Esta página descreve a estrutura de geração de registros de regras de política de firewall no
Cloud Logging. Quando uma regra de firewall com a geração de registros ativada se aplica ao tráfego de ou para uma instância de máquina virtual (VM), o Cloud Logging cria uma entrada de registro. Os registros aparecem no campo de payload JSON de um
LogEntry do
Logging.
Os registros de firewall consistem em campos básicos, que são os campos principais de cada registro, e campos de metadados opcionais. Para reduzir os custos de armazenamento, é possível excluir campos de metadados.
Alguns campos de registro podem conter outros campos como valores. Por exemplo, o campo
connection usa o formato IpConnection, que inclui o endereço IP e a porta de origem e
destino, além do protocolo, em um único campo.
A tabela a seguir descreve os campos de registro compatíveis com regras de política de firewall do Cloud Next Generation Firewall, como hierárquicas, globais e regionais, excluindo campos legados, como tags de rede e contas de serviço, que não são compatíveis com políticas do Cloud NGFW.
| Campo | Descrição | Tipo de campo: base ou metadados opcionais |
|---|---|---|
connection |
IpConnection Cinco tuplas que descrevem os endereços IP e a porta de origem e destino, além do protocolo IP da conexão. |
Base |
disposition |
Indica se a conexão foi ALLOWED,
DENIED ou INTERCEPTED. |
Base |
rule_details.reference |
Referência à regra da política de firewall. O formato do registro é
{folder tier index}/firewallPolicy:{firewall policy ID} ou
network:{network name}/firewallPolicy:{firewall policy ID}
com base no escopo da política. |
Base |
rule_details.priority |
A prioridade definida para a regra da política de firewall. | Base |
rule_details.action |
A ação definida para a regra da política de firewall. Ele pode ser definido como
ALLOWED, DENIED ou
APPLY_SECURITY_PROFILE_GROUP. |
Base |
rule_details.apply_security_profile_fallback_action |
Aplicável somente se a ação for APPLY_SECURITY_PROFILE_GROUP.
Ele pode ser definido como ALLOW ou UNSPECIFIED.
UNSPECIFIED é definido se a disposição for INTERCEPTED. |
Metadados |
rule_details.direction |
A direção em que a regra da política de firewall se aplica. Pode ser definido como
ingress ou egress. |
Base |
rule_details.ip_port_info[ ] |
Lista de protocolos IP e intervalos de portas aplicáveis. O subcampo
ip_protocol não pode ser definido como ALL
para regras de política de firewall. |
Base |
rule_details.source_range[ ]rule_details.destination_range[ ] |
Lista de intervalos de IP de origem ou destino a que a regra de política de firewall se aplica. | Metadados |
rule_details.source_secure_tag[ ]rule_details.target_secure_tag[ ] |
Lista de todas as tags seguras de origem ou destino a que a regra da política de firewall se aplica. | Metadados |
rule_details.target_resource[ ] |
String do recurso de destino. Por exemplo,
projects/{project ID}/global/networks/{network name}. Ela é aplicável às políticas de firewall hierárquicas. |
Metadados |
rule_details.source_region_code[ ]rule_details.destination_region_code[ ] |
Lista de todos os códigos de países de origem ou destino a que a regra da política de firewall se aplica. | Metadados |
rule_details.source_fqdn[ ]rule_details.destination_fqdn[ ] |
Lista de todos os nomes de domínio de origem ou destino a que a regra da política de firewall se aplica. | Metadados |
rule_details.source_threat_intelligence[ ]rule_details.destination_threat_intelligence[ ] |
Lista de todos os nomes de origem ou destino do Google Threat Intelligence a que a regra da política de firewall se aplica. | Metadados |
rule_details.source_address_groups[ ]rule_details.destination_address_groups[ ] |
Lista de todos os grupos de endereços de origem ou destino a que a regra da política de firewall se aplica. | Metadados |
instance |
InstanceDetails Detalhes da instância da VM. Em uma configuração de VPC compartilhada, project_id corresponde ao ID do projeto de serviço. |
Metadados |
load_balancer_details |
LoadBalancingDetails Detalhes do balanceador de carga de aplicativo interno ou do balanceador de carga de rede de proxy interno a que a regra da política de firewall se aplica. Quando o destino de uma regra de firewall é um desses balanceadores de carga, o campo instance é omitido. |
Metadados |
vpc |
VpcDetails Detalhes da rede VPC. Em uma configuração de VPC compartilhada, project_id corresponde ao ID do projeto host. |
Metadados |
remote_instance |
InstanceDetails Se o endpoint remoto da conexão for uma VM localizada no Compute Engine, esse campo será preenchido com os detalhes da instância da VM. |
Metadados |
remote_vpc |
VpcDetails Se o endpoint remoto da conexão for uma VM localizada em uma rede VPC, esse campo será preenchido com os detalhes da rede. |
Metadados |
remote_location |
GeographicDetails Se o endpoint remoto da conexão for externo à rede VPC, este campo será preenchido com os metadados de local disponíveis. |
Metadados |
IpConnection
| Campo | Tipo | Descrição |
|---|---|---|
src_ip |
string | Endereço IP de origem. Se a origem for uma VM do Compute Engine, src_ip será o endereço de IP interno principal ou um endereço em um intervalo de IP de alias da interface de rede da VM. O endereço IP externo não é exibido. O Logging mostra o endereço IP da VM conforme ela o vê no cabeçalho do pacote, como se você tivesse executado
tcpdump na VM. |
src_port |
integer | Porta de origem |
dest_ip |
string | Endereço IP de destino. Se o destino for uma VM Google Cloud ,
dest_ip será o endereço IP interno principal ou um endereço
em um intervalo de IP de alias da interface de rede da VM. O endereço IP externo não é exibido, mesmo que tenha sido usado para fazer a conexão. |
dest_port |
integer | A porta de destino. |
protocol |
integer | Protocolo IP da conexão. |
RuleDetails
| Campo | Tipo | Descrição |
|---|---|---|
reference |
string | Referência à regra da política de firewall. O formato das regras da política de firewall é:
|
priority |
integer | A prioridade da regra da política de firewall. |
action |
string | A ação da regra da política de firewall. Pode ser ALLOW,
DENY ou APPLY_SECURITY_PROFILE_GROUP. |
apply_security_profile_fallback_action |
string | Aplicável se a ação for APPLY_SECURITY_PROFILE_GROUP.
