Esta página descreve a estrutura de geração de registros de regras de política de firewall no
Cloud Logging. Quando uma regra de firewall com a geração de registros ativada se aplica ao tráfego de ou para uma instância de máquina virtual (VM), o Cloud Logging cria uma entrada de registro. Os registros aparecem no campo de payload JSON de um
LogEntry do
Logging.
Os registros de firewall consistem em campos básicos, que são os campos principais de cada registro, e campos de metadados opcionais. Para reduzir os custos de armazenamento, é possível excluir campos de metadados.
Alguns campos de registro podem conter outros campos como valores. Por exemplo, o campo
connection usa o formato IpConnection, que inclui o endereço IP e a porta de origem e
destino, além do protocolo, em um único campo.
A tabela a seguir descreve os campos de registro compatíveis com regras de política de firewall do Cloud Next Generation Firewall, como hierárquicas, globais e regionais, excluindo campos legados, como tags de rede e contas de serviço, que não são compatíveis com políticas do Cloud NGFW.
| Campo | Descrição | Tipo de campo: base ou metadados opcionais |
|---|---|---|
connection |
IpConnection Cinco tuplas que descrevem os endereços IP e a porta de origem e destino, além do protocolo IP da conexão. |
Base |
disposition |
Indica se a conexão foi ALLOWED,
DENIED ou INTERCEPTED. |
Base |
rule_details |
RuleDetails Detalhes da regra da política de firewall. O formato do registro é {folder tier index}/firewallPolicy:{firewall policy ID} ou
network:{network name}/firewallPolicy:{firewall policy ID}
com base no escopo da política. |
Base |
instance |
InstanceDetails Detalhes da instância da VM. Em uma configuração de VPC compartilhada, project_id corresponde ao ID do projeto de serviço. |
Metadados |
load_balancer_details |
LoadBalancingDetails Detalhes do balanceador de carga de aplicativo interno ou do balanceador de carga de rede de proxy interno a que a regra da política de firewall se aplica. Quando o destino de uma regra de firewall é um desses balanceadores de carga, o campo instance é omitido. |
Metadados |
vpc |
VpcDetails Detalhes da rede VPC. Em uma configuração de VPC compartilhada, project_id corresponde ao ID do projeto host. |
Metadados |
remote_instance |
InstanceDetails Se o endpoint remoto da conexão for uma VM localizada no Compute Engine, esse campo será preenchido com os detalhes da instância da VM. |
Metadados |
remote_vpc |
VpcDetails Se o endpoint remoto da conexão for uma VM localizada em uma rede VPC, esse campo será preenchido com os detalhes da rede. |
Metadados |
remote_location |
GeographicDetails Se o endpoint remoto da conexão for externo à rede VPC, este campo será preenchido com os metadados de local disponíveis. |
Metadados |
IpConnection
| Campo | Tipo | Descrição |
|---|---|---|
src_ip |
string | Endereço IP de origem. Se a origem for uma VM do Compute Engine, src_ip será o endereço de IP interno principal ou um endereço em um intervalo de IP de alias da interface de rede da VM. O endereço IP externo não é exibido. O Logging mostra o endereço IP da VM conforme ela o vê no cabeçalho do pacote, como se você tivesse executado
tcpdump na VM. |
src_port |
integer | Porta de origem |
dest_ip |
string | Endereço IP de destino. Se o destino for uma VM Google Cloud ,
dest_ip será o endereço IP interno principal ou um endereço
em um intervalo de IP de alias da interface de rede da VM. O endereço IP externo não é exibido, mesmo que tenha sido usado para fazer a conexão. |
dest_port |
integer | A porta de destino. |
protocol |
integer | Protocolo IP da conexão. |
RuleDetails
| Campo | Tipo | Descrição |
|---|---|---|
reference |
string | O caminho absoluto e exclusivo do recurso para a regra que correspondeu ao tráfego de rede. O formato das regras da política de firewall é:
|
priority |
integer | A prioridade da regra da política de firewall. |
action |
string | A ação da regra da política de firewall. Pode ser ALLOW,
DENY ou APPLY_SECURITY_PROFILE_GROUP. |
source_networks[ ] |
string | Lista de redes VPC quando o parâmetro de contexto da rede de origem é VPC_NETWORKS. |
destination_networks[ ] |
string | Lista de redes VPC quando o parâmetro de contexto da rede de destino é VPC_NETWORKS. |
source_network_context |
string | O contexto de rede para o tráfego a que uma regra de entrada se aplica. |
destination_network_context |
string | O contexto de rede para o tráfego a que uma regra de saída se aplica. |
apply_security_profile_fallback_action |
string | Aplicável se a ação for APPLY_SECURITY_PROFILE_GROUP.
