Gérer la journalisation des règles de stratégie de pare-feu

Cette page vous explique comment activer et désactiver la journalisation pour les règles de stratégies de pare-feu hiérarchiques et de réseau. Pour obtenir des instructions sur la journalisation des règles de stratégie de pare-feu, consultez Activer et désactiver la journalisation des règles de stratégie de pare-feu. Vous pouvez également apprendre à afficher les journaux générés pour les règles de stratégie de pare-feu. Pour comprendre la journalisation des règles de stratégie de pare-feu, consultez la présentation de la journalisation des règles de stratégie de pare-feu.

Si vous activez la journalisation sur une règle de stratégie de pare-feu, vous pouvez afficher des insights et des recommandations qui lui sont propres à partir de Firewall Insights. Pour en savoir plus, consultez Firewall Insights dans la documentation Network Intelligence Center.

Autorisations

Pour modifier les règles de stratégie de pare-feu ou accéder aux journaux, les entités principales IAM (Identity and Access Management) doivent disposer de l'un des rôles suivants.

Tâche Rôle requis
Créer, supprimer ou mettre à jour des règles de pare-feu Propriétaire ou éditeur du projet, ou rôle Administrateur de la sécurité (roles/compute.securityAdmin)
Afficher les journaux Propriétaire, éditeur ou lecteur du projet, ou rôle Lecteur de journaux (roles/logging.viewer)
Pour en savoir plus sur les rôles et les autorisations IAM de Logging, consultez Rôles prédéfinis.

Activer et désactiver la journalisation des règles de stratégie de pare-feu

Lorsque vous créez une règle de stratégie de pare-feu, vous pouvez activer la journalisation des règles de stratégie de pare-feu. Pour en savoir plus, consultez les ressources suivantes :

Lorsque vous activez la journalisation, vous pouvez spécifier si vous souhaitez inclure les champs de métadonnées. Si vous les omettez, vous pouvez économiser sur les coûts de stockage. Pour activer ou désactiver la journalisation des règles de stratégie de pare-feu pour une règle de stratégie de pare-feu existante, consultez les sections suivantes.

Activer la journalisation des règles de stratégie de pare-feu pour une stratégie de pare-feu hiérarchique

Console

  1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

    Accéder à la page Règles de pare-feu

  2. Dans le menu permettant de sélectionner le projet, sélectionnez le nom de l'organisation dans laquelle vous avez créé votre stratégie de pare-feu hiérarchique.

  3. Dans la section Stratégies de pare-feu situées dans cette organisation, cliquez sur le nom de votre stratégie de pare-feu hiérarchique.

  4. Dans la colonne Journaux, déterminez si la journalisation des règles de stratégie de pare-feu est désactivée ou activée pour chaque règle de stratégie de pare-feu.

  5. Pour activer la journalisation d'une règle de stratégie de pare-feu, cliquez sur la priorité de la règle, puis sur Modifier.

  6. Dans la section Journaux, sélectionnez Activé.

  7. Cliquez sur Enregistrer.

gcloud

Pour mettre à jour les règles de stratégie de pare-feu de l'organisation, utilisez la commande gcloud compute firewall-policies rules update :

gcloud compute firewall-policies rules update PRIORITY \
    --firewall-policy= FIREWALL_POLICY \
    --enable-logging

Remplacez les éléments suivants :

  • PRIORITY : priorité de la règle de stratégie de pare-feu à mettre à jour.
  • FIREWALL_POLICY : nom de la stratégie de pare-feu dans laquelle la règle est mise à jour.

Pour en savoir plus, consultez la documentation de référence du SDK.

Terraform

Vous pouvez utiliser la ressource Terraform pour créer une règle de stratégie de pare-feu avec la journalisation activée.

resource "google_compute_firewall_policy_rule" "primary" {
  firewall_policy = google_compute_firewall_policy.POLICY_ID
  description     = "Creates an ingress firewall policy rule with logging enabled"
  priority        = PRIORITY
  enable_logging  = true
  action          = "allow"
  direction       = "INGRESS"
  disabled        = false
  match {
    layer4_configs {
      ip_protocol = "tcp"
      ports = [8080]
    }
    layer4_configs {
      ip_protocol = "udp"
      ports = [22]
    }
    src_ip_ranges = ["SOURCE_IP_ADDRESS"]
  }
}

Pour savoir comment appliquer ou supprimer une configuration Terraform, consultez Commandes Terraform de base.

