ファイアウォール ポリシールール ロギングを使用すると、ファイアウォール ポリシールールの効果を監査、検証、分析できます。このロギングを使用すると、たとえば、トラフィックを拒否するように指定されたファイアウォール ポリシールールが意図したとおりに機能しているかどうかを確認できます。 ファイアウォール ポリシールール ロギングは、特定のファイアウォール ポリシールールによって影響を受ける接続数を確認する必要がある場合にも役立ちます。
ファイアウォール ポリシールールに一致する接続をログに記録する必要がある場合、そのファイアウォール ポリシールールに対してファイアウォール
ポリシールール ロギングを個別に有効にします。ルールの動作(allow、deny)や方向(ingress、egress)に関係なく、あらゆるファイアウォール
ポリシールールに任意でファイアウォール ポリシールール ロギングを有効化できます。
ファイアウォール ポリシールール ロギングでは、 Compute Engine 仮想マシン(VM)インスタンス間のトラフィックが記録されます。 これには、Compute Engine VM 上に構築された Google Cloud プロダクト( Google Kubernetes Engine(GKE)クラスタ や Google Kubernetes Engine フレキシブル環境インスタンスなど)が含まれます。
ファイアウォール ポリシールールに対してロギングを有効化すると、 Google Cloud が 接続レコードと呼ばれるエントリを、そのルールによってトラフィックが許可または拒否されるたびに作成します。これらのレコードは Cloud Logging で表示でき、Cloud Logging のエクスポート先としてサポートされている任意の宛先にログをエクスポートできます。
接続レコードごとに、送信元 IP アドレス、宛先 IP アドレス、プロトコルとポート、日時、およびトラフィックに適用されたファイアウォール ポリシールールへの参照が記録されます。
ログの表示については、 ファイアウォール ポリシールール ロギングを管理するをご覧ください。
仕様
ファイアウォール ポリシールール ロギングの仕様は次のとおりです。
サポートされていないルール: ファイアウォール ポリシールール ロギングは、レガシー ネットワークのルール、通常の VPC ネットワークの暗黙の上り(内向き)拒否ルールと暗黙の下り(外向き)許可ルール、または RoCE VPC ネットワークの暗黙の上り(内向き)許可ルールと下り(外向き)許可ルールではサポートされていません。
プロトコルのサポート: ファイアウォール ポリシールール ロギングでは、
TCP接続とUDP接続のみが記録されます。 他のプロトコルを モニタリングする場合は、 アウトオブバンド統合の使用を検討してください。接続ベースのロギング: ファイアウォール ポリシールール ロギングは、 個々のパケットごとではなく、接続が確立されたときに作成されます。 10 分ごとに少なくとも 1 回パケットが交換される限り、接続はアクティブなままです。新しいパケットごとにアイドル タイマーがリセットされます。そのため、トラフィックの連続ストリームでは、その期間全体に対して 1 つのログエントリのみが生成されます。アイドル期間のないアクティブな長時間ストリームを継続的に可視化する必要がある場合は、VPC フローログを使用します。
既存の接続: すでにアクティブな
TCP接続またはUDP接続に一致するルールでロギングを有効にしても、新しいログエントリは生成されません。ファイアウォール ポリシールールは、少なくとも 10 分間アイドル状態が続き、その後新しいパケットが送信された場合にのみ、接続をログに記録します。許可と拒否の動作:
許可 + ロギング: 許可された接続は 1 回だけログに記録されます。 ファイアウォール ルールはステートフルであるため、 接続が維持されてもエントリは繰り返されません。返信トラフィックは自動的に許可され、 ログに記録されません。
拒否 + ロギング: 一意の 5 タプルに対応するドロップされたパケット は、失敗した試行としてログに記録されます。その拒否された接続でパケットが観測される限り、ログエントリは 5 秒ごとに繰り返されます。
ログ生成の観点: ログエントリ が作成されるのは、ファイアウォール ポリシールールのロギングが有効化されていて、かつ、 そのルールが VM との間で送受信されるトラフィックに適用される場合のみです。エントリは、接続ロギング制限に従って作成されます。
レート制限: 単位時間あたりにログに記録される接続数は、通常の VPC ネットワークの場合は VM のマシンタイプによって 、RoCE VPC ネットワークの場合はルールのモニタリング アクションまたはロギング アクションによって 決まります。詳細については、 接続ロギングの制限と モニタリングとロギングをご覧ください。
高度な検査のためのセッションベースのロジック: ファイアウォール ポリシーで 高度な
apply_security_profile_groupアクションを使用すると、ロギングの動作が 接続ベースのロジックからセッションベースのロジックに変わります。Cloud NGFW は、複数の基盤となる接続が同じセッションに属している場合でも、ルールに一致し、ディープ パケット インスペクションのために正常にインターセプトされた初回セッションに対して、1 つの高レベルのログエントリを生成します。この高レベルのファイアウォール ログは、検査された接続ごとに生成される URL フィルタリングや脅威ログなどの詳細なレイヤ 7 ログとは異なります。
一意のアクションと処理: Cloud NGFW ポリシーログは、
INTERCEPTED処理とAPPLY_SECURITY_PROFILE_GROUPアクションを記録できる唯一のログです。 このアクションを使用すると、システムは追加のフィールド(apply_security_profile_fallback_action)をログに記録します。監査ログ: ファイアウォール ポリシールールの構成変更は、Cloud NGFW 監査ログで確認できます。詳細については、 Cloud NGFW 監査ロギングをご覧ください。
制限事項
ロギングを有効にして
apply_security_profile_groupアクションを使用すると、Cloud NGFW はすべてのセッションのログをキャプチャしません。この制限は、トラフィックの検査やインターセプトには影響しません。既存の
TCP接続またはUDP接続に一致するファイアウォール ポリシールールでロギングを有効にしても、それらのアクティブな接続に対してログエントリは生成されません。これらの接続のロギングは、少なくとも 10 分間アイドル状態になった後にのみ開始されます。IP プロトコル(
IpPortInfo.ip_protocol)を指定する場合、ファイアウォール ポリシールールにALLを設定することはできません。ファイアウォール ポリシールールでは、レガシー メタデータ フィールド(特に
source_tag、target_tag、source_service_account、target_service_accounts)のロギングはサポートされていません。
次のステップ
- ファイアウォール ポリシールール ロギングを管理する。
- ファイアウォール ポリシールール ロギングの例。
- Cloud Logging の概要。
- ファイアウォール ポリシールール ログの問題のトラブルシューティング。