Os valores são ALLOW ou UNSPECIFIED. Definido se a disposição da conexão for INTERCEPTED. |
direction |
string | A direção em que a regra da política de firewall se aplica. Pode ser INGRESS ou EGRESS. |
source_range[ ] |
string | (Metadados opcionais) Lista de intervalos de origem a que a regra da política de firewall se aplica. |
destination_range[ ] |
string | (Metadados opcionais) Lista de intervalos de destino a que a regra da política de firewall se aplica. |
ip_port_info[ ] |
string | (Metadados opcionais) Lista de protocolos IP e intervalos de portas aplicáveis a regras. |
target_resource[ ] |
string | (Metadados opcionais) Strings de recursos de destino formatadas como
projects/{project ID}/global/networks/{network name}.
Ela está disponível em políticas de firewall hierárquicas. |
source_secure_tag[ ] |
string | (Metadados opcionais) Lista de todas as tags seguras de origem a que a regra da política de firewall se aplica. |
target_secure_tag[ ] |
string | (Metadados opcionais) Lista de todas as tags seguras de destino a que a regra da política de firewall se aplica. |
source_region_code[ ] |
string | (Metadados opcionais) Lista de todos os códigos de países de origem a que a regra da política de firewall se aplica. |
destination_region_code[ ] |
string | (Metadados opcionais) Lista de todos os códigos de países de destino a que a regra da política de firewall se aplica. |
source_fqdn[ ] |
string | (Metadados opcionais) Lista de todos os nomes de domínio de origem a que a regra da política de firewall se aplica. |
destination_fqdn[ ] |
string | (Metadados opcionais) Lista de todos os nomes de domínio de destino a que a regra da política de firewall se aplica. |
source_threat_intelligence[ ] |
string | (Metadados opcionais) Lista de todos os nomes de lista do Google Threat Intelligence de origem a que a regra da política de firewall se aplica. |
destination_threat_intelligence[ ] |
string | (Metadados opcionais) Lista de todos os nomes de listas do Google Threat Intelligence de destino a que a regra da política de firewall se aplica. |
source_address_groups[ ] |
string | (Metadados opcionais) Lista de todos os grupos de endereços de origem a que a regra da política de firewall se aplica. |
destination_address_groups[ ] |
string | (Metadados opcionais) Lista de todos os grupos de endereços de destino a que a regra da política de firewall se aplica. |
IpPortDetails
| Campo | Tipo | Descrição |
|---|---|---|
ip_protocol |
string | Protocolo IP ao qual a regra da política de firewall se aplica. Não pode ser definido como ALL para regras de política de firewall. |
port_range[ ] |
string | Lista de intervalos de porta aplicáveis às regras de política de firewall.
Por exemplo, 8080-9090 |
InstanceDetails
| Campo | Tipo | Descrição |
|---|---|---|
project_id |
string | ID do projeto que contém a VM do Compute Engine. |
vm_name |
string | Nome da instância da VM do Compute Engine. |
region |
string | Região da VM do Compute Engine. |
zone |
string | Zona da VM do Compute Engine. |
LoadBalancingDetails
| Campo | Tipo | Descrição |
|---|---|---|
forwarding_rule_project_id |
string | Google Cloud ID do projeto que contém a regra de encaminhamento. |
type |
string | Tipo de balanceador de carga: APPLICATION_LOAD_BALANCER indica
um balanceador de carga de aplicativo interno. PROXY_NETWORK_LOAD_BALANCER indica um balanceador de carga de rede de proxy interno. |
scheme |
string | Esquema do balanceador de carga, INTERNAL_MANAGED. |
url_map_name |
string | Nome do mapa de URL. Preenchido apenas se o type
for APPLICATION_LOAD_BALANCER. |
forwarding_rule_name |
string | Nome da regra de encaminhamento. |
VpcDetails
| Campo | Tipo | Descrição |
|---|---|---|
project_id |
string | ID do projeto que contém a rede. |
vpc_name |
string | Rede em que a VM está operando. |
subnetwork_name |
string | Sub-rede em que a VM está operando. |
GeographicDetails
| Campo | Tipo | Descrição |
|---|---|---|
continent |
string | Nome do continente para endpoints externos. |
country |
string | Nome do país para endpoints externos. |
region |
string | Nome da região para endpoints externos. |
city |
string | Nome da cidade para endpoints externos. |
A seguir
- Formato de geração de registros de regras de firewall da VPC.
- Visão geral da geração de registros de regras da política de firewall.
- Gerenciar a geração de registros de regras da política de firewall.
- Visão geral do Cloud Logging.