ...fields to modify
}

Substitua:

PROJECT_ID: o ID do projeto Trusted Cloud que contém a configuração dos Registros de fluxo de VPC. Esse ID é o mesmo do ID do projeto do recurso em que a configuração é usada.
CONFIG_NAME: o nome da configuração que você quer atualizar.
FIELDS: o nome do campo ou dos campos que você quer atualizar, separados por vírgulas. Por exemplo, aggregationInterval,flowSampling,metadata.

Por exemplo, para atualizar o campo aggregationInterval de uma configuração my-config em my-project, use a seguinte solicitação de API:

PATCH https://networkmanagement.googleapis.com/v1/projects/my-project/locations/global/vpcFlowLogsConfigs/my-config?updateMask=aggregationInterval
{
  aggregationInterval:AGGREGATION_INTERVAL
}

Substitua AGGREGATION_INTERVAL por qualquer um dos valores compatíveis com esse parâmetro.

Atualizar parâmetros de configuração para sub-redes

Esta seção descreve como atualizar uma configuração de registros de fluxo de VPC gerenciada pela API Compute Engine.

Para ver quais configurações de registros de fluxo de VPC são gerenciadas pela API Compute Engine, consulte Ver quais sub-redes de uma rede têm os registros de fluxo de VPC ativados.

Console

No console do Trusted Cloud , acesse a página Redes VPC.

Acessar redes VPC
Em Sub-redes no projeto atual, clique na sub-rede que você quer atualizar.
Clique em Editar.
Opcional: ajuste qualquer uma das seguintes configurações:
- O intervalo de agregação Por padrão, o intervalo de agregação é definido como 5 segundos.
- Se a filtragem de registros será configurada. A opção Manter apenas os registros que correspondem a um filtro fica desmarcada por padrão.
- Defina se os metadados serão incluídos nas entradas de registro finais. Por padrão, Anotações de metadados contém todos os campos.
- A Taxa de amostragem secundária. 50% significa que metade das entradas geradas pelo processo de amostragem do registro de fluxo principal são mantidas. A taxa de amostragem do registro de fluxo principal não é configurável. Para mais informações, consulte Amostragem e processamento de registros.
Clique em Salvar.

Outra possibilidade é atualizar os parâmetros de configuração dos Registros de fluxo de VPC usando o menu Gerenciar registros de fluxo em Sub-redes no projeto atual na página Redes VPC.

gcloud

Execute este comando:

gcloud compute networks subnets update SUBNET_NAME \
    [--logging-aggregation-interval=AGGREGATION_INTERVAL] \
    [--logging-flow-sampling=SAMPLING_RATE] \
    [--logging-filter-expr=FILTER_EXPRESSION] \
    [--logging-metadata=LOGGING_METADATA] \
    [--logging-metadata-fields=METADATA_FIELDS] \

Substitua:

AGGREGATION_INTERVAL: o intervalo de agregação para registros de fluxo nessa sub-rede. O intervalo de tempo pode ser configurado para: 5 s (padrão), 30 s, 1 min, 5 min, 10 min ou 15 min.
SAMPLING_RATE: a taxa de amostragem de fluxo secundário. A amostragem de fluxo secundário pode ser definida desde 0.0 (sem amostragem) até 1.0 (todos os registros). O padrão é 0.5. Para mais informações, consulte Amostragem e processamento de registros.
FILTER_EXPRESSION: é uma expressão que define quais registros você quer manter. A expressão tem um limite de 2.048 caracteres. Para mais informações, consulte Filtragem de registros e Exemplos de filtros de registros.
LOGGING_METADATA: as anotações de metadados que você quer incluir nos registros:
- Use include-all para incluir todas as anotações de metadados.
- Use exclude-all para excluir todas as anotações de metadados (padrão).
- Use custom para incluir uma lista personalizada de campos de metadados especificados em METADATA_FIELDS.
Observação: se uma sub-rede teve a geração de registros de fluxo ativada a qualquer momento antes de 1º de março de 2021 e se LOGGING_METADATA nunca foi explicitamente configurado, o valor padrão de LOGGING_METADATA é include-all.
METADATA_FIELDS: uma lista separada por vírgulas de campos de metadados que você quer incluir nos registros. Por exemplo, src_instance,dst_instance. Só poderá ser definido se LOGGING_METADATA estiver definido como custom.

API

Modifique os campos da amostragem de registros para atualizar os comportamentos dos registros de fluxo de VPC.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    ...fields to modify
  },
  "fingerprint": "SUBNET_FINGERPRINT"
}

Substitua:

PROJECT_ID: o ID do projeto em que a sub-rede está localizada.
REGION: a região em que a sub-rede está localizada.
SUBNET_NAME: o nome da sub-rede atual.
SUBNET_FINGERPRINT: o ID de impressão digital da sub-rede atual, que é fornecido quando você descreve uma sub-rede.
Para os campos que podem ser modificados, consulte Ativar registros de fluxo de VPC ao criar uma sub-rede.

