設定虛擬私有雲流量記錄
本頁說明如何設定虛擬私有雲流量記錄。本文假設您熟悉虛擬私有雲流量記錄和虛擬私有雲流量記錄檔記錄簡介中說明的概念。
事前準備
至少設定下列其中一項:
建議:您可以使用 Network Management API,為組織、虛擬私有雲 (VPC) 網路、子網路、Cloud Interconnect 的 VLAN 連結,以及 Cloud VPN 通道設定虛擬私有雲流量記錄。如要使用 Network Management API,請按照下列步驟操作:
在 Cloud de Confiance 專案中啟用 Network Management API。
請確認您具備網路管理員角色 (
roles/networkmanagement.admin),並已按照下列方式授予:- 機構層級 (如要為機構設定虛擬私有雲流量記錄,則為必填)
- 專案層級 (如要為虛擬私有雲網路、子網路、VLAN 連結或 Cloud VPN 通道設定虛擬私有雲流量記錄,則必須使用這個層級)
此外,如要為組織設定虛擬私有雲流量記錄,請務必具備
resourcemanager.organizations.get權限。
Compute Engine API 僅允許您為子網路設定虛擬私有雲流量記錄。使用 Compute Engine API 建立的設定無法透過 Network Management API 管理。如要使用 Compute Engine API,請按照下列步驟操作:
在 Cloud de Confiance 專案中啟用 Compute Engine API。
請確認您在專案中具備下列其中一個角色:
- Compute 管理員角色 (
roles/compute.admin) - Compute 網路管理員角色 (
roles/compute.networkAdmin)
- Compute 管理員角色 (
如要進一步瞭解啟用子網路虛擬私有雲流量記錄時應使用的 API,請參閱「選擇啟用子網路虛擬私有雲流量記錄的方式」。
設定 Google Cloud CLI
如果您不打算使用 gcloud CLI 設定虛擬私有雲流量記錄,請略過這個步驟。
In the Cloud de Confiance console, activate Cloud Shell.
At the bottom of the Cloud de Confiance console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
啟用虛擬私有雲流量記錄
如要為資源啟用虛擬私有雲流量記錄,請建立虛擬私有雲流量記錄設定。虛擬私有雲流量記錄可讓您在機構和專案層級建立設定:
- 組織層級的設定會為組織中所有虛擬私有雲網路的所有子網路、VLAN 連結和 Cloud VPN 通道啟用流量記錄。
- 專案層級設定可讓您為下列資源啟用流量記錄:
- 特定虛擬私有雲網路,包括網路中的所有子網路、VLAN 連結和 Cloud VPN 通道
- 特定子網路、VLAN 連結或 Cloud VPN 通道
每項資源可新增多個虛擬私有雲流量記錄設定。每項設定都會產生一組獨立的流量記錄。 如果將資源與多個虛擬私有雲流量記錄設定建立關聯,且這些設定的範圍重疊,記錄資訊可能會包含重複記錄。
您也可以修改寫入記錄檔的資訊量。如要進一步瞭解您可以控制的參數,請參閱記錄檔取樣與處理。
為子網路啟用虛擬私有雲流量記錄
啟用子網路的虛擬私有雲流量記錄後,系統會為該子網路中的所有 VM 啟用記錄功能。
選擇如何為子網路啟用虛擬私有雲流量記錄
您可以使用 Network Management API 或 Compute Engine API,為子網路啟用虛擬私有雲流量記錄。由於 Network Management API 提供更多啟用虛擬私有雲流量記錄的選項,因此建議您使用 Network Management API。
Network Management API 提供的功能與 Compute Engine API 相同,也就是說,Network Management API 支援 Compute Engine API 中所有可用的子網路虛擬私有雲流量記錄設定選項。
如果是透過 Compute Engine API 管理現有的虛擬私有雲流量記錄設定,請注意下列事項:
- 如要將設定移至 Network Management API,可以使用下列任一方法:
- 您可以使用 Network Management API 複製虛擬私有雲流量記錄設定,然後刪除原始設定。詳情請參閱「為子網路啟用虛擬私有雲流量記錄 (Network Management API)」和「為子網路停用虛擬私有雲流量記錄」。
- 為簡化虛擬私有雲流量記錄設定管理作業,您可以選擇整合現有的 Compute Engine API 管理設定。舉例來說,您可以為包含子網路的虛擬私有雲網路或機構建立設定,然後刪除原始設定,不必為每個子網路分別建立設定。詳情請參閱「支援的設定」。
- 與 Compute Engine API 不同,Network Management API 不會為子網路設定
enableFlowLogs或logConfig.enable欄位。如果您使用的第三方工具會用到這些欄位,可以採取下列任一做法:- 使用 Network Management API 的
showEffectiveFlowLogsConfigs方法,即可查看特定子網路的所有設定。詳情請參閱「API」分頁中的「查看資源的所有設定」。 - 請繼續使用 Compute Engine API 設定子網路的虛擬私有雲流量記錄,詳情請參閱「為子網路啟用虛擬私有雲流量記錄 (Compute Engine API)」。
- 使用 Network Management API 的
為子網路啟用虛擬私有雲流量記錄 (Network Management API)
本節說明如何使用 Network Management API (建議) 為子網路啟用虛擬私有雲流量記錄。
主控台
在 Cloud de Confiance 控制台中,前往「VPC networks」(虛擬私有雲網路) 頁面。
在「目前專案中的子網路」分頁中,選取一或多個子網路,然後按一下「管理流量記錄」。
在「管理流量記錄」中,按一下「新增設定」。
執行下列其中一個步驟:
- 如果您選取一個子網路,請在「設定 - 子網路」部分中,按一下「新增設定」。
- 如果您選取多個子網路,請在「設定虛擬私有雲流量記錄」部分選取「Network Management API」。
在「名稱」中,輸入新虛擬私有雲流量記錄設定的名稱。
選用:調整「匯總間隔」,以及「進階設定」部分中的任何設定:
- 是否要設定記錄篩選條件。根據預設,「只保留符合篩選條件的記錄」會取消選取。
- 是否要在最終記錄項目中包含中繼資料。預設情況下,「中繼資料註解」包含所有欄位。
- 次級取樣率。
100%表示系統會保留初級流量記錄檔取樣程序產生的所有項目。主要流量記錄檔取樣率無法設定。詳情請參閱「記錄檔取樣與處理」。
按一下 [儲存]。
gcloud
如要為子網路啟用虛擬私有雲流量記錄,請使用 gcloud network-management vpc-flow-logs-configs create 指令。
如要啟用虛擬私有雲流量記錄,請建立虛擬私有雲流量記錄設定。您可以建立設定,並將所有參數設為預設值,也可以自訂預設值。
在 gcloud CLI 中,將專案設為子網路的 Cloud de Confiance 專案 ID,然後執行下列其中一個指令:
如要建立預設的虛擬私有雲流量記錄設定,請執行下列指令:
gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \ --location=global \ --subnet=SUBNET如要建立自訂虛擬私有雲流程記錄設定,請指定要自訂的每個參數。
舉例來說,如要在建立 VPC 流量記錄檔設定時,自訂匯總間隔、篩選條件、次級取樣率和中繼資料參數,請執行下列指令:
gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \ --location=global \ --subnet=SUBNET \ --aggregation-interval=AGGREGATION_INTERVAL \ --filter-expr=FILTER_EXPRESSION \ --flow-sampling=SAMPLING_RATE \ --metadata=LOGGING_METADATA更改下列內容:
CONFIG_NAME:設定的名稱。SUBNET:要記錄的子網路。 必須以以下格式指定:"projects/PROJECT_ID/regions/REGION/subnetworks/NAME", 其中:PROJECT_ID是包含子網路的 Cloud de Confiance 專案 ID。設定必須在這個專案中建立。REGION是子網路的地區。NAME是子網路的名稱。
如要在自訂設定中設定選用參數,請取代下列項目:
-
AGGREGATION_INTERVAL:這項設定產生的流量記錄匯總間隔。這個參數可以設為interval-5-sec(預設)、interval-30-sec、interval-1-min、interval-5-min、interval-10-min或interval-15-min。 -
FILTER_EXPRESSION:定義要保留哪些記錄的運算式。運算式的長度上限為 2,048 個半形字元。 詳情請參閱「篩選記錄」和「記錄篩選器範例」。 -
SAMPLING_RATE:次要流程取樣率。這項參數可設為大於0.0的值,最多可設為1.0(所有記錄,預設值)。詳情請參閱「記錄檔取樣與處理」。 -
LOGGING_METADATA:要納入記錄中的中繼資料註解:- 使用
include-all-metadata納入所有中繼資料註解 (預設)。 - 使用
exclude-all-metadata排除所有中繼資料註解。 - 使用
custom-metadata納入自訂中繼資料欄位清單。如要指定中繼資料欄位,請使用--metadata-fields標記:--metadata-fields=METADATA_FIELDS:將METADATA_FIELDS替換為以半形逗號分隔的中繼資料欄位清單,這些欄位會納入記錄。例如:src_instance,dst_instance。只有在metadata設為custom-metadata時,才能設定這個選項。
- 使用
API
如要為子網路啟用虛擬私有雲流量記錄,請使用 projects.locations.vpcFlowLogsConfigs.create 方法。
如要啟用虛擬私有雲流量記錄,請建立虛擬私有雲流量記錄設定。您可以建立設定,並將所有參數設為預設值,也可以自訂預設值。
如要建立預設的虛擬私有雲流量記錄設定,請在 API 要求中加入下列參數:
POST https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
"subnet": "SUBNET"
}
如要建立自訂虛擬私有雲流程記錄設定,請指定要自訂的每個參數。
舉例來說,如要在建立 VPC 流量記錄檔設定時自訂匯總間隔、篩選條件、次級取樣率和中繼資料參數,請在 API 要求中加入下列參數:
