防火墙政策规则日志记录概览

通过防火墙政策规则日志记录，您可以审核、验证和分析防火墙政策规则所带来的影响。例如，您可以确定用于拒绝流量的防火墙政策规则是否如期发挥作用。如果您需要确定特定防火墙政策规则影响的连接数，防火墙政策规则日志记录也非常有用。

对于您需要记录其连接的每一条防火墙政策规则，您都要单独启用防火墙政策规则日志记录。防火墙政策规则日志记录选项适用于所有防火墙政策规则，与规则的操作（allow 或 deny）或方向（ingress 或 egress）无关。

防火墙政策规则日志记录会记录进出 Compute Engine 虚拟机实例的流量。这包括在 Compute Engine 虚拟机上构建的 Google Cloud 产品，例如 Google Kubernetes Engine (GKE) 集群和 Google Kubernetes Engine 柔性环境实例。

启用防火墙政策规则日志记录后， Google Cloud 会在规则允许或拒绝流量时创建称为连接记录的条目。 您可以在 Cloud Logging 中查看这些记录，并将日志导出至 Cloud Logging 导出功能支持的任意目的地。

每一条连接记录都包含来源和目的地 IP 地址、协议和端口、日期和时间，以及对流量所应用的防火墙政策规则的引用。

如需了解如何查看日志，请参阅管理防火墙政策规则日志记录。

规格

防火墙政策规则日志记录具有以下规范：

• 支持的部署：您可以为与常规 VPC 网络关联的分层防火墙政策、全球网络防火墙政策、区域级网络防火墙政策和区域级系统防火墙政策中的防火墙政策规则启用日志记录，也可以为与 RoCE VPC 网络关联的区域级网络防火墙政策中的防火墙政策规则启用日志记录。

• 不支持的规则：防火墙政策规则日志记录不支持以下规则：旧版网络中的规则、常规 VPC 网络中的隐式拒绝入站和隐式允许出站规则，或 RoCE VPC 网络的隐式允许入站和出站规则。

• 协议支持：防火墙政策规则日志记录仅记录 TCP 和 UDP 连接。如果您想监控其他协议，请考虑使用带外集成。

• 基于连接的日志记录：防火墙政策规则日志是在建立连接时创建的，而不是针对每个单独的数据包创建的。只要每 10 分钟至少交换一次数据包，连接就会保持活跃状态。每个新数据包都会重置空闲计时器。因此，持续的流量流在其整个持续时间内只会生成一条日志条目。如果您需要持续了解活跃的长期存在的数据流（无空闲时段），请使用 VPC 流日志。

• 现有连接：如果您为与已处于活动状态的 TCP 或 UDP 连接匹配的规则启用日志记录，则不会生成新的日志条目。仅当连接保持空闲状态至少 10 分钟，并且随后发送了新数据包时，防火墙政策规则才会记录该连接。

• 允许和拒绝行为：

  • 允许 + 日志记录：系统仅记录一次允许的连接，即使连接持续，也不会重复记录条目，因为防火墙规则是有状态的，回复流量会自动允许，并且不会记录。

  • 拒绝 + 日志记录：与唯一五元组对应的每个丢弃的数据包均会被记录为一次失败的尝试。只要在被拒的连接中检测到数据包，系统就会每 5 秒钟重复记录一次日志条目。

• 日志生成视角：仅当防火墙政策规则启用了日志记录，且该规则适用于进出虚拟机的流量时，才会创建日志条目。系统会根据连接日志记录限制来创建条目。

• 速率限制：每单位时间记录的连接数由常规 VPC 网络的虚拟机的机器类型决定，或者由 RoCE VPC 网络的规则的监控或日志记录操作决定。如需了解详情，请参阅连接日志记录限制以及监控和日志记录

• 用于高级检查的基于会话的逻辑：当防火墙政策使用高级 apply_security_profile_group 操作时，日志记录行为会从基于连接的逻辑转变为基于会话的逻辑。

  Cloud NGFW 会为符合规则并成功拦截以进行深度数据包检测的初次会话生成一条高级别日志条目，即使多个底层连接属于同一会话也是如此。这种高级防火墙日志不同于详细的第 7 层日志，例如针对每个受检查的连接生成的网址过滤或威胁日志。

• 唯一身份操作和处置：Cloud NGFW 政策日志是唯一可以记录 INTERCEPTED 处置和 APPLY_SECURITY_PROFILE_GROUP 操作的日志。如果使用此操作，系统会记录一个额外的字段 (apply_security_profile_fallback_action)。

• 审核日志：您可以在 Cloud NGFW 审核日志中查看对防火墙政策规则的配置更改。如需了解详情，请参阅 Cloud NGFW 审核日志记录。

限制

• 当您使用 apply_security_profile_group 操作并启用日志记录功能时，Cloud NGFW 不会捕获所有会话的日志。此限制不会影响流量检查或拦截。

• 如果您为与现有 TCP 或 UDP 连接匹配的防火墙政策规则启用日志记录，系统不会为这些有效连接生成日志条目。只有当这些连接处于空闲状态至少 10 分钟后，系统才会开始记录日志。

• 指定 IP 协议 (IpPortInfo.ip_protocol) 时，防火墙政策规则的值不能设置为 ALL。

• 防火墙政策规则不支持对旧版元数据字段（具体而言是 source_tag、target_tag、source_service_account 和 target_service_accounts）进行日志记录。

后续步骤

• 管理防火墙政策规则日志记录。
• 防火墙政策规则日志记录示例。
• Cloud Logging 概览。
• 排查防火墙政策规则日志方面的问题。