En esta página, se describe la estructura de registro de las reglas de políticas de firewall en Cloud Logging. Cuando una regla de firewall con el registro habilitado se aplica al tráfico hacia o desde una instancia de máquina virtual (VM), Cloud Logging crea una entrada de registro. Los registros aparecen en el campo de carga útil JSON de una
Logging
LogEntry.
Los registros de firewall constan de campos base, que son los campos principales de cada registro, y campos de metadatos opcionales. Para reducir los costos de almacenamiento, puedes excluir los campos de metadatos.
Algunos campos de registro pueden contener otros campos como valores. Por ejemplo, el campo connection usa el formato IpConnection, que incluye la dirección IP y el puerto de origen y destino, y el protocolo, en un solo campo.
En la siguiente tabla, se describen los campos de registro compatibles con las reglas de políticas de firewall de Cloud Next Generation Firewall, como las jerárquicas, globales y regionales, excluidos los campos heredados, como las etiquetas de red y las cuentas de servicio, que no son compatibles con las políticas de Cloud NGFW.
| Campo | Descripción | Tipo del campo: base o metadatos opcionales |
|---|---|---|
connection |
IpConnection 5 tuplas que describen la dirección IP de origen y destino, el puerto de origen y destino, y el protocolo de IP de esta conexión. |
Base |
disposition |
Indica si la conexión fue ALLOWED,
DENIED, o INTERCEPTED. |
Base |
rule_details |
RuleDetails Detalles de la regla de política de firewall. El formato de registro es {folder tier index}/firewallPolicy:{firewall policy ID} o
network:{network name}/firewallPolicy:{firewall policy ID}
según el alcance de la política. |
Base |
instance |
InstanceDetails Detalles de la instancia de VM. En una configuración de VPC compartida, project_id corresponde a la del proyecto de servicio. |
Metadatos |
load_balancer_details |
LoadBalancingDetails Detalles del balanceador de cargas de aplicaciones interno o del balanceador de cargas de red del proxy interno al que se aplica la regla de política de firewall. Cuando el destino de una regla de firewall es uno de estos balanceadores de cargas, se omite el campo instance. |
Metadatos |
vpc |
VpcDetails Detalles de la red de VPC. En una configuración de VPC compartida, project_id corresponde a la del proyecto host. |
Metadatos |
remote_instance |
InstanceDetails Si el extremo remoto de la conexión es una VM ubicada en Compute Engine, este campo se propaga con los detalles de la instancia de VM. |
Metadatos |
remote_vpc |
VpcDetails Si el extremo remoto de la conexión es una VM ubicada en una red de VPC, este campo se propaga con los detalles de la red. |
Metadatos |
remote_location |
GeographicDetails Si el extremo remoto de la conexión es externo a la red de VPC, este campo se completa con los metadatos de ubicación disponibles. |
Metadatos |
IpConnection
| Campo | Tipo | Descripción |
|---|---|---|
src_ip |
string | Dirección IP de origen. Si el origen es una VM de Compute Engine, src_ip es la dirección IP interna principal o una dirección en un rango de alias de IP de la interfaz de red de la VM. No se muestra la dirección IP externa. En el registro, se muestra la dirección IP de la VM tal como
se presenta a la VM en el encabezado del paquete, de la misma manera que si ejecutaras
tcpdump en la VM. |
src_port |
integer | Puerto de origen |
dest_ip |
string | Dirección IP de destino. Si el destino es una Google Cloud VM,
dest_ip es la dirección IP interna principal o una dirección
en un rango de alias de IP de la interfaz de red de la VM. La dirección IP externa
no se muestra aunque se haya usado para establecer la conexión. |
dest_port |
integer | Es el puerto de destino. |
protocol |
integer | Protocolo IP de la conexión. |
RuleDetails
| Campo | Tipo | Descripción |
|---|---|---|
reference |
string | Es la ruta de acceso absoluta y única al recurso de la regla que coincidió con el tráfico de red. El formato para las reglas de políticas de firewall es el siguiente:
|
priority |
integer | Es la prioridad para la regla de política de firewall. |
action |
string | Es la acción de la regla de política de firewall. Puede ser ALLOW,
DENY, o APPLY_SECURITY_PROFILE_GROUP. |
source_networks[ ] |
string | Lista de redes de VPC cuando el parámetro de contexto de red de origen es VPC_NETWORKS. |
destination_networks[ ] |
string | Lista de redes de VPC cuando el parámetro de contexto de red de destino es VPC_NETWORKS. |
source_network_context |
string | Es el contexto de red para el tráfico al que se aplica una regla de entrada. |
destination_network_context |
string | Es el contexto de red para el tráfico al que se aplica una regla de salida. |
apply_security_profile_fallback_action |
string | Se aplica si la acción es APPLY_SECURITY_PROFILE_GROUP.