POST https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
"subnet": "SUBNET",
"aggregationInterval": "AGGREGATION_INTERVAL",
"filterExpr": "FILTER_EXPRESSION",
"flowSampling": SAMPLING_RATE,
"metadata": "LOGGING_METADATA"
}
更改下列內容:
PROJECT_ID:子網路的 Cloud de Confiance 專案 ID。CONFIG_NAME:設定的名稱。SUBNET:要記錄的子網路。 必須以以下格式指定:projects/PROJECT_ID/regions/REGION/subnetworks/NAME, 其中:PROJECT_ID是子網路的專案 ID。REGION是子網路的地區。NAME是子網路的名稱。
-
AGGREGATION_INTERVAL:這項設定產生的流量記錄匯總間隔。這個參數可以設為INTERVAL_5_SEC(預設值)、INTERVAL_30_SEC、INTERVAL_1_MIN、INTERVAL_5_MIN、INTERVAL_10_MIN或INTERVAL_15_MIN。 -
FILTER_EXPRESSION:定義要保留哪些記錄的運算式。運算式的長度上限為 2,048 個半形字元。 詳情請參閱「篩選記錄」。 -
SAMPLING_RATE:次要流程取樣率。這項參數可設為大於0.0的值,最多可設為1.0(所有記錄,預設值)。詳情請參閱「記錄檔取樣與處理」。 -
LOGGING_METADATA:要納入記錄中的中繼資料註解:- 使用
INCLUDE_ALL_METADATA納入所有中繼資料註解 (預設)。 - 使用
EXCLUDE_ALL_METADATA排除所有中繼資料註解。 - 使用
CUSTOM_METADATA納入自訂中繼資料欄位清單。如要指定中繼資料欄位,請使用metadataFields參數:metadataFields: METADATA_FIELDS:將METADATA_FIELDS替換為以半形逗號分隔的中繼資料欄位清單,這些欄位會納入記錄。例如:src_instance,dst_instance。只有在metadata設為CUSTOM_METADATA時,才能設定這個選項。
- 使用
為子網路啟用虛擬私有雲流量記錄 (Compute Engine API)
本節說明如何使用 Compute Engine API,為子網路啟用虛擬私有雲流量記錄。您可以在建立子網路時啟用虛擬私有雲流量記錄,也可以針對現有子網路啟用。
建議您使用 Network Management API 為子網路啟用虛擬私有雲流量記錄。
在建立子網路時啟用虛擬私有雲流量記錄
主控台
gcloud
執行下列指令:
gcloud compute networks subnets create SUBNET_NAME \
--enable-flow-logs \
[--logging-aggregation-interval=AGGREGATION_INTERVAL] \
[--logging-flow-sampling=SAMPLING_RATE] \
[--logging-filter-expr=FILTER_EXPRESSION] \
[--logging-metadata=LOGGING_METADATA] \
[--logging-metadata-fields=METADATA_FIELDS] \
[other flags as needed]
更改下列內容:
AGGREGATION_INTERVAL:該子網路中流程記錄的匯總間隔。您可以將這個間隔設定為下列任何一項:5 秒 (預設)、30 秒、1 分鐘、5 分鐘、10 分鐘或 15 分鐘。SAMPLING_RATE:次要流程取樣率。 次要流量取樣可以從0.0(無取樣) 設定為1.0(所有記錄)。預設值為0.5。詳情請參閱「記錄檔取樣與處理」。FILTER_EXPRESSION:定義要保留哪些記錄的運算式。運算式的長度上限為 2,048 個半形字元。詳情請參閱「篩選記錄」和「記錄篩選器範例」。LOGGING_METADATA:要納入記錄的中繼資料註解:- 使用
include-all即可納入所有中繼資料註解。 - 使用
exclude-all排除所有中繼資料註解 (預設)。 - 使用
custom即可加入您在METADATA_FIELDS中指定的自訂中繼資料欄位清單。
- 使用
METADATA_FIELDS:以半形逗號分隔的清單,列出您想在記錄中加入的中繼資料欄位。例如:src_instance,dst_instance。只有在LOGGING_METADATA設為custom時,才能設定這個值。
API
建立新子網路時,請啟用虛擬私有雲流量記錄。
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks
{
"logConfig": {
"aggregationInterval": "AGGREGATION_INTERVAL",
"flowSampling": SAMPLING_RATE,
"filterExpr": EXPRESSION,
"metadata": METADATA_SETTING,
"metadataFields": METADATA_FIELDS,
"enable": true
},
"ipCidrRange": "IP_RANGE",
"network": "NETWORK_URL",
"name": "SUBNET_NAME"
}
更改下列內容:
PROJECT_ID:子網路建立所在的專案 ID。REGION:子網路的建立區域。AGGREGATION_INTERVAL:子網路中流程記錄的匯總間隔。間隔可設為下列任一值:INTERVAL_5_SEC、INTERVAL_30_SEC、INTERVAL_1_MIN、INTERVAL_5_MIN、INTERVAL_10_MIN或INTERVAL_15_MIN。SAMPLING_RATE:流程取樣率。您可以將流程取樣從0.0(無取樣) 設定為1.0(所有記錄)。預設值為.0.5。EXPRESSION:用於篩選實際寫入記錄的篩選器運算式。運算式的長度上限為 2,048 個半形字元。詳情請參閱「篩選記錄」。METADATA_SETTING:要納入記錄的中繼資料註解:- 使用
INCLUDE_ALL_METADATA即可納入所有中繼資料註解。 - 使用
EXCLUDE_ALL_METADATA排除所有中繼資料註解 (預設)。 - 使用
CUSTOM_METADATA納入您在METADATA_FIELDS中指定的自訂中繼資料欄位清單。
- 使用
METADATA_FIELDS:設定metadata: CUSTOM_METADATA時要擷取的中繼資料欄位。這是以逗號分隔的中繼資料欄位清單,例如src_instance, src_vpc.project_id。IP_RANGE:子網路的主要內部 IP 位址範圍。NETWORK_URL:虛擬私有雲網路網址,子網路將在此建立。SUBNET_NAME:子網路的名稱。
詳情請參閱 subnetworks.insert 方法。
Terraform
您可以使用 Terraform 模組建立自訂模式虛擬私有雲網路和子網路。
以下範例會建立三個子網路,如下所示:
subnet-01已停用虛擬私有雲流量記錄。建立子網路時,除非您明確啟用虛擬私有雲流量記錄檔,否則系統會停用這項功能。subnet-02已啟用虛擬私有雲流量記錄,並採用預設流量記錄設定。subnet-03已啟用虛擬私有雲流量記錄,並採用部分自訂設定。
如要瞭解如何套用或移除 Terraform 設定,請參閱「基本 Terraform 指令」。
為現有子網路啟用虛擬私有雲流量記錄
主控台
在 Cloud de Confiance 控制台中,前往「VPC networks」(虛擬私有雲網路) 頁面。
在「目前專案中的子網路」分頁中,選取一或多個子網路,然後按一下「管理流量記錄」。
在「管理流量記錄」中,按一下「新增設定」。
執行下列其中一個步驟:
- 如果您選取一個子網路,請在「設定 - 子網路 (Compute Engine API)」部分中,按一下「新增設定」。
- 如果您選取多個子網路,請在「設定虛擬私有雲流量記錄」部分選取「Compute Engine API」。
選用:在「進階設定」部分中,調整「匯總間隔」和下列任一設定:
- 是否要設定記錄篩選條件。根據預設,「只保留符合篩選條件的記錄」會取消選取。
- 是否要在最終記錄項目中包含中繼資料。預設情況下,「中繼資料註解」包含所有欄位。
- 次級取樣率。
50%表示系統會保留初級流量記錄檔取樣程序產生的一半項目。主要流量記錄檔取樣率無法設定。詳情請參閱「記錄檔取樣與處理」。
按一下 [儲存]。
gcloud
執行下列指令:
gcloud compute networks subnets update SUBNET_NAME \
--enable-flow-logs \
[--logging-aggregation-interval=AGGREGATION_INTERVAL] \
[--logging-flow-sampling=SAMPLING_RATE] \
[--logging-filter-expr=FILTER_EXPRESSION] \
[--logging-metadata=LOGGING_METADATA] \
[--logging-metadata-fields=METADATA_FIELDS] \
[other flags as needed]
更改下列內容:
AGGREGATION_INTERVAL:該子網路中流程記錄的匯總間隔。您可以將這個間隔設定為下列任何一項:5 秒 (預設)、30 秒、1 分鐘、5 分鐘、10 分鐘或 15 分鐘。SAMPLING_RATE:次要流程取樣率。 次要流量取樣可以從0.0(無取樣) 設定為1.0(所有記錄)。預設值為0.5。詳情請參閱「記錄檔取樣與處理」。FILTER_EXPRESSION:定義要保留哪些記錄的運算式。運算式的長度上限為 2,048 個半形字元。詳情請參閱「篩選記錄」和「記錄篩選器範例」。LOGGING_METADATA:要納入記錄的中繼資料註解:- 使用
include-all即可納入所有中繼資料註解。 - 使用
exclude-all排除所有中繼資料註解 (預設)。 - 使用
custom即可加入您在METADATA_FIELDS中指定的自訂中繼資料欄位清單。
- 使用
METADATA_FIELDS:以半形逗號分隔的清單,列出您想在記錄中加入的中繼資料欄位。例如:src_instance,dst_instance。只有在LOGGING_METADATA設為custom時,才能設定這個值。
API
為現有子網路啟用虛擬私有雲流量記錄。
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
"logConfig": {
"enable": true
...other logging fields.
