Cette page décrit la structure de journalisation des règles de stratégie de pare-feu dans Cloud Logging. Lorsqu'une règle de pare-feu pour laquelle la journalisation est activée s'applique au trafic vers ou depuis une instance de machine virtuelle (VM), Cloud Logging crée une entrée de journal. Les enregistrements de journal apparaissent dans le champ de charge utile JSON d'un objet Logging LogEntry.
Les enregistrements de journaux de pare-feu se composent de champs de base, qui sont les principaux champs de chaque enregistrement de journal, et de champs de métadonnées facultatifs. Pour réduire les coûts de stockage, vous pouvez exclure des champs de métadonnées.
Certains champs de journaux peuvent contenir d'autres champs en tant que valeurs. Par exemple, le champ connection utilise le format IpConnection, qui inclut l'adresse IP et le port sources et de destination, ainsi que le protocole, dans un seul champ.
Le tableau suivant décrit les champs de journaux compatibles avec les règles de stratégie Cloud Next Generation Firewall, telles que les règles hiérarchiques, mondiales et régionales, à l'exclusion des anciens champs tels que les tags réseau et les comptes de service, qui ne sont pas compatibles avec les stratégies Cloud NGFW.
| Champ | Description | Type de champ : métadonnées de base ou facultatives |
|---|---|---|
connection |
IpConnection Hachage à cinq tuples décrivant les adresses IP source et de destination, les ports source et de destination, ainsi que le protocole IP de cette connexion. |
Couches |
disposition |
Indique si la connexion a été ALLOWED, DENIED ou INTERCEPTED. |
Couches |
rule_details.reference |
Référence à la règle de stratégie de pare-feu. Le format du journal est {folder tier index}/firewallPolicy:{firewall policy ID} ou network:{network name}/firewallPolicy:{firewall policy ID}, selon le champ d'application de la règle. |
Couches |
rule_details.priority |
Priorité définie pour la règle de stratégie de pare-feu. | Couches |
rule_details.action |
Action définie pour la règle de stratégie de pare-feu. Il peut être défini sur ALLOWED, DENIED ou APPLY_SECURITY_PROFILE_GROUP. |
Couches |
rule_details.apply_security_profile_fallback_action |
Ne s'applique que si l'action est APPLY_SECURITY_PROFILE_GROUP.
Il peut être défini sur ALLOW ou UNSPECIFIED.
UNSPECIFIED est défini si la disposition est INTERCEPTED. |
Métadonnées |
rule_details.direction |
Direction dans laquelle la règle de stratégie de pare-feu s'applique. Il peut être défini sur ingress ou egress. |
Couches |
rule_details.ip_port_info[ ] |
Liste des protocoles IP et des plages de ports applicables. Le sous-champ ip_protocol ne peut pas être défini sur ALL pour les règles de stratégie de pare-feu. |
Couches |
rule_details.source_range[ ]rule_details.destination_range[ ] |
Liste des plages d'adresses IP sources ou de destination auxquelles la règle de stratégie de pare-feu s'applique. | Métadonnées |
rule_details.source_secure_tag[ ]rule_details.target_secure_tag[ ] |
Liste de tous les tags sécurisés sources ou cibles auxquels la règle de stratégie de pare-feu s'applique. | Métadonnées |
rule_details.target_resource[ ] |
Chaîne de ressource cible. Par exemple, projects/{project ID}/global/networks/{network name}. Elle s'applique aux stratégies de pare-feu hiérarchiques. |
Métadonnées |
rule_details.source_region_code[ ]rule_details.destination_region_code[ ] |
Liste de tous les codes pays sources ou de destination auxquels la règle de la stratégie de pare-feu s'applique. | Métadonnées |
rule_details.source_fqdn[ ]rule_details.destination_fqdn[ ] |
Liste de tous les noms de domaine sources ou de destination auxquels la règle de la stratégie de pare-feu s'applique. | Métadonnées |
rule_details.source_threat_intelligence[ ]rule_details.destination_threat_intelligence[ ] |
Liste de tous les noms Google Threat Intelligence sources ou de destination auxquels la règle de stratégie de pare-feu s'applique. | Métadonnées |
rule_details.source_address_groups[ ]rule_details.destination_address_groups[ ] |
Liste de tous les groupes d'adresses sources ou de destination auxquels la règle de stratégie de pare-feu s'applique. | Métadonnées |
instance |
InstanceDetails Détails de l'instance de VM. Dans une configuration de VPC partagé, project_id correspond à l'identifiant du projet de service. |
Métadonnées |
load_balancer_details |
LoadBalancingDetails Détails de l'équilibreur de charge d'application interne ou de l'équilibreur de charge réseau proxy interne auquel s'applique la règle du règlement du pare-feu. Lorsque la cible d'une règle de pare-feu est l'un de ces équilibreurs de charge, le champ instance est omis. |
Métadonnées |
vpc |
VpcDetails Détails du réseau VPC. Dans une configuration de VPC partagé, project_id correspond à l'ID du projet hôte. |
Métadonnées |
remote_instance |
InstanceDetails Si le point de terminaison distant de la connexion était une VM hébergée dans Compute Engine, ce champ contient les détails de l'instance de VM. |
Métadonnées |
remote_vpc |
VpcDetails Si le point de terminaison distant de la connexion était une VM hébergée sur un réseau VPC, ce champ contient les détails du réseau. |
Métadonnées |
remote_location |
GeographicDetails Si le point de terminaison distant de la connexion était externe au réseau VPC, ce champ contient les métadonnées disponibles concernant son emplacement. |
Métadonnées |
IpConnection
| Champ | Type | Description |
|---|---|---|
src_ip |
string | Adresse IP source. Si la source est une VM Compute Engine, src_ip est l'adresse IP interne principale ou une adresse dans une plage d'adresses IP d'alias de l'interface réseau de la VM. L'adresse IP externe n'est pas affichée. La journalisation affiche l'adresse IP de la VM telle qu'elle est vue par la VM dans l'en-tête du paquet, de la même manière que si vous exécutiez tcpdump sur la VM. |
src_port |
entier | Port source |
dest_ip |
string | Adresse IP de destination. Si la destination est une VM Google Cloud , dest_ip est l'adresse IP interne principale ou une adresse dans une plage d'adresses IP d'alias de l'interface réseau de la VM. L'adresse IP externe ne s'affiche pas, même si elle a été utilisée pour établir la connexion. |
dest_port |
entier | Port de destination. |
protocol |
entier | Protocole IP de la connexion. |
RuleDetails
| Champ | Type | Description |
|---|---|---|
reference |
string | Référence à la règle de stratégie de pare-feu. Le format des règles de stratégie de pare-feu est le suivant :
|
priority |
entier | Priorité de la règle de stratégie de pare-feu. |
action |
string | Action de la règle de stratégie de pare-feu. Il peut s'agir de ALLOW, DENY ou APPLY_SECURITY_PROFILE_GROUP. |
apply_security_profile_fallback_action |
string | Applicable si l'action est APPLY_SECURITY_PROFILE_GROUP.
