ניהול הרישום ביומן של כללי חומת האש ב-VPC

בדף הזה מוסבר איך להפעיל ולהשבית את הרישום ביומן של כללים בחומת האש של VPC. הוראות לגבי רישום ביומן של כללי חומת אש של ענן וירטואלי פרטי (VPC) מפורטות במאמר בנושא הפעלה והשבתה של רישום ביומן של כללי חומת אש של VPC. תוכלו גם ללמוד איך לצפות ביומנים שנוצרו עבור כללי חומת אש של VPC. כדי להבין את הרישום ביומן של כללי חומת האש ב-VPC, אפשר לעיין ב סקירה הכללית על רישום ביומן של כללי חומת האש ב-VPC.

אם מפעילים את ניהול היומנים בכלל של חומת אש ב-VPC, אפשר לראות תובנות והמלצות לגביו מתוך Firewall Insights. מידע נוסף זמין במאמר תובנות לגבי חומת האש במסמכי התיעוד של Network Intelligence Center.

הרשאות

כדי לשנות את כללי חומת האש של VPC או את יומני הגישה, נדרש לאנשי ההרשאה (principals) של ניהול הזהויות והרשאות הגישה (IAM) אחד מהתפקידים הבאים.

משימה תפקיד נדרש
יצירה, מחיקה או עדכון של כללים לחומת האש פרויקט בעלים או עריכה או התפקיד Security Admin (roles/compute.securityAdmin)
צפייה ביומנים בעלים, עריכה או צפייה בפרויקט או התפקיד 'צפייה ביומני רישום' (roles/logging.viewer)
פרטים על תפקידים והרשאות ב-IAM של Logging זמינים במאמר תפקידים מוגדרים מראש.

הפעלה והשבתה של רישום ביומן של כללי חומת אש ב-VPC

כשיוצרים כלל לחומת אש ב-VPC, אפשר להפעיל את הרישום ביומן של כללי חומת האש ב-VPC. מידע נוסף זמין במאמר יצירת כללים של חומת אש ב-VPC.

כשמפעילים את רישום היומן, אפשר לציין אם לכלול שדות של מטא-נתונים. אם לא כוללים אותם, אפשר לחסוך בעלויות האחסון. כדי להפעיל או להשבית את הרישום ביומן של כללים קיימים במדיניות חומת אש של VPC, אפשר לעיין בקטעים הבאים.

הפעלת רישום ביומן של כללי חומת אש ב-VPC

המסוף

  1. נכנסים לדף Firewall policies במסוף Google Cloud .

    לדף Firewall policies

  2. בתפריט לבחירת פרויקטים, בוחרים את שם הפרויקט.

  3. בקטע VPC firewall rules (כללים של חומת אש ב-VPC), אפשר לראות את רשימת הכללים של חומת האש ב-VPC.

  4. בעמודה Logs, בודקים אם האפשרות Logs מופעלת או מושבתת לגבי כל כלל חומת אש.

  5. כדי להפעיל את הרישום ביומן עבור כלל אחד או יותר, מסמנים את התיבה לצד כל כלל שרוצים לעדכן.

  6. בסרגל הפעולות VPC firewall rules (כללים של חומת אש ב-VPC), לוחצים על Configure logs (הגדרת יומנים).

  7. בתיבת הדו-שיח Configure logs (הגדרת יומנים), בוחרים באפשרות On (מופעל).

  8. כדי להשמיט את שדות המטא-נתונים, מרחיבים את הצגת פרטי היומנים ומבטלים את הסימון של תיבת הסימון כולל מטא-נתונים.

  9. לוחצים על שמירת ההגדרה.

gcloud 

gcloud compute firewall-rules update RULE_NAME \
    --enable-logging \
    --logging-metadata=LOGGING_METADATA

מחליפים את מה שכתוב בשדות הבאים:

  • RULE_NAME: השם של כלל חומת האש ב-VPC.
  • LOGGING_METADATA: האם רישום ביומן של כללי חומת אש ב-VPC כולל שדות של מטא-נתונים בפורמט הרישום ביומן של כללי חומת אש ב-VPC. אפשר להגדיר את השדה הזה רק אם הרישום ביומן מופעל. הערך חייב להיות exclude-all או include-all. כברירת מחדל, שדות המטא-נתונים נכללים.

מידע נוסף מופיע במאמרי העזרה של ה-SDK.

Terraform

אתם יכולים להשתמש במשאב של Terraform כדי ליצור כלל חומת אש ב-VPC עם הפעלת רישום ביומן.

resource "google_compute_firewall" "rules" {
  project     = var.project_id # Replace this with your project ID in quotes
  name        = "my-firewall-rule"
  network     = "default"
  description = "Creates firewall rule targeting tagged instances"

  log_config {
    metadata = "INCLUDE_ALL_METADATA"
  }

  allow {
    protocol = "tcp"
    ports    = ["80", "8080", "1000-2000"]
  }
  target_tags = ["web"]
}

כדי ללמוד איך להחיל הגדרות ב-Terraform או להסיר אותן, ראו פקודות בסיסיות ב-Terraform.