},
"fingerprint": "SUBNET_FINGERPRINT"
}
更改下列內容:
PROJECT_ID:子網路所在的專案 ID。REGION:子網路所在的地區。SUBNET_NAME:現有子網路的名稱。SUBNET_FINGERPRINT:現有子網路的指紋 ID,您在說明子網路時會取得這個 ID。- 如要瞭解其他記錄欄位,請參閱在建立子網路時啟用虛擬私有雲流量記錄。
詳情請參閱 subnetworks.patch 方法。
為 VLAN 連結啟用虛擬私有雲流量記錄
主控台
前往 Cloud de Confiance 控制台的「Interconnect」頁面。
在「VLAN 連結」分頁中,選取一或多個 VLAN 連結,然後在清單頂端的選取列點選「管理流量記錄」。
在「管理流量記錄」中,按一下「新增設定」。
在「名稱」中,輸入新虛擬私有雲流量記錄設定的名稱。
選用:調整「匯總間隔」,以及「進階設定」部分中的任何設定:
- 是否要設定記錄篩選條件。根據預設,「只保留符合篩選條件的記錄」會取消選取。
- 是否要在最終記錄項目中包含中繼資料。預設情況下,「中繼資料註解」包含所有欄位。
- 次級取樣率。
100%表示系統會保留初級流量記錄檔取樣程序產生的所有項目。主要流量記錄檔取樣率無法設定。詳情請參閱「記錄檔取樣與處理」。
按一下 [儲存]。
gcloud
如要為 VLAN 連結啟用虛擬私有雲流量記錄,請使用 gcloud network-management vpc-flow-logs-configs create 指令。
如要啟用虛擬私有雲流量記錄,請建立虛擬私有雲流量記錄設定。您可以建立設定,並將所有參數設為預設值,也可以自訂預設值。
在 gcloud CLI 中,將專案設為 VLAN 連結的Cloud de Confiance 專案 ID,然後執行下列其中一個指令:
如要建立預設的虛擬私有雲流量記錄設定,請執行下列指令:
gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \ --location=global \ --interconnect-attachment=VLAN_ATTACHMENT如要建立自訂虛擬私有雲流程記錄設定,請指定要自訂的每個參數。
舉例來說,如要在建立 VPC 流量記錄檔設定時,自訂匯總間隔、篩選條件、次級取樣率和中繼資料參數,請執行下列指令:
gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \ --location=global \ --interconnect-attachment=VLAN_ATTACHMENT \ --aggregation-interval=AGGREGATION_INTERVAL \ --filter-expr=FILTER_EXPRESSION \ --flow-sampling=SAMPLING_RATE \ --metadata=LOGGING_METADATA更改下列內容:
CONFIG_NAME:設定的名稱。VLAN_ATTACHMENT:要記錄的 VLAN 連結。必須以以下格式指定:"projects/PROJECT_ID/regions/REGION/interconnectAttachments/NAME", 其中:PROJECT_ID是包含 VLAN 連結的 Cloud de Confiance 專案 ID。設定必須在這個專案中建立。REGION是 VLAN 連結的區域。NAME是 VLAN 連結的名稱。
如要在自訂設定中設定選用參數,請取代下列項目:
-
AGGREGATION_INTERVAL:這項設定產生的流量記錄匯總間隔。這個參數可以設為interval-5-sec(預設)、interval-30-sec、interval-1-min、interval-5-min、interval-10-min或interval-15-min。 -
FILTER_EXPRESSION:定義要保留哪些記錄的運算式。運算式的長度上限為 2,048 個半形字元。 詳情請參閱「篩選記錄」和「記錄篩選器範例」。 -
SAMPLING_RATE:次要流程取樣率。這項參數可設為大於0.0的值,最多可設為1.0(所有記錄,預設值)。詳情請參閱「記錄檔取樣與處理」。 -
LOGGING_METADATA:要納入記錄中的中繼資料註解:- 使用
include-all-metadata納入所有中繼資料註解 (預設)。 - 使用
exclude-all-metadata排除所有中繼資料註解。 - 使用
custom-metadata納入自訂中繼資料欄位清單。如要指定中繼資料欄位,請使用--metadata-fields標記:--metadata-fields=METADATA_FIELDS:將METADATA_FIELDS替換為以半形逗號分隔的中繼資料欄位清單,這些欄位會納入記錄。例如:src_instance,dst_instance。只有在metadata設為custom-metadata時,才能設定這個值。
- 使用
Terraform
您可以使用 Terraform 模組,為 VLAN 連結建立虛擬私有雲流量記錄設定。
下列程式碼區塊會建立預設的虛擬私有雲流量記錄設定。
上述範例假設 google_compute_interconnect_attachment 資源的名稱為 attachment。如需這項設定的完整範例,請參閱 terraform-docs-samples 存放區。
下列程式碼區塊會建立虛擬私有雲流量記錄設定,其中:
- 匯總間隔設為
INTERVAL_10_MIN。 - 次要流程取樣率設為
0.7。 - 要納入記錄檔的中繼資料設為
INCLUDE_ALL_METADATA。 - 設定狀態已設為
ENABLED。
上述範例假設 google_compute_interconnect_attachment 資源的名稱為 attachment。如需這項設定的完整範例,請參閱 terraform-docs-samples 存放區。
如要瞭解如何套用或移除 Terraform 設定,請參閱「基本 Terraform 指令」。
API
如要為 VLAN 連結啟用虛擬私有雲流量記錄,請使用 projects.locations.vpcFlowLogsConfigs.create 方法。
如要啟用虛擬私有雲流量記錄,請建立虛擬私有雲流量記錄設定。您可以建立設定,並將所有參數設為預設值,也可以自訂預設值。
如要建立預設的虛擬私有雲流量記錄設定,請在 API 要求中加入下列參數:
POST https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
"interconnectAttachment": "VLAN_ATTACHMENT"
}
如要建立自訂虛擬私有雲流程記錄設定,請指定要自訂的每個參數。
舉例來說,如要在建立 VPC 流量記錄檔設定時自訂匯總間隔、篩選條件、次級取樣率和中繼資料參數,請在 API 要求中加入下列參數:
POST https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
"interconnectAttachment": "VLAN_ATTACHMENT",
"aggregationInterval": "AGGREGATION_INTERVAL",
"filterExpr": "FILTER_EXPRESSION",
"flowSampling": SAMPLING_RATE,
"metadata": "LOGGING_METADATA"
}
更改下列內容:
PROJECT_ID:VLAN 連結的專案 ID。 Cloud de ConfianceCONFIG_NAME:設定的名稱。VLAN_ATTACHMENT:要記錄的 VLAN 連結。必須以以下格式指定:projects/PROJECT_ID/regions/REGION/interconnectAttachments/NAME, 其中:PROJECT_ID是 VLAN 連結的專案 ID。REGION是 VLAN 連結的區域。NAME是 VLAN 連結的名稱。
-
AGGREGATION_INTERVAL:這項設定產生的流量記錄匯總間隔。這個參數可以設為INTERVAL_5_SEC(預設值)、INTERVAL_30_SEC、INTERVAL_1_MIN、INTERVAL_5_MIN、INTERVAL_10_MIN或INTERVAL_15_MIN。 -
FILTER_EXPRESSION:定義要保留哪些記錄的運算式。運算式的長度上限為 2,048 個半形字元。 詳情請參閱「篩選記錄」。 -
SAMPLING_RATE:次要流程取樣率。這項參數可設為大於0.0的值,最多可設為1.0(所有記錄,預設值)。詳情請參閱「記錄檔取樣與處理」。 -
LOGGING_METADATA:要納入記錄中的中繼資料註解:- 使用
INCLUDE_ALL_METADATA納入所有中繼資料註解 (預設)。 - 使用
EXCLUDE_ALL_METADATA排除所有中繼資料註解。 - 使用
CUSTOM_METADATA納入自訂中繼資料欄位清單。如要指定中繼資料欄位,請使用metadataFields參數:metadataFields: METADATA_FIELDS:將METADATA_FIELDS替換為以半形逗號分隔的中繼資料欄位清單,這些欄位會納入記錄。例如:src_instance,dst_instance。只有在metadata設為CUSTOM_METADATA時,才能設定這個選項。
- 使用
為 Cloud VPN 通道啟用虛擬私有雲流量記錄
主控台
前往 Cloud de Confiance 控制台的「VPN」VPN頁面。
在「Cloud VPN tunnels」分頁中,選取一或多個 Cloud VPN 通道,然後在清單頂端的選取列,點選「Manage flow logs」。
在「管理流量記錄」中,按一下「新增設定」。
在「名稱」中,輸入新虛擬私有雲流量記錄設定的名稱。
選用:調整「匯總間隔」,以及「進階設定」部分中的任何設定:
- 是否要設定記錄篩選條件。根據預設,「只保留符合篩選條件的記錄」會取消選取。
- 是否要在最終記錄項目中包含中繼資料。預設情況下,「中繼資料註解」包含所有欄位。
- 次級取樣率。
100%表示系統會保留初級流量記錄檔取樣程序產生的所有項目。主要流量記錄檔取樣率無法設定。詳情請參閱「記錄檔取樣與處理」。
按一下 [儲存]。
gcloud
如要為 Cloud VPN 通道啟用虛擬私有雲流量記錄,請使用 gcloud network-management vpc-flow-logs-configs create 指令。
如要啟用虛擬私有雲流量記錄,請建立虛擬私有雲流量記錄設定。您可以建立設定,並將所有參數設為預設值,也可以自訂預設值。
在 gcloud CLI 中,將專案設為 Cloud VPN 通道的Cloud de Confiance 專案 ID,然後執行下列其中一個指令:
如要建立預設的虛擬私有雲流量記錄設定,請執行下列指令:
gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \ --location=global \ --vpn-tunnel=VPN_TUNNEL如要建立自訂虛擬私有雲流程記錄設定,請指定要自訂的每個參數。
舉例來說,如要在建立 VPC 流量記錄檔設定時,自訂匯總間隔、篩選條件、次級取樣率和中繼資料參數,請執行下列指令:
gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \ --location=global \ --vpn-tunnel=VPN_TUNNEL \ --aggregation-interval=AGGREGATION_INTERVAL \ --filter-expr=FILTER_EXPRESSION \ --flow-sampling=SAMPLING_RATE \ --metadata=LOGGING_METADATA更改下列內容:
CONFIG_NAME:設定的名稱。- :要記錄的 Cloud VPN 通道。
VPN_TUNNEL必須以以下格式指定:"projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME", 其中:PROJECT_ID是包含 Cloud VPN 通道的 Cloud de Confiance 專案 ID。設定必須在這個專案中建立。REGION是 Cloud VPN 通道的區域。NAME是 Cloud VPN 通道的名稱。
