本页面介绍了 Cloud Logging 中的防火墙政策规则日志记录结构。当启用了日志记录的防火墙规则应用于进出虚拟机实例的流量时,Cloud
Logging 会创建日志条目。日志记录显示在 JSON 有效载荷字段中,该字段位于
Logging
LogEntry 中。
防火墙日志记录包含基本字段(即每个日志记录的核心字段)以及可选的元数据字段。如需降低存储费用,您可以排除元数据字段。
某些日志字段可以将其他字段作为值。例如,connection 字段使用 IpConnection 格式,该格式在单个字段中包含来源
IP 地址和目标 IP 地址、端口以及协议。
下表介绍了 Cloud Next Generation Firewall 防火墙政策规则(例如分层、全局和区域级)支持的日志字段,但不包括 Cloud NGFW 政策不支持的旧版字段,例如网络标记和服务账号。
| 字段 | 说明 | 字段类型:基本或可选元数据 |
|---|---|---|
connection |
IpConnection 一个 5 元组,它表示此连接的源 IP 地址、目标 IP 地址、源端口、目标端口以及 IP 协议。 |
基本 |
disposition |
指示连接是 ALLOWED、
DENIED 还是 INTERCEPTED。 |
基本 |
rule_details |
RuleDetails 防火墙政策规则详细信息。日志格式为 {folder tier index}/firewallPolicy:{firewall policy ID} 或
network:{network name}/firewallPolicy:{firewall policy ID}
,具体取决于政策的范围。 |
基本 |
instance |
InstanceDetails 虚拟机实例详细信息。在共享 VPC 配置中, project_id 与服务项目的此内容相对应。 |
元数据 |
load_balancer_details |
LoadBalancingDetails 防火墙 政策规则适用的内部应用负载平衡器或内部代理网络负载平衡器的详细信息。当防火墙规则的目标是其中一个负载 均衡器时,系统会省略 instance字段。 |
元数据 |
vpc |
VpcDetails VPC 网络详细信息。在共享 VPC 配置中, project_id 与宿主项目的相应参数相对应。 |
元数据 |
remote_instance |
InstanceDetails 如果连接的远程端点是位于 Compute Engine 中的 虚拟机,则此字段会填充虚拟机实例 详细信息。 |
元数据 |
remote_vpc |
VpcDetails 如果连接的远程端点是位于 VPC 网络中的虚拟机,则此字段会填充网络 详细信息。 |
元数据 |
remote_location |
GeographicDetails 如果连接的远程端点在 VPC 网络的外部,则此字段会填充可用位置元数据。 |
元数据 |
IpConnection
| 字段 | 类型 | 说明 |
|---|---|---|
src_ip |
字符串 | 来源 IP 地址。如果来源是 Compute Engine 虚拟机,则 src_ip 是主要内部 IP 地址或虚拟机网络接口的别名 IP 范围内的地址。系统不显示外部 IP
地址。日志记录会将虚拟机在数据包标头中看到的 IP 地址显示为虚拟机的 IP 地址,这与您在虚拟机上运行
tcpdump 的结果相同。 |
src_port |
整数 | 来源端口 |
dest_ip |
字符串 | 目的地 IP 地址。如果目的地是 Google Cloud 虚拟机,则 dest_ip 是主要内部 IP 地址或虚拟机网络接口的别名 IP 范围内的地址。即使使用外部 IP
地址进行连接,系统也不会显示此地址。 |
dest_port |
整数 | 目标端口。 |
protocol |
整数 | 连接的 IP 协议。 |
RuleDetails
| 字段 | 类型 | 说明 |
|---|---|---|
reference |
字符串 | 与网络
流量匹配的规则的唯一绝对资源路径。防火墙政策规则的格式为:
|
priority |
整数 | 防火墙政策规则的优先级。 |
action |
字符串 | 防火墙政策规则的操作。可以是 ALLOW、
DENY 或 APPLY_SECURITY_PROFILE_GROUP。 |
source_networks[ ] |
字符串 | 当来源网络上下文参数为 VPC_NETWORKS 时,VPC 网络的列表。 |
destination_networks[ ] |
字符串 | 当目标网络上下文参数为 VPC_NETWORKS 时,VPC 网络的列表。 |
source_network_context |
字符串 | 入站规则适用的流量的网络上下文。 |
destination_network_context |
字符串 | 出站规则适用的流量的网络上下文。 |
apply_security_profile_fallback_action |
字符串 | 如果操作为 APPLY_SECURITY_PROFILE_GROUP,则此字段适用。
值为 ALLOW 或 UNSPECIFIED
。如果连接处置为 INTERCEPTED,则设置此值。 |
direction |
字符串 | 防火墙政策规则适用的方向。可以是
INGRESS 或 EGRESS。 |
source_range[ ] |
字符串 | (可选元数据)防火墙政策规则适用的来源范围列表。 |
destination_range[ ] |
字符串 | (可选元数据)防火墙政策规则适用的目标范围列表。 |
ip_port_info[ ] |
字符串 | (可选元数据)规则的 IP 协议和适用端口范围列表。 |
target_resource[ ] |
字符串 | (可选元数据)格式为
projects/{project ID}/global/networks/{network name}.
的目标资源字符串。它在分层防火墙政策中可用。 |
source_secure_tag[ ] |
字符串 | (可选元数据)防火墙政策规则适用的所有来源安全标记的列表。 |
target_secure_tag[ ] |
字符串 | (可选元数据)防火墙政策规则适用的所有目标安全标记的列表。 |
source_region_code[ ] |
字符串 | (可选元数据)防火墙政策规则适用的所有来源国家/地区代码的列表。 |
destination_region_code[ ] |
字符串 | (可选元数据)防火墙政策规则适用的所有目标国家/地区代码的列表。 |
source_fqdn[ ] |
字符串 | (可选元数据)防火墙政策规则适用的所有来源域名的列表。 |
destination_fqdn[ ] |
字符串 | (可选元数据)防火墙政策规则适用的所有目标域名的列表。 |
source_threat_intelligence[ ] |
字符串 | (可选元数据)防火墙政策规则适用的所有来源 Google Threat Intelligence 列表名称的列表。 |
destination_threat_intelligence[ ] |
字符串 | (可选元数据)防火墙政策规则适用的所有目标 Google Threat Intelligence 列表名称的列表。 |
source_address_groups[ ] |
字符串 | (可选元数据)防火墙政策规则适用的所有来源地址组的列表。 |
destination_address_groups[ ] |
字符串 | (可选元数据)防火墙政策规则适用的所有目标地址组的列表。 |
IpPortDetails
| 字段 | 类型 | 说明 |
|---|---|---|
ip_protocol |
字符串 | 防火墙政策规则所应用的 IP 协议。对于防火墙政策规则,不能将其设置为
ALL。 |
port_range[ ] |
字符串 | 防火墙政策规则的适用端口范围列表。
例如,8080-9090。 |
InstanceDetails
| 字段 | 类型 | 说明 |
|---|---|---|
project_id |
字符串 | 包含 Compute Engine 虚拟机的项目的 ID。 |
vm_name |
字符串 | Compute Engine 虚拟机的实例名称。 |
region |
字符串 | Compute Engine 虚拟机所在的区域。 |
zone |
字符串 | Compute Engine 虚拟机所在的可用区。 |
LoadBalancingDetails
| 字段 | 类型 | 说明 |
|---|---|---|
forwarding_rule_project_id |
字符串 | Google Cloud 包含转发规则的项目 ID。 |
type |
字符串 | 负载平衡器类型:APPLICATION_LOAD_BALANCER 表示
内部应用负载平衡器。PROXY_NETWORK_LOAD_BALANCER 表示
内部代理网络负载平衡器。 |
scheme |
字符串 | 负载平衡器方案,INTERNAL_MANAGED。 |
url_map_name |
字符串 | 网址映射的名称。仅当 type
为 APPLICATION_LOAD_BALANCER 时填充。 |
forwarding_rule_name |
字符串 | 转发规则的名称。 |
VpcDetails
| 字段 | 类型 | 说明 |
|---|---|---|
project_id |
字符串 | 包含此网络的项目的 ID。 |
vpc_name |
字符串 | 运行虚拟机的网络。 |
subnetwork_name |
字符串 | 运行虚拟机的子网。 |
GeographicDetails
| 字段 | 类型 | 说明 |
|---|---|---|
continent |
字符串 | 外部端点所在的大洲的名称。 |
country |
字符串 | 外部端点所在的国家/地区的名称。 |
region |
字符串 | 外部端点所在的区域的名称。 |
city |
字符串 | 外部端点所在的城市的名称。 |