Para mais informações, consulte o método subnetworks.patch.

Interromper a coleta de registros

É possível pausar a coleta de registros de um recurso desativando todas as configurações ativas dos Registros de fluxo de VPC.

Se você não precisar mais de uma configuração dos Registros de fluxo de VPC, exclua-a. A coleta de registros é interrompida, e a configuração é excluída.

Para interromper a coleta de registros e excluir uma configuração dos Registros de fluxo de VPC gerenciada pela API Compute Engine, consulte desativar os Registros de fluxo de VPC para uma sub-rede.

Desativar uma configuração dos Registros de fluxo de VPC

Console

No console do Trusted Cloud , acesse a página Logs de fluxo de VPC.

Acessar Registros de fluxo de VPC
Nas seções Configurações no nível da organização ou Configurações no nível do projeto, selecione uma ou mais configurações dos Registros de fluxo de VPC que você quer desativar e mude o status para Desativar.

Se a seleção incluir configurações ativas e inativas, no menu Mudar status da configuração, clique em Desativar tudo.

gcloud

Para pausar a coleta de registros de uma configuração dos Registros de fluxo de VPC, use o comando gcloud network-management vpc-flow-logs-configs update.

Pausar uma configuração no nível da organização

gcloud network-management vpc-flow-logs-configs update CONFIG_NAME \
    --location=global \
    --organization=ORGANIZATION \
    --state=disabled

Substitua:

CONFIG_NAME: o nome da configuração
ORGANIZATION: o ID da organização

Pausar uma configuração no nível do projeto

gcloud network-management vpc-flow-logs-configs update CONFIG_NAME \
    --location=global \
    --state=disabled

Substitua CONFIG_NAME pelo nome da configuração.

API

Pausar uma configuração no nível da organização

Para pausar a coleta de registros, use o método organizations.locations.vpcFlowLogsConfigs.patch.

PATCH -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME?updateMask=state
{
  "state": "DISABLED"
}

Substitua:

PROJECT_ID: o ID do projeto de cota. As solicitações de API são contabilizadas nesse projeto.
ORGANIZATION_ID: o ID da organização.
CONFIG_NAME: o nome da configuração.

Pausar uma configuração no nível do projeto

Para pausar a coleta de registros, use o método projects.locations.vpcFlowLogsConfigs.patch.

PATCH https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME?updateMask=state
{
  "state": "DISABLED"
}

Substitua:

PROJECT_ID: o ID do projeto Trusted Cloud que contém a configuração. Esse ID é o mesmo que o ID do projeto do recurso em que a configuração é usada.
CONFIG_NAME: o nome da configuração.

Excluir uma configuração dos Registros de fluxo de VPC

Console

No console do Trusted Cloud , acesse a página Logs de fluxo de VPC.

Acessar Registros de fluxo de VPC
Nas seções Configurações no nível da organização ou Configurações no nível do projeto, selecione uma ou mais configurações dos Registros de fluxo de VPC que você quer excluir e clique em Excluir.

gcloud

Para excluir uma configuração dos Registros de fluxo de VPC, use o comando gcloud network-management vpc-flow-logs-configs delete.

Excluir uma configuração no nível da organização

gcloud network-management vpc-flow-logs-configs delete CONFIG_NAME \
    --location=global \
    --organization=ORGANIZATION

Substitua:

CONFIG_NAME: o nome da configuração
ORGANIZATION: o ID da organização

Excluir uma configuração no nível do projeto

gcloud network-management vpc-flow-logs-configs delete CONFIG_NAME \
    --location=global

Substitua CONFIG_NAME pelo nome da configuração que você quer excluir.

API

Excluir uma configuração no nível da organização

Para excluir uma configuração dos Registros de fluxo de VPC, use o método organizations.locations.vpcFlowLogsConfigs.delete.

DELETE -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME

Substitua:

PROJECT_ID: o ID do projeto de cota. As solicitações de API são contabilizadas nesse projeto.
ORGANIZATION_ID: o ID da organização.
CONFIG_NAME: o nome da configuração.

Excluir uma configuração no nível do projeto

Para excluir uma configuração dos Registros de fluxo de VPC, use o método projects.locations.vpcFlowLogsConfigs.delete.

DELETE https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME

Substitua:

PROJECT_ID: o ID do Trusted Cloud projeto que contém a configuração
CONFIG_NAME: o nome da configuração

Desativar registros de fluxo de VPC para uma sub-rede

Nesta seção, descrevemos como excluir uma configuração dos registros de fluxo de VPC gerenciada pela API Compute Engine. Quando você desativa os Registros de fluxo de VPC para uma sub-rede, a coleta de registros é interrompida e a configuração é excluída.

Console

No console do Trusted Cloud , acesse a página Redes VPC.

