ניהול הרישום ביומן של כללי מדיניות חומת האש

המסוף

1. נכנסים לדף Firewall policies במסוף Google Cloud .

   לדף Firewall policies

2. בתפריט לבחירת פרויקט, בוחרים את שם הארגון שבו יצרתם את מדיניות חומת האש ההיררכית.

3. בקטע Firewall policies located in this organization (מדיניות חומת האש שנמצאת בארגון הזה), לוחצים על השם של מדיניות חומת האש ההיררכית.

4. בעמודה Logs, בודקים אם הרישום ביומן של כללי מדיניות חומת האש מושבת או מופעל.

5. כדי להפעיל רישום ביומן עבור כלל במדיניות חומת אש, לוחצים על העדיפות של הכלל ואז על עריכה.

6. בקטע Logs (יומנים), בוחרים באפשרות Enabled (מופעל).

7. לוחצים על Save.

gcloud

כדי לעדכן את הכללים של מדיניות חומת האש של הארגון, משתמשים בפקודה gcloud compute firewall-policies rules update:

gcloud compute firewall-policies rules update PRIORITY \
    --firewall-policy= FIREWALL_POLICY \
    --enable-logging

מחליפים את מה שכתוב בשדות הבאים:

• ‫PRIORITY: העדיפות של כלל מדיניות חומת האש לעדכון.
• ‫FIREWALL_POLICY: השם של מדיניות חומת האש שבה מתעדכן הכלל.

מידע נוסף מופיע במאמרי העזרה של ה-SDK.

Terraform

אפשר להשתמש במשאב Terraform כדי ליצור כלל במדיניות חומת האש עם הפעלת רישום ביומן.

resource "google_compute_firewall_policy_rule" "primary" {
  firewall_policy = google_compute_firewall_policy.POLICY_ID
  description     = "Creates an ingress firewall policy rule with logging enabled"
  priority        = PRIORITY
  enable_logging  = true
  action          = "allow"
  direction       = "INGRESS"
  disabled        = false
  match {
    layer4_configs {
      ip_protocol = "tcp"
      ports = [8080]
    }
    layer4_configs {
      ip_protocol = "udp"
      ports = [22]
    }
    src_ip_ranges = ["SOURCE_IP_ADDRESS"]
  }
}

כדי ללמוד איך להחיל הגדרות ב-Terraform או להסיר אותן, ראו פקודות בסיסיות ב-Terraform.

API

הפעלה של רישום ביומן של כללי מדיניות חומת אש בכלל מדיניות קיים של חומת אש היררכית.

POST https://compute.googleapis.com/compute/v1/locations/global/firewallPolicies/POLICY_ID/patchRule?priority=PRIORITY

{
  "enableLogging": true,
}

מחליפים את מה שכתוב בשדות הבאים:

• ‫POLICY_ID: המזהה של מדיניות חומת האש ההיררכית שבה נמצא כלל מדיניות חומת האש.
• ‫PRIORITY: העדיפות של כלל מדיניות חומת האש.

מידע נוסף זמין במאמר על השיטה firewallPolicies.patchRule.

המסוף

1. נכנסים לדף Firewall policies במסוף Google Cloud .

   לדף Firewall policies

2. בתפריט לבחירת פרויקט, בוחרים את שם הארגון שבו יצרתם את מדיניות חומת האש ההיררכית.

3. בקטע Firewall policies located in this organization (מדיניות חומת האש שנמצאת בארגון הזה), לוחצים על השם של מדיניות חומת האש ההיררכית.

4. בעמודה Logs, בודקים אם הרישום ביומן של כללי מדיניות חומת האש מושבת או מופעל.

5. כדי להשבית את הרישום ביומן של כלל במדיניות חומת האש, לוחצים על העדיפות של הכלל ואז על עריכה.

6. בקטע Logs (יומנים), בוחרים באפשרות Disabled (מושבת).

7. לוחצים על Save.

gcloud

כדי לעדכן את הכללים של מדיניות חומת האש של הארגון, משתמשים בפקודה gcloud compute firewall-policies rules update:

gcloud compute firewall-policies rules update PRIORITY \
    --firewall-policy= FIREWALL_POLICY \
    --no-enable-logging

מחליפים את מה שכתוב בשדות הבאים:

• ‫PRIORITY: העדיפות של כלל מדיניות חומת האש לעדכון.
• ‫FIREWALL_POLICY: השם של מדיניות חומת האש שבה מתעדכן הכלל.