Os valores são ALLOW ou UNSPECIFIED. Definido se a disposição da conexão for INTERCEPTED. |
direction |
string | A direção em que a regra da política de firewall se aplica (ingress ou egress). |
source_range[ ] |
string | Lista de intervalos de origem a que a regra de política de firewall se aplica. |
destination_range[ ] |
string | Lista de intervalos de destino a que a regra de política de firewall se aplica. |
target_resource[ ] |
string | Strings de recursos de destino formatadas como
projects/{project ID}/global/networks/{network name}.
Ela está disponível em políticas de firewall hierárquicas. |
source_secure_tag[ ] |
string | Lista de todas as tags seguras de origem a que a regra da política de firewall se aplica. |
target_secure_tag[ ] |
string | Lista de todas as tags seguras de destino a que a regra da política de firewall se aplica. |
source_region_code[ ] |
string | Lista de todos os códigos de países de origem a que a regra da política de firewall se aplica. |
destination_region_code[ ] |
string | Lista de todos os códigos de países de destino a que a regra da política de firewall se aplica. |
source_fqdn[ ] |
string | Lista de todos os nomes de domínio de origem a que a regra da política de firewall se aplica. |
destination_fqdn[ ] |
string | Lista de todos os nomes de domínio de destino a que a regra da política de firewall se aplica. |
source_threat_intelligence[ ] |
string | Lista de todos os nomes de lista do Google Threat Intelligence de origem a que a regra da política de firewall se aplica. |
destination_threat_intelligence[ ] |
string | Lista de todos os nomes de listas de Google Threat Intelligence de destino a que a regra da política de firewall se aplica. |
source_address_groups[ ] |
string | Lista de todos os grupos de endereços de origem a que a regra da política de firewall se aplica. |
destination_address_groups[ ] |
string | Lista de todos os grupos de endereços de destino aos quais a regra da política de firewall se aplica. |
IpPortDetails
| Campo | Tipo | Descrição |
|---|---|---|
ip_protocol |
string | Protocolo IP ao qual a regra da política de firewall se aplica. Não pode ser definido como ALL para regras de política de firewall. |
port_range[ ] |
string | Lista de intervalos de porta aplicáveis às regras de política de firewall.
Por exemplo, 8080-9090 |
InstanceDetails
| Campo | Tipo | Descrição |
|---|---|---|
project_id |
string | ID do projeto que contém a VM do Compute Engine. |
vm_name |
string | Nome da instância da VM do Compute Engine. |
region |
string | Região da VM do Compute Engine. |
zone |
string | Zona da VM do Compute Engine. |
LoadBalancingDetails
| Campo | Tipo | Descrição |
|---|---|---|
forwarding_rule_project_id |
string | Google Cloud ID do projeto que contém a regra de encaminhamento. |
type |
string | Tipo de balanceador de carga: APPLICATION_LOAD_BALANCER indica
um balanceador de carga de aplicativo interno. PROXY_NETWORK_LOAD_BALANCER indica um balanceador de carga de rede de proxy interno. |
scheme |
string | Esquema do balanceador de carga, INTERNAL_MANAGED. |
url_map_name |
string | Nome do mapa de URL. Preenchido apenas se o type
for APPLICATION_LOAD_BALANCER. |
forwarding_rule_name |
string | Nome da regra de encaminhamento. |
VpcDetails
| Campo | Tipo | Descrição |
|---|---|---|
project_id |
string | ID do projeto que contém a rede. |
vpc_name |
string | Rede em que a VM está operando. |
subnetwork_name |
string | Sub-rede em que a VM está operando. |
GeographicDetails
| Campo | Tipo | Descrição |
|---|---|---|
continent |
string | Nome do continente para endpoints externos. |
country |
string | Nome do país para endpoints externos. |
region |
string | Nome da região para endpoints externos. |
city |
string | Nome da cidade para endpoints externos. |
A seguir
- Formato de geração de registros de regras de firewall da VPC.
- Visão geral da geração de registros de regras da política de firewall.
- Gerenciar a geração de registros de regras da política de firewall.
- Visão geral do Cloud Logging.