本頁說明 Cloud Logging 中的防火牆政策規則記錄結構。如果已啟用記錄功能的防火牆規則套用至虛擬機器 (VM) 執行個體的往來流量,Cloud Logging 就會建立記錄項目。記錄記錄會顯示在 Logging LogEntry 的 JSON 酬載欄位中。
防火牆記錄包含基礎欄位 (每個記錄的核心欄位) 和選用的中繼資料欄位。如要降低儲存費用,可以排除中繼資料欄位。
部分記錄欄位可能包含其他欄位做為值。舉例來說,connection 欄位採用 IpConnection 格式,也就是一個欄位同時包含來源和目的地 IP 位址及通訊埠,外加通訊協定等資料。
下表說明 Cloud Next Generation Firewall 防火牆政策規則支援的記錄檔欄位,例如階層式、全域和區域,但不包括網路標記和服務帳戶等舊版欄位,這些欄位不支援 Cloud NGFW 政策。
| 欄位 | 說明 | 欄位類型:基本或選填中繼資料 |
|---|---|---|
connection |
IpConnection 5 個元組,說明這個連線的來源和目的地 IP 位址、來源和目的地通訊埠,以及 IP 通訊協定。 |
基本 |
disposition |
指出連線是 ALLOWED、DENIED 還是 INTERCEPTED。 |
基本 |
rule_details.reference |
防火牆政策規則的參照。記錄格式為 {folder tier index}/firewallPolicy:{firewall policy ID} 或 network:{network name}/firewallPolicy:{firewall policy ID},視政策範圍而定。 |
基本 |
rule_details.priority |
為防火牆政策規則定義的優先順序。 | 基本 |
rule_details.action |
為防火牆政策規則定義的動作。可以設為 ALLOWED、DENIED 或 APPLY_SECURITY_PROFILE_GROUP。 |
基本 |
rule_details.apply_security_profile_fallback_action |
只有在動作為 APPLY_SECURITY_PROFILE_GROUP 時才適用。
可設為 ALLOW 或 UNSPECIFIED。
如果處置方式為 INTERCEPTED,則會設定 UNSPECIFIED。 |
中繼資料 |
rule_details.direction |
防火牆政策規則的適用方向。可以設為 ingress 或 egress。 |
基本 |
rule_details.ip_port_info[ ] |
IP 通訊協定和適用通訊埠範圍的清單。防火牆政策規則的
ip_protocol 子欄位無法設為 ALL
。 |
基本 |
rule_details.source_range[ ]rule_details.destination_range[ ] |
防火牆政策規則適用的來源或目的地 IP 範圍清單。 | 中繼資料 |
rule_details.source_secure_tag[ ]rule_details.target_secure_tag[ ] |
防火牆政策規則適用的所有來源或目標安全標記清單。 | 中繼資料 |
rule_details.target_resource[ ] |
目標資源字串。例如:projects/{project ID}/global/networks/{network name}。適用於階層式防火牆政策。 |
中繼資料 |
rule_details.source_region_code[ ]rule_details.destination_region_code[ ] |
防火牆政策規則適用的所有來源或目的地國家/地區代碼清單。 | 中繼資料 |
rule_details.source_fqdn[ ]rule_details.destination_fqdn[ ] |
防火牆政策規則適用的所有來源或目的地網域名稱清單。 | 中繼資料 |
rule_details.source_threat_intelligence[ ]rule_details.destination_threat_intelligence[ ] |
防火牆政策規則適用的所有來源或目的地 Google 威脅情報名稱清單。 | 中繼資料 |
rule_details.source_address_groups[ ]rule_details.destination_address_groups[ ] |
防火牆政策規則適用的所有來源或目的地位址群組清單。 | 中繼資料 |
instance |
InstanceDetails VM 執行個體詳細資料。在 Shared VPC 設定中, project_id 會對應至服務專案。 |
中繼資料 |
load_balancer_details |
LoadBalancingDetails 防火牆政策規則適用的內部應用程式負載平衡器或內部 Proxy 網路負載平衡器詳細資料。如果防火牆規則的目標是其中一個負載平衡器,系統會省略 instance 欄位。 |
中繼資料 |
vpc |
VpcDetails 虛擬私有雲網路詳細資料。在 Shared VPC 設定中, project_id 會對應至主專案。 |
中繼資料 |
remote_instance |
InstanceDetails 如果連線的遠端端點是位於 Compute Engine 中的 VM,這個欄位會填入 VM 執行個體詳細資料。 |
中繼資料 |
remote_vpc |
VpcDetails 如果連線的遠端端點是位於虛擬私有雲網路中的 VM,這個欄位會填入網路詳細資料。 |
中繼資料 |
remote_location |
GeographicDetails 如果連線的遠端端點位於虛擬私有雲網路外部,這個欄位會填入可用的地點中繼資料。 |
中繼資料 |
IpConnection
| 欄位 | 類型 | 說明 |
|---|---|---|