מידע נוסף מופיע במאמרי העזרה של ה-SDK.

API

השבתת רישום ביומן של כללים במדיניות חומת אש היררכית קיימת

POST https://compute.googleapis.com/compute/v1/locations/global/firewallPolicies/POLICY_ID/patchRule?priority=PRIORITY

{
  "enableLogging": false,
}

מחליפים את מה שכתוב בשדות הבאים:

• ‫POLICY_ID: המזהה של מדיניות חומת האש ההיררכית שבה נמצא כלל מדיניות חומת האש.
• ‫PRIORITY: העדיפות של כלל מדיניות חומת האש.

מידע נוסף זמין במאמר על השיטה firewallPolicies.patchRule.

המסוף

1. נכנסים לדף Firewall policies במסוף Google Cloud .

   לדף Firewall policies

2. בתפריט לבחירת פרויקט, בוחרים את שם הפרויקט שבו יצרתם את מדיניות חומת האש של הרשת.

3. בקטע Network firewall policies (מדיניות חומת אש ברשת), לוחצים על השם של מדיניות חומת האש ברשת שרוצים להפעיל עבורה את הרישום ביומן.

4. בעמודה Logs, בודקים אם הרישום ביומן של כללי מדיניות חומת האש מושבת או מופעל.

5. כדי להפעיל את הרישום ביומן עבור כלל במדיניות חומת אש ברשת, לוחצים על העדיפות של הכלל ואז על עריכה.

6. בקטע Logs (יומנים), בוחרים באפשרות Enabled (מופעל).

7. לוחצים על Save.

gcloud

כדי לעדכן את הכללים של מדיניות חומת האש ברשת, משתמשים בפקודה gcloud compute network-firewall-policies rules update:

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy= FIREWALL_POLICY \
    --enable-logging

מחליפים את מה שכתוב בשדות הבאים:

• ‫PRIORITY: העדיפות של כלל מדיניות חומת האש לעדכון.
• ‫FIREWALL_POLICY: השם של מדיניות חומת האש ברשת שבה נמצא כלל מדיניות חומת האש.

מידע נוסף מופיע במאמרי העזרה של ה-SDK.

Terraform

אפשר להשתמש במשאב Terraform כדי ליצור כלל במדיניות חומת האש עם הפעלת רישום ביומן.

resource "google_compute_firewall_policy_rule" "primary" {
  firewall_policy = google_compute_firewall_policy.POLICY_ID
  description     = "Creates an ingress firewall policy rule with logging enabled"
  priority        = PRIORITY
  enable_logging  = true
  action          = "allow"
  direction       = "INGRESS"
  disabled        = false
  match {
    layer4_configs {
      ip_protocol = "tcp"
      ports = [8080]
    }
    layer4_configs {
      ip_protocol = "udp"
      ports = [22]
    }
    src_ip_ranges = ["SOURCE_IP_ADDRESS"]
  }
}

כדי ללמוד איך להחיל הגדרות ב-Terraform או להסיר אותן, ראו פקודות בסיסיות ב-Terraform.

API

הפעלת רישום ביומן של כללי מדיניות חומת אש עבור כלל מדיניות קיים של חומת אש ברשת.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewallPolicies/POLICY_ID/patchRule?priority=PRIORITY

{
  "enableLogging": true,
}

מחליפים את מה שכתוב בשדות הבאים:

• ‫PROJECT_ID: מזהה הפרויקט שבו נמצאת מדיניות הרשת.
• ‫POLICY_ID: המזהה של מדיניות חומת האש ההיררכית שבה נמצא כלל מדיניות חומת האש.
• ‫PRIORITY: העדיפות של כלל מדיניות חומת האש.

מידע נוסף זמין במאמר על השיטה networkFirewallPolicies.patchRule.

המסוף

1. נכנסים לדף Firewall policies במסוף Google Cloud .

   לדף Firewall policies

2. בתפריט לבחירת פרויקט, בוחרים את שם הפרויקט שבו יצרתם את מדיניות חומת האש של הרשת.

3. בקטע Network firewall policies (מדיניות חומת אש ברשת), לוחצים על השם של מדיניות חומת האש ברשת שרוצים להפעיל עבורה את הרישום ביומן.

4. בעמודה Logs, בודקים אם הרישום ביומן של כללי מדיניות חומת האש מושבת או מופעל.

5. כדי להשבית את הרישום ביומן של כלל במדיניות חומת אש ברשת, לוחצים על העדיפות של הכלל ואז על עריכה.

