Cette page décrit la structure de journalisation des règles de stratégie de pare-feu dans Cloud Logging. Lorsqu'une règle de pare-feu pour laquelle la journalisation est activée s'applique au trafic vers ou depuis une instance de machine virtuelle (VM), Cloud Logging crée une entrée de journal. Les enregistrements de journal s'affichent dans le champ de charge utile JSON d'un
Logging
LogEntry.
Les enregistrements de journal de pare-feu se composent de champs de base, qui sont les principaux champs de chaque enregistrement de journal, et de champs de métadonnées facultatifs. Pour réduire les coûts de stockage, vous pouvez exclure les champs de métadonnées.
Certains champs de journal peuvent contenir d'autres champs en tant que valeurs. Par exemple, le champ connection utilise le format IpConnection, qui inclut l'adresse IP et le port sources et de destination, ainsi que le protocole, dans un seul champ.
Le tableau suivant décrit les champs de journal compatibles avec les règles de stratégie de pare-feu Cloud de nouvelle génération, telles que les règles hiérarchiques, globales et régionales, à l'exclusion des champs hérités tels que les tags réseau et les comptes de service, qui ne sont pas compatibles avec les stratégies Cloud NGFW.
| Champ | Description | Type de champ : métadonnées de base ou facultatives |
|---|---|---|
connection |
IpConnection Hachage à cinq tuples décrivant les adresses IP source et de destination, les ports source et de destination, ainsi que le protocole IP de cette connexion. |
Couches |
disposition |
Indique si la connexion a été ALLOWED,
DENIED, ou INTERCEPTED. |
Couches |
rule_details |
RuleDetails Détails de la règle de stratégie de pare-feu. Le format du journal est {folder tier index}/firewallPolicy:{firewall policy ID} ou
network:{network name}/firewallPolicy:{firewall policy ID}
en fonction du champ d'application de la stratégie. |
Couches |
instance |
InstanceDetails Détails de l'instance de VM. Dans une configuration de VPC partagé, project_id correspond à l'identifiant du projet de service. |
Metadata |
load_balancer_details |
LoadBalancingDetails Détails de l'équilibreur de charge d'application interne ou de l'équilibreur de charge réseau proxy interne auquel la règle de stratégie de pare-feu s'applique. Lorsque la cible d'une règle de pare-feu est l'un de ces équilibreurs de charge, le champ instance est omis. |
Metadata |
vpc |
VpcDetails Détails du réseau VPC. Dans une configuration de VPC partagé, project_id correspond à l'ID du projet hôte. |
Metadata |
remote_instance |
InstanceDetails Si le point de terminaison distant de la connexion était une VM hébergée dans le Compute Engine, ce champ contient les détails de l'instance de VM. |
Metadata |
remote_vpc |
VpcDetails Si le point de terminaison distant de la connexion était une VM hébergée sur un réseau VPC, ce champ contient les détails du réseau. |
Metadata |
remote_location |
GeographicDetails Si le point de terminaison distant de la connexion était externe au réseau VPC, ce champ contient les métadonnées disponibles concernant son emplacement. |
Métadonnées |
IpConnection
| Champ | Type | Description |
|---|---|---|
src_ip |
chaîne | Adresse IP source. Si la source est une VM Compute Engine, src_ip est l'adresse IP interne principale ou une adresse dans une plage d'adresses IP d'alias de l'interface réseau de la VM. L'adresse IP externe
n'est pas affichée. La journalisation affiche l'adresse IP de la VM telle qu'elle est vue par la VM dans l'en-tête du paquet, de la même manière que si vous réalisiez un tcpdump sur la VM. |
src_port |
entier | Port source |
dest_ip |
chaîne | Adresse IP de destination. Si la destination est une Google Cloud VM,
dest_ip est l'adresse IP interne principale ou une adresse
dans une plage d'adresses IP d'alias de l'interface réseau de la VM. L'adresse IP externe
ne s'affiche pas, même si elle a été utilisée pour établir la connexion. |
dest_port |
entier | Port de destination. |
protocol |
entier | Protocole IP de la connexion. |
RuleDetails
| Champ | Type | Description |
|---|---|---|
reference |
chaîne | Chemin d'accès absolu unique à la règle qui correspond au trafic réseau. Le format des règles de stratégie de pare-feu est le suivant :
|
priority |
entier | Priorité de la règle de stratégie de pare-feu. |
action |
chaîne | Action de la règle de stratégie de pare-feu. Peut être ALLOW,
DENY, ou APPLY_SECURITY_PROFILE_GROUP. |
source_networks[ ] |
chaîne | Liste des réseaux VPC lorsque le paramètre de contexte réseau source est VPC_NETWORKS. |
destination_networks[ ] |
chaîne | Liste des réseaux VPC lorsque le paramètre de contexte réseau de destination est VPC_NETWORKS. |
source_network_context |
chaîne | Contexte réseau du trafic auquel s'applique une règle d'entrée. |
destination_network_context |
chaîne | Contexte réseau du trafic auquel s'applique une règle de sortie. |
apply_security_profile_fallback_action |
chaîne | Applicable si l'action est APPLY_SECURITY_PROFILE_GROUP.