API

הפעלה של רישום ביומן של כללים לחומת אש ב-VPC עבור כלל קיים של חומת אש ב-VPC.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls/RULE_NAME
{
  "name": "RULE_NAME",
  "logConfig": {
    "enable": true,
    "metadata": "LOGGING_METADATA"
  }
}

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה הפרויקט שבו נמצא כלל חומת האש של ה-VPC.
  • RULE_NAME: השם של כלל חומת האש ב-VPC.
  • LOGGING_METADATA: האם רישום ביומן של כללי חומת אש ב-VPC כולל שדות של מטא-נתונים בפורמט הרישום ביומן של כללי חומת אש ב-VPC. אפשר להגדיר את השדה הזה רק אם הרישום ביומן מופעל. הערך חייב להיות exclude-all או include-all. כברירת מחדל, שדות המטא-נתונים נכללים.

מידע נוסף זמין במאמר על השיטה firewalls.patch.

השבתת הרישום ביומן של כללי חומת האש ב-VPC

המסוף

  1. נכנסים לדף Firewall policies במסוף Google Cloud .

    לדף Firewall policies

  2. בתפריט לבחירת פרויקטים, בוחרים את שם הפרויקט.

  3. בקטע VPC firewall rules (כללים של חומת אש ב-VPC), אפשר לראות את רשימת הכללים של חומת האש ב-VPC.

  4. בעמודה Logs, בודקים אם האפשרות Logs היא On או Off לגבי כל כלל חומת אש.

  5. כדי להשבית את הרישום ביומן של כלל אחד או יותר, מסמנים את התיבה לצד כל כלל שרוצים לעדכן.

  6. בסרגל הפעולות VPC firewall rules (כללים של חומת אש ב-VPC), לוחצים על Configure logs (הגדרת יומנים).

  7. בתיבת הדו-שיח Configure logs (הגדרת יומנים), בוחרים באפשרות Off (מושבת) ואז לוחצים על Save configuration (שמירת ההגדרה).

gcloud 

gcloud compute firewall-rules update RULE_NAME \
    --no-enable-logging

מחליפים את RULE_NAME בשם של כלל חומת האש של ה-VPC.

API

השבתה של רישום ביומן של כללי חומת אש ב-VPC עבור כלל קיים של חומת אש ב-VPC.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls/RULE_NAME
{
  "name": "RULE_NAME",
  "logConfig": {
    "enable": false
  }
}

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה הפרויקט שבו נמצא כלל חומת האש של ה-VPC.
  • RULE_NAME: השם של כלל חומת האש ב-VPC.

מידע נוסף זמין במאמר על השיטה firewalls.patch.

צפייה ביומנים

יומנים של כללי מדיניות חומת אש נוצרים בפרויקט שמארח את הרשת שמכילה את המכונות הווירטואליות ואת כללי חומת האש. עם VPC משותף, אתם יוצרים מכונות וירטואליות בפרויקטים של שירותים, אבל המכונות האלה משתמשות ברשת VPC משותפת שנמצאת בפרויקט המארח. בתרחישים כאלה, יומני הכללים של מדיניות חומת האש מאוחסנים בפרויקט המארח.

יומנים של כללי חומת אש ב-VPC נוצרים בפרויקט שמארח את הרשת שמכילה את המכונות הווירטואליות ואת כללי חומת האש ב-VPC. עם VPC משותף, אתם יוצרים מכונות וירטואליות בפרויקטים של שירותים, אבל המכונות האלה משתמשות ברשת VPC משותפת שנמצאת בפרויקט המארח. בתרחישים כאלה, יומני הכללים של מדיניות חומת האש מאוחסנים בפרויקט המארח.

כדי להציג את היומנים של כללי חומת האש ב-VPC, משתמשים בקטע Logs Explorer במסוף Google Cloud . מידע נוסף זמין במאמר הצגה וניתוח של יומנים.

השאילתות הבאות מדגימות איך אפשר לחפש אירועים ספציפיים של חומת אש ב-VPC.

הצגת כל יומני חומת האש

כדי לראות את היומנים של כללי חומת האש ב-VPC, משתמשים באחת מהאפשרויות הבאות.

אפשרות 1

  1. נכנסים לדף Logs Explorer במסוף Google Cloud .

    כניסה לדף Logs Explorer

  2. לוחצים על All resource.

  3. ברשימה Select resource, לוחצים על Subnetwork ואז על Apply.

