Mengelola logging aturan kebijakan firewall

Halaman ini menunjukkan cara mengaktifkan dan menonaktifkan logging untuk aturan kebijakan firewall hierarkis dan jaringan. Untuk mengetahui petunjuk tentang logging untuk aturan kebijakan firewall, lihat bagian Mengaktifkan dan menonaktifkan logging aturan kebijakan firewall. Anda juga dapat mempelajari cara melihat log yang dihasilkan untuk aturan kebijakan firewall. Untuk memahami logging aturan kebijakan firewall, lihat Ringkasan logging aturan kebijakan firewall.

Jika mengaktifkan logging pada aturan kebijakan firewall, Anda dapat melihat insight dan rekomendasi untuk aturan tersebut dari Analisis Firewall. Untuk mengetahui informasi selengkapnya, lihat Insight Firewall dalam dokumentasi Network Intelligence Center.

Izin

Untuk mengubah aturan kebijakan firewall atau log akses, akun utama Identity and Access Management (IAM) memerlukan salah satu peran berikut.

Tugas Peran yang diperlukan
Membuat, menghapus, atau memperbarui aturan firewall Pemilik atau editor project atau peran Security Admin (roles/compute.securityAdmin)
Melihat log Pemilik, editor, atau pelihat project atau peran Logs Viewer (roles/logging.viewer)
Untuk mengetahui detail tentang peran dan izin IAM Logging, lihat Peran yang telah ditentukan sebelumnya.

Mengaktifkan dan menonaktifkan logging aturan kebijakan firewall

Saat membuat aturan kebijakan firewall, Anda dapat mengaktifkan logging aturan kebijakan firewall. Untuk informasi selengkapnya, lihat referensi berikut:

Saat mengaktifkan logging, Anda dapat menentukan apakah akan menyertakan kolom metadata. Jika Anda menghilangkannya, Anda dapat menghemat biaya penyimpanan. Untuk mengaktifkan atau menonaktifkan logging aturan kebijakan firewall untuk aturan kebijakan firewall yang ada, lihat bagian berikut.

Mengaktifkan logging aturan kebijakan firewall untuk kebijakan firewall hierarkis

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih nama organisasi tempat Anda membuat kebijakan firewall hierarkis.

  3. Di bagian Firewall policies located in this organization, klik nama kebijakan firewall hierarkis Anda.

  4. Di kolom Log, tentukan apakah logging aturan kebijakan firewall Dinonaktifkan atau Diaktifkan untuk setiap aturan kebijakan firewall.

  5. Untuk mengaktifkan logging untuk aturan kebijakan firewall, klik prioritas aturan, lalu klik Edit.

  6. Di bagian Logs, pilih Enabled.

  7. Klik Simpan.

gcloud

Untuk memperbarui aturan kebijakan firewall organisasi, gunakan perintah gcloud compute firewall-policies rules update:

gcloud compute firewall-policies rules update PRIORITY \
    --firewall-policy= FIREWALL_POLICY \
    --enable-logging

Ganti kode berikut:

  • PRIORITY: prioritas aturan kebijakan firewall yang akan diperbarui.
  • FIREWALL_POLICY: nama kebijakan firewall yang akan diperbarui aturannya.

Untuk mengetahui informasi selengkapnya, lihat dokumentasi referensi SDK.

Terraform

Anda dapat menggunakan resource Terraform untuk membuat aturan kebijakan firewall dengan logging yang diaktifkan.

resource "google_compute_firewall_policy_rule" "primary" {
  firewall_policy = google_compute_firewall_policy.POLICY_ID
  description     = "Creates an ingress firewall policy rule with logging enabled"
  priority        = PRIORITY
  enable_logging  = true
  action          = "allow"
  direction       = "INGRESS"
  disabled        = false
  match {
    layer4_configs {
      ip_protocol = "tcp"
      ports = [8080]
    }
    layer4_configs {
      ip_protocol = "udp"
      ports = [22]
    }
    src_ip_ranges = ["SOURCE_IP_ADDRESS"]
  }
}

Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihat Perintah dasar Terraform.

