방화벽 정책 규칙 로깅 형식

이 페이지에서는 Cloud Logging의 방화벽 정책 규칙 로깅 구조를 설명합니다. 로깅이 사용 설정된 방화벽 규칙이 가상 머신 (VM) 인스턴스를 오가는 트래픽에 적용되면 Cloud Logging에서 로그 항목을 만듭니다. 로그 기록은 Logging LogEntryJSON 페이로드 필드에 표시됩니다.

방화벽 로그 레코드는 모든 로그 레코드의 핵심 필드인 기본 필드와 선택적 메타데이터 필드로 구성됩니다. 스토리지 비용을 줄이려면 메타데이터 필드를 제외하면 됩니다.

일부 로그 필드는 다른 필드를 값으로 포함할 수 있습니다. 예를 들어 connection 필드는 IpConnection 형식을 사용하며, 여기에는 소스 및 대상 IP 주소와 포트, 프로토콜이 단일 필드에 포함됩니다.

다음 표에서는 Cloud NGFW 정책에서 지원되지 않는 네트워크 태그 및 서비스 계정과 같은 기존 필드를 제외하고 계층식, 전역, 리전과 같은 Cloud 차세대 방화벽 정책 규칙에 지원되는 로그 필드를 설명합니다.

필드 설명 필드 유형: 기본 또는 선택적 메타데이터
connection IpConnection
이 연결의 소스 및 대상 IP 주소, 소스 및 대상 포트, IP 프로토콜을 설명하는 5-튜플입니다.		 기본
disposition 연결이 ALLOWED, DENIED 또는 INTERCEPTED인지 나타냅니다. 기본
rule_details.reference 방화벽 정책 규칙에 대한 참조입니다. 로그 형식은 정책 범위에 따라 {folder tier index}/firewallPolicy:{firewall policy ID} 또는 network:{network name}/firewallPolicy:{firewall policy ID}입니다. 기본
rule_details.priority 방화벽 정책 규칙에 정의된 우선순위입니다. 기본
rule_details.action 방화벽 정책 규칙에 정의된 작업입니다. ALLOWED, DENIED 또는 APPLY_SECURITY_PROFILE_GROUP로 설정할 수 있습니다. 기본
rule_details.apply_security_profile_fallback_action 작업이 APPLY_SECURITY_PROFILE_GROUP인 경우에만 적용됩니다. ALLOW 또는 UNSPECIFIED로 설정할 수 있습니다. 처분이 INTERCEPTED이면 UNSPECIFIED이 설정됩니다. 메타데이터
rule_details.direction 방화벽 정책 규칙이 적용되는 방향입니다. ingress 또는 egress로 설정할 수 있습니다. 기본
rule_details.ip_port_info[ ] IP 프로토콜 및 적용 가능한 포트 범위 목록입니다. 방화벽 정책 규칙의 경우 ip_protocol 하위 필드를 ALL로 설정할 수 없습니다. 기본
rule_details.source_range[ ]
rule_details.destination_range[ ]		 방화벽 정책 규칙이 적용되는 소스 또는 대상 IP 범위 목록입니다. 메타데이터
rule_details.source_secure_tag[ ]
rule_details.target_secure_tag[ ]		 방화벽 정책 규칙이 적용되는 모든 소스 또는 타겟 보안 태그 목록입니다. 메타데이터
rule_details.target_resource[ ] 타겟 리소스 문자열입니다. 예를 들면 projects/{project ID}/global/networks/{network name}입니다. 계층식 방화벽 정책에 적용됩니다. 메타데이터
rule_details.source_region_code[ ]
rule_details.destination_region_code[ ]		 방화벽 정책 규칙이 적용되는 모든 소스 또는 대상 국가 코드 목록입니다. 메타데이터
rule_details.source_fqdn[ ]
rule_details.destination_fqdn[ ]		 방화벽 정책 규칙이 적용되는 모든 소스 또는 대상 도메인 이름 목록입니다. 메타데이터
rule_details.source_threat_intelligence[ ]
rule_details.destination_threat_intelligence[ ]		 방화벽 정책 규칙이 적용되는 모든 소스 또는 대상 Google 위협 인텔리전스 이름의 목록입니다. 메타데이터
rule_details.source_address_groups[ ]
rule_details.destination_address_groups[ ]		 방화벽 정책 규칙이 적용되는 모든 소스 또는 대상 주소 그룹의 목록입니다. 메타데이터
instance InstanceDetails
VM 인스턴스 세부정보입니다. 공유 VPC 구성에서 project_id는 서비스 프로젝트의 프로젝트 ID에 해당합니다.		 메타데이터
load_balancer_details LoadBalancingDetails
방화벽 정책 규칙이 적용되는 내부 애플리케이션 부하 분산기 또는 내부 프록시 네트워크 부하 분산기의 세부정보입니다. 방화벽 규칙의 대상이 이러한 부하 분산기 중 하나인 경우 instance 필드가 생략됩니다.		 메타데이터
vpc VpcDetails
VPC 네트워크 세부정보입니다. 공유 VPC 구성에서 project_id는 호스트 프로젝트의 프로젝트 ID에 해당합니다.		 메타데이터
remote_instance InstanceDetails
연결의 원격 엔드포인트가 Compute Engine에 위치한 VM인 경우 VM 인스턴스 세부정보가 이 필드에 입력됩니다.		 메타데이터
remote_vpc VpcDetails
연결의 원격 엔드포인트가 VPC 네트워크에 있는 VM인 경우 이 필드는 네트워크 세부정보로 채워집니다.		 메타데이터
remote_location GeographicDetails
연결의 원격 엔드포인트가 VPC 네트워크에 외부에 있는 경우 사용 가능한 위치 메타데이터가 이 필드에 입력됩니다.		 메타데이터

