PCNE#376(manage-monitor)
VPC Flow Logs を有効化する際に、長時間継続する大量のフロー(elephant flow)を観測しつつログ量を抑制したいと考えています。サブネット単位で設定すべきパラメーターはどれですか。
正解:B
正解の根拠
VPC Flow Logs はサブネット単位で 4 つの主要パラメーター(Aggregation interval、Sample rate、Metadata、Filter)を制御できます。Aggregation interval を長く取りつつ Sample rate を下げる組合せは、ログ量を確実に削減しながら長尺フローの観測には十分な解像度を維持できるため、運用コストとトラブルシュート性のバランスがとれます。
パラメーター比較
| パラメーター | 取り得る値 | 効果 |
|---|---|---|
| Aggregation interval | 5s/30s/1m/5m/10m | 長いほどログ件数減 |
| Sample rate | 0<rate≤1.0 | 低いほど件数比例で減 |
| Metadata | Include all / Exclude all / Custom | 付帯情報の粒度 |
| Filter | CEL 式 | 収集対象を絞込 |
サンプル設定
gcloud compute networks subnets update SUBNET
--region=us-central1
--enable-flow-logs
--logging-aggregation-interval=interval-10-min
--logging-flow-sampling=0.5
--logging-metadata=include-all不正解の理由
- A: 最短 interval と 100% サンプリングではログ量が爆発するため、コスト最適化の意図に反します。
- C: Filter は CEL 式で記述する機能であり、all=true という構文は VPC Flow Logs には存在しません。
- D: Sample rate を 0 にするとログが一切収集されず、長尺フローの観測ができなくなります。
コメント