Les valeurs sont ALLOW ou UNSPECIFIED
. Définissez cette option si la disposition de la connexion est INTERCEPTED. |
direction |
chaîne | Sens auquel la règle de stratégie de pare-feu s'applique. Peut être
INGRESS ou EGRESS. |
source_range[ ] |
chaîne | (Métadonnées facultatives) Liste des plages d'adresses sources auxquelles la règle de stratégie de pare-feu s'applique. |
destination_range[ ] |
chaîne | (Métadonnées facultatives) Liste des plages d'adresses de destination auxquelles la règle de stratégie de pare-feu s'applique. |
ip_port_info[ ] |
chaîne | (Métadonnées facultatives) Liste des protocoles IP et des plages de ports applicables pour les règles. |
target_resource[ ] |
chaîne | (Métadonnées facultatives) Chaînes de ressources cibles au format
projects/{project ID}/global/networks/{network name}.
Disponible dans les stratégies de pare-feu hiérarchiques. |
source_secure_tag[ ] |
chaîne | (Métadonnées facultatives) Liste de tous les tags sécurisés sources auxquels la règle de stratégie de pare-feu s'applique. |
target_secure_tag[ ] |
chaîne | (Métadonnées facultatives) Liste de tous les tags sécurisés cibles auxquels la règle de stratégie de pare-feu s'applique. |
source_region_code[ ] |
chaîne | (Métadonnées facultatives) Liste de tous les codes pays sources auxquels la règle de stratégie de pare-feu s'applique. |
destination_region_code[ ] |
chaîne | (Métadonnées facultatives) Liste de tous les codes pays de destination auxquels la règle de stratégie de pare-feu s'applique. |
source_fqdn[ ] |
chaîne | (Métadonnées facultatives) Liste de tous les noms de domaine sources auxquels la règle de stratégie de pare-feu s'applique. |
destination_fqdn[ ] |
chaîne | (Métadonnées facultatives) Liste de tous les noms de domaine de destination auxquels la règle de stratégie de pare-feu s'applique. |
source_threat_intelligence[ ] |
chaîne | (Métadonnées facultatives) Liste de tous les noms de liste Google Threat Intelligence sources auxquels la règle de stratégie de pare-feu s'applique. |
destination_threat_intelligence[ ] |
chaîne | (Métadonnées facultatives) Liste de tous les noms de liste Google Threat Intelligence de destination auxquels la règle de stratégie de pare-feu s'applique. |
source_address_groups[ ] |
chaîne | (Métadonnées facultatives) Liste de tous les groupes d'adresses sources auxquels la règle de stratégie de pare-feu s'applique. |
destination_address_groups[ ] |
chaîne | (Métadonnées facultatives) Liste de tous les groupes d'adresses de destination auxquels la règle de stratégie de pare-feu s'applique. |
IpPortDetails
| Champ | Type | Description |
|---|---|---|
ip_protocol |
chaîne | Protocole IP auquel la règle de stratégie de pare-feu s'applique. Ne peut pas être défini sur
ALL pour les règles de stratégie de pare-feu. |
port_range[ ] |
chaîne | Liste des plages de ports applicables pour les règles de stratégie de pare-feu.
Par exemple, 8080-9090. |
InstanceDetails
| Champ | Type | Description |
|---|---|---|
project_id |
chaîne | ID du projet contenant la VM Compute Engine. |
vm_name |
chaîne | Nom d'instance de la VM Compute Engine. |
region |
chaîne | Région de la VM Compute Engine. |
zone |
chaîne | Zone de la VM Compute Engine. |
LoadBalancingDetails
| Champ | Type | Description |
|---|---|---|
forwarding_rule_project_id |
chaîne | Google Cloud ID du projet contenant la règle de transfert. |
type |
chaîne | Type d'équilibreur de charge : APPLICATION_LOAD_BALANCER indique
un équilibreur de charge d'application interne. PROXY_NETWORK_LOAD_BALANCER indique un
équilibreur de charge réseau proxy interne. |
scheme |
chaîne | Schéma d'équilibreur de charge, INTERNAL_MANAGED. |
url_map_name |
chaîne | Nom du mappage d'URL. N'est renseigné que si le type
est APPLICATION_LOAD_BALANCER. |
forwarding_rule_name |
chaîne | Nom de la règle de transfert. |
VpcDetails
| Champ | Type | Description |
|---|---|---|
project_id |
chaîne | ID du projet hébergeant le réseau. |
vpc_name |
chaîne | Réseau sur lequel opère la VM. |
subnetwork_name |
chaîne | Sous-réseau sur lequel opère la VM. |
GeographicDetails
| Champ | Type | Description |
|---|---|---|
continent |
chaîne | Nom du continent pour les points de terminaison externes. |
country |
chaîne | Nom du pays pour les points de terminaison externes. |
region |
chaîne | Nom de la région pour les points de terminaison externes. |
city |
chaîne | Nom de la ville pour les points de terminaison externes. |
Étape suivante
- Format de journalisation des règles de pare-feu VPC.
- Présentation de la journalisation des règles de stratégie de pare-feu.
- Gérer la journalisation des règles de stratégie de pare-feu.
- Présentation de Cloud Logging.