API

Activez la journalisation des règles de stratégie de pare-feu pour une règle de stratégie de pare-feu hiérarchique existante.

POST https://compute.googleapis.com/compute/v1/locations/global/firewallPolicies/POLICY_ID/patchRule?priority=PRIORITY

{
  "enableLogging": true,
}

Remplacez les éléments suivants :

  • POLICY_ID : ID de la stratégie de pare-feu hiérarchique dans laquelle se trouve la règle de stratégie de pare-feu.
  • PRIORITY : priorité de la règle de stratégie de pare-feu.

Pour plus d'informations, reportez-vous à la méthode firewallPolicies.patchRule.

Désactiver la journalisation des règles de stratégie de pare-feu pour une stratégie de pare-feu hiérarchique

Console

  1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

    Accéder à la page Règles de pare-feu

  2. Dans le menu permettant de sélectionner le projet, sélectionnez le nom de l'organisation dans laquelle vous avez créé votre stratégie de pare-feu hiérarchique.

  3. Dans la section Stratégies de pare-feu situées dans cette organisation, cliquez sur le nom de votre stratégie de pare-feu hiérarchique.

  4. Dans la colonne Journaux, déterminez si la journalisation des règles de stratégie de pare-feu est désactivée ou activée pour chaque règle de stratégie de pare-feu.

  5. Pour désactiver la journalisation d'une règle de stratégie de pare-feu, cliquez sur la priorité de la règle, puis sur Modifier.

  6. Dans la section Journaux, sélectionnez Désactivé.

  7. Cliquez sur Enregistrer.

gcloud

Pour mettre à jour les règles de stratégie de pare-feu de l'organisation, utilisez la commande gcloud compute firewall-policies rules update :

gcloud compute firewall-policies rules update PRIORITY \
    --firewall-policy= FIREWALL_POLICY \
    --no-enable-logging

Remplacez les éléments suivants :

  • PRIORITY : priorité de la règle de stratégie de pare-feu à mettre à jour.
  • FIREWALL_POLICY : nom de la stratégie de pare-feu dans laquelle la règle est mise à jour.

Pour en savoir plus, consultez la documentation de référence du SDK.

API

Désactiver la journalisation des règles de stratégie de pare-feu pour une règle de stratégie de pare-feu hiérarchique existante

POST https://compute.googleapis.com/compute/v1/locations/global/firewallPolicies/POLICY_ID/patchRule?priority=PRIORITY

{
  "enableLogging": false,
}

Remplacez les éléments suivants :

  • POLICY_ID : ID de la stratégie de pare-feu hiérarchique dans laquelle se trouve la règle de stratégie de pare-feu.
  • PRIORITY : priorité de la règle de stratégie de pare-feu.

Pour plus d'informations, reportez-vous à la méthode firewallPolicies.patchRule.

Activer la journalisation des règles de stratégie de pare-feu pour une stratégie de pare-feu de réseau

Console

  1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

    Accéder à la page Règles de pare-feu

  2. Dans le menu permettant de sélectionner le projet, sélectionnez le nom du projet dans lequel vous avez créé votre stratégie de pare-feu réseau.

  3. Dans la section Stratégies de pare-feu de réseau, cliquez sur le nom de la stratégie de pare-feu de réseau pour laquelle vous souhaitez activer la journalisation.

  4. Dans la colonne Journaux, déterminez si la journalisation des règles de stratégie de pare-feu est désactivée ou activée pour chaque règle de stratégie de pare-feu.

  5. Pour activer la journalisation d'une règle de stratégie de pare-feu réseau, cliquez sur la priorité de la règle, puis sur Modifier.

  6. Dans la section Journaux, sélectionnez Activé.

  7. Cliquez sur Enregistrer.

gcloud

Pour mettre à jour les règles de stratégie de pare-feu réseau, exécutez la commande gcloud compute network-firewall-policies rules update :

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy= FIREWALL_POLICY \
    --enable-logging

Remplacez les éléments suivants :

  • PRIORITY : priorité de la règle de stratégie de pare-feu à mettre à jour.
  • FIREWALL_POLICY : nom de la stratégie de pare-feu réseau dans laquelle se trouve la règle de stratégie de pare-feu.

Pour en savoir plus, consultez la documentation de référence du SDK.

