本页介绍了 Cloud Logging 中的防火墙政策规则日志记录结构。当已启用日志记录的防火墙规则应用于进出虚拟机 (VM) 实例的流量时,Cloud Logging 会创建日志条目。日志记录显示在 Logging LogEntry 的 JSON 载荷字段中。
防火墙日志记录包含基本字段(即每个日志记录的核心字段)以及可选的元数据字段。如需降低存储费用,您可以排除元数据字段。
某些日志字段可以包含其他字段作为值。例如,connection 字段采用 IpConnection 格式,它在单个字段中包含来源 IP 地址和目的地 IP 地址、端口以及协议。
下表介绍了 Cloud Next Generation Firewall 政策规则(例如分层、全局和区域政策规则)支持的日志字段,但不包括网络标记和服务账号等旧版字段,这些字段不受 Cloud NGFW 政策支持。
| 字段 | 说明 | 字段类型:基本或可选元数据 |
|---|---|---|
connection |
IpConnection 一个 5 元组,它表示此连接的源 IP 地址、目标 IP 地址、源端口、目标端口以及 IP 协议。 |
基本 |
disposition |
指示连接是 ALLOWED、DENIED 还是 INTERCEPTED。 |
基本 |
rule_details.reference |
对防火墙政策规则的引用。日志格式为 {folder tier index}/firewallPolicy:{firewall policy ID} 或 network:{network name}/firewallPolicy:{firewall policy ID},具体取决于政策的范围。 |
基本 |
rule_details.priority |
为防火墙政策规则定义的优先级。 | 基本 |
rule_details.action |
为防火墙政策规则定义的操作。可设置为 ALLOWED、DENIED 或 APPLY_SECURITY_PROFILE_GROUP。 |
基本 |
rule_details.apply_security_profile_fallback_action |
仅在操作为 APPLY_SECURITY_PROFILE_GROUP 时适用。
可设置为 ALLOW 或 UNSPECIFIED。
如果处置为 INTERCEPTED,则设置 UNSPECIFIED。 |
元数据 |
rule_details.direction |
防火墙政策规则适用的方向。可以设置为 ingress 或 egress。 |
基本 |
rule_details.ip_port_info[ ] |
IP 协议和适用端口范围的列表。对于防火墙政策规则,ip_protocol 子字段不能设置为 ALL。 |
基本 |
rule_details.source_range[ ]rule_details.destination_range[ ] |
防火墙政策规则适用的来源或目标 IP 范围的列表。 | 元数据 |
rule_details.source_secure_tag[ ]rule_details.target_secure_tag[ ] |
防火墙政策规则适用的所有来源或目标安全标记的列表。 | 元数据 |
rule_details.target_resource[ ] |
目标资源字符串。例如 projects/{project ID}/global/networks/{network name}。它适用于分层防火墙政策。 |
元数据 |
rule_details.source_region_code[ ]rule_details.destination_region_code[ ] |
防火墙政策规则适用的所有来源或目标国家/地区代码的列表。 | 元数据 |
rule_details.source_fqdn[ ]rule_details.destination_fqdn[ ] |
防火墙政策规则适用的所有来源或目标域名的列表。 | 元数据 |
rule_details.source_threat_intelligence[ ]rule_details.destination_threat_intelligence[ ] |
防火墙政策规则适用的所有来源或目标 Google Threat Intelligence 名称的列表。 | 元数据 |
rule_details.source_address_groups[ ]rule_details.destination_address_groups[ ] |
防火墙政策规则适用的所有来源或目标地址组的列表。 | 元数据 |
instance |
InstanceDetails 虚拟机实例详细信息。在共享 VPC 配置中, project_id 与服务项目的此内容相对应。 |
元数据 |
load_balancer_details |
LoadBalancingDetails 防火墙政策规则所适用的内部应用负载平衡器或内部代理网络负载平衡器的详细信息。如果防火墙规则的目标是上述任一负载平衡器,则会省略 instance 字段。 |
元数据 |
vpc |
VpcDetails VPC 网络详细信息。在共享 VPC 配置中, project_id 与宿主项目的相应参数相对应。 |
元数据 |
remote_instance |
InstanceDetails 如果连接的远程端点是位于 Google Compute Engine 中的虚拟机,则此字段会填充虚拟机实例详细信息。 |
元数据 |
remote_vpc |
VpcDetails 如果连接的远程端点是位于 VPC 网络中的虚拟机,则此字段会填充网络详细信息。 |
元数据 |
remote_location |
GeographicDetails 如果连接的远程端点在 VPC 网络的外部,则此字段会填充可用位置元数据。 |
元数据 |
IpConnection
| 字段 | 类型 | 说明 |
|---|---|---|
src_ip |
