En esta página, se describe la estructura de registro de las reglas de la política de firewall en Cloud Logging. Cuando una regla de firewall con el registro habilitado se aplica al tráfico hacia o desde una instancia de máquina virtual (VM), Cloud Logging crea una entrada de registro. Los registros aparecen en el campo de carga útil JSON de un LogEntry de Logging.
Los registros de firewall constan de campos base, que son los campos principales de cada registro, y campos de metadatos opcionales. Para reducir los costos de almacenamiento, puedes excluir los campos de metadatos.
Algunos campos de registro pueden contener otros campos como valores. Por ejemplo, el campo connection usa el formato IpConnection, que incluye la dirección IP y el puerto de origen y destino, y el protocolo, en un solo campo.
En la siguiente tabla, se describen los campos de registro admitidos para las reglas de políticas de Cloud Next Generation Firewall, como las jerárquicas, globales y regionales, sin incluir los campos heredados, como las etiquetas de red y las cuentas de servicio, que no son compatibles con las políticas de Cloud NGFW.
| Campo | Descripción | Tipo del campo: base o metadatos opcionales |
|---|---|---|
connection |
IpConnection 5 tuplas que describen la dirección IP de origen y destino, el puerto de origen y destino, y el protocolo de IP de esta conexión. |
Base |
disposition |
Indica si la conexión fue ALLOWED, DENIED o INTERCEPTED. |
Base |
rule_details.reference |
Es una referencia a la regla de política de firewall. El formato del registro es {folder tier index}/firewallPolicy:{firewall policy ID} o network:{network name}/firewallPolicy:{firewall policy ID}, según el alcance de la política. |
Base |
rule_details.priority |
Es la prioridad definida para la regla de la política de firewall. | Base |
rule_details.action |
Es la acción definida para la regla de política de firewall. Se puede establecer como ALLOWED, DENIED o APPLY_SECURITY_PROFILE_GROUP. |
Base |
rule_details.apply_security_profile_fallback_action |
Solo se aplica si la acción es APPLY_SECURITY_PROFILE_GROUP.
Se puede configurar como ALLOW o UNSPECIFIED.
UNSPECIFIED se establece si la disposición es INTERCEPTED. |
Metadatos |
rule_details.direction |
Es la dirección a la que se aplica la regla de política de firewall. Se puede configurar en ingress o egress. |
Base |
rule_details.ip_port_info[ ] |
Es una lista de los protocolos IP y los rangos de puertos aplicables. El subcampo ip_protocol no se puede establecer en ALL para las reglas de políticas de firewall. |
Base |
rule_details.source_range[ ]rule_details.destination_range[ ] |
Lista de rangos de IP de origen o destino a los que se aplica la regla de política de firewall. | Metadatos |
rule_details.source_secure_tag[ ]rule_details.target_secure_tag[ ] |
Lista de todas las etiquetas seguras de origen o destino a las que se aplica la regla de la política de firewall. | Metadatos |
rule_details.target_resource[ ] |
Es la cadena de recursos de destino. Por ejemplo, projects/{project ID}/global/networks/{network name}. Es aplicable a las políticas de firewall jerárquicas. |
Metadatos |
rule_details.source_region_code[ ]rule_details.destination_region_code[ ] |
Es la lista de todos los códigos de país de origen o destino a los que se aplica la regla de la política de firewall. | Metadatos |
rule_details.source_fqdn[ ]rule_details.destination_fqdn[ ] |
Es la lista de todos los nombres de dominio de origen o destino a los que se aplica la regla de la política de firewall. | Metadatos |
rule_details.source_threat_intelligence[ ]rule_details.destination_threat_intelligence[ ] |
Lista de todos los nombres de Threat Intelligence de Google de origen o destino a los que se aplica la regla de política de firewall. | Metadatos |
rule_details.source_address_groups[ ]rule_details.destination_address_groups[ ] |
Es la lista de todos los grupos de direcciones de origen o destino a los que se aplica la regla de política de firewall. | Metadatos |
instance |
InstanceDetails Detalles de la instancia de VM. En una configuración de VPC compartida, project_id corresponde a la del proyecto de servicio. |
Metadatos |
load_balancer_details |
LoadBalancingDetails Son los detalles del balanceador de cargas de aplicaciones interno o del balanceador de cargas de red del proxy interno al que se aplica la regla de la política de firewall. Cuando el destino de una regla de firewall es uno de estos balanceadores de cargas, se omite el campo instance. |
Metadatos |
vpc |
VpcDetails Detalles de la red de VPC. En una configuración de VPC compartida, project_id corresponde a la del proyecto host. |
Metadatos |
remote_instance |
InstanceDetails Si el extremo remoto de la conexión es una VM ubicada en Compute Engine, este campo se propaga con los detalles de la instancia de VM. |
Metadatos |
remote_vpc |
VpcDetails Si el extremo remoto de la conexión es una VM ubicada en una red de VPC, este campo se propaga con los detalles de la red. |
Metadatos |
remote_location |
GeographicDetails Si el extremo remoto de la conexión es externo a la red de VPC, este campo se propaga con los metadatos de ubicación disponibles. |
Metadatos |
IpConnection
| Campo | Tipo | Descripción |
|---|---|---|
src_ip |
cadena | Dirección IP de origen. Si el origen es una VM de Compute Engine, src_ip es la dirección IP interna principal o una dirección en un rango de alias de IP de la interfaz de red de la VM. No se muestra la dirección IP externa. En el registro, se muestra la dirección IP de la VM tal como se presenta a la VM en el encabezado del paquete, de la misma manera que si ejecutaras tcpdump en la VM. |
src_port |
integer | Puerto de origen |
dest_ip |
cadena | Dirección IP de destino. Si el destino es una VM de Google Cloud , dest_ip es la dirección IP interna principal o una dirección en un rango de alias de IP de la interfaz de red de la VM. La dirección IP externa no se muestra aunque se haya usado para establecer la conexión. |
dest_port |
integer | Es el puerto de destino. |
protocol |
integer | Protocolo IP de la conexión. |
RuleDetails
| Campo | Tipo | Descripción |
|---|---|---|
reference |
cadena | Es una referencia a la regla de política de firewall. El formato de las reglas de la política de firewall es el siguiente:
|
priority |
integer | Es la prioridad de la regla de política de firewall. |
action |
cadena | Es la acción de la regla de política de firewall. Puede ser ALLOW,
DENY o APPLY_SECURITY_PROFILE_GROUP. |
apply_security_profile_fallback_action |
cadena | Se aplica si la acción es APPLY_SECURITY_PROFILE_GROUP.
