Descripción general

En este lab, investigarás los registros de flujo de VPC. Los registros de flujo de VPC registran los flujos de red enviados o recibidos por las instancias de VM. Estos registros se pueden usar para la supervisión de redes, el análisis forense, el análisis de seguridad en tiempo real y la optimización de gastos.

En este lab, habilitarás el registro de flujo de VPC y usarás Cloud Logging para ver los registros. A continuación, realizarás la supervisión de red, el análisis forense y el análisis de seguridad en tiempo real, antes de inhabilitar en una instancia final el registro de flujo de VPC.

Objetivos

En este lab, aprenderás a realizar lo siguiente:

• Habilitar los registros de flujo de VPC en una subred
• Acceder a los registros a través de Cloud Logging
• Filtrar los registros de subredes, VMs, puertos o protocolos específicos
• Realizar la supervisión de red, el análisis forense y el análisis de seguridad en tiempo real
• Inhabilitar el registro de flujo de VPC

Configuración y requisitos

En cada lab, recibirás un proyecto de Google Cloud y un conjunto de recursos nuevos por tiempo limitado y sin costo adicional.

1. Accede a Google Skills en una ventana de incógnito.

2. Ten en cuenta el tiempo de acceso del lab (por ejemplo, 1:15:00) y asegúrate de finalizarlo en el plazo asignado. No existe una función de pausa. Si lo necesitas, puedes reiniciar el lab, pero deberás hacerlo desde el comienzo.

3. Cuando tengas todo listo, haz clic en Comenzar lab.

4. Anota las credenciales del lab (el nombre de usuario y la contraseña). Las usarás para acceder a la consola de Google Cloud.

5. Haz clic en Abrir la consola de Google.

6. Haz clic en Usar otra cuenta, copia las credenciales para este lab y pégalas en el mensaje emergente que aparece. Si usas otras credenciales, se generarán errores o incurrirás en cargos.

7. Acepta las condiciones y omite la página de recursos de recuperación.

Activa Google Cloud Shell

Google Cloud Shell es una máquina virtual que cuenta con herramientas para desarrolladores. Ofrece un directorio principal persistente de 5 GB y se ejecuta en Google Cloud.

Google Cloud Shell proporciona acceso de línea de comandos a tus recursos de Google Cloud.

1. En la consola de Cloud, en la barra de herramientas superior derecha, haz clic en el botón Abrir Cloud Shell.

   

2. Haz clic en Continuar.

El aprovisionamiento y la conexión al entorno demorarán unos minutos. Cuando te conectes, habrás completado la autenticación, y el proyecto estará configurado con tu PROJECT_ID. Por ejemplo:

gcloud es la herramienta de línea de comandos de Google Cloud. Viene preinstalada en Cloud Shell y es compatible con el completado de línea de comando.

• Puedes solicitar el nombre de la cuenta activa con este comando:

gcloud auth list

Resultado:

Credentialed accounts: - @.com (active)

Resultado de ejemplo:

Credentialed accounts: - google1623327_student@qwiklabs.net

• Puedes solicitar el ID del proyecto con este comando:

gcloud config list project

Resultado:

[core] project =

Resultado de ejemplo:

[core] project = qwiklabs-gcp-44776a13dea667a6 Nota: La documentación completa de gcloud está disponible en la guía de descripción general de gcloud CLI .

Tarea 1: Habilita el registro de flujo de VPC

En esta tarea, habilitarás el registro de flujo para dos subredes. El registro de flujo también se puede habilitar de la misma manera para las redes personalizadas definidas por el usuario. También se puede habilitar cuando creas una subred en un paso.