Los valores son ALLOW o UNSPECIFIED
. Se establece si la disposición de la conexión es INTERCEPTED. |
direction |
string | Es la dirección a la que se aplica la regla de política de firewall. Puede ser
INGRESS o EGRESS. |
source_range[ ] |
string | (Metadatos opcionales) Lista de los rangos de origen a los que se aplica la regla de política de firewall. |
destination_range[ ] |
string | (Metadatos opcionales) Lista de los rangos de destino a los que se aplica la regla de política de firewall. |
ip_port_info[ ] |
string | (Metadatos opcionales) Lista de los protocolos IP y rangos de puertos aplicables a las reglas. |
target_resource[ ] |
string | (Metadatos opcionales) Cadenas de recursos de destino con el formato
projects/{project ID}/global/networks/{network name}.
Está disponible en las políticas de firewall jerárquicas. |
source_secure_tag[ ] |
string | (Metadatos opcionales) Lista de todas las etiquetas seguras de origen a las que se aplica la regla de política de firewall. |
target_secure_tag[ ] |
string | (Metadatos opcionales) Lista de todas las etiquetas seguras de destino a las que se aplica la regla de política de firewall. |
source_region_code[ ] |
string | (Metadatos opcionales) Lista de todos los códigos de país de origen a los que se aplica la regla de política de firewall. |
destination_region_code[ ] |
string | (Metadatos opcionales) Lista de todos los códigos de país de destino a los que se aplica la regla de política de firewall. |
source_fqdn[ ] |
string | (Metadatos opcionales) Lista de todos los nombres de dominio de origen a los que se aplica la regla de política de firewall. |
destination_fqdn[ ] |
string | (Metadatos opcionales) Lista de todos los nombres de dominio de destino a los que se aplica la regla de política de firewall. |
source_threat_intelligence[ ] |
string | (Metadatos opcionales) Lista de todos los nombres de la lista de Google Threat Intelligence de origen a los que se aplica la regla de política de firewall. |
destination_threat_intelligence[ ] |
string | (Metadatos opcionales) Lista de todos los nombres de la lista de Google Threat Intelligence de destino a los que se aplica la regla de política de firewall. |
source_address_groups[ ] |
string | (Metadatos opcionales) Lista de todos los grupos de direcciones de origen a los que se aplica la regla de política de firewall. |
destination_address_groups[ ] |
string | (Metadatos opcionales) Lista de todos los grupos de direcciones de destino a los que se aplica la regla de política de firewall. |
IpPortDetails
| Campo | Tipo | Descripción |
|---|---|---|
ip_protocol |
string | Es el protocolo IP al que se aplica la regla de política de firewall. No se puede establecer en
ALL para las reglas de políticas de firewall. |
port_range[ ] |
string | Lista de rangos de puertos aplicables para las reglas de políticas de firewall.
Por ejemplo, 8080-9090. |
InstanceDetails
| Campo | Tipo | Descripción |
|---|---|---|
project_id |
string | Es el ID del proyecto que contiene la VM de Compute Engine. |
vm_name |
string | Es el nombre de la instancia de la VM de Compute Engine. |
region |
string | Es la región de la VM de Compute Engine. |
zone |
string | Es la zona de la VM de Compute Engine. |
LoadBalancingDetails
| Campo | Tipo | Descripción |
|---|---|---|
forwarding_rule_project_id |
string | Google Cloud Es el ID del proyecto que contiene la regla de reenvío. |
type |
string | Tipo de balanceador de cargas: APPLICATION_LOAD_BALANCER indica
un balanceador de cargas de aplicaciones interno. PROXY_NETWORK_LOAD_BALANCER indica un
balanceador de cargas de red del proxy interno. |
scheme |
string | Es el esquema del balanceador de cargas, INTERNAL_MANAGED. |
url_map_name |
string | Es el nombre del mapa de URL. Solo se propaga si el type
es APPLICATION_LOAD_BALANCER. |
forwarding_rule_name |
string | Es el nombre de la regla de reenvío. |
VpcDetails
| Campo | Tipo | Descripción |
|---|---|---|
project_id |
string | ID del proyecto que contiene la red. |
vpc_name |
string | Red en la que opera la VM. |
subnetwork_name |
string | Subred en la que opera la VM. |
GeographicDetails
| Campo | Tipo | Descripción |
|---|---|---|
continent |
string | Nombre del continente de los extremos externos. |
country |
string | Nombre del país de los extremos externos. |
region |
string | Nombre de la región de los extremos externos. |
city |
string | Nombre de la ciudad de los extremos externos. |
¿Qué sigue?
- Formato de registro de las reglas de firewall de VPC.
- Descripción general del registro de las reglas de políticas de firewall.
- Administra el registro de las reglas de políticas de firewall
- Descripción general de Cloud Logging.