Los valores son ALLOW o UNSPECIFIED.
Se establece si la disposición de la conexión es INTERCEPTED. |
direction |
cadena | La dirección a la que se aplica la regla de política de firewall (ingress o egress). |
source_range[ ] |
cadena | Lista de los rangos de origen a los que se aplica la regla de política de firewall. |
destination_range[ ] |
cadena | Lista de los rangos de destino a los que se aplica la regla de política de firewall. |
target_resource[ ] |
cadena | Cadenas de recursos de destino con el formato projects/{project ID}/global/networks/{network name}.
Está disponible en las políticas jerárquicas de firewall. |
source_secure_tag[ ] |
cadena | Lista de todas las etiquetas seguras de origen a las que se aplica la regla de política de firewall. |
target_secure_tag[ ] |
cadena | Lista de todas las etiquetas seguras de destino a las que se aplica la regla de política de firewall. |
source_region_code[ ] |
cadena | Lista de todos los códigos de país de origen a los que se aplica la regla de la política de firewall. |
destination_region_code[ ] |
cadena | Lista de todos los códigos de país de destino a los que se aplica la regla de la política de firewall. |
source_fqdn[ ] |
cadena | Lista de todos los nombres de dominio de origen a los que se aplica la regla de la política de firewall. |
destination_fqdn[ ] |
cadena | Lista de todos los nombres de dominio de destino a los que se aplica la regla de la política de firewall. |
source_threat_intelligence[ ] |
cadena | Lista de todos los nombres de las listas de origen de Google Threat Intelligence a los que se aplica la regla de la política de firewall. |
destination_threat_intelligence[ ] |
cadena | Lista de todos los nombres de las listas de destinos de Google Threat Intelligence a los que se aplica la regla de política de firewall. |
source_address_groups[ ] |
cadena | Lista de todos los grupos de direcciones de origen a los que se aplica la regla de la política de firewall. |
destination_address_groups[ ] |
cadena | Lista de todos los grupos de direcciones de destino a los que se aplica la regla de la política de firewall. |
IpPortDetails
| Campo | Tipo | Descripción |
|---|---|---|
ip_protocol |
cadena | Es el protocolo IP al que se aplica la regla de política de firewall. No se puede establecer en ALL para las reglas de políticas de firewall. |
port_range[ ] |
cadena | Lista de los rangos de puertos aplicables a las reglas de políticas de firewall.
Por ejemplo, 8080-9090. |
InstanceDetails
| Campo | Tipo | Descripción |
|---|---|---|
project_id |
cadena | ID del proyecto que contiene la VM de Compute Engine. |
vm_name |
cadena | Nombre de la instancia de VM de Compute Engine. |
region |
cadena | Es la región de la VM de Compute Engine. |
zone |
cadena | Es la zona de la VM de Compute Engine. |
LoadBalancingDetails
| Campo | Tipo | Descripción |
|---|---|---|
forwarding_rule_project_id |
cadena | ID del proyecto deGoogle Cloud que contiene la regla de reenvío. |
type |
cadena | Tipo de balanceador de cargas: APPLICATION_LOAD_BALANCER indica un balanceador de cargas de aplicaciones interno. PROXY_NETWORK_LOAD_BALANCER indica un balanceador de cargas de red de proxy interno. |
scheme |
cadena | Esquema del balanceador de cargas, INTERNAL_MANAGED. |
url_map_name |
cadena | Es el nombre del mapa de URL. Solo se propaga si type es APPLICATION_LOAD_BALANCER. |
forwarding_rule_name |
cadena | Es el nombre de la regla de reenvío. |
VpcDetails
| Campo | Tipo | Descripción |
|---|---|---|
project_id |
cadena | ID del proyecto que contiene la red. |
vpc_name |
cadena | Es la red en la que opera la VM. |
subnetwork_name |
cadena | Subred en la que opera la VM. |
GeographicDetails
| Campo | Tipo | Descripción |
|---|---|---|
continent |
cadena | Nombre del continente para los extremos externos. |
country |
cadena | Es el nombre del país para los extremos externos. |
region |
cadena | Es el nombre de la región para los extremos externos. |
city |
cadena | Nombre de la ciudad para los extremos externos. |
¿Qué sigue?
- Formato de registro de reglas de firewall de VPC
- Descripción general del registro de las reglas de la política de firewall
- Administra el registro de reglas de política de firewall.
- Descripción general de Cloud Logging