Auf dieser Seite wird die Protokollierungsstruktur für Firewallrichtlinienregeln in Cloud Logging beschrieben. Wenn eine Firewallregel mit aktiviertem Logging auf Traffic zu oder von einer VM-Instanz angewendet wird, wird in Cloud Logging ein Logeintrag erstellt. Logeinträge werden im Nutzlastfeld JSON eines Logging-LogEntry angezeigt.
Firewall-Logeinträge bestehen aus Basisfeldern, die die wichtigsten Felder jedes Logeintrags sind, und optionalen Metadatenfeldern. Um Speicherkosten zu senken, können Sie Metadatenfelder ausschließen.
Einige Logfelder können andere Felder als Werte enthalten. Das Feld connection verwendet beispielsweise das Format IpConnection, das die Quell- und Ziel-IP-Adresse sowie Protokoll und Port in einem einzigen Feld enthält.
In der folgenden Tabelle werden die Logfelder beschrieben, die für Cloud NGFW-Richtlinienregeln unterstützt werden, z. B. hierarchische, globale und regionale Regeln. Ausgenommen sind Legacy-Felder wie Netzwerk-Tags und Dienstkonten, die für Cloud NGFW-Richtlinien nicht unterstützt werden.
| Feld | Beschreibung | Feldtyp: Basis- oder optionale Metadaten |
|---|---|---|
connection |
IpConnection
5-Tupel, das die Quell- und Ziel-IP-Adresse, den Quell- und Zielport und das IP-Protokoll dieser Verbindung beschreibt. |
Basis |
disposition |
Gibt an, ob die Verbindung ALLOWED, DENIED oder INTERCEPTED war. |
Basis |
rule_details.reference |
Verweis auf die Firewallrichtlinien-Regel. Das Logformat ist je nach Umfang der Richtlinie {folder tier index}/firewallPolicy:{firewall policy ID} oder network:{network name}/firewallPolicy:{firewall policy ID}. |
Basis |
rule_details.priority |
Die für die Firewallrichtlinienregel definierte Priorität. | Basis |
rule_details.action |
Die für die Firewallrichtlinienregel definierte Aktion. Sie kann auf ALLOWED, DENIED oder APPLY_SECURITY_PROFILE_GROUP festgelegt werden. |
Basis |
rule_details.apply_security_profile_fallback_action |
Gilt nur, wenn die Aktion APPLY_SECURITY_PROFILE_GROUP ist.
Er kann auf ALLOW oder UNSPECIFIED festgelegt werden.
UNSPECIFIED wird festgelegt, wenn die Disposition INTERCEPTED ist. |
Metadaten |
rule_details.direction |
Die Richtung, für die die Firewallrichtlinienregel gilt. Er kann auf ingress oder egress festgelegt werden. |
Basis |
rule_details.ip_port_info[ ] |
Liste der IP-Protokolle und anwendbaren Portbereiche. Das Unterfeld ip_protocol kann für Firewallrichtlinien-Regeln nicht auf ALL gesetzt werden. |
Basis |
rule_details.source_range[ ]rule_details.destination_range[ ] |
Liste der Quell- oder Ziel-IP-Bereiche, für die die Firewallrichtlinienregel gilt. | Metadaten |
rule_details.source_secure_tag[ ]rule_details.target_secure_tag[ ] |
Liste aller sicheren Quell- oder Ziel-Tags, auf die die Firewallrichtlinienregel angewendet wird. | Metadaten |
rule_details.target_resource[ ] |
String der Zielressource. Beispiel: projects/{project ID}/global/networks/{network name}. Sie gilt für hierarchische Firewallrichtlinien. |
Metadaten |
rule_details.source_region_code[ ]rule_details.destination_region_code[ ] |
Liste aller Quell- oder Ziel-Ländercodes, auf die die Firewallrichtlinienregel angewendet wird. | Metadaten |
rule_details.source_fqdn[ ]rule_details.destination_fqdn[ ] |
Liste aller Quell- oder Zieldomainnamen, auf die die Firewallrichtlinienregel angewendet wird. | Metadaten |
rule_details.source_threat_intelligence[ ]rule_details.destination_threat_intelligence[ ] |