  4. לוחצים על All log names (כל שמות היומנים) ואז בוחרים באפשרות firewall (חומת אש) ברשימה.

  5. לוחצים על אישור.

אפשרות 2

  1. נכנסים לדף Logs Explorer במסוף Google Cloud .

    כניסה לדף Logs Explorer

  2. מדביקים את הטקסט הבא בשדה של עורך השאילתות.

    resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Ffirewall"

    מחליפים את PROJECT_ID במזהה הפרויקט.

  3. אם שדה עורך השאילתות לא מוצג, לוחצים על המתג הצגת השאילתה.

  4. לוחצים על Run query.

צפייה ביומנים של רשתות משנה ספציפיות

כדי להציג את היומנים של כללי חומת האש של VPC עבור רשתות משנה ספציפיות, משתמשים באחת מהאפשרויות הבאות.

אפשרות 1

  1. נכנסים לדף Logs Explorer במסוף Google Cloud .

    כניסה לדף Logs Explorer

  2. לוחצים על All resource.

  3. ברשימה Select resource, לוחצים על Subnetwork.

  4. בוחרים את רשת המשנה שרוצים לראות את היומנים שלה ולוחצים על הפעלה.

  5. לוחצים על All log names (כל שמות היומנים) ואז בוחרים באפשרות firewall (חומת אש) ברשימה.

  6. לוחצים על אישור.

אפשרות 2

  1. נכנסים לדף Logs Explorer במסוף Google Cloud .

    כניסה לדף Logs Explorer

  2. מדביקים את הטקסט הבא בשדה של עורך השאילתות.

    resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Ffirewall"
resource.labels.subnetwork_name="SUBNET_NAME"

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: מזהה הפרויקט
    • SUBNET_NAME: השם של רשת המשנה

  3. אם שדה עורך השאילתות לא מוצג, לוחצים על המתג הצגת השאילתה.

  4. לוחצים על Run query.

צפייה ביומנים במכונות וירטואליות ספציפיות

כדי לראות את היומנים של כללי חומת האש של VPC עבור מכונות וירטואליות ספציפיות, משתמשים באחת מהאפשרויות הבאות.

אפשרות 1

  1. נכנסים לדף Logs Explorer במסוף Google Cloud .

    כניסה לדף Logs Explorer

  2. לוחצים על All resource.

  3. ברשימה Select resource (בחירת משאב), לוחצים על VM instance (מכונת VM).

  4. בוחרים את המופע שרוצים לראות את היומנים שלו ולוחצים על החלה.

  5. לוחצים על All log names (כל שמות היומנים) ואז בוחרים באפשרות firewall (חומת אש) ברשימה.

  6. לוחצים על אישור.

אפשרות 2

  1. נכנסים לדף Logs Explorer במסוף Google Cloud .

    כניסה לדף Logs Explorer

  2. מדביקים את הטקסט הבא בשדה של עורך השאילתות.

    resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Ffirewall"
jsonPayload.instance.vm_name="INSTANCE_ID"

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: מזהה הפרויקט
    • INSTANCE_ID: המזהה של מכונת ה-VM שרוצים להציג את היומנים שלה

  3. אם שדה עורך השאילתות לא מוצג, לוחצים על המתג הצגת השאילתה.

  4. לוחצים על Run query.

צפייה ביומנים של חיבורים ממדינה ספציפית

כדי להציג את יומני הכללים של חומת האש ב-VPC במדינה ספציפית:

  1. נכנסים לדף Logs Explorer במסוף Google Cloud .

    כניסה לדף Logs Explorer

  2. מדביקים את הטקסט הבא בשדה של עורך השאילתות.

    resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Ffirewall"
jsonPayload.remote_location.country=COUNTRY

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: מזהה הפרויקט
    • COUNTRY: קוד ISO 3166-1alpha-3 של המדינה שרוצים לראות את היומנים שלה

  3. אם שדה עורך השאילתות לא מוצג, לוחצים על המתג הצגת השאילתה.

  4. לוחצים על Run query.

ייצוא היומנים

הוראות לייצוא יומנים של כללי חומת אש ב-VPC מופיעות במאמר ניתוב יומנים ליעדים נתמכים. אפשר להשתמש בדוגמאות לשאילתות כדי לצמצם את היומנים שמייצאים.

