Auf dieser Seite wird die Protokollierungsstruktur für Firewallrichtlinienregeln in Cloud Logging beschrieben. Wenn eine Firewallregel mit aktiviertem Logging auf Traffic zu oder von einer VM-Instanz angewendet wird, wird in Cloud Logging ein Logeintrag erstellt. Logeinträge werden im Nutzlastfeld JSON eines Logging-LogEntry angezeigt.
Firewall-Logeinträge bestehen aus Basisfeldern, die die wichtigsten Felder jedes Logeintrags sind, und optionalen Metadatenfeldern. Um Speicherkosten zu senken, können Sie Metadatenfelder ausschließen.
Einige Logfelder können andere Felder als Werte enthalten. Das Feld connection verwendet beispielsweise das Format IpConnection, das die Quell- und Ziel-IP-Adresse sowie Protokoll und Port in einem einzigen Feld enthält.
In der folgenden Tabelle werden die Logfelder beschrieben, die für Cloud NGFW-Richtlinienregeln unterstützt werden, z. B. hierarchische, globale und regionale Regeln. Ausgenommen sind Legacy-Felder wie Netzwerk-Tags und Dienstkonten, die für Cloud NGFW-Richtlinien nicht unterstützt werden.
| Feld | Beschreibung | Feldtyp: Basis- oder optionale Metadaten |
|---|---|---|
connection |
IpConnection
5-Tupel, das die Quell- und Ziel-IP-Adresse, den Quell- und Zielport und das IP-Protokoll dieser Verbindung beschreibt. |
Basis |
disposition |
Gibt an, ob die Verbindung ALLOWED, DENIED oder INTERCEPTED war. |
Basis |
rule_details |
RuleDetails Details zur Firewallrichtlinienregel. Das Logformat ist je nach Umfang der Richtlinie {folder tier index}/firewallPolicy:{firewall policy ID} oder network:{network name}/firewallPolicy:{firewall policy ID}. |
Basis |
instance |
InstanceDetails
Details zur VM-Instanz. In einer freigegebene VPC-Konfiguration entspricht project_id der ID des Dienstprojekts. |
Metadaten |
load_balancer_details |
LoadBalancingDetails Details des internen Application Load Balancers oder des internen Proxy-Network Load Balancers, auf den die Firewallrichtlinienregel angewendet wird. Wenn das Ziel einer Firewallregel einer dieser Load Balancer ist, wird das Feld instance weggelassen. |
Metadaten |
vpc |
VpcDetails
Details zum VPC-Netzwerk. In einer freigegebene VPC-Konfiguration entspricht project_id der ID des Hostprojekts. |
Metadaten |
remote_instance |
InstanceDetails Wenn der Remote-Endpunkt der Verbindung eine VM in Compute Engine war, wird dieses Feld mit VM-Instanzdetails gefüllt. |
Metadaten |
remote_vpc |
VpcDetails Wenn der Remote-Endpunkt der Verbindung eine VM in einem VPC-Netzwerk war, wird dieses Feld mit den Netzwerkdetails gefüllt. |
Metadaten |
remote_location |
GeographicDetails
Wenn der Remote-Endpunkt der Verbindung außerhalb des VPC-Netzwerks lag, enthält dieses Feld verfügbare Standortmetadaten. |
Metadaten |
IpConnection
| Feld | Typ | Beschreibung |
|---|---|---|
src_ip |
String | IP-Adresse der Quelle: Wenn die Quelle eine Compute Engine-VM ist, ist src_ip entweder die primäre interne IP-Adresse oder eine Adresse in einem Alias-IP-Bereich der Netzwerkschnittstelle einer VM. Die externe IP-Adresse wird nicht angegeben. Im Logging wird die IP-Adresse der VM so angezeigt, wie sie im Paketheader der VM zu sehen ist. Das ist dasselbe, als wenn Sie tcpdump auf der VM ausführen. |
src_port |
integer | Quellport |
dest_ip |
String | IP-Adresse des Ziels. Wenn das Ziel eine Google Cloud VM ist, ist dest_ip entweder die primäre interne IP-Adresse oder eine Adresse in einem Alias-IP-Bereich der Netzwerkschnittstelle der VM. Die externe IP-Adresse wird nicht angegeben, auch wenn sie zur Herstellung der Verbindung verwendet wurde. |
dest_port |
integer | Der Zielport. |
protocol |
integer | IP-Protokoll der Verbindung. |
RuleDetails
| Feld | Typ | Beschreibung |
|---|---|---|
reference |
String | Der eindeutige, absolute Ressourcenpfad zur Regel, die mit dem Netzwerk-Traffic übereinstimmt. Das Format für Firewallrichtlinien-Regeln ist:
|
priority |
integer | Die Priorität für die Firewallrichtlinienregel. |
action |
String | Die Aktion der Firewallrichtlinien-Regel. Kann ALLOW,
DENY oder APPLY_SECURITY_PROFILE_GROUP sein. |
source_networks[ ] |
String | Liste der VPC-Netzwerke, wenn der Parameter „source network context“ VPC_NETWORKS ist. |
destination_networks[ ] |
String | Liste der VPC-Netzwerke, wenn der Parameter „destination network context“ (Zielnetzwerkkontext) VPC_NETWORKS ist. |
source_network_context |
String | Der Netzwerkkontext für den Traffic, für den eine Eingangsregel gilt. |
destination_network_context |
String | Der Netzwerkkontext für den Traffic, für den eine Ausgangsregel gilt. |
apply_security_profile_fallback_action |
String | Gilt, wenn die Aktion APPLY_SECURITY_PROFILE_GROUP ist.