Acessar redes VPC
Clique na sub-rede que você quer atualizar.
Clique em Editar.
Em Registros de fluxo, selecione Desativado.
Clique em Salvar.

gcloud

Execute este comando:

gcloud compute networks subnets update SUBNET_NAME \
    --no-enable-flow-logs

API

Desative registros de fluxo de VPC em uma sub-rede para interromper a coleta de registros.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    "enable": false
  },
  "fingerprint": "SUBNET_FINGERPRINT"
}

Substitua:

PROJECT_ID: o ID do projeto em que a sub-rede está localizada.
REGION: a região em que a sub-rede está localizada.
SUBNET_NAME: o nome da sub-rede atual
SUBNET_FINGERPRINT: o ID de impressão digital da sub-rede atual, que é fornecido quando você descreve uma sub-rede

Para mais informações, consulte o método subnetworks.patch.

Exemplos de filtros de registro

Nesta seção, apresentamos exemplos de filtros de registro que podem ser configurados para preservar apenas os registros que correspondem ao filtro. Para mais informações, consulte Filtragem de registros.

Exemplo 1. Limitar a coleta de registros a uma VM específica chamada my-vm

Nesse caso, serão gravados apenas os registros em que o campo src_instance for informado como my-vm pela origem do tráfego ou em que o campo dst_instance for informado como my-vm pelo destino do tráfego.

gcloud network-management vpc-flow-logs-configs update my-config \
    --location=global \
    --filter-expr="(src_instance.vm_name == 'my-vm' && reporter=='SRC') || (dest_instance.vm_name == 'my-vm' && reporter=='DEST')"

Se você ativou os registros de fluxo de VPC usando a API Compute Engine, execute o seguinte comando:

gcloud compute networks subnets update my-subnet \
    --logging-filter-expr="(src_instance.vm_name == 'my-vm' && reporter=='SRC') || (dest_instance.vm_name == 'my-vm' && reporter=='DEST')"

Exemplo 2. Limitar a coleta de registros a pacotes com endereços IP de origem na sub-rede 10.0.0.0/8

gcloud network-management vpc-flow-logs-configs update my-config \
    --location=global \
    --filter-expr="inIpRange(connection.src_ip, '10.0.0.0/8')"

Se você ativou os registros de fluxo de VPC usando a API Compute Engine, execute o seguinte comando:

gcloud compute networks subnets update my-subnet \
    --logging-filter-expr="inIpRange(connection.src_ip, '10.0.0.0/8')"

Exemplo 3. Limitar a coleta de registros ao tráfego de VM externo a uma rede VPC

gcloud network-management vpc-flow-logs-configs update my-config \
    --location=global \
    --filter-expr="!(has(src_vpc.vpc_name) && has(dest_vpc.vpc_name))"

Se você ativou os registros de fluxo de VPC usando a API Compute Engine, execute o seguinte comando:

gcloud compute networks subnets update my-subnet \
    --logging-filter-expr="!(has(src_vpc.vpc_name) && has(dest_vpc.vpc_name))"

Exemplo 4. Limitar a coleta de registros a um anexo da VLAN ou túnel do Cloud VPN de destino específico, my-gateway

gcloud network-management vpc-flow-logs-configs update my-config \
    --location=global \
    --filter-expr="dest_gateway.name == 'my-gateway'"

Exemplo 5. Limitar a coleta de registros a anexos da VLAN

gcloud network-management vpc-flow-logs-configs update my-config \
    --location=global \
    --filter-expr="dest_gateway.type == 'INTERCONNECT_ATTACHMENT'"

Exemplo 6. Limitar a coleta de registros a uma rede VPC de origem específica, my-network

gcloud network-management vpc-flow-logs-configs update my-config \
    --location=global \
    --filter-expr="src_vpc.vpc_name == 'my-network'"

Solução de problemas

As seções a seguir podem ajudar você a diagnosticar problemas com a configuração dos registros de fluxo da VPC.

Os registros de fluxo de sub-redes aparecem como desativados mesmo depois de ativá-los

Ao configurar uma sub-rede somente proxy para balanceadores de carga de aplicativo internos e usar o comando gcloud compute networks subnets para ativar os Registros de fluxo de VPC, o comando parece ter êxito, mas os registros de fluxo não estão realmente ativados. A flag --enable-flow-logs não entra em vigor quando a flag --purpose=INTERNAL_HTTPS_LOAD_BALANCER também é incluída.

Ao usar o console do Trusted Cloud ou a API para ativar os registros de fluxo, será exibida a seguinte mensagem de erro: "Valor inválido para o campo 'resource.enableFlowLogs': 'true'. Campo inválido definido na sub-rede com a finalidade INTERNAL_HTTPS_pload_ balanCER."

Como as sub-redes somente proxy não têm VMs, os Registros de fluxo de VPC não são compatíveis. Este é o comportamento esperado.

A seguir

Registros de fluxo de acesso