Mengelola logging aturan firewall VPC

Halaman ini menunjukkan cara mengaktifkan dan menonaktifkan logging untuk aturan firewall VPC. Untuk mengetahui petunjuk tentang logging untuk aturan firewall Virtual Private Cloud (VPC), lihat Mengaktifkan dan menonaktifkan logging aturan firewall VPC. Anda juga dapat mempelajari cara melihat log yang dihasilkan untuk aturan firewall VPC. Untuk memahami logging aturan firewall VPC, lihat Ringkasan logging aturan firewall VPC.

Jika mengaktifkan logging pada aturan firewall VPC, Anda dapat melihat insight dan rekomendasi untuk aturan tersebut dari Analisis Firewall. Untuk mengetahui informasi selengkapnya, lihat Insight Firewall dalam dokumentasi Network Intelligence Center.

Izin

Untuk mengubah aturan firewall VPC atau log akses, akun utama Identity and Access Management (IAM) memerlukan salah satu peran berikut.

Tugas Peran yang diperlukan
Membuat, menghapus, atau memperbarui aturan firewall Pemilik atau editor project atau peran Security Admin (roles/compute.securityAdmin)
Melihat log Pemilik, editor, atau pelihat project atau peran Logs Viewer (roles/logging.viewer)
Untuk mengetahui detail tentang peran dan izin IAM Logging, lihat Peran yang telah ditentukan sebelumnya.

Mengaktifkan dan menonaktifkan logging aturan firewall VPC

Saat membuat aturan firewall VPC, Anda dapat mengaktifkan logging aturan firewall VPC. Untuk mengetahui informasi selengkapnya, lihat Membuat aturan firewall VPC.

Saat mengaktifkan logging, Anda dapat menentukan apakah akan menyertakan kolom metadata. Jika Anda menghilangkannya, Anda dapat menghemat biaya penyimpanan. Untuk mengaktifkan atau menonaktifkan logging aturan firewall VPC untuk aturan kebijakan firewall yang ada, lihat bagian berikut.

Mengaktifkan logging aturan firewall VPC

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih nama project.

  3. Di bagian VPC firewall rules, Anda dapat melihat daftar aturan firewall VPC.

  4. Di kolom Log, tentukan apakah Log Aktif atau Nonaktif untuk setiap aturan firewall.

  5. Untuk mengaktifkan logging untuk satu atau beberapa aturan, centang kotak di samping setiap aturan yang ingin Anda perbarui.

  6. Di panel tindakan VPC firewall rules, klik Configure logs.

  7. Pada dialog Konfigurasi log, pilih Aktif.

  8. Untuk menghilangkan kolom metadata, luaskan Tampilkan detail log, lalu hapus centang pada kotak Sertakan metadata.

  9. Klik Simpan konfigurasi.

gcloud 

gcloud compute firewall-rules update RULE_NAME \
    --enable-logging \
    --logging-metadata=LOGGING_METADATA

Ganti kode berikut:

  • RULE_NAME: nama aturan firewall VPC.
  • LOGGING_METADATA: apakah logging aturan firewall VPC menyertakan kolom metadata dalam format logging aturan firewall VPC. Anda dapat mengonfigurasi kolom ini hanya jika logging diaktifkan. Nilainya harus berupa exclude-all atau include-all. Secara default, kolom metadata disertakan.

Untuk mengetahui informasi selengkapnya, lihat dokumentasi referensi SDK.

Terraform

Anda dapat menggunakan resource Terraform untuk membuat aturan firewall VPC dengan logging yang diaktifkan.

resource "google_compute_firewall" "rules" {
  project     = var.project_id # Replace this with your project ID in quotes
  name        = "my-firewall-rule"
  network     = "default"
  description = "Creates firewall rule targeting tagged instances"

  log_config {
    metadata = "INCLUDE_ALL_METADATA"
  }

  allow {
    protocol = "tcp"
    ports    = ["80", "8080", "1000-2000"]
  }
  target_tags = ["web"]
}

Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihat Perintah dasar Terraform.

API

Aktifkan logging aturan firewall VPC untuk aturan firewall VPC yang ada.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls/RULE_NAME
{
  "name": "RULE_NAME",
  "logConfig": {
    "enable": true,
    "metadata": "LOGGING_METADATA"
  }
}

Ganti kode berikut:

  • PROJECT_ID: ID project tempat aturan firewall VPC berada.
  • RULE_NAME: nama aturan firewall VPC.
  • LOGGING_METADATA: apakah logging aturan firewall VPC menyertakan kolom metadata dalam format logging aturan firewall VPC. Anda dapat mengonfigurasi kolom ini hanya jika logging diaktifkan. Nilainya harus berupa exclude-all atau include-all. Secara default, kolom metadata disertakan.

Untuk informasi selengkapnya, lihat metode firewalls.patch.

Menonaktifkan logging aturan firewall VPC

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih nama project.

