このページでは、Cloud Logging のファイアウォール ポリシー ルールのロギング構造について説明します。ロギングが有効になっているファイアウォール ルールが仮想マシン(VM)インスタンスとの間で送受信されるトラフィックに適用されると、Cloud Logging はログエントリを作成します。ログレコードは、Logging の LogEntry の JSON ペイロード フィールドに表示されます。
ファイアウォール ログレコードは、各ログレコードのコアフィールドである基本フィールドと、オプションのメタデータ フィールドで構成されます。ストレージ費用を削減するには、メタデータ フィールドを除外します。
一部のログフィールドには、値として他のフィールドを含めることができます。たとえば、connection フィールドは IpConnection 形式を使用します。この形式では、送信元と宛先の IP アドレスとポート、およびプロトコルが 1 つのフィールドに格納されます。
次の表に、Cloud Next Generation Firewall ポリシー ルール(階層型、グローバル、リージョンなど)でサポートされているログ フィールドを示します。Cloud NGFW ポリシーでサポートされていないネットワーク タグやサービス アカウントなどの以前のフィールドは除きます。
| フィールド | 説明 | フィールド タイプ: 基本 / メタデータ(省略可) |
|---|---|---|
connection |
IpConnection 送信元 IP アドレス、宛先 IP アドレス、送信元ポート、宛先ポート、この接続の IP プロトコルを記述する 5 タプル。 |
ベース |
disposition |
接続が ALLOWED、DENIED、INTERCEPTED のいずれかを示します。 |
ベース |
rule_details.reference |
ファイアウォール ポリシールールへの参照。ログ形式は、ポリシーのスコープに応じて {folder tier index}/firewallPolicy:{firewall policy ID} または network:{network name}/firewallPolicy:{firewall policy ID} です。 |
ベース |
rule_details.priority |
ファイアウォール ポリシールールに定義された優先度。 | ベース |
rule_details.action |
ファイアウォール ポリシールールに定義されたアクション。ALLOWED、DENIED、APPLY_SECURITY_PROFILE_GROUP のいずれかに設定できます。 |
ベース |
rule_details.apply_security_profile_fallback_action |
アクションが APPLY_SECURITY_PROFILE_GROUP の場合にのみ適用されます。ALLOW または UNSPECIFIED として設定できます。処分が INTERCEPTED の場合、UNSPECIFIED が設定されます。 |
メタデータ |
rule_details.direction |
ファイアウォール ポリシー ルールが適用される方向。ingress または egress に設定できます。 |
ベース |
rule_details.ip_port_info[ ] |
IP プロトコルと該当するポート範囲のリスト。ファイアウォール ポリシールールの場合、ip_protocol サブフィールドを ALL に設定することはできません。 |
ベース |
rule_details.source_range[ ]rule_details.destination_range[ ] |
ファイアウォール ポリシー ルールが適用される送信元または宛先の IP 範囲のリスト。 | メタデータ |
rule_details.source_secure_tag[ ]rule_details.target_secure_tag[ ] |
ファイアウォール ポリシー ルールが適用されるすべての送信元または宛先のセキュアタグのリスト。 | メタデータ |
rule_details.target_resource[ ] |
ターゲット リソース文字列。例: projects/{project ID}/global/networks/{network name}これは、階層型ファイアウォール ポリシーに適用されます。 |
メタデータ |
rule_details.source_region_code[ ]rule_details.destination_region_code[ ] |
ファイアウォール ポリシー ルールが適用されるすべての送信元または宛先の国コードのリスト。 | メタデータ |
rule_details.source_fqdn[ ]rule_details.destination_fqdn[ ] |
ファイアウォール ポリシー ルールが適用されるすべての送信元または宛先ドメイン名のリスト。 | メタデータ |
rule_details.source_threat_intelligence[ ]rule_details.destination_threat_intelligence[ ] |
ファイアウォール ポリシー ルールが適用されるすべての送信元または宛先の Google Threat Intelligence 名のリスト。 | メタデータ |
rule_details.source_address_groups[ ]rule_details.destination_address_groups[ ] |
ファイアウォール ポリシー ルールが適用されるすべての送信元または宛先アドレス グループのリスト。 | メタデータ |
instance |
InstanceDetails VM インスタンスの詳細。共有 VPC 構成の場合、 project_id はサービス プロジェクトの詳細に対応します。 |
メタデータ |
load_balancer_details |
LoadBalancingDetails ファイアウォール ポリシー ルールが適用される内部アプリケーション ロードバランサまたは内部プロキシ ネットワーク ロードバランサの詳細。ファイアウォール ルールのターゲットがこれらのロードバランサのいずれかである場合、 instance フィールドは省略されます。 |
メタデータ |
vpc |
VpcDetails VPC ネットワークの詳細。共有 VPC 構成の場合、 project_id はホスト プロジェクトの詳細に対応します。 |
メタデータ |
remote_instance |
InstanceDetails 接続のリモート エンドポイントが Compute Engine にある VM の場合、このフィールドには VM インスタンスの詳細が入力されます。 |
メタデータ |
remote_vpc |
VpcDetails 接続のリモート エンドポイントが VPC ネットワーク内にある VM の場合、このフィールドにはネットワークの詳細が入力されます。 |
メタデータ |
remote_location |
GeographicDetails 接続のリモート エンドポイントが VPC ネットワークの外部にある場合、このフィールドには使用可能なロケーション メタデータが入ります。 |
メタデータ |
IpConnection
| フィールド | タイプ | 説明 |
|---|---|---|
src_ip |
文字列 | 送信元 IP アドレス。送信元が Compute Engine VM の場合、src_ip はプライマリ内部 IP アドレスか、VM のネットワーク インターフェースのエイリアス IP 範囲のアドレスです。外部 IP アドレスは示されません。VM に対して tcpdump を実行した場合と同じように、Logging では VM がパケット ヘッダーで確認する VM の IP アドレスが示されます。 |
src_port |
integer | 送信元ポート |
dest_ip |
文字列 | 宛先 IP アドレス。宛先が Google Cloud VM の場合、dest_ip はプライマリ内部 IP アドレスか、VM のネットワーク インターフェースのエイリアス IP 範囲のアドレスです。外部 IP アドレスは、接続に使用されていても表示されません。 |
dest_port |
integer | 宛先ポート。 |
protocol |
integer | 接続の IP プロトコル。 |
RuleDetails
| フィールド | タイプ | 説明 |
|---|---|---|
reference |
文字列 | ファイアウォール ポリシールールへの参照。ファイアウォール ポリシールールの形式は次のとおりです。
|
priority |
integer | ファイアウォール ポリシールールの優先度。 |
action |
文字列 | ファイアウォール ポリシールールの動作。ALLOW、DENY、APPLY_SECURITY_PROFILE_GROUP のいずれかです。 |
apply_security_profile_fallback_action |
文字列 | アクションが APPLY_SECURITY_PROFILE_GROUP の場合に適用されます。値は ALLOW または UNSPECIFIED です。接続の処分が INTERCEPTED の場合に設定されます。 |
direction |
文字列 | ファイアウォール ポリシー ルールが適用される方向(ingress または egress)。 |
source_range[ ] |
文字列 | ファイアウォール ポリシー ルールが適用される送信元範囲のリスト。 |
destination_range[ ] |
文字列 | ファイアウォール ポリシー ルールが適用される宛先範囲のリスト。 |
target_resource[ ] |
文字列 | projects/{project ID}/global/networks/{network name} 形式のターゲット リソース文字列。階層型ファイアウォール ポリシーで使用できます。 |
source_secure_tag[ ] |
文字列 | ファイアウォール ポリシー ルールが適用されるすべての送信元セキュアタグのリスト。 |
target_secure_tag[ ] |
文字列 | ファイアウォール ポリシールールが適用されるすべてのターゲット セキュアタグのリスト。 |
source_region_code[ ] |
文字列 | ファイアウォール ポリシー ルールが適用されるすべての送信元の国コードのリスト。 |
destination_region_code[ ] |
文字列 | ファイアウォール ポリシー ルールが適用されるすべての宛先の国コードのリスト。 |
source_fqdn[ ] |
文字列 | ファイアウォール ポリシー ルールが適用されるすべての送信元ドメイン名のリスト。 |
destination_fqdn[ ] |
文字列 | ファイアウォール ポリシー ルールが適用されるすべての宛先ドメイン名のリスト。 |
source_threat_intelligence[ ] |
文字列 | ファイアウォール ポリシー ルールが適用されるすべての送信元 Google Threat Intelligence リスト名のリスト。 |
destination_threat_intelligence[ ] |
文字列 | ファイアウォール ポリシー ルールが適用されるすべての宛先 Google Threat Intelligence リスト名のリスト。 |
source_address_groups[ ] |
文字列 | ファイアウォール ポリシー ルールが適用されるすべての送信元アドレス グループのリスト。 |
destination_address_groups[ ] |
文字列 | ファイアウォール ポリシー ルールが適用されるすべての宛先アドレス グループのリスト。 |
IpPortDetails
| フィールド | タイプ | 説明 |
|---|---|---|
ip_protocol |
文字列 | ファイアウォール ポリシールールが適用される IP プロトコル。ファイアウォール ポリシールールの場合、ALL に設定することはできません。 |
port_range[ ] |
文字列 | ファイアウォール ポリシー ルールに適用されるポート範囲のリスト。例: 8080-9090 |
InstanceDetails
| フィールド | タイプ | 説明 |
|---|---|---|
project_id |
文字列 | Compute Engine VM を含むプロジェクトの ID。 |
vm_name |
文字列 | Compute Engine VM のインスタンス名。 |
region |
文字列 | Compute Engine VM のリージョン。 |
zone |
文字列 | Compute Engine VM のゾーン。 |
LoadBalancingDetails
| フィールド | タイプ | 説明 |
|---|---|---|
forwarding_rule_project_id |
文字列 | 転送ルールを含むGoogle Cloud プロジェクト ID。 |
type |
文字列 | ロードバランサのタイプ: APPLICATION_LOAD_BALANCER は、内部アプリケーション ロードバランサを示します。PROXY_NETWORK_LOAD_BALANCER は、内部プロキシ ネットワーク ロードバランサを示します。 |
scheme |
文字列 | ロードバランサ スキーム(INTERNAL_MANAGED)。 |
url_map_name |
文字列 | URL マップの名前。type が APPLICATION_LOAD_BALANCER の場合にのみ入力されます。 |
forwarding_rule_name |
文字列 | 転送ルールの名前。 |
VpcDetails
| フィールド | タイプ | 説明 |
|---|---|---|
project_id |
文字列 | ネットワークを含むプロジェクトの ID。 |
vpc_name |
文字列 | VM が動作しているネットワーク。 |
subnetwork_name |
文字列 | VM が動作しているサブネット。 |
GeographicDetails
| フィールド | タイプ | 説明 |
|---|---|---|
continent |
文字列 | 外部エンドポイントの大陸名。 |
country |
文字列 | 外部エンドポイントの国名。 |
region |
文字列 | 外部エンドポイントのリージョン名。 |
city |
文字列 | 外部エンドポイントの都市名。 |
次のステップ
- VPC ファイアウォール ルールのロギング形式。
- ファイアウォール ポリシー ルールのロギングの概要をご覧ください。
- ファイアウォール ポリシー ルールのロギングを管理する。
- Cloud Logging の概要。