防火牆政策規則記錄格式

本頁說明 Cloud Logging 中的防火牆政策規則記錄結構。如果已啟用記錄功能的防火牆規則套用至虛擬機器 (VM) 執行個體的往來流量,Cloud Logging 就會建立記錄項目。記錄檔記錄會顯示在 Logging LogEntryJSON 酬載欄位中。

防火牆記錄包含基礎欄位 (每個記錄的核心欄位),以及選用的中繼資料欄位。如要降低儲存費用,可以排除中繼資料欄位。

部分記錄欄位可能包含其他欄位做為值。舉例來說,connection 欄位採用 IpConnection 格式,也就是一個欄位同時包含來源和目的地 IP 位址及通訊埠,外加通訊協定等資料。

下表說明 Cloud Next Generation Firewall 防火牆政策規則支援的記錄檔欄位,例如階層式、全域和區域,但不包括網路標記和服務帳戶等舊版欄位,這些欄位不支援 Cloud NGFW 政策。

欄位 說明 欄位類型:基本或選填中繼資料
connection IpConnection
5 個元組,說明這個連線的來源和目的地 IP 位址、來源和目的地通訊埠,以及 IP 通訊協定。		 基本
disposition 指出連線是 ALLOWEDDENIED 還是 INTERCEPTED 基本
rule_details RuleDetails
防火牆政策規則詳細資料。記錄格式為 {folder tier index}/firewallPolicy:{firewall policy ID}network:{network name}/firewallPolicy:{firewall policy ID},視政策範圍而定。		 基本
instance InstanceDetails
VM 執行個體詳細資料。在 Shared VPC 設定中,project_id 會對應至服務專案。		 中繼資料
load_balancer_details LoadBalancingDetails
防火牆政策規則適用的內部應用程式負載平衡器或內部 Proxy 網路負載平衡器詳細資料。如果防火牆規則的目標是其中一個負載平衡器,系統會省略 instance 欄位。		 中繼資料
vpc VpcDetails
虛擬私有雲網路詳細資料。在 Shared VPC 設定中,project_id 會對應至主專案。		 中繼資料
remote_instance InstanceDetails
如果連線的遠端端點是位於 Compute Engine 中的 VM,這個欄位會填入 VM 執行個體詳細資料。		 中繼資料
remote_vpc VpcDetails
如果連線的遠端端點是位於虛擬私有雲網路中的 VM,這個欄位會填入網路詳細資料。		 中繼資料
remote_location GeographicDetails
如果連線的遠端端點位於虛擬私有雲網路外部,這個欄位會填入可用的地點中繼資料。		 中繼資料

IpConnection

欄位 類型 說明
src_ip 字串 來源 IP 位址。如果來源是 Compute Engine VM,則 src_ip 是主要內部 IP 位址,或是 VM 網路介面別名 IP 範圍內的位址。不會顯示外部 IP 位址。記錄檔會顯示 VM 在封包標頭上看到的 IP 位址,與您在 VM 上執行 tcpdump 時看到的相同。
src_port 整數 來源通訊埠
dest_ip 字串 目標 IP 位址。如果目的地是 VM, Google Cloud dest_ip 可以是主要內部 IP 位址,也可以是 VM 網路介面別名 IP 範圍內的位址。即使連線時使用外部 IP 位址,系統也不會顯示該位址。
dest_port 整數 目標通訊埠。
protocol 整數 連線的 IP 通訊協定