Terraform

Vous pouvez utiliser la ressource Terraform pour créer une règle de stratégie de pare-feu avec la journalisation activée.

resource "google_compute_firewall_policy_rule" "primary" {
  firewall_policy = google_compute_firewall_policy.POLICY_ID
  description     = "Creates an ingress firewall policy rule with logging enabled"
  priority        = PRIORITY
  enable_logging  = true
  action          = "allow"
  direction       = "INGRESS"
  disabled        = false
  match {
    layer4_configs {
      ip_protocol = "tcp"
      ports = [8080]
    }
    layer4_configs {
      ip_protocol = "udp"
      ports = [22]
    }
    src_ip_ranges = ["SOURCE_IP_ADDRESS"]
  }
}

Pour savoir comment appliquer ou supprimer une configuration Terraform, consultez Commandes Terraform de base.

API

Activez la journalisation des règles de stratégie de pare-feu pour une règle de stratégie de pare-feu de réseau existante.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewallPolicies/POLICY_ID/patchRule?priority=PRIORITY

{
  "enableLogging": true,
}

Remplacez les éléments suivants :

  • PROJECT_ID : ID du projet dans lequel se trouve votre règle de réseau.
  • POLICY_ID : ID de la stratégie de pare-feu hiérarchique dans laquelle se trouve la règle de stratégie de pare-feu.
  • PRIORITY : priorité de la règle de stratégie de pare-feu.

Pour plus d'informations, reportez-vous à la méthode networkFirewallPolicies.patchRule.

Désactiver la journalisation des règles de stratégie de pare-feu pour une stratégie de pare-feu réseau

Console

  1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

    Accéder à la page Règles de pare-feu

  2. Dans le menu permettant de sélectionner le projet, sélectionnez le nom du projet dans lequel vous avez créé votre stratégie de pare-feu réseau.

  3. Dans la section Stratégies de pare-feu de réseau, cliquez sur le nom de la stratégie de pare-feu de réseau pour laquelle vous souhaitez activer la journalisation.

  4. Dans la colonne Journaux, déterminez si la journalisation des règles de stratégie de pare-feu est désactivée ou activée pour chaque règle de stratégie de pare-feu.

  5. Pour désactiver la journalisation d'une règle de stratégie de pare-feu réseau, cliquez sur la priorité de la règle, puis sur Modifier.

  6. Dans la section Journaux, sélectionnez Désactivé.

  7. Cliquez sur Enregistrer.

gcloud

Pour mettre à jour les règles de stratégie de pare-feu réseau, exécutez la commande gcloud compute network-firewall-policies rules update :

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy= FIREWALL_POLICY \
    --no-enable-logging

Remplacez les éléments suivants :

  • PRIORITY : priorité de la règle de stratégie de pare-feu à mettre à jour.
  • FIREWALL_POLICY : nom de la stratégie de pare-feu réseau dans laquelle se trouve la règle de stratégie de pare-feu.

Pour en savoir plus, consultez la documentation de référence du SDK.

API

Désactiver la journalisation des règles de stratégie de pare-feu pour une règle de stratégie de pare-feu hiérarchique existante

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewallPolicies/POLICY_ID/patchRule?priority=PRIORITY

{
  "enableLogging": false,
}

Remplacez les éléments suivants :

  • POLICY_ID : ID de la stratégie de pare-feu hiérarchique dans laquelle se trouve la règle de stratégie de pare-feu.
  • PRIORITY : priorité de la règle de stratégie de pare-feu.

Pour plus d'informations, reportez-vous à la méthode networkFirewallPolicies.patchRule.

Afficher les journaux

Les journaux de règles de stratégie de pare-feu sont créés dans le projet qui héberge le réseau contenant les instances de VM et les règles de pare-feu. Avec le VPC partagé, vous créez des instances de VM dans des projets de service, mais ces instances utilisent un réseau VPC partagé situé dans le projet hôte. Dans ce cas, le projet hôte stocke les journaux des règles de stratégie de pare-feu.

Pour afficher les journaux des règles de stratégie de pare-feu, utilisez la section "Explorateur de journaux" de la console Google Cloud . Pour en savoir plus, consultez Afficher et analyser les journaux.

Les requêtes suivantes montrent comment rechercher des événements de pare-feu spécifiques.

Afficher tous les journaux de pare-feu

Pour afficher les journaux des règles de la stratégie de pare-feu, utilisez l'une des options suivantes.