Usa gcloud en Cloud Shell para habilitar el registro de flujo de VPC en dos subredes

1. Para habilitar el registro de flujo en dos subredes, ejecuta los siguientes comandos en Cloud Shell:

gcloud compute networks subnets update default \ --region {{{project_0.default_region |Region1}}} --enable-flow-logs \ --logging-metadata=include-all gcloud compute networks subnets update default \ --region {{{project_0.default_region_2 |Region2}}} --enable-flow-logs \ --logging-metadata=include-all

Ten en cuenta que habilitarás el registro de flujo de VPC para las dos subredes de y . Ninguna de las otras subredes tiene el registro de flujo habilitado.

2. Para crear tres instancias en diferentes subredes (y usarlas más adelante en las pruebas), ejecuta los siguientes comandos:

gcloud compute instances create default-us-vm \ --machine-type e2-micro \ --zone={{{project_0.default_zone |Zone1}}} --network=default gcloud compute instances create default-eu-vm \ --machine-type e2-micro \ --zone={{{project_0.default_zone_2 |Zone2}}} --network=default gcloud compute instances create default-ap-vm \ --machine-type e2-micro \ --zone={{{project_0.default_zone_3 |Zone3}}} --network=default Nota: Si recibes un error ZONE_RESOURCE_POOL_EXHAUSTED, actualiza la zona en el comando de gcloud y vuelve a ejecutarlo. Por ejemplo, si falla us-central1-a, prueba con us-central1-b en su lugar.

Haz clic en Revisar mi progreso para verificar el objetivo. Habilita el registro de flujo de VPC en las subredes y crear instancias

Tarea 2: Genera tráfico de red para las pruebas

En esta tarea, crearás tráfico de red para probar la conectividad entre las instancias.

1. En la consola de Google Cloud, en el menú de navegación, haz clic en Compute Engine > Instancias de VM para ver una lista de las instancias de VM.
2. Registra las direcciones IP interna y externa de cada instancia. Las necesitarás más adelante en este lab.

Instancia	IP interna	IP externa
default-ap-vm	*****	*****
default-eu-vm	*****	*****
default-us-vm	*****	*****

3. En la fila de la instancia default-us-vm, haz clic en SSH.
4. Cuando se haya establecido la conexión a través de SSH, emite los siguientes comandos:

sudo apt-get install -y host host www.wikipedia.org 8.8.8.8 ping -c 5 default-eu-vm.{{{project_0.default_zone_2 |Zone2}}} ping -c 5 www.google.com curl http://www.google.com

Estos comandos hicieron lo siguiente:

• Instalaron la utilidad de resolución de DNS del host.
• Realizaron una búsqueda de DNS de www.wikipedia.org mediante el servidor DNS 8.8.8.8.
• Hicieron ping a la instancia default-eu-vm y www.google.com.
• Usaron cURL para crear una conexión HTTP a www.google.com.

A continuación, ejecutarás los mismos comandos de arriba, pero en lugar de hacer ping a default-eu-vm desde default-us-vm, harás ping a default-us-vm desde default-eu-vm.

5. Vuelve a la consola de Cloud y, en la fila de la instancia default-eu-vm, haz clic en SSH.
6. Cuando se haya establecido la conexión a través de SSH, emite los siguientes comandos:

sudo apt-get install -y host host www.wikipedia.org 8.8.8.8 ping -c 5 default-us-vm.{{{project_0.default_zone |Zone1}}} ping -c 5 cloud.google.com curl http://www.google.com

7. Vuelve a la consola de Cloud y, en la fila de la instancia default-ap-vm, haz clic en SSH.

8. Cuando se haya establecido la conexión a través de SSH, emite los siguientes comandos:

sudo apt-get install -y host host www.bitnami.com 8.8.8.8 curl http://www.bitnami.com

Tarea 3: Visualiza los registros de flujo en Cloud Logging

En esta tarea, visualizarás los registros de flujo de VPC de todos los proyectos en Cloud Logging.

Accede a todos los registros de flujo

1. En la consola de Cloud, haz clic en el menú de navegación > Ver todos los productos. En la sección Observabilidad, haz clic en Logging > Explorador de registros.

