Questa pagina descrive la struttura di logging delle regole delle policy del firewall in Cloud Logging. Quando una regola firewall con la registrazione abilitata si applica al traffico
da o verso un'istanza di macchina virtuale (VM), Cloud Logging crea una voce di log. I record di log vengono visualizzati nel campo payload JSON di un
Logging
LogEntry.
I record di log del firewall sono costituiti da campi di base, che sono i campi principali di ogni record di log, e da campi di metadati facoltativi. Per ridurre i costi di archiviazione, puoi escludere i campi dei metadati.
Alcuni campi dei log possono contenere altri campi come valori. Ad esempio, il campo
connection utilizza il formato IpConnection, che include l'indirizzo IP e la porta di origine e di destinazione, nonché il protocollo, in un unico campo.
La tabella seguente descrive i campi di log supportati per le policy del firewall Cloud Next Generation Firewall, ad esempio gerarchiche, globali e regionali, esclusi i campi legacy come i tag di rete e i service account, che non sono supportati per le policy Cloud NGFW.
| Campo | Descrizione | Tipo di campo: metadati di base o facoltativi |
|---|---|---|
connection |
IpConnection 5 tuple che descrivono l'indirizzo IP di origine e di destinazione, la porta di origine e di destinazione e il protocollo IP di questa connessione. |
Livelli |
disposition |
Indica se la connessione è stata ALLOWED,
DENIED o INTERCEPTED. |
Livelli |
rule_details.reference |
Riferimento alla regola della policy del firewall. Il formato del log è
{folder tier index}/firewallPolicy:{firewall policy ID} o
network:{network name}/firewallPolicy:{firewall policy ID}
in base all'ambito della policy. |
Livelli |
rule_details.priority |
La priorità definita per la regola della policy del firewall. | Livelli |
rule_details.action |
L'azione definita per la regola della policy del firewall. Può essere impostato come
ALLOWED, DENIED o
APPLY_SECURITY_PROFILE_GROUP. |
Livelli |
rule_details.apply_security_profile_fallback_action |
Applicabile solo se l'azione è APPLY_SECURITY_PROFILE_GROUP.
Può essere impostato come ALLOW o UNSPECIFIED.
UNSPECIFIED è impostato se la disposizione è INTERCEPTED. |
Metadati |
rule_details.direction |
La direzione a cui si applica la regola della policy del firewall. Può essere impostato su
ingress o egress. |
Livelli |
rule_details.ip_port_info[ ] |
Elenco dei protocolli IP e degli intervalli di porte applicabili. Il
sottocampo ip_protocol non può essere impostato su ALL
per le regole della policy del firewall. |
Livelli |
rule_details.source_range[ ]rule_details.destination_range[ ] |
Elenco degli intervalli IP di origine o di destinazione a cui si applica la regola della policy del firewall. | Metadati |
rule_details.source_secure_tag[ ]rule_details.target_secure_tag[ ] |
Elenco di tutti i tag di origine o di destinazione protetti a cui si applica la regola della policy del firewall. | Metadati |
rule_details.target_resource[ ] |
Stringa della risorsa target. Ad esempio,
projects/{project ID}/global/networks/{network name}. È
applicabile ai criteri firewall gerarchici. |
Metadati |
rule_details.source_region_code[ ]rule_details.destination_region_code[ ] |
Elenco di tutti i codici paese di origine o di destinazione a cui si applica la regola della policy del firewall. | Metadati |
rule_details.source_fqdn[ ]rule_details.destination_fqdn[ ] |
Elenco di tutti i nomi di dominio di origine o di destinazione a cui si applica la regola della policy del firewall. | Metadati |
rule_details.source_threat_intelligence[ ]rule_details.destination_threat_intelligence[ ] |
Elenco di tutti i nomi di Google Threat Intelligence di origine o destinazione a cui si applica la regola dei criteri del firewall. | Metadati |
rule_details.source_address_groups[ ]rule_details.destination_address_groups[ ] |
Elenco di tutti i gruppi di indirizzi di origine o di destinazione a cui si applica la regola della policy del firewall. | Metadati |
instance |
InstanceDetails Dettagli dell'istanza VM. In una configurazione del VPC condiviso, project_id corrisponde a quello del progetto di servizio. |
Metadati |
load_balancer_details |
LoadBalancingDetails Dettagli del bilanciatore del carico delle applicazioni interno o del bilanciatore del carico di rete proxy interno a cui si applica la regola del criterio firewall. Quando la destinazione di una regola firewall è uno di questi bilanciatori del carico, il campo instance viene omesso. |
Metadati |
vpc |
VpcDetails Dettagli rete VPC. In una configurazione del VPC condiviso, project_id corrisponde a quello del progetto host. |
Metadati |
remote_instance |
InstanceDetails Se l'endpoint remoto della connessione era una VM situata in Compute Engine, questo campo viene compilato con i dettagli dell'istanza VM. |
Metadati |
remote_vpc |
VpcDetails Se l'endpoint remoto della connessione era una VM che si trova in una rete VPC, questo campo viene compilato con i dettagli della rete. |
Metadati |
remote_location |
GeographicDetails Se l'endpoint remoto della connessione era esterno alla rete VPC, questo campo viene compilato con i metadati sulla posizione disponibili. |
Metadati |
IpConnection
| Campo | Tipo | Descrizione |
|---|---|---|
src_ip |
string | Indirizzo IP di origine. Se l'origine è una VM di Compute Engine,
src_ip è l'indirizzo IP interno primario o un indirizzo
in un intervallo IP alias dell'interfaccia di rete della VM. L'indirizzo IP esterno
non viene mostrato. La registrazione mostra l'indirizzo IP della VM
come viene visualizzato nell'intestazione del pacchetto, come se avessi eseguito
tcpdump sulla VM. |
src_port |
integer | Porta di origine |
dest_ip |
string | Indirizzo IP di destinazione. Se la destinazione è una VM, Google Cloud dest_ip è l'indirizzo IP interno primario o un indirizzo in un intervallo IP alias dell'interfaccia di rete della VM. L'indirizzo IP esterno non viene mostrato anche se è stato utilizzato per stabilire la connessione. |
dest_port |
integer | La porta di destinazione. |
protocol |
integer | Protocollo IP della connessione. |
RuleDetails
| Campo | Tipo | Descrizione |
|---|---|---|
reference |
string | Riferimento alla regola della policy del firewall. Il formato delle regole delle policy del firewall è:
|
priority |
integer | La priorità della regola della policy del firewall. |
action |
string | L'azione della regola della policy del firewall. Può essere ALLOW,
DENY o APPLY_SECURITY_PROFILE_GROUP. |
apply_security_profile_fallback_action |
string | Applicabile se l'azione è APPLY_SECURITY_PROFILE_GROUP.