Option 1

  1. Dans la console Google Cloud , accédez à la page Explorateur de journaux.

    Accéder à l'explorateur de journaux

  2. Cliquez sur Toutes les ressources.

  3. Dans la liste Sélectionner une ressource, cliquez sur Sous-réseau, puis sur Appliquer.

  4. Cliquez sur Tous les noms de journaux, puis sélectionnez firewall (pare-feu) dans la liste.

  5. Cliquez sur Appliquer.

Option 2

  1. Dans la console Google Cloud , accédez à la page Explorateur de journaux.

    Accéder à l'explorateur de journaux

  2. Collez le texte suivant dans le champ de l'éditeur de requête.

    resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Ffirewall"

    Remplacez PROJECT_ID par l'ID du projet.

  3. Si le champ de l'éditeur de requête n'apparaît pas, cliquez sur le bouton Afficher la requête.

  4. Cliquez sur Exécuter la requête.

Afficher des journaux pour des sous-réseaux spécifiques

Pour afficher les journaux des règles de stratégie de pare-feu pour des sous-réseaux spécifiques, utilisez l'une des options suivantes.

Option 1

  1. Dans la console Google Cloud , accédez à la page Explorateur de journaux.

    Accéder à l'explorateur de journaux

  2. Cliquez sur Toutes les ressources.

  3. Dans la liste Sélectionner une ressource, cliquez sur Sous-réseau.

  4. Sélectionnez le sous-réseau pour lequel vous souhaitez afficher les journaux, puis cliquez sur Appliquer.

  5. Cliquez sur Tous les noms de journaux, puis sélectionnez firewall (pare-feu) dans la liste.

  6. Cliquez sur Appliquer.

Option 2

  1. Dans la console Google Cloud , accédez à la page Explorateur de journaux.

    Accéder à l'explorateur de journaux

  2. Collez le texte suivant dans le champ de l'éditeur de requête.

    resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Ffirewall"
resource.labels.subnetwork_name="SUBNET_NAME"

    Remplacez les éléments suivants :

    • PROJECT_ID : ID de votre projet.
    • SUBNET_NAME : nom de votre sous-réseau

  3. Si le champ de l'éditeur de requête n'apparaît pas, cliquez sur le bouton Afficher la requête.

  4. Cliquez sur Exécuter la requête.

Afficher les journaux dans des VM spécifiques

Pour afficher les journaux des règles de stratégie de pare-feu pour des VM spécifiques, utilisez l'une des options suivantes.

Option 1

  1. Dans la console Google Cloud , accédez à la page Explorateur de journaux.

    Accéder à l'explorateur de journaux

  2. Cliquez sur Toutes les ressources.

  3. Dans la liste Sélectionner une ressource, cliquez sur Instance de VM.

  4. Sélectionnez l'instance pour laquelle vous souhaitez afficher les journaux, puis cliquez sur Appliquer.

  5. Cliquez sur Tous les noms de journaux, puis sélectionnez firewall (pare-feu) dans la liste.

  6. Cliquez sur Appliquer.

Option 2

  1. Dans la console Google Cloud , accédez à la page Explorateur de journaux.

    Accéder à l'explorateur de journaux

  2. Collez le texte suivant dans le champ de l'éditeur de requête.

    resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Ffirewall"
jsonPayload.instance.vm_name="INSTANCE_ID"

    Remplacez les éléments suivants :

    • PROJECT_ID : ID de votre projet.
    • INSTANCE_ID : ID de la VM pour laquelle vous souhaitez afficher les journaux

  3. Si le champ de l'éditeur de requête n'apparaît pas, cliquez sur le bouton Afficher la requête.

  4. Cliquez sur Exécuter la requête.

Afficher les journaux pour les connexions depuis un pays spécifique

Pour afficher les journaux des règles de stratégie de pare-feu pour un pays spécifique, procédez comme suit :

  1. Dans la console Google Cloud , accédez à la page Explorateur de journaux.

    Accéder à l'explorateur de journaux

  2. Collez le texte suivant dans le champ de l'éditeur de requête.

    resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Ffirewall"
jsonPayload.remote_location.country=COUNTRY

    Remplacez les éléments suivants :

    • PROJECT_ID : ID de votre projet.
    • COUNTRY : code ISO 3166-1 alpha-3 du pays pour lequel vous souhaitez afficher les journaux

  3. Si le champ de l'éditeur de requête n'apparaît pas, cliquez sur le bouton Afficher la requête.

  4. Cliquez sur Exécuter la requête.

Exporter des journaux

Pour exporter les journaux des règles de stratégie de pare-feu, consultez Acheminer les journaux vers des destinations compatibles. Vous pouvez utiliser les exemples de requêtes pour affiner la liste des journaux que vous exportez.