RuleDetails

欄位 類型 說明
reference 字串 與網路流量相符的規則專屬絕對資源路徑。防火牆政策規則的格式如下:
  • 階層式防火牆政策:{folder tier index}/firewallPolicy:{id}
  • 全域防火牆政策:network:{network name}/firewallPolicy:{id}
  • 區域防火牆政策:network:{network name}/region:{region name}/firewallPolicy:{id}
priority 整數 防火牆政策規則的優先順序。
action 字串 防火牆政策規則的動作。可以是 ALLOWDENYAPPLY_SECURITY_PROFILE_GROUP
source_networks[ ] 字串 來源網路環境參數為 VPC_NETWORKS 時的虛擬私有雲網路清單。
destination_networks[ ] 字串 目的地網路環境參數為 VPC_NETWORKS 時的虛擬私有雲網路清單。
source_network_context 字串 輸入規則適用的流量網路環境。
destination_network_context 字串 外送規則適用的流量網路情境。
apply_security_profile_fallback_action 字串 如果動作為 APPLY_SECURITY_PROFILE_GROUP,則適用此屬性。 值為 ALLOWUNSPECIFIED 如果連線處置為 INTERCEPTED,則會設定此值。
direction 字串 防火牆政策規則的適用方向。可以是 INGRESSEGRESS
source_range[ ] 字串 (選用中繼資料) 防火牆政策規則適用的來源範圍清單。
destination_range[ ] 字串 (選用中繼資料) 防火牆政策規則適用的目的地範圍清單。
ip_port_info[ ] 字串 (選用中繼資料) 規則的 IP 通訊協定和適用通訊埠範圍清單。
target_resource[ ] 字串 (選用中繼資料) 目標資源字串,格式為 projects/{project ID}/global/networks/{network name}。這項功能適用於階層式防火牆政策。
source_secure_tag[ ] 字串 (選用中繼資料) 防火牆政策規則適用的所有來源安全標記清單。
target_secure_tag[ ] 字串 (選用中繼資料) 防火牆政策規則適用的所有目標安全標記清單。
source_region_code[ ] 字串 (選用中繼資料) 防火牆政策規則適用的所有來源國家/地區代碼清單。
destination_region_code[ ] 字串 (選用中繼資料) 防火牆政策規則適用的所有目的地國家/地區代碼清單。
source_fqdn[ ] 字串 (選用中繼資料) 防火牆政策規則適用的所有來源網域名稱清單。
destination_fqdn[ ] 字串 (選用中繼資料) 防火牆政策規則適用的所有目的地網域名稱清單。
source_threat_intelligence[ ] 字串 (選用中繼資料) 防火牆政策規則適用的所有來源 Google 威脅情報清單名稱。
destination_threat_intelligence[ ] 字串 (選用中繼資料) 防火牆政策規則適用的所有目的地 Google Threat Intelligence 清單名稱。
source_address_groups[ ] 字串 (選用中繼資料) 防火牆政策規則適用的所有來源位址群組清單。
destination_address_groups[ ] 字串 (選用中繼資料) 防火牆政策規則適用的所有目的地位址群組清單。

IpPortDetails

欄位 類型 說明
ip_protocol 字串 防火牆政策規則適用的 IP 通訊協定。防火牆政策規則無法設為 ALL
port_range[ ] 字串 防火牆政策規則適用的通訊埠範圍清單。 例如 8080-9090

InstanceDetails

欄位 類型 說明
project_id 字串 包含 Compute Engine VM 的專案 ID。
vm_name 字串 Compute Engine VM 的執行個體名稱。
region 字串 Compute Engine VM 的區域。
zone 字串 Compute Engine VM 的可用區。

LoadBalancingDetails

欄位 類型 說明
forwarding_rule_project_id 字串 Google Cloud 包含轉送規則的專案 ID。
type 字串 負載平衡器類型:APPLICATION_LOAD_BALANCER 表示內部應用程式負載平衡器。PROXY_NETWORK_LOAD_BALANCER 表示內部 Proxy 網路負載平衡器。
scheme 字串 負載平衡器架構,INTERNAL_MANAGED
url_map_name 字串 網址對應名稱。只有在 typeAPPLICATION_LOAD_BALANCER 時,才會填入這個欄位。
forwarding_rule_name 字串 轉送規則名稱。

VpcDetails

欄位 類型 說明
project_id 字串 網路所屬專案的 ID。
vpc_name 字串 VM 運作的網路。
subnetwork_name 字串 VM 運作所在的子網路。

GeographicDetails

欄位 類型 說明
continent 字串 外部端點的大陸名稱。
country 字串 外部端點的國家/地區名稱。
region 字串 外部端點的區域名稱。
city 字串 外部端點的城市名稱。

後續步驟