API

Aktifkan logging aturan kebijakan firewall untuk aturan kebijakan firewall hierarkis yang ada.

POST https://compute.googleapis.com/compute/v1/locations/global/firewallPolicies/POLICY_ID/patchRule?priority=PRIORITY

{
  "enableLogging": true,
}

Ganti kode berikut:

  • POLICY_ID: ID kebijakan firewall hierarkis tempat aturan kebijakan firewall berada.
  • PRIORITY: prioritas aturan kebijakan firewall.

Untuk informasi selengkapnya, lihat metode firewallPolicies.patchRule.

Menonaktifkan logging aturan kebijakan firewall untuk kebijakan firewall hierarkis

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih nama organisasi tempat Anda membuat kebijakan firewall hierarkis.

  3. Di bagian Firewall policies located in this organization, klik nama kebijakan firewall hierarkis Anda.

  4. Di kolom Log, tentukan apakah logging aturan kebijakan firewall Dinonaktifkan atau Diaktifkan untuk setiap aturan kebijakan firewall.

  5. Untuk menonaktifkan logging untuk aturan kebijakan firewall, klik prioritas aturan, lalu klik Edit.

  6. Di bagian Logs, pilih Disabled.

  7. Klik Simpan.

gcloud

Untuk memperbarui aturan kebijakan firewall organisasi, gunakan perintah gcloud compute firewall-policies rules update:

gcloud compute firewall-policies rules update PRIORITY \
    --firewall-policy= FIREWALL_POLICY \
    --no-enable-logging

Ganti kode berikut:

  • PRIORITY: prioritas aturan kebijakan firewall yang akan diperbarui.
  • FIREWALL_POLICY: nama kebijakan firewall yang akan diperbarui aturannya.

Untuk mengetahui informasi selengkapnya, lihat dokumentasi referensi SDK.

API

Menonaktifkan logging aturan kebijakan firewall untuk aturan kebijakan firewall hierarkis yang ada

POST https://compute.googleapis.com/compute/v1/locations/global/firewallPolicies/POLICY_ID/patchRule?priority=PRIORITY

{
  "enableLogging": false,
}

Ganti kode berikut:

  • POLICY_ID: ID kebijakan firewall hierarkis tempat aturan kebijakan firewall berada.
  • PRIORITY: prioritas aturan kebijakan firewall.

Untuk informasi selengkapnya, lihat metode firewallPolicies.patchRule.

Mengaktifkan logging aturan kebijakan firewall untuk kebijakan firewall jaringan

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih nama project tempat Anda membuat kebijakan firewall jaringan.

  3. Di bagian Network firewall policies, klik nama kebijakan firewall jaringan yang ingin Anda aktifkan pencatatannya.

  4. Di kolom Log, tentukan apakah logging aturan kebijakan firewall Dinonaktifkan atau Diaktifkan untuk setiap aturan kebijakan firewall.

  5. Untuk mengaktifkan logging untuk aturan kebijakan firewall jaringan, klik prioritas aturan, lalu klik Edit.

  6. Di bagian Logs, pilih Enabled.

  7. Klik Simpan.

gcloud

Untuk memperbarui aturan kebijakan firewall jaringan, gunakan perintah gcloud compute network-firewall-policies rules update:

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy= FIREWALL_POLICY \
    --enable-logging

Ganti kode berikut:

  • PRIORITY: prioritas aturan kebijakan firewall yang akan diperbarui.
  • FIREWALL_POLICY: nama kebijakan firewall jaringan tempat aturan kebijakan firewall berada.

Untuk mengetahui informasi selengkapnya, lihat dokumentasi referensi SDK.