如要在自訂設定中設定選用參數,請取代下列項目:
-
AGGREGATION_INTERVAL:這項設定產生的流量記錄匯總間隔。這個參數可以設為interval-5-sec(預設)、interval-30-sec、interval-1-min、interval-5-min、interval-10-min或interval-15-min。 -
FILTER_EXPRESSION:定義要保留哪些記錄的運算式。運算式的長度上限為 2,048 個半形字元。 詳情請參閱「篩選記錄」和「記錄篩選器範例」。 -
SAMPLING_RATE:次要流程取樣率。這項參數可設為大於0.0的值,最多可設為1.0(所有記錄,預設值)。詳情請參閱「記錄檔取樣與處理」。 -
LOGGING_METADATA:要納入記錄中的中繼資料註解:- 使用
include-all-metadata納入所有中繼資料註解 (預設)。 - 使用
exclude-all-metadata排除所有中繼資料註解。 - 使用
custom-metadata納入自訂中繼資料欄位清單。如要指定中繼資料欄位,請使用--metadata-fields標記:--metadata-fields=METADATA_FIELDS:將METADATA_FIELDS替換為以半形逗號分隔的中繼資料欄位清單,這些欄位會納入記錄。例如:src_instance,dst_instance。只有在metadata設為custom-metadata時,才能設定這個值。
- 使用
Terraform
您可以使用 Terraform 模組,為 Cloud VPN 通道建立虛擬私有雲流量記錄設定。
下列程式碼區塊會建立預設的虛擬私有雲流量記錄設定。
上述範例假設 google_compute_vpn_tunnel 資源的名稱為 tunnel。如需這項設定的完整範例,請參閱 terraform-docs-samples 存放區。
下列程式碼區塊會建立虛擬私有雲流量記錄設定,其中:
- 匯總間隔設為
INTERVAL_10_MIN。 - 次要流程取樣率設為
0.7。 - 要納入記錄檔的中繼資料設為
INCLUDE_ALL_METADATA。 - 設定狀態已設為
ENABLED。
上述範例假設 google_compute_vpn_tunnel 資源的名稱為 tunnel。如需這項設定的完整範例,請參閱 terraform-docs-samples 存放區。
如要瞭解如何套用或移除 Terraform 設定,請參閱「基本 Terraform 指令」。
API
如要為 Cloud VPN 通道啟用虛擬私有雲流量記錄,請使用 projects.locations.vpcFlowLogsConfigs.create 方法。
如要啟用虛擬私有雲流量記錄,請建立虛擬私有雲流量記錄設定。您可以建立設定,並將所有參數設為預設值,也可以自訂預設值。
如要建立預設的虛擬私有雲流量記錄設定,請在 API 要求中加入下列參數:
POST https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
"vpnTunnel": "VPN_TUNNEL"
}
如要建立自訂虛擬私有雲流程記錄設定,請指定要自訂的每個參數。
舉例來說,如要在建立 VPC 流量記錄設定時,自訂彙整間隔、篩選條件、次要取樣率和中繼資料參數,請在 API 要求中加入下列參數:
POST https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
"vpnTunnel": "VPN_TUNNEL",
"aggregationInterval": "AGGREGATION_INTERVAL",
"filterExpr": "FILTER_EXPRESSION",
"flowSampling": SAMPLING_RATE,
"metadata": "LOGGING_METADATA"
}
更改下列內容:
-
PROJECT_ID:Cloud VPN 通道的 Cloud de Confiance 專案 ID。 -
CONFIG_NAME:設定的名稱。 -
:要記錄的 Cloud VPN 通道。
VPN_TUNNEL必須以以下格式指定:projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME, 其中:PROJECT_ID是 Cloud VPN 通道的專案 ID。REGION是 Cloud VPN 通道的區域。NAME是 Cloud VPN 通道的名稱。
-
AGGREGATION_INTERVAL:這項設定產生的流量記錄匯總間隔。這個參數可以設為INTERVAL_5_SEC(預設值)、INTERVAL_30_SEC、INTERVAL_1_MIN、INTERVAL_5_MIN、INTERVAL_10_MIN或INTERVAL_15_MIN。 -
FILTER_EXPRESSION:定義要保留哪些記錄的運算式。運算式的長度上限為 2,048 個半形字元。 詳情請參閱「篩選記錄」。 -
SAMPLING_RATE:次要流程取樣率。這項參數可設為大於0.0的值,最多可設為1.0(所有記錄,預設值)。詳情請參閱「記錄檔取樣與處理」。 -
LOGGING_METADATA:要納入記錄中的中繼資料註解:- 使用
INCLUDE_ALL_METADATA納入所有中繼資料註解 (預設)。 - 使用
EXCLUDE_ALL_METADATA排除所有中繼資料註解。 - 使用
CUSTOM_METADATA納入自訂中繼資料欄位清單。如要指定中繼資料欄位,請使用metadataFields參數:metadataFields: METADATA_FIELDS:將METADATA_FIELDS替換為以半形逗號分隔的中繼資料欄位清單,這些欄位會納入記錄。例如:src_instance,dst_instance。只有在metadata設為CUSTOM_METADATA時,才能設定這個選項。
- 使用
為虛擬私有雲網路啟用虛擬私有雲流量記錄
如要為虛擬私有雲網路中的所有子網路、VLAN 連結和 Cloud VPN 通道啟用虛擬私有雲流量記錄,請按照下列步驟操作。
主控台
在 Cloud de Confiance 控制台中,前往「VPC networks」(虛擬私有雲網路) 頁面。
在「Networks in current project」分頁中,選取一或多個網路,然後按一下清單頂端的「Manage flow logs」。
在「管理流量記錄」中,按一下「新增設定」。
在「名稱」中,輸入新虛擬私有雲流量記錄設定的名稱。
選用:調整「匯總間隔」,以及「進階設定」部分中的任何設定:
- 是否要設定記錄篩選條件。根據預設,「只保留符合篩選條件的記錄」會取消選取。
- 是否要在最終記錄項目中包含中繼資料。預設情況下,「中繼資料註解」包含所有欄位。
- 次級取樣率。
100%表示系統會保留初級流量記錄檔取樣程序產生的所有項目。主要流量記錄檔取樣率無法設定。詳情請參閱「記錄檔取樣與處理」。
按一下 [儲存]。
gcloud
如要為虛擬私有雲網路啟用虛擬私有雲流量記錄,請使用 gcloud network-management vpc-flow-logs-configs create 指令。
如要啟用虛擬私有雲流量記錄,請建立虛擬私有雲流量記錄設定。您可以建立設定,並將所有參數設為預設值,也可以自訂預設值。
在 gcloud CLI 中,將專案設為 VPC 網路的Cloud de Confiance 專案 ID,然後執行下列其中一個指令:
如要建立預設的虛擬私有雲流量記錄設定,請執行下列指令:
gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \ --location=global \ --network=NETWORK如要建立自訂虛擬私有雲流程記錄設定,請指定要自訂的每個參數。
舉例來說,如要在建立 VPC 流量記錄檔設定時,自訂匯總間隔、篩選條件、次級取樣率和中繼資料參數,請執行下列指令:
gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \ --location=global \ --network=NETWORK \ --aggregation-interval=AGGREGATION_INTERVAL \ --filter-expr=FILTER_EXPRESSION \ --flow-sampling=SAMPLING_RATE \ --metadata=LOGGING_METADATA更改下列內容:
CONFIG_NAME:設定的名稱。NETWORK:要記錄的虛擬私有雲網路。必須以以下格式指定:"projects/PROJECT_ID/global/networks/NAME", 其中:PROJECT_ID是包含虛擬私有雲網路的 Cloud de Confiance 專案 ID。設定必須在這個專案中建立。NAME是虛擬私有雲網路的名稱。
如要在自訂設定中設定選用參數,請取代下列項目:
-
AGGREGATION_INTERVAL:這項設定產生的流量記錄匯總間隔。這個參數可以設為interval-5-sec(預設)、interval-30-sec、interval-1-min、interval-5-min、interval-10-min或interval-15-min。 -
FILTER_EXPRESSION:定義要保留哪些記錄的運算式。運算式的長度上限為 2,048 個半形字元。 詳情請參閱「篩選記錄」和「記錄篩選器範例」。 -
SAMPLING_RATE:次要流程取樣率。這項參數可設為大於0.0的值,最多可設為1.0(所有記錄,預設值)。詳情請參閱「記錄檔取樣與處理」。 -
LOGGING_METADATA:要納入記錄中的中繼資料註解:- 使用
include-all-metadata納入所有中繼資料註解 (預設)。 - 使用
exclude-all-metadata排除所有中繼資料註解。 - 使用
custom-metadata納入自訂中繼資料欄位清單。如要指定中繼資料欄位,請使用--metadata-fields標記:--metadata-fields=METADATA_FIELDS:將METADATA_FIELDS替換為以半形逗號分隔的中繼資料欄位清單,這些欄位會納入記錄。例如:src_instance,dst_instance。只有在metadata設為custom-metadata時,才能設定這個選項。
- 使用
API
如要為虛擬私有雲網路啟用虛擬私有雲流量記錄,請使用 projects.locations.vpcFlowLogsConfigs.create 方法。
如要啟用虛擬私有雲流量記錄,請建立虛擬私有雲流量記錄設定。您可以建立設定,並將所有參數設為預設值,也可以自訂預設值。
如要建立預設的虛擬私有雲流量記錄設定,請在 API 要求中加入下列參數:
POST https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
"network": "NETWORK"
}
如要建立自訂虛擬私有雲流程記錄設定,請指定要自訂的每個參數。
舉例來說,如要在建立 VPC 流量記錄檔設定時自訂匯總間隔、篩選條件、次級取樣率和中繼資料參數,請在 API 要求中加入下列參數:
POST https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
"network": "NETWORK",
"aggregationInterval": "AGGREGATION_INTERVAL",
"filterExpr": "FILTER_EXPRESSION",
"flowSampling": SAMPLING_RATE,
"metadata": "LOGGING_METADATA"
}
更改下列內容:
PROJECT_ID:VPC 網路的 Cloud de Confiance 專案 ID。CONFIG_NAME:設定的名稱。NETWORK:要記錄的虛擬私有雲網路。必須以以下格式指定:projects/PROJECT_ID/global/networks/NAME, 其中:PROJECT_ID是虛擬私有雲網路的專案 ID。NAME是虛擬私有雲網路的名稱。