Liste aller Namen von Google Threat Intelligence-Quellen oder -Zielen, auf die die Firewallrichtlinienregel angewendet wird. | Metadaten |
rule_details.source_address_groups[ ]rule_details.destination_address_groups[ ] |
Liste aller Quell- oder Zieladressgruppen, auf die die Firewallrichtlinienregel angewendet wird. | Metadaten |
instance |
InstanceDetails
Details zur VM-Instanz. In einer freigegebene VPC-Konfiguration entspricht project_id der ID des Dienstprojekts. |
Metadaten |
load_balancer_details |
LoadBalancingDetails Details des internen Application Load Balancers oder des internen Proxy-Network Load Balancers, auf den die Firewallrichtlinienregel angewendet wird. Wenn das Ziel einer Firewallregel einer dieser Load Balancer ist, wird das Feld instance weggelassen. |
Metadaten |
vpc |
VpcDetails
Details zum VPC-Netzwerk. In einer freigegebene VPC-Konfiguration entspricht project_id der ID des Hostprojekts. |
Metadaten |
remote_instance |
InstanceDetails Wenn der Remote-Endpunkt der Verbindung eine VM in Compute Engine war, wird dieses Feld mit VM-Instanzdetails gefüllt. |
Metadaten |
remote_vpc |
VpcDetails Wenn der Remote-Endpunkt der Verbindung eine VM in einem VPC-Netzwerk war, wird dieses Feld mit den Netzwerkdetails gefüllt. |
Metadaten |
remote_location |
GeographicDetails
Wenn der Remote-Endpunkt der Verbindung außerhalb des VPC-Netzwerks lag, enthält dieses Feld verfügbare Standortmetadaten. |
Metadaten |
IpConnection
| Feld | Typ | Beschreibung |
|---|---|---|
src_ip |
String | IP-Adresse der Quelle: Wenn die Quelle eine Compute Engine-VM ist, ist src_ip entweder die primäre interne IP-Adresse oder eine Adresse in einem Alias-IP-Bereich der Netzwerkschnittstelle einer VM. Die externe IP-Adresse wird nicht angegeben. Im Logging wird die IP-Adresse der VM so angezeigt, wie sie von der VM im Paketheader gesehen wird. Das ist dasselbe, als wenn Sie tcpdump auf der VM ausführen. |
src_port |
integer | Quellport |
dest_ip |
String | IP-Adresse des Ziels. Wenn das Ziel eine Google Cloud VM ist, ist dest_ip entweder die primäre interne IP-Adresse oder eine Adresse in einem Alias-IP-Bereich der Netzwerkschnittstelle der VM. Die externe IP-Adresse wird nicht angegeben, auch wenn sie zur Herstellung der Verbindung verwendet wurde. |
dest_port |
integer | Der Zielport. |
protocol |
integer | IP-Protokoll der Verbindung. |
RuleDetails
| Feld | Typ | Beschreibung |
|---|---|---|
reference |
String | Verweis auf die Firewallrichtlinien-Regel. Das Format für Firewallrichtlinien-Regeln ist:
|
priority |
integer | Die Priorität für die Firewallrichtlinienregel. |
action |
String | Die Aktion der Firewallrichtlinien-Regel. Kann ALLOW,
DENY oder APPLY_SECURITY_PROFILE_GROUP sein. |
apply_security_profile_fallback_action |
String | Gilt, wenn die Aktion APPLY_SECURITY_PROFILE_GROUP ist.
Mögliche Werte sind ALLOW und UNSPECIFIED. Wird festgelegt, wenn die Verbindungsentscheidung INTERCEPTED ist. |
direction |
String | Die Richtung, für die die Firewallrichtlinienregel gilt (ingress oder egress). |
source_range[ ] |
String | Liste der Quellbereiche, für die die Firewallrichtlinienregel gilt. |
destination_range[ ] |
String | Liste der Zielbereiche, für die die Firewallrichtlinienregel gilt. |
target_resource[ ] |
String | Zielressourcenstrings im Format
projects/{project ID}/global/networks/{network name}.