Terraform

Anda dapat menggunakan resource Terraform untuk membuat aturan kebijakan firewall dengan logging yang diaktifkan.

resource "google_compute_firewall_policy_rule" "primary" {
  firewall_policy = google_compute_firewall_policy.POLICY_ID
  description     = "Creates an ingress firewall policy rule with logging enabled"
  priority        = PRIORITY
  enable_logging  = true
  action          = "allow"
  direction       = "INGRESS"
  disabled        = false
  match {
    layer4_configs {
      ip_protocol = "tcp"
      ports = [8080]
    }
    layer4_configs {
      ip_protocol = "udp"
      ports = [22]
    }
    src_ip_ranges = ["SOURCE_IP_ADDRESS"]
  }
}

Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihat Perintah dasar Terraform.

API

Aktifkan logging aturan kebijakan firewall untuk aturan kebijakan firewall jaringan yang ada.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewallPolicies/POLICY_ID/patchRule?priority=PRIORITY

{
  "enableLogging": true,
}

Ganti kode berikut:

  • PROJECT_ID: ID project tempat kebijakan jaringan Anda berada.
  • POLICY_ID: ID kebijakan firewall hierarkis tempat aturan kebijakan firewall berada.
  • PRIORITY: prioritas aturan kebijakan firewall.

Untuk informasi selengkapnya, lihat metode networkFirewallPolicies.patchRule.

Menonaktifkan logging aturan kebijakan firewall untuk kebijakan firewall jaringan

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih nama project tempat Anda membuat kebijakan firewall jaringan.

  3. Di bagian Network firewall policies, klik nama kebijakan firewall jaringan yang ingin Anda aktifkan pencatatannya.

  4. Di kolom Log, tentukan apakah logging aturan kebijakan firewall Dinonaktifkan atau Diaktifkan untuk setiap aturan kebijakan firewall.

  5. Untuk menonaktifkan logging untuk aturan kebijakan firewall jaringan, klik prioritas aturan, lalu klik Edit.

  6. Di bagian Logs, pilih Disabled.

  7. Klik Simpan.

gcloud

Untuk memperbarui aturan kebijakan firewall jaringan, gunakan perintah gcloud compute network-firewall-policies rules update:

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy= FIREWALL_POLICY \
    --no-enable-logging

Ganti kode berikut:

  • PRIORITY: prioritas aturan kebijakan firewall yang akan diperbarui.
  • FIREWALL_POLICY: nama kebijakan firewall jaringan tempat aturan kebijakan firewall berada.

Untuk mengetahui informasi selengkapnya, lihat dokumentasi referensi SDK.

API

Menonaktifkan logging aturan kebijakan firewall untuk aturan kebijakan firewall hierarkis yang ada

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewallPolicies/POLICY_ID/patchRule?priority=PRIORITY

{
  "enableLogging": false,
}

Ganti kode berikut:

  • POLICY_ID: ID kebijakan firewall hierarkis tempat aturan kebijakan firewall berada.
  • PRIORITY: prioritas aturan kebijakan firewall.

Untuk informasi selengkapnya, lihat metode networkFirewallPolicies.patchRule.

Melihat log

Log aturan kebijakan firewall dibuat di project yang menghosting jaringan yang berisi instance VM dan aturan firewall. Dengan VPC Bersama, Anda membuat instance VM dalam project layanan, tetapi instance ini menggunakan jaringan VPC Bersama yang berada di project host. Dalam skenario tersebut, project host menyimpan log aturan kebijakan firewall.

Untuk melihat log aturan kebijakan firewall, gunakan bagian Logs Explorer di konsol Google Cloud . Untuk mengetahui informasi selengkapnya, lihat Melihat dan menganalisis log.

Kueri berikut menunjukkan cara menelusuri peristiwa firewall tertentu.

Melihat semua log firewall

Untuk melihat log aturan kebijakan firewall, gunakan salah satu opsi berikut.