-
AGGREGATION_INTERVAL:這項設定產生的流量記錄匯總間隔。這個參數可以設為INTERVAL_5_SEC(預設值)、INTERVAL_30_SEC、INTERVAL_1_MIN、INTERVAL_5_MIN、INTERVAL_10_MIN或INTERVAL_15_MIN。 -
FILTER_EXPRESSION:定義要保留哪些記錄的運算式。運算式的長度上限為 2,048 個半形字元。 詳情請參閱「篩選記錄」。 -
SAMPLING_RATE:次要流程取樣率。這項參數可設為大於0.0的值,最多可設為1.0(所有記錄,預設值)。詳情請參閱「記錄檔取樣與處理」。 -
LOGGING_METADATA:要納入記錄中的中繼資料註解:- 使用
INCLUDE_ALL_METADATA納入所有中繼資料註解 (預設)。 - 使用
EXCLUDE_ALL_METADATA排除所有中繼資料註解。 - 使用
CUSTOM_METADATA納入自訂中繼資料欄位清單。如要指定中繼資料欄位,請使用metadataFields參數:metadataFields: METADATA_FIELDS:將METADATA_FIELDS替換為以半形逗號分隔的中繼資料欄位清單,這些欄位會納入記錄。例如:src_instance,dst_instance。只有在metadata設為CUSTOM_METADATA時,才能設定這個值。
- 使用
為機構啟用虛擬私有雲流量記錄
如要為組織中所有虛擬私有雲網路的所有子網路、VLAN 連結和 Cloud VPN 通道啟用虛擬私有雲流量記錄,請按照下列步驟操作。
主控台
在 Cloud de Confiance 控制台中,前往「VPC Flow Logs」(虛擬私有雲流量記錄) 頁面。
按一下「新增虛擬私有雲流量記錄設定」,然後點選「為機構新增設定」。
在「名稱」中,輸入新虛擬私有雲流量記錄設定的名稱。
選用:調整「匯總間隔」,以及「進階設定」部分中的任何設定:
按一下 [儲存]。
gcloud
如要為機構啟用虛擬私有雲流量記錄,請使用 gcloud network-management vpc-flow-logs-configs create 指令。
如要啟用虛擬私有雲流量記錄,請建立虛擬私有雲流量記錄設定。您可以建立設定,並將所有參數設為預設值,也可以自訂預設值。
如要建立預設的虛擬私有雲流量記錄設定,請執行下列指令:
gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \ --location=global \ --organization=ORGANIZATION如要建立自訂虛擬私有雲流程記錄設定,請指定要自訂的每個參數。
舉例來說,如要在建立 VPC 流量記錄檔設定時,自訂匯總間隔、篩選條件、次級取樣率和中繼資料參數,請執行下列指令:
gcloud network-management vpc-flow-logs-configs create CONFIG_NAME \ --location=global \ --organization=ORGANIZATION \ --aggregation-interval=AGGREGATION_INTERVAL \ --filter-expr=FILTER_EXPRESSION \ --flow-sampling=SAMPLING_RATE \ --metadata=LOGGING_METADATA \ --cross-project-metadata=CROSS_PROJECT_METADATA更改下列內容:
CONFIG_NAME:設定的名稱ORGANIZATION:機構 ID
如要在自訂設定中設定選用參數,請取代下列項目:
-
AGGREGATION_INTERVAL:這項設定產生的流量記錄匯總間隔。這個參數可以設為interval-5-sec(預設)、interval-30-sec、interval-1-min、interval-5-min、interval-10-min或interval-15-min。 -
FILTER_EXPRESSION:定義要保留哪些記錄的運算式。運算式的長度上限為 2,048 個半形字元。 詳情請參閱「篩選記錄」和「記錄篩選器範例」。 -
SAMPLING_RATE:次要流程取樣率。這項參數可設為大於0.0的值,最多可設為1.0(所有記錄,預設值)。詳情請參閱「記錄檔取樣與處理」。 -
LOGGING_METADATA:要納入記錄中的中繼資料註解:- 使用
include-all-metadata納入所有中繼資料註解 (預設)。 - 使用
exclude-all-metadata排除所有中繼資料註解。 - 使用
custom-metadata納入自訂中繼資料欄位清單。如要指定中繼資料欄位,請使用--metadata-fields標記:--metadata-fields=METADATA_FIELDS:將METADATA_FIELDS替換為以半形逗號分隔的中繼資料欄位清單,這些欄位會納入記錄。例如:src_instance,dst_instance。只有在metadata設為custom-metadata時,才能設定這個選項。
- 使用
CROSS_PROJECT_METADATA:跨專案註解。可設為cross-project-metadata-enabled(預設) 或cross-project-metadata-disabled。詳情請參閱「跨專案註解」。
API
如要為組織啟用虛擬私有雲流量記錄,請使用 organizations.locations.vpcFlowLogsConfigs.create 方法。
如要啟用虛擬私有雲流量記錄,請建立虛擬私有雲流量記錄設定。您可以建立設定,並將所有參數設為預設值,也可以自訂預設值。
如要建立預設的虛擬私有雲流量記錄設定,請在 API 要求中加入下列參數:
POST -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
如要建立自訂虛擬私有雲流程記錄設定,請指定要自訂的每個參數。
舉例來說,如要在建立 VPC 流量記錄檔設定時自訂匯總間隔、篩選條件、次級取樣率和中繼資料參數,請在 API 要求中加入下列參數:
POST -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs?vpc_flow_logs_config_id=CONFIG_NAME
{
"aggregationInterval": "AGGREGATION_INTERVAL",
"filterExpr": "FILTER_EXPRESSION",
"flowSampling": SAMPLING_RATE,
"metadata": "LOGGING_METADATA",
"crossProjectMetadata": "CROSS_PROJECT_METADATA"
}
更改下列內容:
PROJECT_ID:配額專案的 ID。 系統會將 API 要求計入這個專案。專案和機構層級的 Network Management API 配額值,都設為每分鐘 1,200 項要求。-
ORGANIZATION_ID:機構的 ID。 CONFIG_NAME:設定的名稱。
-
AGGREGATION_INTERVAL:這項設定產生的流量記錄匯總間隔。這個參數可以設為INTERVAL_5_SEC(預設值)、INTERVAL_30_SEC、INTERVAL_1_MIN、INTERVAL_5_MIN、INTERVAL_10_MIN或INTERVAL_15_MIN。 -
FILTER_EXPRESSION:定義要保留哪些記錄的運算式。運算式的長度上限為 2,048 個半形字元。 詳情請參閱「篩選記錄」。 -
SAMPLING_RATE:次要流程取樣率。這項參數可設為大於0.0的值,最多可設為1.0(所有記錄,預設值)。詳情請參閱「記錄檔取樣與處理」。 -
LOGGING_METADATA:要納入記錄中的中繼資料註解:- 使用
INCLUDE_ALL_METADATA納入所有中繼資料註解 (預設)。 - 使用
EXCLUDE_ALL_METADATA排除所有中繼資料註解。 - 使用
CUSTOM_METADATA納入自訂中繼資料欄位清單。如要指定中繼資料欄位,請使用metadataFields參數:metadataFields: METADATA_FIELDS:將METADATA_FIELDS替換為以半形逗號分隔的中繼資料欄位清單,這些欄位會納入記錄。例如:src_instance,dst_instance。只有在metadata設為CUSTOM_METADATA時,才能設定這個值。
- 使用
CROSS_PROJECT_METADATA:跨專案註解。可設為CROSS_PROJECT_METADATA_ENABLED(預設) 或CROSS_PROJECT_METADATA_DISABLED。詳情請參閱「跨專案註解」。
為組織啟用虛擬私有雲流量記錄後,系統會將流量記錄寫入並計入回報流量記錄的資源 Cloud de Confiance 專案。詳情請參閱「定價和帳單」。
查看虛擬私有雲流量記錄設定狀態
您可以查看資源的虛擬私有雲流量記錄設定,確認哪些資源已啟用虛擬私有雲流量記錄。如要查看所有設定,請參閱「查看虛擬私有雲流量記錄設定 (全部)」。如果您使用 Compute Engine API 啟用及管理虛擬私有雲流量記錄,請參閱「查看虛擬私有雲流量記錄設定 (僅限 Compute Engine API)」。
查看虛擬私有雲流量記錄設定 (全部)
主控台
如要查看所有虛擬私有雲流量記錄設定,請按照下列步驟操作:
在 Cloud de Confiance 控制台中,前往「VPC Flow Logs」(虛擬私有雲流量記錄) 頁面。
在「Organization-level configurations」(機構層級設定) 和「Project-level configurations」(專案層級設定) 專區中,查看有效和已暫停的設定。如果資源的虛擬私有雲流量記錄設定狀態為「開啟」,表示記錄功能已啟用。
您也可以在資源頁面的「流量記錄設定」欄中,查看虛擬私有雲流量記錄設定。舉例來說,如要查看哪些虛擬私有雲網路和子網路有虛擬私有雲流量記錄設定,請執行下列操作:
前往「VPC networks」(VPC 網路) 頁面。
按一下「目前專案中的網路」或「目前專案中的子網路」分頁,然後在「流量記錄設定」欄中,查看啟用和暫停的虛擬私有雲流量記錄設定。
gcloud
如要查看虛擬私有雲流量記錄設定,請使用 gcloud network-management vpc-flow-logs-configs list 和 gcloud network-management vpc-flow-logs-configs describe 指令。
查看機構層級設定
如要查看機構的所有虛擬私有雲流量記錄設定,請執行下列指令:
gcloud network-management vpc-flow-logs-configs list --location=global \ --organization=ORGANIZATION如要查看特定虛擬私有雲流量記錄設定,請執行下列指令:
gcloud network-management vpc-flow-logs-configs describe CONFIG_NAME \ --location=global \ --organization=ORGANIZATION更改下列內容:
ORGANIZATION:機構 IDCONFIG_NAME:設定名稱
查看專案層級設定
如要查看專案中的所有虛擬私有雲流量記錄設定,請執行下列指令:
gcloud network-management vpc-flow-logs-configs list --location=global
如要查看特定虛擬私有雲流量記錄設定,請執行下列指令:
gcloud network-management vpc-flow-logs-configs describe CONFIG_NAME \ --location=global將
CONFIG_NAME替換為要查看的虛擬私有雲流量記錄設定名稱。
查看資源的所有設定
如要查看虛擬私有雲網路、子網路、VLAN 連結或 VPN 通道的所有虛擬私有雲流量記錄設定,請執行下列指令:
gcloud network-management vpc-flow-logs-configs show-effective-flow-logs-configs \