Mögliche Werte sind ALLOW oder UNSPECIFIED. Wird festgelegt, wenn die Verbindungsentscheidung INTERCEPTED ist. |
direction |
String | Die Richtung, für die die Firewallrichtlinienregel gilt. Er kann INGRESS oder EGRESS sein. |
source_range[ ] |
String | (Optionale Metadaten) Liste der Quellbereiche, auf die die Regel der Firewallrichtlinie angewendet wird. |
destination_range[ ] |
String | (Optionale Metadaten) Liste der Zielbereiche, für die die Regel der Firewallrichtlinie gilt. |
ip_port_info[ ] |
String | (Optionale Metadaten) Liste der IP-Protokolle und anwendbaren Portbereiche für Regeln. |
target_resource[ ] |
String | (Optionale Metadaten) Zielressourcenstrings im Format projects/{project ID}/global/networks/{network name}.
Sie ist in hierarchischen Firewallrichtlinien verfügbar. |
source_secure_tag[ ] |
String | (Optionale Metadaten) Liste aller sicheren Quelltags, auf die die Firewallrichtlinienregel angewendet wird. |
target_secure_tag[ ] |
String | (Optionale Metadaten) Liste aller sicheren Ziel-Tags, auf die die Firewallrichtlinienregel angewendet wird. |
source_region_code[ ] |
String | (Optionale Metadaten) Liste aller Quell-Ländercodes, auf die die Firewallrichtlinienregel angewendet wird. |
destination_region_code[ ] |
String | (Optionale Metadaten) Liste aller Ziel-Ländercodes, auf die die Regel der Firewallrichtlinie angewendet wird. |
source_fqdn[ ] |
String | (Optionale Metadaten) Liste aller Quelldomainnamen, auf die die Firewallrichtlinienregel angewendet wird. |
destination_fqdn[ ] |
String | (Optionale Metadaten) Liste aller Zieldomainnamen, auf die die Regel der Firewallrichtlinie angewendet wird. |
source_threat_intelligence[ ] |
String | (Optionale Metadaten) Liste aller Namen von Google Threat Intelligence-Quellisten, auf die die Firewallrichtlinienregel angewendet wird. |
destination_threat_intelligence[ ] |
String | (Optionale Metadaten) Liste aller Namen von Google Threat Intelligence-Ziellisten, auf die die Firewallrichtlinienregel angewendet wird. |
source_address_groups[ ] |
String | (Optionale Metadaten) Liste aller Quelladressgruppen, auf die die Firewallrichtlinienregel angewendet wird. |
destination_address_groups[ ] |
String | (Optionale Metadaten) Liste aller Zieladressgruppen, auf die die Regel der Firewallrichtlinie angewendet wird. |
target_type |
String | INSTANCES oder INTERNAL_MANAGED_LB |
target_forwarding_rules |
String | Liste der vollständigen oder teilweisen Weiterleitungsregel-URLs für interne Application Load Balancer oder interne Proxy-Network Load Balancer, auf die die Firewallregel angewendet wird. |
IpPortDetails
| Feld | Typ | Beschreibung |
|---|---|---|
ip_protocol |
String | IP-Protokoll, für das die Firewallrichtlinienregel gilt. Für Firewallrichtlinien-Regeln kann sie nicht auf
ALL festgelegt werden. |
port_range[ ] |
String | Liste der anwendbaren Portbereiche für Firewallrichtlinienregeln
Beispiel: 8080-9090. |
InstanceDetails
| Feld | Typ | Beschreibung |
|---|---|---|
project_id |
String | ID des Projekts, das die Compute Engine-VM enthält. |
vm_name |
String | Instanzname der Compute Engine-VM. |
region |
String | Region der Compute Engine-VM. |
zone |
String | Zone der Compute Engine-VM. |
LoadBalancingDetails
| Feld | Typ | Beschreibung |
|---|---|---|
forwarding_rule_project_id |
String | Google Cloud Projekt-ID des Projekts, das die Weiterleitungsregel enthält. |
type |
String | Load Balancer-Typ: APPLICATION_LOAD_BALANCER gibt einen internen Application Load Balancer an. PROXY_NETWORK_LOAD_BALANCER steht für einen internen Proxy-Network Load Balancer. |
scheme |
String | Load-Balancer-Schema: INTERNAL_MANAGED. |
url_map_name |
String | Name der URL-Zuordnung. Wird nur ausgefüllt, wenn der type APPLICATION_LOAD_BALANCER ist. |
forwarding_rule_name |
String | Name der Weiterleitungsregel. |
VpcDetails
| Feld | Typ | Beschreibung |
|---|---|---|
project_id |
String | ID des Projekts, das das Netzwerk enthält. |
vpc_name |
String | Netzwerk, in dem die VM ausgeführt wird. |
subnetwork_name |
String | Subnetz, in dem die VM ausgeführt wird. |
GeographicDetails
| Feld | Typ | Beschreibung |
|---|---|---|
continent |
String | Kontinentname für externe Endpunkte. |
country |
String | Ländername für externe Endpunkte. |
region |
String | Regionsname für externe Endpunkte. |
city |
String | Name der Stadt für externe Endpunkte. |
Nächste Schritte
- Protokollierungsformat für VPC-Firewallregeln.
- Logging von Firewallrichtlinien-Regeln – Übersicht
- Logging von Firewallrichtlinienregeln verwalten
- Cloud Logging – Übersicht