  3. Di bagian VPC firewall rules, Anda dapat melihat daftar aturan firewall VPC.

  4. Di kolom Log, tentukan apakah Log Aktif atau Nonaktif untuk setiap aturan firewall.

  5. Untuk menonaktifkan logging untuk satu atau beberapa aturan, centang kotak di samping setiap aturan yang ingin Anda perbarui.

  6. Di panel tindakan VPC firewall rules, klik Configure logs.

  7. Dalam dialog Configure logs, pilih Nonaktif, lalu klik Simpan konfigurasi.

gcloud 

gcloud compute firewall-rules update RULE_NAME \
    --no-enable-logging

Ganti RULE_NAME dengan nama aturan firewall VPC.

API

Menonaktifkan logging aturan firewall VPC untuk aturan firewall VPC yang ada.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls/RULE_NAME
{
  "name": "RULE_NAME",
  "logConfig": {
    "enable": false
  }
}

Ganti kode berikut:

  • PROJECT_ID: ID project tempat aturan firewall VPC berada.
  • RULE_NAME: nama aturan firewall VPC.

Untuk informasi selengkapnya, lihat metode firewalls.patch.

Melihat log

Log aturan kebijakan firewall dibuat di project yang menghosting jaringan yang berisi instance VM dan aturan firewall. Dengan VPC Bersama, Anda membuat instance VM dalam project layanan, tetapi instance ini menggunakan jaringan VPC Bersama yang berada di project host. Dalam skenario tersebut, project host menyimpan log aturan kebijakan firewall.

Log aturan firewall VPC dibuat di project yang menghosting jaringan yang berisi instance VM dan aturan firewall VPC. Dengan VPC Bersama, Anda membuat instance VM di project layanan, tetapi instance ini menggunakan jaringan VPC Bersama yang berada di project host. Dalam skenario tersebut, project host menyimpan log aturan kebijakan firewall.

Untuk melihat log aturan firewall VPC, gunakan bagian Logs Explorer di konsol Google Cloud . Untuk mengetahui informasi selengkapnya, lihat Melihat dan menganalisis log.

Kueri berikut menunjukkan cara menelusuri peristiwa firewall VPC tertentu.

Melihat semua log firewall

Untuk melihat log aturan firewall VPC, gunakan salah satu opsi berikut.

Opsi 1

  1. Di konsol Google Cloud , buka halaman Logs Explorer.

    Buka Logs Explorer

  2. Klik Semua resource.

  3. Di daftar Select resource, klik Subnetwork, lalu klik Apply.

  4. Klik All log names, lalu pilih firewall dalam daftar.

  5. Klik Terapkan.

Opsi 2

  1. Di konsol Google Cloud , buka halaman Logs Explorer.

    Buka Logs Explorer

  2. Tempel perintah berikut ke dalam kolom editor kueri.

    resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Ffirewall"

    Ganti PROJECT_ID dengan project ID Anda.

  3. Jika Anda tidak melihat kolom editor kueri, klik tombol Show query.

  4. Klik Run query.

Melihat log untuk subnet tertentu

Untuk melihat log aturan firewall VPC untuk subnet tertentu, gunakan salah satu opsi berikut.

Opsi 1

  1. Di konsol Google Cloud , buka halaman Logs Explorer.

    Buka Logs Explorer

  2. Klik Semua resource.

  3. Di daftar Select resource, klik Subnetwork.

  4. Pilih subnetwork yang lognya ingin Anda lihat, lalu klik Terapkan.

  5. Klik All log names, lalu pilih firewall dalam daftar.

  6. Klik Terapkan.

Opsi 2

  1. Di konsol Google Cloud , buka halaman Logs Explorer.

    Buka Logs Explorer

  2. Tempel perintah berikut ke dalam kolom editor kueri.

    resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Ffirewall"
resource.labels.subnetwork_name="SUBNET_NAME"

    Ganti kode berikut:

    • PROJECT_ID: ID project Anda
    • SUBNET_NAME: nama subnetwork Anda

  3. Jika Anda tidak melihat kolom editor kueri, klik tombol Show query.

  4. Klik Run query.

Melihat log di VM tertentu

Untuk melihat log aturan firewall VPC untuk VM tertentu, gunakan salah satu opsi berikut.

Opsi 1

  1. Di konsol Google Cloud , buka halaman Logs Explorer.

    Buka Logs Explorer

  2. Klik Semua resource.

  3. Di daftar Select resource, klik VM instance.

  4. Pilih instance yang lognya ingin Anda lihat, lalu klik Terapkan.

  5. Klik All log names, lalu pilih firewall dalam daftar.

  6. Klik Terapkan.

Opsi 2

  1. Di konsol Google Cloud , buka halaman Logs Explorer.

    Buka Logs Explorer

  2. Tempel perintah berikut ke dalam kolom editor kueri.

    resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Ffirewall"
jsonPayload.instance.vm_name="INSTANCE_ID"

    Ganti kode berikut:

    • PROJECT_ID: ID project Anda
    • INSTANCE_ID: ID VM yang ingin Anda lihat lognya

  3. Jika Anda tidak melihat kolom editor kueri, klik tombol Show query.

  4. Klik Run query.

Melihat log untuk koneksi dari negara tertentu

Untuk melihat log aturan firewall VPC untuk negara tertentu, lakukan hal berikut:

  1. Di konsol Google Cloud , buka halaman Logs Explorer.

    Buka Logs Explorer

  2. Tempel perintah berikut ke dalam kolom editor kueri.

    resource.type="gce_subnetwork"
logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Ffirewall"
jsonPayload.remote_location.country=COUNTRY

    Ganti kode berikut:

    • PROJECT_ID: ID project Anda
    • COUNTRY: kode ISO 3166-1 alpha-3 negara yang lognya ingin Anda lihat

  3. Jika Anda tidak melihat kolom editor kueri, klik tombol Show query.

  4. Klik Run query.

Ekspor log

Untuk mengekspor log aturan firewall VPC, lihat Merutekan log ke tujuan yang didukung. Anda dapat menggunakan contoh kueri untuk mempersempit log yang Anda ekspor.

Tabel interaksi

  • Dalam kasus komunikasi VM-ke-VM, catatan log dapat dibuat oleh kedua VM, bergantung pada aturan firewall masing-masing.
  • Koneksi yang dicatat dalam log mencakup paket yang mengalir dua arah jika paket awal diizinkan oleh firewall.
  • Untuk VM tertentu, koneksi masuk dicocokkan dengan aturan firewall yang dikonfigurasi di VM tersebut dan koneksi keluar dicocokkan dengan aturan firewall keluar yang dikonfigurasi di VM tersebut.
  • Koneksi yang diizinkan yang cocok dengan aturan firewall dengan "izinkan dan pencatatan ke log" dicatat ke log hanya satu kali. Entri log tidak diulang setiap 5 detik meskipun koneksi tetap ada.
  • Koneksi yang ditolak yang cocok dengan aturan firewall dengan "ditolak dan pencatatan" akan mengulangi entri log setiap 5 detik selama ada paket yang diamati dalam koneksi yang ditolak tersebut.
  • Jika Anda mengaktifkan logging pada aturan firewall yang cocok dengan koneksi TCP atau UDP yang sudah aktif, entri log baru tidak akan dibuat. Entri log dibuat hanya jika koneksi tetap tidak ada aktivitas selama setidaknya 10 menit dan paket baru dikirim pada koneksi yang sama. Untuk traffic berkelanjutan dengan periode tidak ada aktivitas yang lebih singkat dari 10 menit, hanya satu entri log yang dibuat untuk koneksi.

Tabel ini menunjukkan perilaku logging firewall dari perspektif satu VM.

Dalam skenario saat VM1 memiliki aturan ingress R1 yang cocok dengan paket dan aturan egress R2 yang juga cocok dengan paket, perilaku logging firewall adalah sebagai berikut:

VM1 memiliki Aturan Ingress R1 (mencocokkan paket) VM1 memiliki Aturan Egress R2 (mencocokkan paket) Arah Koneksi Tindakan Log
Izinkan + Catat Izinkan Masuk Izinkan Satu entri log:
disposition=allow, rule=R1
Tolak
Izinkan + Catat
Tolak + Catat
Izinkan Izinkan Masuk Izinkan Tanpa logging
Tolak
Izinkan + Catat
Tolak + Catat
Tolak + Catat T/A Masuk Tolak Satu entri log setiap 5 detik:
disposition=deny, rule=R1
Tolak T/A Masuk Tolak Tanpa logging
Izinkan Izinkan + Catat Keluar Izinkan Satu entri log:
disposition=allow, rule=R2
Tolak
Izinkan + Catat
Tolak + Catat
Izinkan Izinkan Keluar Izinkan Tidak Ada Logging
Tolak
Izinkan + Catat
Tolak + Catat
T/A Tolak + Catat Keluar Tolak Satu entri log setiap 5 detik:
disposition=deny, rule=R2
T/A Tolak Keluar Tolak Tanpa logging

Perhatikan bahwa ingress dan egress bersifat simetris.

Berikut deskripsi mendetail tentang semantik log firewall:

  • Izinkan + Catat (pencatatan hanya didukung untuk TCP dan UDP)

    • Koneksi yang dimulai ke arah yang berlaku untuk aturan akan menyebabkan satu catatan log dibuat.
    • Traffic respons diizinkan karena pelacakan koneksi. Traffic balasan tidak menyebabkan logging terjadi, terlepas dari aturan firewall VPC ke arah tersebut.
    • Jika koneksi berakhir dari firewall (tidak aktif selama 10 menit atau TCP RST diterima), maka paket lain di kedua arah dapat memicu logging.
    • Logging didasarkan pada 5-tuple. Flag TCP tidak memengaruhi perilaku logging.

  • Tolak + Catat (pencatatan hanya didukung untuk TCP dan UDP)

    • Paket dibatalkan (tidak ada koneksi yang dimulai).
    • Setiap paket yang sesuai dengan 5-tuple unik dicatat sebagai upaya koneksi yang gagal.
    • 5-tuple yang sama dicatat lagi setiap 5 detik jika terus menerima paket.

Langkah berikutnya