IpConnection

필드 유형 설명
src_ip 문자열 소스 IP 주소입니다. 소스가 Compute Engine VM인 경우 src_ip는 기본 내부 IP 주소이거나 VM 네트워크 인터페이스의 별칭 IP 범위에 있는 주소입니다. 외부 IP 주소는 표시되지 않습니다. 로깅에는 VM이 패킷 헤더에서 확인하는 VM의 IP 주소가 표시됩니다. 이는 VM에서 tcpdump를 실행한 것과 동일합니다.
src_port 정수 소스 포트
dest_ip 문자열 대상 IP 주소입니다. 대상이 Google Cloud VM인 경우 dest_ip는 기본 내부 IP 주소이거나 VM 네트워크 인터페이스의 별칭 IP 범위에 있는 주소입니다. 외부 IP 주소는 연결에 사용된 경우에도 표시되지 않습니다.
dest_port 정수 대상 포트입니다.
protocol 정수 연결의 IP 프로토콜입니다.

RuleDetails

필드 유형 설명
reference 문자열 방화벽 정책 규칙에 대한 참조입니다. 방화벽 정책 규칙의 형식은 다음과 같습니다.
  • 계층적 방화벽 정책: {folder tier index}/firewallPolicy:{id}
  • 전역 방화벽 정책: network:{network name}/firewallPolicy:{id}
  • 리전 방화벽 정책: network:{network name}/region:{region name}/firewallPolicy:{id}
priority 정수 방화벽 정책 규칙의 우선순위입니다.
action 문자열 방화벽 정책 규칙의 작업입니다. ALLOW, DENY 또는 APPLY_SECURITY_PROFILE_GROUP일 수 있습니다.
apply_security_profile_fallback_action 문자열 작업이 APPLY_SECURITY_PROFILE_GROUP인 경우 적용됩니다. 값은 ALLOW 또는 UNSPECIFIED입니다. 연결 처분이 INTERCEPTED인 경우 설정됩니다.
direction 문자열 방화벽 정책 규칙이 적용되는 방향입니다(ingress 또는 egress).
source_range[ ] 문자열 방화벽 정책 규칙이 적용되는 소스 범위 목록입니다.
destination_range[ ] 문자열 방화벽 정책 규칙이 적용되는 대상 범위 목록입니다.
target_resource[ ] 문자열 projects/{project ID}/global/networks/{network name} 형식의 대상 리소스 문자열입니다. 계층식 방화벽 정책에서 사용할 수 있습니다.
source_secure_tag[ ] 문자열 방화벽 정책 규칙이 적용되는 모든 소스 보안 태그 목록입니다.
target_secure_tag[ ] 문자열 방화벽 정책 규칙이 적용되는 모든 대상 보안 태그 목록입니다.
source_region_code[ ] 문자열 방화벽 정책 규칙이 적용되는 모든 소스 국가 코드 목록입니다.
destination_region_code[ ] 문자열 방화벽 정책 규칙이 적용되는 모든 대상 국가 코드 목록입니다.
