PCNE#378(manage-monitor)

Cloud NAT のログを Cloud Logging で確認したい場合、エラーの調査と通常トラフィック監査の両方を効率的に行う設定として最適なものはどれですか。

A. Logging を完全に無効化し、必要に応じてパケットキャプチャ (tcpdump 等) を VM 側で起動する運用に切替える方針を採用します
B. ERRORS_ONLY を選択し、TRANSLATION_AND_ERRORS は本番ワークロードのコスト懸念から一切利用しない運用方針を採用します
C. TRANSLATION_AND_ERRORS を有効化し Cloud Logging の除外フィルターで絞ります
D. Cloud NAT のログは課金対象外であるとの前提に立ち、常時すべてのレコードを保持し続ける運用フローを採用します

正解と解説ディスカッション 0

正解：C

正解の根拠

Cloud NAT の Logging には ERRORS_ONLY と TRANSLATION_AND_ERRORS の 2 種類があります。TRANSLATION_AND_ERRORS を有効にすると変換成功も含めて記録できる一方、ログ量とコストが増加するため Cloud Logging 側の sink/exclusion で必要なものだけを保持するのが運用上のベストプラクティスです。

ログモード比較

モード	記録内容	用途
ERRORS_ONLY	変換失敗のみ	障害検知特化
TRANSLATION_AND_ERRORS	変換成功+失敗	監査・調査
NONE	ログなし	非推奨

有効化コマンド

gcloud compute routers nats update NAT_NAME 
  --router=ROUTER --region=us-central1 
  --enable-logging 
  --log-filter=ALL

不正解の理由

A: NAT 動作の可視化ができなくなり、エラー発生時の原因特定が極めて困難になります。
B: 本番でも監査のために TRANSLATION_AND_ERRORS が必要な要件があり、一律禁止は過剰です。
D: Cloud NAT ログは Cloud Logging 上で取り込み量に応じて課金されるため、無制限保持はコスト最適とは言えません。

参考：Cloud NAT logging

PCNE#378(manage-monitor)

正解の根拠

ログモード比較

有効化コマンド

不正解の理由

コメント

コメント

コメントするコメントをキャンセル

正解の根拠

ログモード比較

有効化コマンド

不正解の理由

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル