Auf dieser Seite wird die Struktur des Loggings von Firewallrichtlinienregeln in Cloud Logging beschrieben. Wenn eine Firewallregel mit aktiviertem Logging auf Traffic zu oder von einer VM-Instanz angewendet wird, erstellt Cloud Logging einen Logeintrag. Logeinträge werden im JSON Nutzlastfeld eines
Logging
LogEntry angezeigt.
Firewall-Logeinträge bestehen aus Basisfeldern, den Kernfeldern jedes Logeintrags, und optionalen Metadatenfeldern. Um Speicherkosten zu senken, können Sie Metadatenfelder ausschließen.
Einige Logfelder können andere Felder als Werte enthalten. Das Feld connection verwendet beispielsweise das Format IpConnection, das die Quell- und Ziel-IP-Adresse sowie Protokoll und Port in einem einzigen Feld enthält.
In der folgenden Tabelle werden die Logfelder beschrieben, die für Firewallrichtlinienregeln der Cloud Next Generation Firewall unterstützt werden, z. B. hierarchische, globale und regionale Regeln. Legacy-Felder wie Netzwerk-Tags und Dienstkonten, die für Cloud NGFW-Richtlinien nicht unterstützt werden, sind ausgeschlossen.
| Feld | Beschreibung | Feldtyp: Basis- oder optionale Metadaten |
|---|---|---|
connection |
IpConnection 5-Tupel, das die Quell- und Ziel-IP-Adresse, den Quell- und Zielport und das IP-Protokoll dieser Verbindung beschreibt. |
Basis |
disposition |
Gibt an, ob die Verbindung ALLOWED,
DENIED, oder INTERCEPTED wurde. |
Basis |
rule_details |
RuleDetails Details zur Firewallrichtlinienregel. Das Logformat ist {folder tier index}/firewallPolicy:{firewall policy ID} oder
network:{network name}/firewallPolicy:{firewall policy ID}
basierend auf dem Umfang der Richtlinie. |
Basis |
instance |
InstanceDetails Details zur VM-Instanz. In einer freigegebene VPC-Konfiguration, project_id entspricht der des Dienstprojekts. |
Metadaten |
load_balancer_details |
LoadBalancingDetails Details zum internen Application Load Balancer oder internen Proxy-Network Load Balancer, auf den die Firewallrichtlinienregel angewendet wird. Wenn das Ziel einer Firewallregel einer dieser Load Balancer ist, wird das instance Feld weggelassen. |
Metadaten |
vpc |
VpcDetails Details zum VPC-Netzwerk. In einer freigegebene VPC-Konfiguration, project_id entspricht der des Hostprojekts. |
Metadaten |
remote_instance |
InstanceDetails Wenn der Remote-Endpunkt der Verbindung eine VM in Compute Engine war, wird dieses Feld mit VM-Instanzdetails gefüllt. |
Metadaten |
remote_vpc |
VpcDetails Wenn der Remote-Endpunkt der Verbindung eine VM in einem VPC-Netzwerk war, wird dieses Feld mit den Netzwerkdetails gefüllt. |
Metadaten |
remote_location |
GeographicDetails Wenn der Remote-Endpunkt der Verbindung außerhalb des VPC-Netzwerk lag, enthält dieses Feld verfügbare Standortmetadaten. |
Metadaten |
IpConnection
| Feld | Typ | Beschreibung |
|---|---|---|
src_ip |
String | IP-Adresse der Quelle: Wenn die Quelle eine Compute Engine-VM ist, ist src_ip entweder die primäre interne IP-Adresse oder eine Adresse in einem Alias-IP-Bereich der Netzwerkschnittstelle einer VM. Die externe IP
Adresse wird nicht angegeben. Logging zeigt die IP-Adresse der VM aus Sicht der VM im Paketheader. Dieselbe IP-Adresse wird angezeigt, wenn Sie einen
tcpdump für die VM ausführen. |
src_port |
integer | Quellport |
dest_ip |
String | IP-Adresse des Ziels. Wenn das Ziel eine Google Cloud VM,
dest_ip entweder die primäre interne IP-Adresse oder eine Adresse
in einem Alias-IP-Bereich der Netzwerkschnittstelle einer VM ist. Die externe IP
-Adresse wird nicht angegeben, auch wenn sie zur Herstellung der Verbindung verwendet wurde. |
dest_port |
integer | Der Zielport. |
protocol |
integer | IP-Protokoll der Verbindung. |
RuleDetails
| Feld | Typ | Beschreibung |
|---|---|---|
reference |
String | Der eindeutige, absolute Ressourcenpfad zur Regel, die mit dem Netzwerk
traffic übereinstimmt. Das Format für Firewallrichtlinienregeln ist:
|
priority |
integer | Die Priorität für die Firewallrichtlinienregel. |
action |
String | Die Aktion der Firewallrichtlinienregel. Mögliche Werte sind ALLOW,
DENY, oder APPLY_SECURITY_PROFILE_GROUP. |
source_networks[ ] |
String | Liste der VPC-Netzwerke, wenn der Parameter für den Quellnetzwerkkontext VPC_NETWORKS ist. |
destination_networks[ ] |
String | Liste der VPC-Netzwerke, wenn der Parameter für den Zielnetzwerkkontext VPC_NETWORKS ist. |
source_network_context |
String | Der Netzwerkkontext für den Traffic, auf den eine Eingangsregel angewendet wird. |
destination_network_context |
String | Der Netzwerkkontext für den Traffic, auf den eine Ausgangsregel angewendet wird. |
apply_security_profile_fallback_action |
String | Gilt, wenn die Aktion APPLY_SECURITY_PROFILE_GROUP ist.
Mögliche Werte sind ALLOW oder UNSPECIFIED
. Wird festgelegt, wenn die Verbindungsdisposition INTERCEPTED ist. |
direction |
String | Die Richtung, auf die die Firewallrichtlinienregel angewendet wird. Mögliche Werte sind
INGRESS oder EGRESS. |
source_range[ ] |
String | (Optionale Metadaten) Liste der Quellbereiche, auf die die Firewallrichtlinienregel angewendet wird. |
destination_range[ ] |
String | (Optionale Metadaten) Liste der Zielbereiche, auf die die Firewallrichtlinienregel angewendet wird. |
ip_port_info[ ] |
String | (Optionale Metadaten) Liste der IP-Protokolle und anwendbaren Portbereiche für Regeln. |
target_resource[ ] |
String | (Optionale Metadaten) Zielressourcenstrings im Format
projects/{project ID}/global/networks/{network name}.
Ist in hierarchischen Firewallrichtlinien verfügbar. |
source_secure_tag[ ] |
String | (Optionale Metadaten) Liste aller sicheren Quell-Tags, auf die die Firewallrichtlinienregel angewendet wird. |
target_secure_tag[ ] |
String | (Optionale Metadaten) Liste aller sicheren Ziel-Tags, auf die die Firewallrichtlinienregel angewendet wird. |
source_region_code[ ] |
String | (Optionale Metadaten) Liste aller Quell-Ländercodes, auf die die Firewallrichtlinienregel angewendet wird. |
destination_region_code[ ] |
String | (Optionale Metadaten) Liste aller Ziel-Ländercodes, auf die die Firewallrichtlinienregel angewendet wird. |
source_fqdn[ ] |
String | (Optionale Metadaten) Liste aller Quelldomainnamen, auf die die Firewallrichtlinienregel angewendet wird. |
destination_fqdn[ ] |
String | (Optionale Metadaten) Liste aller Zieldomainnamen, auf die die Firewallrichtlinienregel angewendet wird. |
source_threat_intelligence[ ] |
String | (Optionale Metadaten) Liste aller Namen von Google Threat Intelligence-Quellisten, auf die die Firewallrichtlinienregel angewendet wird. |
destination_threat_intelligence[ ] |
String | (Optionale Metadaten) Liste aller Namen von Google Threat Intelligence-Ziellisten, auf die die Firewallrichtlinienregel angewendet wird. |
source_address_groups[ ] |
String | (Optionale Metadaten) Liste aller Quelladressgruppen, auf die die Firewallrichtlinienregel angewendet wird. |
destination_address_groups[ ] |
String | (Optionale Metadaten) Liste aller Zieladressgruppen, auf die die Firewallrichtlinienregel angewendet wird. |
IpPortDetails
| Feld | Typ | Beschreibung |
|---|---|---|
ip_protocol |
String | IP-Protokoll, auf das die Firewallrichtlinienregel angewendet wird. Für Firewallrichtlinienregeln kann es nicht auf
ALL gesetzt werden. |
port_range[ ] |
String | Liste der anwendbaren Portbereiche für Firewallrichtlinienregeln.
Beispiel: 8080-9090. |
InstanceDetails
| Feld | Typ | Beschreibung |
|---|---|---|
project_id |
String | ID des Projekts, das die Compute Engine-VM enthält. |
vm_name |
String | Instanzname der Compute Engine-VM. |
region |
String | Region der Compute Engine-VM. |
zone |
String | Zone der Compute Engine-VM. |
LoadBalancingDetails
| Feld | Typ | Beschreibung |
|---|---|---|
forwarding_rule_project_id |
String | Google Cloud Projekt-ID des Projekts, das die Weiterleitungsregel enthält. |
type |
String | Load Balancer-Typ: APPLICATION_LOAD_BALANCER gibt
einen internen Application Load Balancer an. PROXY_NETWORK_LOAD_BALANCER gibt einen
internen Proxy-Network Load Balancer an. |
scheme |
String | Load Balancer-Schema: INTERNAL_MANAGED. |
url_map_name |
String | Name der URL-Zuordnung. Wird nur ausgefüllt, wenn type
den Wert APPLICATION_LOAD_BALANCER hat. |
forwarding_rule_name |
String | Name der Weiterleitungsregel. |
VpcDetails
| Feld | Typ | Beschreibung |
|---|---|---|
project_id |
String | ID des Projekts, das das Netzwerk enthält. |
vpc_name |
String | Netzwerk, in dem die VM ausgeführt wird. |
subnetwork_name |
String | Subnetz, in dem die VM ausgeführt wird. |
GeographicDetails
| Feld | Typ | Beschreibung |
|---|---|---|
continent |
String | Kontinentname für externe Endpunkte. |
country |
String | Landname für externe Endpunkte. |
region |
String | Regionsname für externe Endpunkte. |
city |
String | Ortsname für externe Endpunkte. |
Nächste Schritte
- Format für das Logging von VPC-Firewallregeln.
- Übersicht über das Logging von Firewallrichtlinienregeln.
- Logging von Firewallrichtlinienregeln verwalten.
- Cloud Logging – Übersicht