--location=global \
--resource=TARGET_RESOURCE
將 TARGET_RESOURCE 替換為下列其中一個資源:
"projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET": 列出子網路的所有設定,包括:- 子網路是目標資源的所有設定
- 子網路虛擬私有雲網路的所有設定
- 擁有子網路專案的機構的所有設定
僅限 Compute Engine API:子網路的虛擬私有雲流量記錄設定
如要在輸出內容中找出設定,請尋找
"scope": "COMPUTE_API_SUBNET"。如果您只使用 Network Management API 設定虛擬私有雲流量記錄,就不會有這項設定。
"projects/PROJECT_ID/regions/REGION/interconnectAttachments/VLAN_ATTACHMENT": 列出 VLAN 連結的所有設定, 包括:- 以 VLAN 連結為目標資源的所有設定
- VLAN 連結的虛擬私有雲網路所有設定
- 擁有 VLAN 連結專案的機構所有設定
"projects/PROJECT_ID/regions/REGION/vpnTunnels/VPN_TUNNEL": 列出 Cloud VPN 通道的所有設定,包括:- Cloud VPN 通道是目標資源的所有設定
- Cloud VPN 通道虛擬私有雲網路的所有設定
- 擁有 Cloud VPN 通道專案的機構組織的所有設定
"projects/PROJECT_ID/global/networks/NETWORK": 列出虛擬私有雲網路的所有設定,包括:- 網路是目標資源的所有設定
- 擁有網路專案的機構的所有設定
指定目標資源時,請替換下列項目:
PROJECT_ID:目標資源的專案 IDREGION:目標資源的區域 (如果資源是子網路、VLAN 連結或 VPN 通道)SUBNET:子網路名稱VLAN_ATTACHMENT:VLAN 連結的名稱VPN_TUNNEL:VPN 通道的名稱NETWORK:網路名稱
API
查看機構層級設定
如要查看機構的所有虛擬私有雲流量記錄設定,請使用
organizations.locations.vpcFlowLogsConfigs.list方法:GET -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs
如要查看特定機構的虛擬私有雲流量記錄設定,請使用
organizations.locations.vpcFlowLogsConfigs.get方法:GET -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME
更改下列內容:
PROJECT_ID:配額專案的 ID。 系統會將 API 要求計入這個專案。ORGANIZATION_ID:機構的 ID。CONFIG_NAME:設定的名稱。
如果您沒有在機構層級執行上述工作的必要權限,可以使用下列要求,查看專案機構的所有虛擬私有雲流量記錄設定:
GET https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs:queryOrgVpcFlowLogsConfigs
將
PROJECT_ID替換為專案 ID。
查看專案層級設定
如要查看專案中的所有虛擬私有雲流量記錄設定,請使用
projects.locations.vpcFlowLogsConfigs.list方法:GET https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs
如要查看特定虛擬私有雲流量記錄設定,請使用
projects.locations.vpcFlowLogsConfigs.get方法:GET https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME
更改下列內容:
PROJECT_ID:專案 IDCONFIG_NAME:虛擬私有雲流量記錄設定的名稱
查看資源的所有設定
如要查看虛擬私有雲網路、子網路、VLAN 連結或 VPN 通道的所有虛擬私有雲流量記錄設定,請使用下列要求:
GET https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs:showEffectiveFlowLogsConfigs?resource="TARGET_RESOURCE"
更改下列內容:
PROJECT_ID: Cloud de Confiance 專案的 IDTARGET_RESOURCE:下列其中一個目標資源:projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET: 列出子網路的所有設定,包括:- 子網路是目標資源的所有設定
- 子網路虛擬私有雲網路的所有設定
- 擁有子網路專案的機構的所有設定
僅限 Compute Engine API: 子網路的虛擬私有雲流量記錄設定
如要在輸出內容中找出設定,請尋找
"scope": "COMPUTE_API_SUBNET"。如果您只使用 Network Management API 設定虛擬私有雲流量記錄,就不會有這項設定。
projects/PROJECT_ID/regions/REGION/interconnectAttachments/VLAN_ATTACHMENT: 列出 VLAN 連結的所有設定, 包括:- 以 VLAN 連結為目標資源的所有設定
- VLAN 連結的虛擬私有雲網路所有設定
- 擁有 VLAN 連結專案的機構所有設定
projects/PROJECT_ID/regions/REGION/vpnTunnels/VPN_TUNNEL: 列出 Cloud VPN 通道的所有設定, 包括:- Cloud VPN 通道是目標資源的所有設定
- Cloud VPN 通道虛擬私有雲網路的所有設定
- 擁有 Cloud VPN 通道專案的機構組織的所有設定
projects/PROJECT_ID/global/networks/NETWORK: 列出虛擬私有雲網路的所有設定, 包括:- 網路是目標資源的所有設定
- 擁有網路專案的機構的所有設定
指定目標資源時,請替換下列項目:
PROJECT_ID:目標資源的專案 IDREGION:目標資源的區域 (如果資源是子網路、VLAN 連結或 VPN 通道)SUBNET:子網路名稱VLAN_ATTACHMENT:VLAN 連結的名稱VPN_TUNNEL:VPN 通道的名稱NETWORK:網路名稱
查看虛擬私有雲流量記錄設定 (僅限 Compute Engine API)
本節說明如何查看子網路的虛擬私有雲流量記錄設定是由 Compute Engine API 管理。如要查看所有虛擬私有雲流量記錄設定,請參閱「查看虛擬私有雲流量記錄設定」。
主控台
在 Cloud de Confiance 控制台中,前往「VPC Flow Logs」(虛擬私有雲流量記錄) 頁面。
在「專案層級設定」部分,按一下「子網路 (Compute Engine API)」分頁,即可查看專案中已啟用虛擬私有雲流量記錄的子網路。
這些設定由 Compute Engine API 管理。 由 Network Management API 管理的設定會顯示在「子網路」分頁中。
gcloud
如要查看虛擬私有雲網路中已啟用虛擬私有雲流量記錄的子網路,請執行下列指令:
gcloud compute networks subnets list \
--project PROJECT_ID \
--network="NETWORK" \
--format="csv(name,region,logConfig.enable)"更改下列內容:
PROJECT_ID:您要查詢的專案 IDNETWORK:包含子網路的網路名稱
更新虛擬私有雲流量記錄設定
您可以更新虛擬私有雲流量記錄設定。如要進一步瞭解可修改的參數,請參閱「記錄取樣和處理」。
更新機構層級設定
更新組織的虛擬私有雲流量記錄設定後,系統會將修改後的設定套用至組織中所有虛擬私有雲網路的所有子網路、VLAN 連結和 Cloud VPN 通道。
主控台
在 Cloud de Confiance 控制台中,前往「VPC Flow Logs」(虛擬私有雲流量記錄) 頁面。
在「機構層級設定」部分中,選取要更新的一或多項設定,然後按一下「編輯」。
調整下列任一項目:
按一下 [儲存]。
gcloud
使用 gcloud network-management vpc-flow-logs-configs update 指令。下列指令中的方括號 [] 表示選用參數。
如要更新組織的虛擬私有雲流量記錄設定,請執行下列指令:
gcloud network-management vpc-flow-logs-configs update CONFIG_NAME \
--location=global \
--organization=ORGANIZATION \
[--aggregation-interval=AGGREGATION_INTERVAL] \
[--filter-expr=FILTER_EXPRESSION] \
[--flow-sampling=SAMPLING_RATE] \
[--metadata=LOGGING_METADATA] \
[--cross-project-metadata=CROSS_PROJECT_METADATA] \
[--state=STATE]
舉例來說,如要更新匯總間隔參數,請執行下列指令:
gcloud network-management vpc-flow-logs-configs update CONFIG_NAME \
--location=global \
--organization=ORGANIZATION \
--aggregation-interval=AGGREGATION_INTERVAL
更改下列內容:
CONFIG_NAME:要更新的設定名稱。設定檔與使用該設定檔的資源位於同一個 Cloud de Confiance 專案中。ORGANIZATION:機構的 ID。
如要更新選用參數,請取代下列項目:
-
AGGREGATION_INTERVAL:這項設定產生的流量記錄匯總間隔。這個參數可以設為interval-5-sec(預設)、interval-30-sec、interval-1-min、interval-5-min、interval-10-min或interval-15-min。 -
FILTER_EXPRESSION:定義要保留哪些記錄的運算式。運算式的長度上限為 2,048 個半形字元。 詳情請參閱「篩選記錄」和「記錄篩選器範例」。 -
SAMPLING_RATE:次要流程取樣率。這項參數可設為大於0.0的值,最多可設為1.0(所有記錄,預設值)。詳情請參閱「記錄檔取樣與處理」。 -
LOGGING_METADATA:要納入記錄中的中繼資料註解:- 使用
include-all-metadata納入所有中繼資料註解 (預設)。 - 使用
exclude-all-metadata排除所有中繼資料註解。 - 使用
custom-metadata納入自訂中繼資料欄位清單。如要指定中繼資料欄位,請使用--metadata-fields標記:--metadata-fields=METADATA_FIELDS:將METADATA_FIELDS替換為以半形逗號分隔的中繼資料欄位清單,這些欄位會納入記錄。例如:src_instance,dst_instance。只有在metadata設為custom-metadata時,才能設定這個選項。
- 使用
CROSS_PROJECT_METADATA:跨專案註解。可設為cross-project-metadata-enabled(預設) 或cross-project-metadata-disabled。詳情請參閱「跨專案註解」。STATE:設定的狀態。 可以是enabled(預設) 或disabled。
API
請使用 organizations.locations.vpcFlowLogsConfigs.patch 方法。如要瞭解可修改的欄位,請參閱「REST 資源:projects.locations.vpcFlowLogsConfigs」。