Sie ist in hierarchischen Firewallrichtlinien verfügbar. |
source_secure_tag[ ] |
String | Liste aller sicheren Quelltags, auf die die Firewallrichtlinienregel angewendet wird. |
target_secure_tag[ ] |
String | Liste aller sicheren Ziel-Tags, auf die die Firewallrichtlinienregel angewendet wird. |
source_region_code[ ] |
String | Liste aller Quell-Ländercodes, auf die die Firewallrichtlinienregel angewendet wird. |
destination_region_code[ ] |
String | Liste aller Ziel-Ländercodes, auf die die Firewallrichtlinienregel angewendet wird. |
source_fqdn[ ] |
String | Liste aller Quelldomainnamen, auf die die Firewallrichtlinienregel angewendet wird. |
destination_fqdn[ ] |
String | Liste aller Zieldomainnamen, auf die die Firewallrichtlinienregel angewendet wird. |
source_threat_intelligence[ ] |
String | Liste aller Namen von Google Threat Intelligence-Quellisten, auf die die Firewallrichtlinienregel angewendet wird. |
destination_threat_intelligence[ ] |
String | Liste aller Namen von Google Threat Intelligence-Ziellisten, auf die die Firewallrichtlinienregel angewendet wird. |
source_address_groups[ ] |
String | Liste aller Quelladressgruppen, auf die die Firewallrichtlinienregel angewendet wird. |
destination_address_groups[ ] |
String | Liste aller Zieladressgruppen, auf die die Firewallrichtlinienregel angewendet wird. |
IpPortDetails
| Feld | Typ | Beschreibung |
|---|---|---|
ip_protocol |
String | IP-Protokoll, für das die Firewallrichtlinienregel gilt. Sie kann für Firewallrichtlinien-Regeln nicht auf
ALL festgelegt werden. |
port_range[ ] |
String | Liste der anwendbaren Portbereiche für Firewallrichtlinienregeln
Beispiel: 8080-9090. |
InstanceDetails
| Feld | Typ | Beschreibung |
|---|---|---|
project_id |
String | ID des Projekts, das die Compute Engine-VM enthält. |
vm_name |
String | Instanzname der Compute Engine-VM. |
region |
String | Region der Compute Engine-VM. |
zone |
String | Zone der Compute Engine-VM. |
LoadBalancingDetails
| Feld | Typ | Beschreibung |
|---|---|---|
forwarding_rule_project_id |
String | Google Cloud Projekt-ID des Projekts, das die Weiterleitungsregel enthält. |
type |
String | Load Balancer-Typ: APPLICATION_LOAD_BALANCER gibt einen internen Application Load Balancer an. PROXY_NETWORK_LOAD_BALANCER gibt einen internen Proxy-Network Load Balancer an. |
scheme |
String | Load-Balancer-Schema: INTERNAL_MANAGED. |
url_map_name |
String | Name der URL-Zuordnung. Wird nur ausgefüllt, wenn der type APPLICATION_LOAD_BALANCER ist. |
forwarding_rule_name |
String | Name der Weiterleitungsregel. |
VpcDetails
| Feld | Typ | Beschreibung |
|---|---|---|
project_id |
String | ID des Projekts, das das Netzwerk enthält. |
vpc_name |
String | Netzwerk, in dem die VM ausgeführt wird. |
subnetwork_name |
String | Subnetz, in dem die VM ausgeführt wird. |
GeographicDetails
| Feld | Typ | Beschreibung |
|---|---|---|
continent |
String | Kontinentname für externe Endpunkte. |
country |
String | Ländername für externe Endpunkte. |
region |
String | Regionsname für externe Endpunkte. |
city |
String | Name der Stadt für externe Endpunkte. |
Nächste Schritte
- Protokollierungsformat für VPC-Firewallregeln.
- Logging von Firewallrichtlinien-Regeln – Übersicht
- Logging von Firewallrichtlinienregeln verwalten
- Cloud Logging – Übersicht