Opsi 1

  1. Di konsol Google Cloud , buka halaman Logs Explorer.

    Buka Logs Explorer

  2. Klik Semua resource.

  3. Di daftar Select resource, klik Subnetwork, lalu klik Apply.

  4. Klik All log names, lalu pilih firewall dalam daftar.

  5. Klik Terapkan.

Opsi 2

  1. Di konsol Google Cloud , buka halaman Logs Explorer.

    Buka Logs Explorer

  2. Tempel perintah berikut ke dalam kolom editor kueri.

    resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Ffirewall"

    Ganti PROJECT_ID dengan project ID Anda.

  3. Jika Anda tidak melihat kolom editor kueri, klik tombol Show query.

  4. Klik Run query.

Melihat log untuk subnet tertentu

Untuk melihat log aturan kebijakan firewall untuk subnet tertentu, gunakan salah satu opsi berikut.

Opsi 1

  1. Di konsol Google Cloud , buka halaman Logs Explorer.

    Buka Logs Explorer

  2. Klik Semua resource.

  3. Di daftar Select resource, klik Subnetwork.

  4. Pilih subnetwork yang lognya ingin Anda lihat, lalu klik Terapkan.

  5. Klik All log names, lalu pilih firewall dalam daftar.

  6. Klik Terapkan.

Opsi 2

  1. Di konsol Google Cloud , buka halaman Logs Explorer.

    Buka Logs Explorer

  2. Tempel perintah berikut ke dalam kolom editor kueri.

    resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Ffirewall"
resource.labels.subnetwork_name="SUBNET_NAME"

    Ganti kode berikut:

    • PROJECT_ID: ID project Anda
    • SUBNET_NAME: nama subnetwork Anda

  3. Jika Anda tidak melihat kolom editor kueri, klik tombol Show query.

  4. Klik Run query.

Melihat log di VM tertentu

Untuk melihat log aturan kebijakan firewall untuk VM tertentu, gunakan salah satu opsi berikut.

Opsi 1

  1. Di konsol Google Cloud , buka halaman Logs Explorer.

    Buka Logs Explorer

  2. Klik Semua resource.

  3. Di daftar Select resource, klik VM instance.

  4. Pilih instance yang lognya ingin Anda lihat, lalu klik Terapkan.

  5. Klik All log names, lalu pilih firewall dalam daftar.

  6. Klik Terapkan.

Opsi 2

  1. Di konsol Google Cloud , buka halaman Logs Explorer.

    Buka Logs Explorer

  2. Tempel perintah berikut ke dalam kolom editor kueri.

    resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Ffirewall"
jsonPayload.instance.vm_name="INSTANCE_ID"

    Ganti kode berikut:

    • PROJECT_ID: ID project Anda
    • INSTANCE_ID: ID VM yang ingin Anda lihat lognya

  3. Jika Anda tidak melihat kolom editor kueri, klik tombol Show query.

  4. Klik Run query.

Melihat log untuk koneksi dari negara tertentu

Untuk melihat log aturan kebijakan firewall untuk negara tertentu, lakukan hal berikut:

  1. Di konsol Google Cloud , buka halaman Logs Explorer.

    Buka Logs Explorer

  2. Tempel perintah berikut ke dalam kolom editor kueri.

    resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Ffirewall"
jsonPayload.remote_location.country=COUNTRY

    Ganti kode berikut:

    • PROJECT_ID: ID project Anda
    • COUNTRY: kode ISO 3166-1 alpha-3 negara yang lognya ingin Anda lihat

  3. Jika Anda tidak melihat kolom editor kueri, klik tombol Show query.

  4. Klik Run query.

Ekspor log

Untuk mengekspor log aturan kebijakan firewall, lihat Merutekan log ke tujuan yang didukung. Anda dapat menggunakan contoh kueri untuk mempersempit log yang Anda ekspor.