6. בקטע Logs (יומנים), בוחרים באפשרות Disabled (מושבת).

7. לוחצים על Save.

gcloud

כדי לעדכן את הכללים של מדיניות חומת האש ברשת, משתמשים בפקודה gcloud compute network-firewall-policies rules update:

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy= FIREWALL_POLICY \
    --no-enable-logging

מחליפים את מה שכתוב בשדות הבאים:

• ‫PRIORITY: העדיפות של כלל מדיניות חומת האש לעדכון.
• ‫FIREWALL_POLICY: השם של מדיניות חומת האש ברשת שבה נמצא כלל מדיניות חומת האש.

מידע נוסף מופיע במאמרי העזרה של ה-SDK.

API

השבתת רישום ביומן של כללים במדיניות חומת אש היררכית קיימת

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewallPolicies/POLICY_ID/patchRule?priority=PRIORITY

{
  "enableLogging": false,
}

מחליפים את מה שכתוב בשדות הבאים:

• ‫POLICY_ID: המזהה של מדיניות חומת האש ההיררכית שבה נמצא כלל מדיניות חומת האש.
• ‫PRIORITY: העדיפות של כלל מדיניות חומת האש.

מידע נוסף זמין במאמר על השיטה networkFirewallPolicies.patchRule.

אפשרות 1

1. נכנסים לדף Logs Explorer במסוף Google Cloud .

   כניסה לדף Logs Explorer

2. לוחצים על All resource.

3. ברשימה Select resource, לוחצים על Subnetwork ואז על Apply.

4. לוחצים על All log names (כל שמות היומנים) ואז בוחרים באפשרות firewall (חומת אש) ברשימה.

5. לוחצים על אישור.

אפשרות 2

1. נכנסים לדף Logs Explorer במסוף Google Cloud .

   כניסה לדף Logs Explorer

2. מדביקים את הטקסט הבא בשדה של עורך השאילתות.

   resource.type="gce_subnetwork"
   logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Ffirewall"
   

   מחליפים את PROJECT_ID במזהה הפרויקט.

3. אם שדה עורך השאילתות לא מוצג, לוחצים על המתג הצגת השאילתה.

4. לוחצים על Run query.

אפשרות 1

1. נכנסים לדף Logs Explorer במסוף Google Cloud .

   כניסה לדף Logs Explorer

2. לוחצים על All resource.

3. ברשימה Select resource, לוחצים על Subnetwork.

4. בוחרים את רשת המשנה שרוצים לראות את היומנים שלה ולוחצים על הפעלה.

5. לוחצים על All log names (כל שמות היומנים) ואז בוחרים באפשרות firewall (חומת אש) ברשימה.

6. לוחצים על אישור.

אפשרות 2

1. נכנסים לדף Logs Explorer במסוף Google Cloud .

   כניסה לדף Logs Explorer

2. מדביקים את הטקסט הבא בשדה של עורך השאילתות.

   resource.type="gce_subnetwork"
   logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Ffirewall"
   resource.labels.subnetwork_name="SUBNET_NAME"
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫PROJECT_ID: מזהה הפרויקט
   • ‫SUBNET_NAME: השם של רשת המשנה

3. אם שדה עורך השאילתות לא מוצג, לוחצים על המתג הצגת השאילתה.

4. לוחצים על Run query.

אפשרות 1

1. נכנסים לדף Logs Explorer במסוף Google Cloud .

   כניסה לדף Logs Explorer

2. לוחצים על All resource.

3. ברשימה Select resource (בחירת משאב), לוחצים על VM instance (מכונת VM).

4. בוחרים את המופע שרוצים לראות את היומנים שלו ולוחצים על החלה.

5. לוחצים על All log names (כל שמות היומנים) ואז בוחרים באפשרות firewall (חומת אש) ברשימה.

6. לוחצים על אישור.

אפשרות 2

1. נכנסים לדף Logs Explorer במסוף Google Cloud .

   כניסה לדף Logs Explorer

2. מדביקים את הטקסט הבא בשדה של עורך השאילתות.

   resource.type="gce_subnetwork"
   logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Ffirewall"
   jsonPayload.instance.vm_name="INSTANCE_ID"
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫PROJECT_ID: מזהה הפרויקט
   • ‫INSTANCE_ID: המזהה של מכונת ה-VM שרוצים להציג את היומנים שלה

3. אם שדה עורך השאילתות לא מוצג, לוחצים על המתג הצגת השאילתה.

4. לוחצים על Run query.