I valori sono ALLOW o UNSPECIFIED
Impostato se la disposizione della connessione è INTERCEPTED. |
direction |
string | La direzione a cui si applica la regola della policy del firewall
(ingress o egress). |
source_range[ ] |
string | Elenco degli intervalli di origine a cui si applica la regola della policy del firewall. |
destination_range[ ] |
string | Elenco degli intervalli di destinazione a cui si applica la regola dei criteri firewall. |
target_resource[ ] |
string | Stringhe di risorse target formattate come
projects/{project ID}/global/networks/{network name}.
È disponibile nei criteri firewall gerarchici. |
source_secure_tag[ ] |
string | Elenco di tutti i tag di origine protetti a cui si applica la regola dei criteri del firewall. |
target_secure_tag[ ] |
string | Elenco di tutti i tag protetti di destinazione a cui si applica la regola della policy del firewall. |
source_region_code[ ] |
string | Elenco di tutti i codici paese di origine a cui si applica la regola della policy del firewall. |
destination_region_code[ ] |
string | Elenco di tutti i codici paese di destinazione a cui si applica la regola della policy del firewall. |
source_fqdn[ ] |
string | Elenco di tutti i nomi di dominio di origine a cui si applica la regola della policy del firewall. |
destination_fqdn[ ] |
string | Elenco di tutti i nomi di dominio di destinazione a cui si applica la regola della policy del firewall. |
source_threat_intelligence[ ] |
string | Elenco di tutti i nomi degli elenchi di Google Threat Intelligence di origine a cui si applica la regola dei criteri firewall. |
destination_threat_intelligence[ ] |
string | Elenco di tutti i nomi degli elenchi di Google Threat Intelligence di destinazione a cui si applica la regola dei criteri del firewall. |
source_address_groups[ ] |
string | Elenco di tutti i gruppi di indirizzi di origine a cui si applica la regola della policy del firewall. |
destination_address_groups[ ] |
string | Elenco di tutti i gruppi di indirizzi di destinazione a cui si applica la regola della policy del firewall. |
IpPortDetails
| Campo | Tipo | Descrizione |
|---|---|---|
ip_protocol |
string | Protocollo IP a cui si applica la regola della policy del firewall. Non può essere impostato su
ALL per le regole di policy del firewall. |
port_range[ ] |
string | Elenco degli intervalli di porte applicabili per le regole dei criteri firewall.
Ad esempio, 8080-9090. |
InstanceDetails
| Campo | Tipo | Descrizione |
|---|---|---|
project_id |
string | ID del progetto contenente la VM Compute Engine. |
vm_name |
string | Nome istanza della VM Compute Engine. |
region |
string | Regione della VM Compute Engine. |
zone |
string | Zona della VM Compute Engine. |
LoadBalancingDetails
| Campo | Tipo | Descrizione |
|---|---|---|
forwarding_rule_project_id |
string | ID progettoGoogle Cloud che contiene la regola di forwarding. |
type |
string | Tipo di bilanciatore del carico: APPLICATION_LOAD_BALANCER indica
un bilanciatore del carico delle applicazioni interno. PROXY_NETWORK_LOAD_BALANCER indica un
bilanciatore del carico di rete proxy interno. |
scheme |
string | Schema del bilanciatore del carico, INTERNAL_MANAGED. |
url_map_name |
string | Nome della mappa URL. Compilato solo se type
è APPLICATION_LOAD_BALANCER. |
forwarding_rule_name |
string | Il nome della regola di forwarding. |
VpcDetails
| Campo | Tipo | Descrizione |
|---|---|---|
project_id |
string | ID del progetto contenente la rete. |
vpc_name |
string | Rete su cui opera la VM. |
subnetwork_name |
string | La subnet su cui opera la VM. |
GeographicDetails
| Campo | Tipo | Descrizione |
|---|---|---|
continent |
string | Nome del continente per gli endpoint esterni. |
country |
string | Nome del paese per gli endpoint esterni. |
region |
string | Nome della regione per gli endpoint esterni. |
city |
string | Nome della città per gli endpoint esterni. |
Passaggi successivi
- Formato di logging delle regole firewall VPC.
- Panoramica del logging delle regole delle policy del firewall.
- Gestisci il logging delle regole dei criteri firewall.
- Panoramica di Cloud Logging.