Tabel interaksi

  • Dalam kasus komunikasi VM-ke-VM, catatan log dapat dibuat oleh kedua VM, bergantung pada aturan firewall masing-masing.
  • Koneksi yang dicatat dalam log mencakup paket yang mengalir dua arah jika paket awal diizinkan oleh firewall.
  • Untuk VM tertentu, koneksi masuk dicocokkan dengan aturan firewall yang dikonfigurasi di VM tersebut dan koneksi keluar dicocokkan dengan aturan firewall keluar yang dikonfigurasi di VM tersebut.
  • Koneksi yang diizinkan yang cocok dengan aturan firewall dengan "izinkan dan pencatatan ke log" dicatat ke log hanya satu kali. Entri log tidak diulang setiap 5 detik meskipun koneksi tetap ada.
  • Koneksi yang ditolak yang cocok dengan aturan firewall dengan "ditolak dan pencatatan" akan mengulangi entri log setiap 5 detik selama ada paket yang diamati dalam koneksi yang ditolak tersebut.
  • Jika Anda mengaktifkan logging pada aturan firewall yang cocok dengan koneksi TCP atau UDP yang sudah aktif, entri log baru tidak akan dibuat. Entri log dibuat hanya jika koneksi tetap tidak ada aktivitas selama setidaknya 10 menit dan paket baru dikirim pada koneksi yang sama. Untuk traffic berkelanjutan dengan periode tidak ada aktivitas yang lebih singkat dari 10 menit, hanya satu entri log yang dibuat untuk koneksi.

Tabel ini menunjukkan perilaku logging firewall dari perspektif satu VM.

Dalam skenario saat VM1 memiliki aturan ingress R1 yang cocok dengan paket dan aturan egress R2 yang juga cocok dengan paket, perilaku logging firewall adalah sebagai berikut:

VM1 memiliki Aturan Ingress R1 (mencocokkan paket) VM1 memiliki Aturan Egress R2 (mencocokkan paket) Arah Koneksi Tindakan Log
Izinkan + Catat Izinkan Masuk Izinkan Satu entri log:
disposition=allow, rule=R1
Tolak
Izinkan + Catat
Tolak + Catat
Izinkan Izinkan Masuk Izinkan Tanpa logging
Tolak
Izinkan + Catat
Tolak + Catat
Tolak + Catat T/A Masuk Tolak Satu entri log setiap 5 detik:
disposition=deny, rule=R1
Tolak T/A Masuk Tolak Tanpa logging
Izinkan Izinkan + Catat Keluar Izinkan Satu entri log:
disposition=allow, rule=R2
Tolak
Izinkan + Catat
Tolak + Catat
Izinkan Izinkan Keluar Izinkan Tidak Ada Logging
Tolak
Izinkan + Catat
Tolak + Catat
T/A Tolak + Catat Keluar Tolak Satu entri log setiap 5 detik:
disposition=deny, rule=R2
T/A Tolak Keluar Tolak Tanpa logging

Perhatikan bahwa ingress dan egress bersifat simetris.

Berikut deskripsi mendetail tentang semantik log firewall:

  • Izinkan + Catat (pencatatan hanya didukung untuk TCP dan UDP)

    • Koneksi yang dimulai ke arah yang berlaku untuk aturan akan menyebabkan satu catatan log dibuat.
    • Traffic respons diizinkan karena pelacakan koneksi. Traffic balasan tidak menyebabkan logging terjadi, terlepas dari aturan firewall VPC ke arah tersebut.
    • Jika koneksi berakhir dari firewall (tidak aktif selama 10 menit atau TCP RST diterima), maka paket lain di kedua arah dapat memicu logging.
    • Logging didasarkan pada 5-tuple. Flag TCP tidak memengaruhi perilaku logging.

  • Tolak + Catat (pencatatan hanya didukung untuk TCP dan UDP)

    • Paket dibatalkan (tidak ada koneksi yang dimulai).
    • Setiap paket yang sesuai dengan 5-tuple unik dicatat sebagai upaya koneksi yang gagal.
    • 5-tuple yang sama dicatat lagi setiap 5 detik jika terus menerima paket.

Langkah berikutnya