src_ip |
字串 | 來源 IP 位址。如果來源是 Compute Engine VM,則 src_ip 是主要內部 IP 位址,或是 VM 網路介面別名 IP 範圍內的位址。不會顯示外部 IP 位址。記錄檔會顯示 VM 在封包標頭上看到的 IP 位址,與您在 VM 上執行 tcpdump 時看到的相同。 |
src_port |
整數 | 來源通訊埠 |
dest_ip |
字串 | 目標 IP 位址。如果目的地是 VM, Google Cloud dest_ip 可以是主要內部 IP 位址,也可以是 VM 網路介面別名 IP 範圍內的位址。即使連線時使用外部 IP 位址,系統也不會顯示該位址。 |
dest_port |
整數 | 目的地通訊埠。 |
protocol |
整數 | 連線的 IP 通訊協定。 |
RuleDetails
| 欄位 | 類型 | 說明 |
|---|---|---|
reference |
字串 | 防火牆政策規則的參照。防火牆政策規則的格式如下:
|
priority |
整數 | 防火牆政策規則的優先順序。 |
action |
字串 | 防火牆政策規則的動作。可以是 ALLOW、DENY 或 APPLY_SECURITY_PROFILE_GROUP。 |
apply_security_profile_fallback_action |
字串 | 如果動作為 APPLY_SECURITY_PROFILE_GROUP,則適用此屬性。
值為 ALLOW 或 UNSPECIFIED
如果連線處置為 INTERCEPTED,則會設定此值。 |
direction |
字串 | 防火牆政策規則的適用方向 (ingress 或 egress)。 |
source_range[ ] |
字串 | 防火牆政策規則適用的來源範圍清單。 |
destination_range[ ] |
字串 | 防火牆政策規則適用的目的地範圍清單。 |
target_resource[ ] |
字串 | 目標資源字串,格式為 projects/{project ID}/global/networks/{network name}。這項功能適用於階層式防火牆政策。 |
source_secure_tag[ ] |
字串 | 防火牆政策規則適用的所有來源安全標記清單。 |
target_secure_tag[ ] |
字串 | 防火牆政策規則適用的所有目標安全標記清單。 |
source_region_code[ ] |
字串 | 防火牆政策規則適用的所有來源國家/地區代碼清單。 |
destination_region_code[ ] |
字串 | 防火牆政策規則適用的所有目的地國家/地區代碼清單。 |
source_fqdn[ ] |
字串 | 防火牆政策規則適用的所有來源網域名稱清單。 |
destination_fqdn[ ] |
字串 | 防火牆政策規則適用的所有目的地網域名稱清單。 |
source_threat_intelligence[ ] |
字串 | 防火牆政策規則適用的所有來源 Google 威脅情報清單名稱。 |
destination_threat_intelligence[ ] |
字串 | 防火牆政策規則適用的所有目的地 Google 威脅情報清單名稱。 |
source_address_groups[ ] |
字串 | 防火牆政策規則適用的所有來源位址群組清單。 |
destination_address_groups[ ] |
字串 | 防火牆政策規則適用的所有目的地位址群組清單。 |
IpPortDetails
| 欄位 | 類型 | 說明 |
|---|---|---|
ip_protocol |
字串 | 防火牆政策規則適用的 IP 通訊協定。防火牆政策規則無法設為 ALL。 |
port_range[ ] |
字串 | 防火牆政策規則的適用通訊埠範圍清單。
例如 8080-9090。 |
InstanceDetails
| 欄位 | 類型 | 說明 |
|---|---|---|
project_id |
字串 | Compute Engine VM 所屬專案的 ID。 |
vm_name |
字串 | Compute Engine VM 的執行個體名稱。 |
region |
字串 | Compute Engine VM 的區域。 |
zone |
字串 | Compute Engine VM 的可用區。 |
LoadBalancingDetails
| 欄位 | 類型 | 說明 |
|---|---|---|
forwarding_rule_project_id |
字串 | Google Cloud 包含轉送規則的專案 ID。 |
type |
字串 | 負載平衡器類型:APPLICATION_LOAD_BALANCER 表示內部應用程式負載平衡器。PROXY_NETWORK_LOAD_BALANCER 表示內部 Proxy 網路負載平衡器。 |
scheme |
字串 | 負載平衡器架構,INTERNAL_MANAGED。 |
url_map_name |
字串 | 網址對應名稱。只有在 type 為 APPLICATION_LOAD_BALANCER 時,才會填入這個欄位。 |
forwarding_rule_name |
字串 | 轉送規則名稱。 |
VpcDetails
| 欄位 | 類型 | 說明 |
|---|---|---|
project_id |
字串 | 網路所屬專案的 ID。 |
vpc_name |
字串 | VM 運作的網路。 |
subnetwork_name |
字串 | VM 運作所在的子網路。 |
GeographicDetails
| 欄位 | 類型 | 說明 |
|---|---|---|
continent |
字串 | 外部端點的大陸名稱。 |
country |
字串 | 外部端點的國家/地區名稱。 |
region |
字串 | 外部端點的區域名稱。 |
city |
字串 | 外部端點的城市名稱。 |