Les valeurs sont ALLOW ou UNSPECIFIED. Définissez cette valeur si la disposition de la connexion est INTERCEPTED. |
direction |
string | Direction dans laquelle la règle de stratégie de pare-feu s'applique (ingress ou egress). |
source_range[ ] |
string | Liste des plages d'adresses sources auxquelles la règle de stratégie de pare-feu s'applique. |
destination_range[ ] |
string | Liste des plages de destination auxquelles la règle de stratégie de pare-feu s'applique. |
target_resource[ ] |
string | Chaînes de ressources cibles au format projects/{project ID}/global/networks/{network name}.
Elle est disponible dans les stratégies de pare-feu hiérarchiques. |
source_secure_tag[ ] |
string | Liste de tous les tags sécurisés sources auxquels la règle de stratégie de pare-feu s'applique. |
target_secure_tag[ ] |
string | Liste de tous les tags sécurisés cibles auxquels la règle de stratégie de pare-feu s'applique. |
source_region_code[ ] |
string | Liste de tous les codes pays sources auxquels la règle de stratégie de pare-feu s'applique. |
destination_region_code[ ] |
string | Liste de tous les codes pays de destination auxquels la règle de stratégie de pare-feu s'applique. |
source_fqdn[ ] |
string | Liste de tous les noms de domaine sources auxquels la règle de stratégie de pare-feu s'applique. |
destination_fqdn[ ] |
string | Liste de tous les noms de domaine de destination auxquels la règle de la stratégie de pare-feu s'applique. |
source_threat_intelligence[ ] |
string | Liste de tous les noms de liste Google Threat Intelligence sources auxquels la règle de stratégie de pare-feu s'applique. |
destination_threat_intelligence[ ] |
string | Liste de tous les noms de liste Google Threat Intelligence de destination auxquels la règle de stratégie de pare-feu s'applique. |
source_address_groups[ ] |
string | Liste de tous les groupes d'adresses sources auxquels la règle de stratégie de pare-feu s'applique. |
destination_address_groups[ ] |
string | Liste de tous les groupes d'adresses de destination auxquels la règle de stratégie de pare-feu s'applique. |
IpPortDetails
| Champ | Type | Description |
|---|---|---|
ip_protocol |
string | Protocole IP auquel la règle de stratégie de pare-feu s'applique. Il ne peut pas être défini sur ALL pour les règles de stratégie de pare-feu. |
port_range[ ] |
string | Liste des plages de ports applicables pour les règles de la stratégie de pare-feu.
Par exemple, 8080-9090. |
InstanceDetails
| Champ | Type | Description |
|---|---|---|
project_id |
string | ID du projet contenant la VM Compute Engine. |
vm_name |
string | Nom d'instance de la VM Compute Engine. |
region |
string | Région de la VM Compute Engine. |
zone |
string | Zone de la VM Compute Engine. |
LoadBalancingDetails
| Champ | Type | Description |
|---|---|---|
forwarding_rule_project_id |
string | Google Cloud ID du projet contenant la règle de transfert. |
type |
string | Le type d'équilibreur de charge APPLICATION_LOAD_BALANCER indique un équilibreur de charge d'application interne. PROXY_NETWORK_LOAD_BALANCER indique un équilibreur de charge réseau proxy interne. |
scheme |
string | Schéma de l'équilibreur de charge, INTERNAL_MANAGED. |
url_map_name |
string | Nom du mappage d'URL. N'est renseigné que si type est défini sur APPLICATION_LOAD_BALANCER. |
forwarding_rule_name |
string | Nom de la règle de transfert. |
VpcDetails
| Champ | Type | Description |
|---|---|---|
project_id |
string | ID du projet hébergeant le réseau. |
vpc_name |
string | Réseau sur lequel opère la VM. |
subnetwork_name |
string | Sous-réseau sur lequel opère la VM. |
GeographicDetails
| Champ | Type | Description |
|---|---|---|
continent |
string | Nom du continent pour les points de terminaison externes. |
country |
string | Nom du pays pour les points de terminaison externes. |
region |
string | Nom de la région pour les points de terminaison externes. |
city |
string | Nom de la ville pour les points de terminaison externes. |
Étapes suivantes
- Format de journalisation des règles de pare-feu VPC.
- Présentation de la journalisation des règles de stratégie de pare-feu
- Gérer la journalisation des règles de stratégie de pare-feu
- Présentation de Cloud Logging