如要更新機構的虛擬私有雲流量記錄設定,請在 API 要求中加入下列參數:
PATCH -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME?updateMask=FIELDS
{
...fields to modify
}
更改下列內容:
PROJECT_ID:配額專案的 ID。 系統會將 API 要求計入這個專案。專案和機構層級的 Network Management API 配額值,都設為每分鐘 1,200 項要求。ORGANIZATION_ID:設定所屬機構的 ID。CONFIG_NAME:要更新的設定名稱。FIELDS:要更新的欄位名稱,以半形逗號分隔,例如aggregationInterval,flowSampling,metadata。
舉例來說,如要更新 my-organization 中設定 my-config 的 aggregationInterval 欄位,請使用下列 API 要求:
PATCH -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1/organizations/my-organization/locations/global/vpcFlowLogsConfigs/my-config?updateMask=aggregationInterval
{
aggregationInterval:AGGREGATION_INTERVAL
}
更改下列內容:
PROJECT_ID:配額專案的 ID。API 要求會計入這個專案。AGGREGATION_INTERVAL,並為這個參數提供任何支援的值。
更新專案層級設定
專案層級設定包括虛擬私有雲網路、子網路、VLAN 連結和 Cloud VPN 通道的設定。更新虛擬私有雲網路的虛擬私有雲流量記錄設定時,系統會將修改後的設定套用至網路中的所有子網路、VLAN 連結和 Cloud VPN 通道。
如要更新由 Compute Engine API 管理的虛擬私有雲流量記錄設定,請參閱「更新子網路的設定參數」。
主控台
在 Cloud de Confiance 控制台中,前往「VPC Flow Logs」(虛擬私有雲流量記錄) 頁面。
在「專案層級設定」部分,選取要更新的一或多項設定,然後按一下「編輯」。
調整下列任一項目:
- 匯總時間間隔。預設的匯總時間間隔為 5 秒。
- 是否將虛擬私有雲流量記錄設定的「狀態」設為開啟或關閉。「開啟」狀態表示所選虛擬私有雲流量記錄設定處於啟用狀態,並會產生流量記錄。
- 是否要設定記錄篩選條件。根據預設,「只保留符合篩選條件的記錄」會取消選取。
- 是否要在最終記錄項目中包含中繼資料。預設情況下,「中繼資料註解」包含所有欄位。
- 次級取樣率。
100%表示系統會保留初級流量記錄檔取樣程序產生的所有項目。主要流量記錄檔取樣率無法設定。詳情請參閱「記錄檔取樣與處理」。
按一下 [儲存]。
您也可以在下列位置使用「管理流量記錄」選單,編輯虛擬私有雲流量記錄設定:
- 「虛擬私有雲網路」頁面上的「目前專案中的網路」和「目前專案中的子網路」分頁
- 「互連網路」頁面上的「VLAN 連結」分頁
- 「VPN」頁面上的「VPN 通道」VPN分頁
gcloud
使用 gcloud network-management vpc-flow-logs-configs update 指令。下列指令中的方括號 [] 表示選用參數。
gcloud network-management vpc-flow-logs-configs update CONFIG_NAME \
--location=global \
[--network=NETWORK | --subnet=SUBNET | --interconnect-attachment=VLAN_ATTACHMENT | --vpn-tunnel=VPN_TUNNEL] \
[--aggregation-interval=AGGREGATION_INTERVAL] \
[--filter-expr=FILTER_EXPRESSION] \
[--flow-sampling=SAMPLING_RATE] \
[--metadata=LOGGING_METADATA] \
[--state=STATE]
舉例來說,如要更新匯總間隔參數,請執行下列指令:
gcloud network-management vpc-flow-logs-configs update CONFIG_NAME \
--location=global \
--aggregation-interval=AGGREGATION_INTERVAL
更改下列內容:
CONFIG_NAME:要更新的設定名稱。設定與要使用設定的資源位於同一個 Cloud de Confiance 專案中。
如要更新選用參數,請取代下列項目:
NETWORK、SUBNET、VLAN_ATTACHMENT或VPN_TUNNEL:目標資源的名稱。每個設定只能指定一項資源。使用這個選項更新目標資源的名稱。格式必須為:- 虛擬私有雲網路:
projects/PROJECT_ID/global/networks/NAME - 子網路:
projects/PROJECT_ID/regions/REGION/subnetworks/NAME - VLAN 連結:
projects/PROJECT_ID/regions/REGION/interconnectAttachments/NAME - Cloud VPN 通道:
projects/PROJECT_ID/regions/REGION/vpnTunnels/NAME - 取代下列項目:
PROJECT_ID:包含資源的專案 ID。 Cloud de ConfianceREGION:資源的區域。NAME:資源名稱。
- 虛擬私有雲網路:
-
AGGREGATION_INTERVAL:這項設定產生的流量記錄匯總間隔。這個參數可以設為interval-5-sec(預設)、interval-30-sec、interval-1-min、interval-5-min、interval-10-min或interval-15-min。 -
FILTER_EXPRESSION:定義要保留哪些記錄的運算式。運算式的長度上限為 2,048 個半形字元。 詳情請參閱「篩選記錄」和「記錄篩選器範例」。 -
SAMPLING_RATE:次要流程取樣率。這項參數可設為大於0.0的值,最多可設為1.0(所有記錄,預設值)。詳情請參閱「記錄檔取樣與處理」。 -
LOGGING_METADATA:要納入記錄中的中繼資料註解:- 使用
include-all-metadata納入所有中繼資料註解 (預設)。 - 使用
exclude-all-metadata排除所有中繼資料註解。 - 使用
custom-metadata納入自訂中繼資料欄位清單。如要指定中繼資料欄位,請使用--metadata-fields標記:--metadata-fields=METADATA_FIELDS:將METADATA_FIELDS替換為以半形逗號分隔的中繼資料欄位清單,這些欄位會納入記錄。例如:src_instance,dst_instance。只有在metadata設為custom-metadata時,才能設定這個值。
- 使用
STATE:設定的狀態。可以是enabled(預設) 或disabled。
API
請使用 projects.locations.vpcFlowLogsConfigs.patch 方法。如要瞭解可修改的欄位,請參閱「REST 資源:projects.locations.vpcFlowLogsConfigs」。
如要更新虛擬私有雲流量記錄設定,請在 API 要求中加入下列參數:
PATCH https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME?updateMask=FIELDS
{
...fields to modify
}
更改下列內容:
PROJECT_ID:含有虛擬私有雲流量記錄設定的 Cloud de Confiance 專案 ID。這個 ID 與設定所用資源的專案 ID 相同。CONFIG_NAME:要更新的設定名稱。FIELDS:要更新的欄位名稱,以半形逗號分隔,例如aggregationInterval,flowSampling,metadata。
舉例來說,如要更新 my-project 中設定 my-config 的 aggregationInterval 欄位,請使用下列 API 要求:
PATCH https://networkmanagement.googleapis.com/v1/projects/my-project/locations/global/vpcFlowLogsConfigs/my-config?updateMask=aggregationInterval
{
aggregationInterval:AGGREGATION_INTERVAL
}
將 AGGREGATION_INTERVAL 替換為這個參數支援的任何值。
更新子網路的設定參數
本節說明如何更新由 Compute Engine API 管理的虛擬私有雲流量記錄設定。
如要查看哪些虛擬私有雲流量記錄設定由 Compute Engine API 管理,請參閱「查看網路中已啟用虛擬私有雲流量記錄的子網路」。
主控台
在 Cloud de Confiance 控制台中,前往「VPC networks」(虛擬私有雲網路) 頁面。
在「目前專案中的子網路」下方,按一下要更新的子網路。
按一下 [編輯]。
選用:調整下列任一設定:
- 匯總時間間隔。預設的匯總時間間隔為 5 秒。
- 是否要設定記錄篩選條件。根據預設,「只保留符合篩選條件的記錄」會取消選取。
- 是否要在最終記錄項目中包含中繼資料。預設情況下,「中繼資料註解」包含所有欄位。
- 次級取樣率。
50%表示系統會保留初級流量記錄檔取樣程序產生的一半項目。主要流量記錄檔取樣率無法設定。詳情請參閱「記錄檔取樣與處理」。
按一下 [儲存]。
或者,您也可以在「VPC 網路」頁面,透過「目前專案中的子網路」下方的「管理流量記錄」選單,更新虛擬私有雲流量記錄設定參數。
gcloud
執行下列指令:
gcloud compute networks subnets update SUBNET_NAME \
[--logging-aggregation-interval=AGGREGATION_INTERVAL] \
[--logging-flow-sampling=SAMPLING_RATE] \
[--logging-filter-expr=FILTER_EXPRESSION] \
[--logging-metadata=LOGGING_METADATA] \
[--logging-metadata-fields=METADATA_FIELDS] \
更改下列內容:
AGGREGATION_INTERVAL:該子網路中流程記錄的匯總間隔。您可以將這個間隔設定為下列任何一項:5 秒 (預設)、30 秒、1 分鐘、5 分鐘、10 分鐘或 15 分鐘。SAMPLING_RATE:次要流程取樣率。 次要流量取樣可以從0.0(無取樣) 設定為1.0(所有記錄)。預設值為0.5。詳情請參閱「記錄檔取樣與處理」。FILTER_EXPRESSION:定義要保留哪些記錄的運算式。運算式的長度上限為 2,048 個半形字元。詳情請參閱「篩選記錄」和「記錄篩選器範例」。LOGGING_METADATA:要納入記錄的中繼資料註解:- 使用
include-all即可納入所有中繼資料註解。 - 使用
exclude-all排除所有中繼資料註解 (預設)。 - 使用
custom即可加入您在METADATA_FIELDS中指定的自訂中繼資料欄位清單。
- 使用
METADATA_FIELDS:以半形逗號分隔的清單,列出您想在記錄中加入的中繼資料欄位。例如:src_instance,dst_instance。只有在LOGGING_METADATA設為custom時,才能設定這個值。
API
修改記錄取樣欄位,更新虛擬私有雲流量記錄行為。
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
"logConfig": {
...fields to modify
},
"fingerprint": "SUBNET_FINGERPRINT"
}
更改下列內容:
PROJECT_ID:子網路所在的專案 ID。REGION:子網路所在的地區。SUBNET_NAME:現有子網路的名稱。SUBNET_FINGERPRINT:現有子網路的指紋 ID,您在說明子網路時會取得這個 ID。- 如要瞭解可修改的欄位,請參閱「在建立子網路時啟用虛擬私有雲端流程記錄」。
詳情請參閱 subnetworks.patch 方法。
停止收集記錄
如要暫停收集資源的記錄,請停用所有有效的虛擬私有雲流量記錄設定。
如果不再需要虛擬私有雲流量記錄設定,可以刪除設定。系統會停止收集記錄並刪除設定。
如要停止收集記錄並刪除由 Compute Engine API 管理的虛擬私有雲流量記錄設定,請參閱停用子網路的虛擬私有雲流量記錄。
關閉虛擬私有雲流量記錄設定
主控台
在 Cloud de Confiance 控制台中,前往「VPC Flow Logs」(虛擬私有雲流量記錄) 頁面。
在「機構層級設定」或「專案層級設定」部分,選取要關閉的一或多個虛擬私有雲流量記錄設定,然後將設定狀態變更為「關閉」。
如果選取的項目包含有效和無效的設定,請在「變更設定狀態」選單中,按一下「全部關閉」。
gcloud
如要暫停收集虛擬私有雲流量記錄設定的記錄,請使用 gcloud network-management vpc-flow-logs-configs update 指令。
暫停機構層級設定
gcloud network-management vpc-flow-logs-configs update CONFIG_NAME \
--location=global \
--organization=ORGANIZATION \
--state=disabled
更改下列內容:
CONFIG_NAME:設定名稱ORGANIZATION:機構 ID
暫停專案層級設定
gcloud network-management vpc-flow-logs-configs update CONFIG_NAME \
--location=global \
--state=disabled
將 CONFIG_NAME 換成設定名稱。
API
暫停機構層級設定
如要暫停收集記錄,請使用 organizations.locations.vpcFlowLogsConfigs.patch 方法。
PATCH -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME?updateMask=state
{
"state": "DISABLED"
}
更改下列內容:
PROJECT_ID:配額專案的 ID。 系統會將 API 要求計入這個專案。ORGANIZATION_ID:機構的 ID。CONFIG_NAME:設定的名稱。
暫停專案層級設定
如要暫停收集記錄,請使用 projects.locations.vpcFlowLogsConfigs.patch 方法。
PATCH https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME?updateMask=state
{
"state": "DISABLED"
}
更改下列內容:
PROJECT_ID:包含設定的 Cloud de Confiance 專案 ID。這個 ID 與設定所用資源的專案 ID 相同。CONFIG_NAME:設定的名稱。
刪除虛擬私有雲流量記錄設定
主控台
在 Cloud de Confiance 控制台中,前往「VPC Flow Logs」(虛擬私有雲流量記錄) 頁面。
在「機構層級設定」或「專案層級設定」部分中,選取要刪除的一或多個虛擬私有雲流量記錄設定,然後按一下「刪除」。
gcloud
如要刪除虛擬私有雲流量記錄設定,請使用 gcloud network-management vpc-flow-logs-configs delete 指令。
刪除機構層級設定
gcloud network-management vpc-flow-logs-configs delete CONFIG_NAME \
--location=global \
--organization=ORGANIZATION
更改下列內容:
CONFIG_NAME:設定名稱ORGANIZATION:機構 ID
刪除專案層級設定
gcloud network-management vpc-flow-logs-configs delete CONFIG_NAME \
--location=global
將 CONFIG_NAME 替換為要刪除的設定名稱。
API
刪除機構層級設定
如要刪除虛擬私有雲流量記錄設定,請使用 organizations.locations.vpcFlowLogsConfigs.delete 方法。
DELETE -H "x-goog-user-project:PROJECT_ID" https://networkmanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME
更改下列內容:
PROJECT_ID:配額專案的 ID。 系統會將 API 要求計入這個專案。ORGANIZATION_ID:機構的 ID。CONFIG_NAME:設定的名稱。
刪除專案層級設定
如要刪除虛擬私有雲流量記錄設定,請使用 projects.locations.vpcFlowLogsConfigs.delete 方法。
DELETE https://networkmanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/vpcFlowLogsConfigs/CONFIG_NAME
更改下列內容:
PROJECT_ID:包含設定的 Cloud de Confiance 專案 IDCONFIG_NAME:設定名稱
停用子網路的虛擬私有雲流量記錄
本節說明如何刪除由 Compute Engine API 管理的虛擬私有雲流量記錄設定。停用子網路的虛擬私有雲流量記錄後,系統會停止收集記錄並刪除設定。
主控台
在 Cloud de Confiance 控制台中,前往「VPC networks」(虛擬私有雲網路) 頁面。
按一下要更新的子網路。
按一下 [編輯]。
在「流量記錄」中選取「關閉」。
按一下 [儲存]。
gcloud
執行下列指令:
gcloud compute networks subnets update SUBNET_NAME \
--no-enable-flow-logs
API
停用子網路的虛擬私有雲流量記錄,即可停止收集記錄。
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
"logConfig": {
"enable": false
},
"fingerprint": "SUBNET_FINGERPRINT"
}
更改下列內容:
PROJECT_ID:子網路所在的專案 IDREGION:子網路所在的區域SUBNET_NAME:現有子網路的名稱SUBNET_FINGERPRINT:現有子網路的指紋 ID,您描述子網路時會提供這個 ID
詳情請參閱 subnetworks.patch 方法。
記錄檔篩選器範例
本節提供記錄篩選器範例,您可以設定篩選器,只保留符合篩選條件的記錄。詳情請參閱篩選記錄。
範例 1:將記錄收集範圍限制為名為「my-vm」的特定 VM
在這種情況下,系統只會記錄流量來源回報的 src_instance 欄位為 my-vm,或是流量目的地回報的 dst_instance 欄位為 my-vm 的記錄。
gcloud network-management vpc-flow-logs-configs update my-config \
--location=global \
--filter-expr="(src_instance.vm_name == 'my-vm' && reporter=='SRC') || (dest_instance.vm_name == 'my-vm' && reporter=='DEST')"
如果您使用 Compute Engine API 啟用虛擬私有雲流量記錄,請改為執行下列指令:
gcloud compute networks subnets update my-subnet \
--logging-filter-expr="(src_instance.vm_name == 'my-vm' && reporter=='SRC') || (dest_instance.vm_name == 'my-vm' && reporter=='DEST')"
範例 2:將記錄收集範圍限制為來源 IP 位址位於 10.0.0.0/8 子網路的封包
gcloud network-management vpc-flow-logs-configs update my-config \
--location=global \
--filter-expr="inIpRange(connection.src_ip, '10.0.0.0/8')"
如果您使用 Compute Engine API 啟用虛擬私有雲流量記錄,請改為執行下列指令:
gcloud compute networks subnets update my-subnet \
--logging-filter-expr="inIpRange(connection.src_ip, '10.0.0.0/8')"
範例 3. 將記錄收集範圍限制在虛擬私有雲網路外部的 VM 流量
gcloud network-management vpc-flow-logs-configs update my-config \
--location=global \
--filter-expr="!(has(src_vpc.vpc_name) && has(dest_vpc.vpc_name))"
如果您使用 Compute Engine API 啟用虛擬私有雲流量記錄,請改為執行下列指令:
gcloud compute networks subnets update my-subnet \
--logging-filter-expr="!(has(src_vpc.vpc_name) && has(dest_vpc.vpc_name))"
範例 4:將記錄收集範圍限制為特定目的地 VLAN 連結或 Cloud VPN 通道,my-gateway
gcloud network-management vpc-flow-logs-configs update my-config \
--location=global \
--filter-expr="dest_gateway.name == 'my-gateway'"
範例 5:將記錄收集範圍限制為 VLAN 連結
gcloud network-management vpc-flow-logs-configs update my-config \
--location=global \
--filter-expr="dest_gateway.type == 'INTERCONNECT_ATTACHMENT'"
範例 6:將記錄收集範圍限制在特定來源虛擬私有雲網路,my-network
gcloud network-management vpc-flow-logs-configs update my-config \
--location=global \
--filter-expr="src_vpc.vpc_name == 'my-network'"
疑難排解
下列各節有助於診斷 VPC 流量記錄設定的問題。
即使已啟用子網路的流量記錄,系統仍顯示為停用
為內部應用程式負載平衡器設定僅限 Proxy 的子網路時,如果您使用
gcloud compute networks subnets指令啟用虛擬私有雲端流程記錄,指令會顯示成功,但實際上流程記錄並未啟用。如果同時加入--purpose=INTERNAL_HTTPS_LOAD_BALANCER旗標,--enable-flow-logs旗標不會生效。使用 Cloud de Confiance 控制台或 API 啟用流量記錄時,您會看到錯誤訊息:「欄位 'resource.enableFlowLogs' 的值無效:'true'。子網路中設定的欄位無效,用途為 INTERNAL_HTTPS_LOAD_BALANCER。」
由於僅限 Proxy 的子網路沒有虛擬機器,因此不支援虛擬私有雲流量記錄。這是預期行為。