Tableau des interactions

  • Dans le cas d'une communication de VM à VM, les enregistrements de journaux peuvent être générés par les deux VM en fonction de leurs règles de pare-feu respectives.
  • La connexion journalisée inclut les paquets circulant dans les deux sens dès lors que le paquet initial a été autorisé par le pare-feu.
  • Pour une VM donnée, les connexions entrantes sont confrontées aux règles de pare-feu d'entrée configurées sur cette VM et les connexions sortantes sont confrontées aux règles de pare-feu de sortie configurées sur cette même VM.
  • Une connexion autorisée mise en correspondance avec une règle de pare-feu associée à l'action "Autoriser + Journaliser" n'est consignée qu'une seule fois. L'entrée de journal n'est pas répétée toutes les cinq secondes, même si la connexion est durable.
  • Une connexion refusée mise en correspondance avec une règle de pare-feu associée à l'action "Refuser + Journaliser" répète l'entrée de journal toutes les cinq secondes aussi longtemps que des paquets sont observés dans cette connexion refusée.
  • Si vous activez la journalisation sur une règle de pare-feu qui correspond à une connexion TCP ou UDP déjà active, aucune entrée de journal n'est générée. Une entrée de journal est créée uniquement si la connexion reste inactive pendant au moins 10 minutes et qu'un nouveau paquet est envoyé sur la même connexion. Pour le trafic continu avec des périodes d'inactivité inférieures à 10 minutes, une seule entrée de journal est générée pour la connexion.

Ce tableau montre le comportement de journalisation du pare-feu du point de vue d'une machine virtuelle unique.

Pour un scénario dans lequel une machine virtuelle VM1 a une règle d'entrée R1 qui correspond aux paquets et une règle de sortie R2 qui correspond également aux paquets, la journalisation du pare-feu se comporte comme suit :

Règle d'entrée R1 de VM1 (correspondant aux paquets) Règle de sortie R2 de VM1 (correspondant aux paquets) Sens de la connexion Action Journal
Autoriser + Journaliser Autoriser Entrée Autoriser Une entrée de journal :
disposition = autoriser, règle = R1
Refuser
Autoriser + Journaliser
Refuser + Journaliser
Autoriser Autoriser Entrée Autoriser Aucune journalisation
Refuser
Autoriser + Journaliser
Refuser + Journaliser
Refuser + Journaliser N/A Entrée Refuser Une entrée de journal toutes les cinq secondes :
disposition = refuser, règle = R1
Refuser N/A Entrée Refuser Aucune journalisation
Autoriser Autoriser + Journaliser Sortie Autoriser Une entrée de journal :
disposition = autoriser, règle = R2
Refuser
Autoriser + Journaliser
Refuser + Journaliser
Autoriser Autoriser Sortie Autoriser Aucune journalisation
Refuser
Autoriser + Journaliser
Refuser + Journaliser
N/A Refuser + Journaliser Sortie Refuser Une entrée de journal toutes les cinq secondes :
disposition = refuser, règle = R2
N/A Refuser Sortie Refuser Aucune journalisation

Notez que les entrées et les sorties sont traitées de façon symétrique.

Voici une description détaillée de la sémantique des journaux de pare-feu :

  • Autoriser + Journaliser (la journalisation n'est prise en charge que pour TCP et UDP)

    • Une connexion activée dans le sens auquel s'applique la règle entraîne la création d'un enregistrement de journal unique.
    • Le trafic de réponse est autorisé en raison du suivi de connexion. Le trafic de réponse n'entraîne aucune journalisation, quelles que soient les règles de pare-feu VPC applicables dans ce sens.
    • Si la connexion au pare-feu expire (10 minutes d'inactivité ou réception d'un paquet TCP RST), la transmission d'un nouveau paquet dans l'un ou l'autre sens peut déclencher la journalisation.
    • La journalisation est basée sur des 5-tuples. Les indicateurs TCP n'affectent pas le comportement de la journalisation.

  • Refuser + Journaliser (la journalisation n'est prise en charge que pour TCP et UDP)

    • Les paquets sont supprimés (aucune connexion n'est activée).
    • Chaque paquet correspondant à un 5-tuple unique est journalisé comme une tentative de connexion ayant échoué.
    • Le même 5-tuple est enregistré à nouveau toutes les 5 secondes si des paquets supplémentaires sont reçus.

Étapes suivantes