字符串 | 来源 IP 地址。如果来源是 Compute Engine 虚拟机,则 src_ip 是主要内部 IP 地址或虚拟机网络接口的别名 IP 范围内的地址。系统不显示外部 IP 地址。如果虚拟机在数据包标头上发现虚拟机的 IP 地址,则 Logging 将显示此地址,这与您在虚拟机上运行 tcpdump 一样。 |
src_port |
整数 | 来源端口 |
dest_ip |
字符串 | 目的地 IP 地址。如果目的地是 Google Cloud 虚拟机,则 dest_ip 是主要内部 IP 地址或虚拟机网络接口的别名 IP 范围内的地址。即使使用外部 IP 地址进行连接,系统也不会显示此地址。 |
dest_port |
整数 | 目标端口。 |
protocol |
整数 | 连接的 IP 协议。 |
RuleDetails
| 字段 | 类型 | 说明 |
|---|---|---|
reference |
字符串 | 对防火墙政策规则的引用。防火墙政策规则的格式为:
|
priority |
整数 | 防火墙政策规则的优先级。 |
action |
字符串 | 防火墙政策规则的操作。可以是 ALLOW、DENY 或 APPLY_SECURITY_PROFILE_GROUP。 |
apply_security_profile_fallback_action |
字符串 | 如果操作为 APPLY_SECURITY_PROFILE_GROUP,则此字段适用。
值为 ALLOW 或 UNSPECIFIED
如果连接处置为 INTERCEPTED,则设置此值。 |
direction |
字符串 | 防火墙政策规则适用的方向(ingress 或 egress)。 |
source_range[ ] |
字符串 | 防火墙政策规则适用的源范围列表。 |
destination_range[ ] |
字符串 | 防火墙政策规则适用的目的地范围列表。 |
target_resource[ ] |
字符串 | 格式为 projects/{project ID}/global/networks/{network name} 的目标资源字符串。
它适用于分层防火墙政策。 |
source_secure_tag[ ] |
字符串 | 防火墙政策规则适用的所有来源安全标记的列表。 |
target_secure_tag[ ] |
字符串 | 防火墙政策规则适用的所有目标安全标记的列表。 |
source_region_code[ ] |
字符串 | 防火墙政策规则适用的所有源国家/地区代码的列表。 |
destination_region_code[ ] |
字符串 | 防火墙政策规则适用的所有目标国家/地区代码的列表。 |
source_fqdn[ ] |
字符串 | 防火墙政策规则适用的所有源域名的列表。 |
destination_fqdn[ ] |
字符串 | 防火墙政策规则适用的所有目标域名的列表。 |
source_threat_intelligence[ ] |
字符串 | 防火墙政策规则适用的所有来源 Google Threat Intelligence 列表名称的列表。 |
destination_threat_intelligence[ ] |
字符串 | 防火墙政策规则适用的所有目标 Google Threat Intelligence 列表名称。 |
source_address_groups[ ] |
字符串 | 防火墙政策规则适用的所有源地址组的列表。 |
destination_address_groups[ ] |
字符串 | 防火墙政策规则适用的所有目标地址组的列表。 |
IpPortDetails
| 字段 | 类型 | 说明 |
|---|---|---|
ip_protocol |
字符串 | 防火墙政策规则所应用的 IP 协议。对于防火墙政策规则,此字段不能设置为 ALL。 |
port_range[ ] |
字符串 | 防火墙政策规则的适用端口范围列表。
例如 8080-9090。 |
InstanceDetails
| 字段 | 类型 | 说明 |
|---|---|---|
project_id |
字符串 | 包含 Compute Engine 虚拟机的项目的 ID。 |
vm_name |
字符串 | Compute Engine 虚拟机的实例名称。 |
region |
字符串 | Compute Engine 虚拟机所在的区域。 |
zone |
字符串 | Compute Engine 虚拟机的可用区。 |
LoadBalancingDetails
| 字段 | 类型 | 说明 |
|---|---|---|
forwarding_rule_project_id |
字符串 | 包含转发规则的Google Cloud 项目 ID。 |
type |
字符串 | 负载平衡器类型:APPLICATION_LOAD_BALANCER 表示内部应用负载平衡器。PROXY_NETWORK_LOAD_BALANCER 表示内部代理网络负载平衡器。 |
scheme |
字符串 | 负载平衡器方案,INTERNAL_MANAGED。 |
url_map_name |
字符串 | 网址映射的名称。仅当 type 为 APPLICATION_LOAD_BALANCER 时填充。 |
forwarding_rule_name |
字符串 | 转发规则的名称。 |
VpcDetails
| 字段 | 类型 | 说明 |
|---|---|---|
project_id |
字符串 | 包含相应网络的项目的 ID。 |
vpc_name |
字符串 | 运行虚拟机的网络。 |
subnetwork_name |
字符串 | 运行虚拟机的子网。 |
GeographicDetails
| 字段 | 类型 | 说明 |
|---|---|---|
continent |
字符串 | 外部端点所在的大洲名称。 |
country |
字符串 | 外部端点所在的国家/地区的名称。 |
region |
字符串 | 外部端点所在的区域名称。 |
city |
字符串 | 外部端点所在的城市名称。 |