2. En el panel Consulta, en Todos los recursos, haz clic en Subred y, luego, en Aplicar.

3. En Todos los nombres de registro, haz clic en compute.googleapis.com/vpc_flows y, luego, en Aplicar.

Nota: Si no aparece ningún nombre de registro para lo anterior, prueba pegar compute.googleapis.com%2Fvpc_flows.

4. Haz clic en Ejecutar consulta.

5. En el panel Resultados de la consulta, aparecerán las entradas de los registros de flujo de VPC. Si no ves compute.googleapis.com/vpc_flows, espera unos minutos hasta que aparezca este tipo de registro.

Nota: Con esto, se deberían mostrar todos los registros de flujo de VPC de tu proyecto. Recuerda que solo tienes los registros de flujo habilitados para dos subredes.

6. Expande una de las entradas de registro.

7. Dentro de esa entrada, expande jsonPayload y, luego, connection.

Nota: Algunas entradas no tienen el campo jsonPayload. Puede que tengas que abrir otras entradas hasta que encuentres una que sí lo tenga.

8. Investiga la información sobre la conexión; en concreto, observa que se hayan registrado el puerto y la dirección IP del origen y del destino.

9. Busca un registro que tenga src_instance en jsonPayload. Investiga la información sobre esta instancia src.

La src_instance puede ser una de tus instancias o una dirección IP externa si el tráfico proviene de fuera de tu red de VPC.

10. Investiga cualquier información adicional en esta entrada de registro o en otra.

Tarea 4: Realiza filtrados avanzados

En esta tarea, realizarás filtrados avanzados con el Compilador de consultas. También puedes explorar los registros de acceso para IP de origen o destino específicas, y para puertos y protocolos específicos.

Un filtro de registros avanzado es una expresión booleana en la que se especifica un subconjunto de todas las entradas de registro de tu proyecto. Se puede usar para lo siguiente:

• Selección de entradas de registro para VMs específicas
• Selección de entradas de registro para puertos de origen o destino específicos
• Selección de entradas de registro para direcciones IP de origen o destino específicas
• Selección de entradas de registro de protocolos específicos

1. Haz clic en el cuadro Consulta.

2. Quita la consulta actual, pega la siguiente y reemplaza <INSERT_PROJECT_ID> por el ID de tu proyecto de Google Skills.

resource.type="gce_subnetwork" log_name="projects/<INSERT_PROJECT_ID>/logs/compute.googleapis.com%2Fvpc_flows"

3. Haz clic en Ejecutar consulta.

Nota: Para el resto de este lab, asegúrate de dejar siempre estas dos líneas al principio del filtro, ya que agregarás líneas adicionales después de estas dos. Si borras o modificas estas dos líneas por accidente, cópialas desde el cuadro de arriba (asegúrate de cambiar el ID del proyecto).

Accede a los registros de una dirección IP de origen o destino específica

1. Agrega la siguiente línea al final del filtro. Reemplaza Internal_IP_Of_default_us_vm por la dirección IP interna de tu instancia default_us_vm (ya registraste esto antes):

jsonPayload.connection.src_ip="Internal_IP_Of_default_us_vm"

2. Haz clic en Ejecutar consulta.

Ahora puedes ver todas las entradas de registro en las que la dirección IP de origen es la dirección IP interna de la instancia default-us-vm. Estas deberían ser las mismas entradas que para el filtro anterior que mostraba la instancia de origen de default-us-vm.

Accede a los registros de puertos y protocolos específicos

1. Borra la última línea del filtro (la que coincide con src_ip) y reemplázala por la siguiente línea que solo mostrará entradas con un puerto de destino 22 (SSH):

jsonPayload.connection.dest_port=22

2. Haz clic en Ejecutar consulta y observa los resultados. Deberías ver tres registros, ya que estableciste la conexión SSH en las VMs tres veces.

