Última atualização: 23 de maio de 2026
Logs de Fluxo
Os Logs de Fluxo te dão uma visão passiva e agregada do tráfego de rede entre seus serviços. Cada linha te diz, para uma janela de tempo recente, quanto tráfego fluiu de uma carga para outra.
Esta é a superfície que você usa quando precisa responder perguntas como:
- “Este serviço está mesmo conversando com alguém agora?”
- “O tráfego começou de repente a fluir entre dois projetos que não deveriam estar conectados?”
- “Qual carga está sendo a fonte mais ativa agora?”
O que uma linha de fluxo contém
Cada linha agrega tráfego em uma janela de tempo curta:
| Campo | O que te diz |
|---|---|
| Origem | A carga que originou o tráfego, mapeada de volta para seu projeto e serviço. |
| Destino | A carga que recebeu o tráfego, mapeada de volta para seu projeto e serviço. |
| Taxa | Bytes por segundo ao longo da janela selecionada. |
| Direção | Se o fluxo é interno (mesmo projeto) ou cross-project. |
| Achado | Um link para um achado de segurança relacionado, se existir. A maioria das linhas não tem. |
Cada linha carrega apenas esses cinco campos. As linhas nunca incluem payloads, IPs ou portas, e nunca incluem URLs, métodos HTTP ou status. Para dados por requisição com status e latência, veja Traces. Os Logs de Fluxo reportam taxas de bytes entre cargas.
Janelas de tempo
Os Logs de Fluxo operam em janelas curtas e limitadas: 15m, 1h e 6h. Escolha a janela para a pergunta que você está respondendo:
- 15m, comportamento atual. O que está acontecendo agora?
- 1h, histórico recente. Algo mudou na última hora?
- 6h, padrões de curto prazo. O que é típico ao longo do último quarto de dia?
Para padrões de tráfego de longo prazo, use Topologia e o Observatório do projeto.
Escopos
Você pode ler os Logs de Fluxo em três escopos:
- Conta, cada fluxo em cada projeto que você possui.
- Projeto, fluxos onde a origem ou destino está dentro de um projeto específico.
- Serviço, fluxos onde a origem ou destino é um serviço específico.
Fluxos cross-project e cross-account são visíveis apenas a partir de contas que você possui. O Guara nunca mostra tráfego que não pertence à sua conta.
Quando achados aparecem
A maioria das linhas de Logs de Fluxo é puro contexto, a conversa normal e saudável dos seus serviços. Algumas linhas anexam um achado de log de fluxo quando as regras de correlação do Shield veem algo que merece sua atenção. Exemplos:
- Tráfego aparecendo subitamente entre dois projetos que nunca conversaram antes.
- Uma carga que acabou de se tornar pública começando a receber tráfego cross-project que antes nunca a alcançava.
Linhas sem link de achado são observabilidade, não alertas. O link do achado só aparece quando o Shield tem uma razão específica e nomeada para sinalizar a linha.
Onde os Logs de Fluxo vivem
Os Logs de Fluxo têm sua própria superfície dentro do Guara Shield em /security/guara-shield/flow-logs. Você pode restringir a um projeto específico pela aba Segurança do projeto, ou a um serviço específico pela aba Segurança do serviço.
Privacidade por design
Os Logs de Fluxo são explicitamente projetados para que nenhuma linha possa vazar dados de negócio ou pessoais:
- A agregação é carga-a-carga, não usuário-a-usuário.
- Nenhum payload jamais cruza de observabilidade para o Shield.
- Nenhum endpoint externo é nomeado além dos rótulos de proprietário que o Shield consegue atribuir aos seus próprios recursos.
Se um fluxo não consegue ser atribuído de volta a uma carga sua, ele não é exibido.
Para onde ir agora
- Para um mapa visual de como seus serviços se conectam: Topologia e Observatório.
- Para dados por requisição incluindo status e latência: Traces.
- Para configuração de rede em nível de serviço: Rede de Serviços.
- Para triar achados linkados a partir de linhas de fluxo: Achados de Segurança.