ファイアウォール ポリシー ルール ロギングを使用すると、ファイアウォール ポリシー ルールの効果を監査、検証、分析できます。このロギングを使用すると、たとえば、トラフィックを拒否するように指定されたファイアウォール ポリシー ルールが意図したとおりに機能しているかどうかを確認できます。 ファイアウォール ポリシー ルール ロギングは、特定のファイアウォール ポリシー ルールによって影響を受ける接続数を確認する必要がある場合にも役立ちます。
ファイアウォール ポリシー ルールに一致する接続をログに記録する必要がある場合、そのファイアウォール ポリシー ルールに対してファイアウォール
ポリシー ルール ロギングを個別に有効にします。ルールの動作(allow、deny)や方向(ingress、egress)に関係なく、あらゆるファイアウォール
ポリシー ルールに任意でファイアウォール ポリシー ルール ロギングを有効化できます。
ファイアウォール ポリシー ルール ロギングでは、Compute Engine 仮想マシン(VM)インスタンス間のトラフィックが記録されます。これには、Compute Engine VM 上に構築された Google Cloud プロダクト( Google Kubernetes Engine(GKE)クラスタ やGoogle Kubernetes Engine フレキシブル環境インスタンスなど)が含まれます。
ファイアウォール ポリシー ルールに対してロギングを有効化すると、 Google Cloud が 接続レコードと呼ばれるエントリを、そのルールによってトラフィックが許可または拒否されるたびに作成します。 これらのレコードは Cloud Logging で表示でき、Cloud Logging のエクスポート先としてサポートされている任意の宛先にログをエクスポートできます。
接続レコードごとに、送信元 IP アドレス、宛先 IP アドレス、プロトコルとポート、日時、およびトラフィックに適用されたファイアウォール ポリシー ルールへの参照が記録されます。
ファイアウォール ポリシー ルール ロギングは、階層型ファイアウォール ポリシー ルールとネットワーク ファイアウォール ポリシー ルールの両方で使用できます。ログの表示については、 ファイアウォール ポリシー ルール ロギングを管理するをご覧ください。
仕様
ファイアウォール ポリシー ルール ロギングの仕様は次のとおりです。
サポートされていないルール: ファイアウォール ポリシー ルール ロギングは、 以前のネットワークのルール、 通常の VPC ネットワークの暗黙の上り(内向き)拒否ルールと暗黙の下り(外向き)許可ルール、または RoCE VPC ネットワークの暗黙の上り(内向き)許可ルールと下り(外向き)許可ルールではサポートされていません。
プロトコルのサポート: ファイアウォール ポリシー ルール ロギングで記録される接続は、
TCPとUDP接続に限られます。 他のプロトコルを モニタリングする場合は、 アウトオブバンド統合の使用を検討してください。接続ベースのロギング: ファイアウォール ポリシー ルール ロギングは、個々のパケットごとではなく、 接続が確立されたときに作成されます。 10 分ごとに少なくとも 1 回パケットが交換される限り、接続はアクティブなままです。新しいパケットごとにアイドル タイマーがリセットされます。そのため、トラフィックの連続ストリームでは、期間全体で 1 つのログエントリのみが生成されます。アイドル期間のないアクティブな長時間ストリームを継続的に可視化する必要がある場合は、VPC フローログを使用します。
既存の接続: すでにアクティブな
TCP接続またはUDP接続に一致するルールでロギングを有効にしても、新しいログエントリは生成されません。ファイアウォール ポリシー ルールは、少なくとも 10 分間アイドル状態が続き、その後新しいパケットが送信された場合にのみ接続をログに記録します。許可と拒否の動作:
許可 + ロギング: 許可された接続は一度だけログに記録されます。 ファイアウォール ルールはステートフルであるため、接続が維持されても エントリは繰り返されません。返信トラフィックは自動的に許可され、 ログに記録されません。
拒否 + ロギング: 一意の 5 タプルに対応するドロップされたパケット は、失敗した試行としてログに記録されます。拒否された接続でパケットが観測される限り、ログエントリは 5 秒ごとに繰り返されます。
ログ生成の観点: ログエントリ が作成されるのは、ファイアウォール ポリシー ルールのロギングが有効化されていて、かつ、 そのルールが VM との間で送受信されるトラフィックに適用される場合のみです。エントリは、接続ロギング制限に従って作成されます。
レート上限: 単位時間あたりに記録される接続数は、通常の VPC ネットワークの場合は VM のマシンタイプによって 、RoCE VPC ネットワークの場合はルールのモニタリング アクションまたはロギング アクションによって 決まります。詳細については、 接続ロギングの制限と モニタリングとロギングをご覧ください。
高度な検査のためのセッションベースのロジック: ファイアウォール ポリシーで 高度な
apply_security_profile_groupアクションを使用すると、ロギングの動作が 接続ベースのロジックからセッションベースのロジックに変わります。Cloud NGFW は、複数の基盤となる接続が同じセッションに属している場合でも、ルールに一致し、ディープ パケット インスペクションのために正常にインターセプトされた初回セッションに対して、1 つの高レベルのログエントリを生成します。この高レベルのファイアウォール ログは、検査された接続ごとに生成される詳細なレイヤ 7 ログ(URL フィルタリング ログや脅威ログなど)とは異なります。
一意のアクションと処理: Cloud NGFW ポリシーログは、
INTERCEPTED処理とAPPLY_SECURITY_PROFILE_GROUPアクションを記録できる唯一のログです。 このアクションを使用すると、システムは追加のフィールド(apply_security_profile_fallback_action)をログに記録します。監査ログ: ファイアウォール ポリシー ルールの構成変更は、Cloud NGFW 監査ログで確認できます。詳細については、 Cloud NGFW 監査ロギングをご覧ください。
制限事項
ロギングを有効にして
apply_security_profile_groupアクションを使用すると、Cloud NGFW はすべてのセッションのログをキャプチャしません。この制限は、トラフィックの検査やインターセプトには影響しません。既存の
TCP接続またはUDP接続に一致するファイアウォール ポリシー ルールでロギングを有効にしても、アクティブな接続のログエントリは生成されません。これらの接続のロギングは、少なくとも 10 分間アイドル状態になった後に開始されます。IP プロトコル(
IpPortInfo.ip_protocol)を指定する場合、ファイアウォール ポリシー ルールにALLを設定することはできません。ファイアウォール ポリシー ルールは、レガシー メタデータ フィールド(特に
source_tag、target_tag、source_service_account、target_service_accounts)のロギングをサポートしていません。
次のステップ
- ファイアウォール ポリシー ルール ロギングを管理する。
- ファイアウォール ポリシー ルール ロギングの例。
- Cloud Logging の概要。
- ファイアウォール ポリシー ルール ログの問題のトラブルシューティング。