source_fqdn[ ] 문자열 방화벽 정책 규칙이 적용되는 모든 소스 도메인 이름 목록입니다.
destination_fqdn[ ] 문자열 방화벽 정책 규칙이 적용되는 모든 대상 도메인 이름 목록입니다.
source_threat_intelligence[ ] 문자열 방화벽 정책 규칙이 적용되는 모든 소스 Google Threat Intelligence 목록 이름의 목록입니다.
destination_threat_intelligence[ ] 문자열 방화벽 정책 규칙이 적용되는 모든 대상 Google Threat Intelligence 목록 이름의 목록입니다.
source_address_groups[ ] 문자열 방화벽 정책 규칙이 적용되는 모든 소스 주소 그룹의 목록입니다.
destination_address_groups[ ] 문자열 방화벽 정책 규칙이 적용되는 모든 대상 주소 그룹의 목록입니다.

IpPortDetails

필드 유형 설명
ip_protocol 문자열 방화벽 정책 규칙이 적용되는 IP 프로토콜입니다. 방화벽 정책 규칙의 경우 ALL로 설정할 수 없습니다.
port_range[ ] 문자열 방화벽 정책 규칙에 적용 가능한 포트 범위 목록입니다. 예를 들면 8080-9090입니다.

InstanceDetails

필드 유형 설명
project_id 문자열 Compute Engine VM이 포함된 프로젝트의 ID입니다.
vm_name 문자열 Compute Engine VM의 인스턴스 이름입니다.
region 문자열 Compute Engine VM의 리전입니다.
zone 문자열 Compute Engine VM의 영역입니다.

LoadBalancingDetails

필드 유형 설명
forwarding_rule_project_id 문자열 전달 규칙이 포함된Google Cloud 프로젝트 ID
type 문자열 부하 분산기 유형: APPLICATION_LOAD_BALANCER는 내부 애플리케이션 부하 분산기를 나타냅니다. PROXY_NETWORK_LOAD_BALANCER는 내부 프록시 네트워크 부하 분산기를 나타냅니다.
scheme 문자열 부하 분산기 스키마(INTERNAL_MANAGED)
url_map_name 문자열 URL 맵의 이름입니다. typeAPPLICATION_LOAD_BALANCER인 경우에만 채워집니다.
forwarding_rule_name 문자열 전달 규칙의 이름

VpcDetails

필드 유형 설명
project_id 문자열 네트워크가 포함된 프로젝트의 ID입니다.
vpc_name 문자열 VM이 작동 중인 네트워크입니다.
subnetwork_name 문자열 VM이 작동 중인 서브넷입니다.

GeographicDetails

필드 유형 설명
continent 문자열 외부 엔드포인트의 대륙 이름입니다.
country 문자열 외부 엔드포인트의 국가 이름입니다.
region 문자열 외부 엔드포인트의 리전 이름입니다.
city 문자열 외부 엔드포인트의 도시 이름입니다.

다음 단계