טבלת האינטראקציות

  • במקרה של תקשורת בין מכונות וירטואליות, יכול להיות שרשומות ביומן ייווצרו על ידי שתי המכונות הווירטואליות, בהתאם לכללי חומת האש שלהן.
  • החיבור שנרשם ביומן כולל חבילות שזורמות לשני הכיוונים אם חומת האש אישרה את החבילה הראשונית.
  • לגבי מכונה וירטואלית מסוימת, חיבורים נכנסים מושווים לכללי חומת אש שהוגדרו במכונה הווירטואלית, וחיבורים יוצאים מושווים לכלל חומת אש ליציאה שהוגדר במכונה הווירטואלית.
  • חיבור מותר שתואם לכלל חומת אש עם 'אישור ורישום ביומן' נרשם ביומן פעם אחת בלבד. רשומת היומן לא חוזרת על עצמה כל 5 שניות, גם אם החיבור נמשך.
  • חיבור שנדחה שתואם לכלל חומת אש עם הערך 'נדחה ומתועד' חוזר על רשומת היומן כל 5 שניות כל עוד יש מנות שנצפות בחיבור שנדחה.
  • אם מפעילים רישום ביומן בכלל של חומת אש שתואם לחיבור TCP או UDP שכבר פעיל, לא נוצרת רשומה חדשה ביומן. רשומה ביומן נוצרת רק אם החיבור נשאר ללא פעילות למשך 10 דקות לפחות, ונשלח מנה חדשה באותו חיבור. אם התנועה רציפה ויש תקופות של חוסר פעילות שנמשכות פחות מ-10 דקות, נוצר רק רשומה אחת ביומן לחיבור.

בטבלה הזו מוצגת ההתנהגות של רישום ביומן של חומת האש מנקודת המבט של מכונה וירטואלית אחת.

בתרחיש שבו למכונה וירטואלית VM1 יש כלל תעבורה נכנסת R1 שתואם לחבילות וכלל תעבורה יוצאת R2 שתואם גם לחבילות, ההתנהגות של רישום ביומן של חומת האש היא כדלקמן:

למכונה וירטואלית VM1 יש כלל תעבורת נכנסת R1 (שמתאים למנות) למכונה VM1 יש כלל תעבורת נתונים יוצאת (egress) R2 (שמתאים למנות) כיוון החיבור פעולה יומן
אישור ותיעוד אישור תעבורת נתונים נכנסת (Ingress) אישור רשומה אחת ביומן:
disposition=allow, rule=R1
דחייה
אישור ותיעוד
דחייה + רישום ביומן
אישור אישור תעבורת נתונים נכנסת (Ingress) אישור ללא רישום ביומן
דחייה
אישור ותיעוד
דחייה + רישום ביומן
דחייה + רישום ביומן לא רלוונטי תעבורת נתונים נכנסת (Ingress) דחייה רשומה אחת ביומן כל 5 שניות:
disposition=deny, rule=R1
דחייה לא רלוונטי תעבורת נתונים נכנסת (Ingress) דחייה ללא רישום ביומן
אישור אישור ותיעוד תעבורת נתונים יוצאת (egress) אישור רשומה אחת ביומן:
disposition=allow, rule=R2
דחייה
אישור ותיעוד
דחייה + רישום ביומן
אישור אישור תעבורת נתונים יוצאת (egress) אישור ללא רישום ביומן
דחייה
אישור ותיעוד
דחייה + רישום ביומן
לא רלוונטי דחייה + רישום ביומן תעבורת נתונים יוצאת (egress) דחייה רישום אחד ביומן כל 5 שניות:
disposition=deny, rule=R2
לא רלוונטי דחייה תעבורת נתונים יוצאת (egress) דחייה ללא רישום ביומן

חשוב לזכור שהתנועה הנכנסת והתנועה היוצאת הן סימטריות.

זהו תיאור מפורט של הסמנטיקה של יומני חומת האש:

  • התרה + רישום ביומן (רישום ביומן נתמך רק עבור TCP ו-UDP)

    • חיבור שהופעל בכיוון שאליו הכלל חל גורם ליצירת רשומה אחת ביומן.
    • תנועת גולשים של תשובות מותרת בגלל מעקב אחר חיבורים. תעבורת נתונים של תשובות לא גורמת לרישום ביומן, ללא קשר לכללי חומת האש של ה-VPC בכיוון הזה.
    • אם תוקף החיבור פג בחומת האש (לא פעיל במשך 10 דקות או שהתקבל TCP RST), חבילה נוספת בכל אחד מהכיוונים עשויה להפעיל את הרישום ביומן.
    • הרישום מתבסס על 5-tuples. דגלי TCP לא משפיעים על אופן הרישום ביומן.

  • דחייה + רישום ביומן (רישום ביומן נתמך רק עבור TCP ו-UDP)

    • החבילות נשמטות (לא מתבצעת התחברות).
    • כל מנה שמתאימה ל-5-tuple ייחודית נרשמת כניסיון כושל ליצירת חיבור.
    • אותו 5-tuple נרשם ביומן שוב כל 5 שניות אם הוא ממשיך לקבל מנות.

המאמרים הבאים