3. Modifica la última línea del filtro para que solo muestre el tráfico con puerto de destino 80 (HTTP):

jsonPayload.connection.dest_port=80

4. Haz clic en Ejecutar consulta y observa los resultados.

5. Haz coincidir varios puertos reemplazando la última línea y agregando esta sentencia con un OR al final del filtro de puertos:

jsonPayload.connection.dest_port=(80 OR 22)

6. Cambia la última línea del filtro para que solo muestre entradas que usen el protocolo UDP (protocolo 17):

jsonPayload.connection.protocol=17

7. Haz clic en Ejecutar consulta y observa los resultados.

Deberías ver algunas entradas en el registro. Estas corresponderían a las llamadas DNS que realizaste con la utilidad de host.

8. Investiga una de las entradas de registro y localiza el número de puerto de destino que DNS usa.

Nota: DNS usa el puerto 53.

9. Modifica el filtro para mostrar todas las entradas con un protocolo 17 y un puerto de destino 53:

jsonPayload.connection.protocol=17 jsonPayload.connection.dest_port=53

10. Haz clic en Ejecutar consulta y observa los resultados.

Nota: Actualmente, los registros de flujo solo supervisan UDP (protocolo 17) y TCP (protocolo 6). Antes, generaste algo de tráfico ICMP en las instancias con ping. ICMP es el protocolo 1. Si creas un filtro para mostrar el protocolo 1, no verás ninguna entrada. Pruébalo si quieres.

Tarea 5: Supervisa la red y respalda el análisis de seguridad en tiempo real

En esta tarea, crearás un filtro y lo usarás para ver si hay tráfico RDP intentando acceder a la VPC.

Busca puertos y protocolos inesperados

Como estás ejecutando instancias de Linux dentro de la red de VPC, no deberías ver nada de tráfico RDP. Sin embargo, hay una regla de firewall en la configuración predeterminada que permite el tráfico RDP desde cualquier lugar, y esto significa que alguien o algo en Internet podría intentar conectarse a tus servidores mediante el protocolo RDP.

1. Modifica el filtro de registro de flujo para mostrar todo el tráfico con un puerto de destino 3389 (RDP). Asegúrate de dejar las dos primeras líneas del filtro existente, pero borra y reemplaza las demás líneas por lo siguiente y haz clic en Ejecutar consulta:

jsonPayload.connection.dest_port=3389

2. Si ves tráfico RDP, investiga de dónde proviene. Puede que no encuentres nada de tráfico RDP, pero es común ver al menos algo. Si no viste nada, espera unos minutos y vuelve a verificar.

Si viste algo de tráfico RDP, lo que ocurre a menudo, eso demuestra lo extendido que puede estar el tráfico no deseado en Internet. También muestra por qué es importante asegurarse de que las redes de VPC y las reglas de firewall se configuren de forma correcta.

Mediante el uso de la VPC predeterminada en este lab, con todas las reglas de firewall predeterminadas, viste los resultados de no ajustar estas reglas para ayudar a excluir el tráfico no deseado.

Nota: Una de las mejores prácticas recomendadas para los sistemas de producción es usar una VPC personalizada con reglas de firewall muy específicas y borrar la VPC predeterminada. Nota: Otro servicio que puede ayudar en cuestiones como la restricción del tráfico no deseado es Google Cloud Armor. Google Cloud Armor ofrece protección a gran escala contra ataques de denegación de servicio distribuido (DDoS) a la infraestructura y las aplicaciones gracias a los sistemas de seguridad y la infraestructura global de Google.

Crea exportaciones para respaldar análisis de seguridad en tiempo real

Los registros de flujo se pueden exportar a cualquier destino que admita la exportación de Cloud Logging (Pub/Sub, BigQuery, etcétera). Si se crea una exportación, se exportarán los futuros registros coincidentes al destino seleccionado; los registros existentes no se exportarán.

La exportación de registros a BigQuery te permite usar las herramientas de análisis de BigQuery en tus registros para realizar análisis. La exportación de registros a Pub/Sub te permite transmitir tus registros a otras aplicaciones, otros repositorios o terceros.

Cuando creas una exportación de Cloud, el filtro actual se aplicará a ella. Esto significa que solo se exportarán los eventos que coincidan con el filtro. Por ejemplo, si tienes un filtro que solo muestra el tráfico al puerto de destino 3389, se exportará únicamente el tráfico que coincida con ese filtro.

Esto puede ayudar a disminuir la cantidad de datos que se exporta (lo que podría reducir costos) o permitir diferentes exportaciones en función de lo que contengan los datos. Para este lab, borrarás el filtro y exportarás todos los registros porque no tienes mucho tráfico.

1. Borra todo el texto en el editor de consultas y haz clic en Ejecutar consulta.
2. Haz clic en Acciones > Crear receptor.
3. En "Nombre de receptor", ingresa FlowLogBQExport y haz clic en SIGUIENTE.
4. En "Selecciona el servicio del receptor", selecciona Conjunto de datos de BigQuery.
5. En "Selecciona un conjunto de datos de BigQuery", selecciona Crear nuevo conjunto de datos de BigQuery.
6. En "ID del conjunto de datos", escribe flowlogs_dataset y, luego, haz clic en Crear conjunto de datos.
7. Haz clic en Crear receptor. Aparecerá la página Receptores de enrutadores de registros.

Deberías poder ver el receptor que creaste (FlowLogBQExport). Si no es así, haz clic en Enrutador de registros.

8. En el lado derecho, haz clic en el menú Más acciones () de tu exportación y selecciona Ver detalles de receptor.
9. Haz clic en Cancelar.

Nota: Todos los registros futuros se exportarán a BigQuery. Ahora se pueden usar las herramientas de BigQuery para realizar análisis de los datos del registro de flujo. Más adelante en el lab realizarás una consulta simple en BigQuery. Nota: También podrías exportar entradas de registros a Pub/Sub o a Cloud Storage. Exportar a Pub/Sub puede ser útil si deseas pasar por un proceso de ETL antes de almacenar las entradas en una base de datos (Operaciones > Pub/Sub > Dataflow > BigQuery/Cloud Bigtable). Con la exportación a Cloud Storage, se agruparán las entradas y se escribirán en objetos de Cloud Storage aproximadamente cada hora.

Ahora crea una exportación a Pub/Sub.

10. En la página Enrutador de registros, haz clic en Crear receptor.
11. En "Nombre de receptor", ingresa FlowLogPubSubExport y haz clic en Siguiente.
12. Elige "Selecciona el servicio del receptor" como tema de Cloud Pub/Sub.
13. En "Selecciona un tema de Cloud Pub/Sub", selecciona Crear un tema.
14. En ID del tema, ingresa FlowLogsTopic y, luego, haz clic en Crear.
15. Haz clic en Crear receptor.

Aparecerá la página Receptores de enrutadores de registros. Deberías poder ver el receptor que creaste (FlowLogsTopic). Si no es así, haz clic en Enrutador de registros.

16. En el lado derecho, haz clic en el menú Más acciones de tu exportación y selecciona Ver detalles de receptor.

Así, se mostrará el filtro que estaba presente cuando se creó la exportación.

17. Haz clic en Cancelar.

Ahora puedes suscribirte al nuevo tema de Pub/Sub y recibir notificaciones cuando haya nuevos registros disponibles. Esto te permite transmitir los registros a una herramienta de SIEM (administración de información y eventos de seguridad) y también integrarlos a ella.

Las herramientas de SIEM se usan para obtener información operativa en tiempo real y crear informes de auditoría con potentes funciones de visualización.

Tarea 6: Analiza registros de flujo en BigQuery

En esta tarea, analizarás registros de flujo en BigQuery.

Nota: Cuando exportas registros a un conjunto de datos de BigQuery, Cloud Logging crea tablas con fecha para contener las entradas de registro exportadas. Las entradas de registro se ubican en tablas cuyos nombres se basan en los nombres de dichas entradas.

1. En la consola de Cloud, ve al menú de navegación y haz clic en BigQuery.
2. En el panel de navegación, en Explorador, expande el nombre del proyecto para ver el conjunto de datos flowlogs_dataset.
3. Expande el conjunto de datos para ver la tabla con los registros de flujo exportados.
4. Haz clic en el nombre de la tabla que comienza con compute_googleapis_com_vpc_flows_ y revisa los esquemas y detalles de las tablas en uso.

Nota: Si esa tabla no aparece en el conjunto de datos, abre el menú de navegación y haz clic en "Vista general de Cloud" o cualquier otro servicio. Luego, abre el menú de navegación, selecciona BigQuery y trata de encontrar la tabla nuevamente (a veces, la tabla tarda uno o dos minutos en aparecer en el conjunto de datos).

5. Haz clic en Consulta.
6. Borra el texto que aparece en la ventana Nueva consulta y pega la siguiente consulta:

#standardSQL SELECT jsonPayload.connection.dest_ip, resource FROM `flowlogs_dataset.compute_googleapis_com_vpc_flows*` WHERE jsonPayload.connection.dest_port = 22 LIMIT 1000

7. Haz clic en Ejecutar.

Esta consulta devuelve información sobre el tráfico que se conecta al puerto 22.

Los resultados se muestran luego de unos segundos. Deberías ver una o dos entradas, que es la actividad que generaste en este lab. Recuerda que en BigQuery solo se muestra la actividad desde que se creó la exportación.

Nota: Si no viste ningún resultado, es posible que debas generar algo de tráfico a las instancias. Para eso, ve al menú de navegación > Compute Engine y haz clic en SSH en cada instancia. A continuación, intenta realizar la consulta de nuevo.

Haz clic en Revisar mi progreso para verificar el objetivo. Crear exportaciones y analizar registros de flujo en BigQuery

Tarea 7: Inhabilita el registro de flujo

En esta tarea, inhabilitarás el registro de flujo de VPC. El registro de flujo de VPC se puede desactivar con la opción --no-enable-flow-logs.

1. Intenta inhabilitarlo en una de tus subredes ejecutando el siguiente comando en la terminal de Cloud Shell:

gcloud compute networks subnets update default \ --region {{{project_0.default_region_2|Region2}}} --no-enable-flow-logs

2. Puedes verificar que se inhabilitó desde la VPC en la consola de Cloud. En el menú de navegación, haz clic en Red de VPC > Redes de VPC. Si se solicita, haz clic en SALIR.

Tarea 8: Repaso

En este lab, habilitaste el registro de flujo de VPC para una subred. Accediste a los registros mediante Cloud Logging. También filtraste registros para subredes, VMs, puertos y protocolos específicos. Luego, realizaste la supervisión de red, el análisis forense y el análisis de seguridad en tiempo real. Por último, inhabilitaste los registros de flujo de VPC.

Finaliza el lab

Cuando hayas completado el lab, haz clic en Finalizar lab. Google Skills quitará los recursos que usaste y limpiará la cuenta.

Tendrás la oportunidad de calificar tu experiencia en el lab. Selecciona la cantidad de estrellas que corresponda, ingresa un comentario y haz clic en Enviar.

La cantidad de estrellas indica lo siguiente:

• 1 estrella = Muy insatisfecho
• 2 estrellas = Insatisfecho
• 3 estrellas = Ni satisfecho ni insatisfecho
• 4 estrellas = Satisfecho
• 5 estrellas = Muy satisfecho

Puedes cerrar el cuadro de diálogo si no deseas proporcionar comentarios.

Para enviar comentarios, sugerencias o correcciones, usa la pestaña Asistencia.

Copyright 2026 Google LLC. Todos los derechos reservados. Google y el logotipo de Google son marcas de Google LLC. El resto de los nombres de productos y empresas pueden ser marcas de las respectivas empresas a las que están asociados.