PCNE#379(manage-monitor)

Logs Explorer で特定 VPC の VPC Flow Logs から、内部 IP 10.20.0.0/16 宛ての DENY されたフローのみを抽出したい場合、最も適切なクエリ式はどれですか。

A. logName:"compute.googleapis.com%2Fvpc_flows" AND jsonPayload.dest_ip=ip("10.20.0.0/16") AND deny=1 AND severity="WARNING" AND mode=production
B. resource.type="vpc_flow" AND payload.deny=true AND payload.dest_ip in_subnet "10.20.0.0/16" AND auto=true AND scope=project AND env=prod
C. log_id で flows を絞り ip_in_net と rule_details.action="DENY" を指定する
D. severity="DENY" AND log_id="vpc_flows" AND dest_ip ~ "10.20." AND filter=denied AND mode=auto AND scope=project

正解と解説ディスカッション 0

正解：C

正解の根拠

Logs Explorer のクエリ言語では log_id() 関数でログ種別を、ip_in_net() で CIDR 判定を行います。VPC Flow Logs と Firewall Logging のフィールドを組み合わせることで、宛先 CIDR と DENY 判定の AND 条件を表現できます。

Logs Explorer の主要演算子

関数/演算子	用途
log_id("...")	logName の短縮指定
ip_in_net(field, cidr)	IP の CIDR メンバ判定
=~	正規表現マッチ
:	部分一致

クエリ例

log_id("compute.googleapis.com/vpc_flows")
ip_in_net(jsonPayload.connection.dest_ip, "10.20.0.0/16")
jsonPayload.rule_details.action="DENY"

不正解の理由

A: dest_ip=ip("...") という構文は無効で、CIDR 判定には ip_in_net() を使う必要があります。
B: resource.type やフィールド名が正しい命名規則になっておらず、クエリは構文的に成立しません。
D: severity は INFO/WARNING/ERROR 等の標準レベルであり、DENY は severity 値ではありません。

参考：Logging query language

PCNE#379(manage-monitor)

正解の根拠

Logs Explorer の主要演算子

クエリ例

不正解の理由

コメント

コメント

コメントするコメントをキャンセル

正解の根拠

Logs Explorer の主要演算子

クエリ例

不正解の理由

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル