Gestire il logging delle regole firewall VPC

Questa pagina mostra come attivare e disattivare la registrazione per le regole firewall VPC. Per istruzioni sulla registrazione per le regole firewall Virtual Private Cloud (VPC), consulta Attivare e disattivare la registrazione delle regole firewall VPC. Puoi anche scoprire come visualizzare i log generati per le regole firewall VPC. Per comprendere il logging delle regole firewall VPC, consulta la panoramica del logging delle regole firewall VPC.

Se abiliti il logging per una regola firewall VPC, puoi visualizzarne gli approfondimenti e i consigli da Firewall Insights. Per saperne di più, consulta Firewall Insights nella documentazione di Network Intelligence Center.

Autorizzazioni

Per modificare le regole firewall VPC o i log di accesso, le entità Identity and Access Management (IAM) devono disporre di uno dei seguenti ruoli.

Abilitare e disabilitare la registrazione delle regole firewall VPC

Quando crei una regola firewall VPC, puoi attivare la registrazione delle regole firewall VPC. Per saperne di più, consulta Creare regole firewall VPC.

Quando abiliti la registrazione, puoi specificare se includere i campi dei metadati. Se li ometti, puoi risparmiare sui costi di archiviazione. Per attivare o disattivare la registrazione delle regole firewall VPC per una regola di policy firewall esistente, consulta le sezioni seguenti.

Abilita il logging delle regole firewall VPC

gcloud compute firewall-rules update RULE_NAME \
    --enable-logging \
    --logging-metadata=LOGGING_METADATA

resource "google_compute_firewall" "rules" {
  project     = var.project_id # Replace this with your project ID in quotes
  name        = "my-firewall-rule"
  network     = "default"
  description = "Creates firewall rule targeting tagged instances"

  log_config {
    metadata = "INCLUDE_ALL_METADATA"
  }

  allow {
    protocol = "tcp"
    ports    = ["80", "8080", "1000-2000"]
  }
  target_tags = ["web"]
}

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls/RULE_NAME
{
  "name": "RULE_NAME",
  "logConfig": {
    "enable": true,
    "metadata": "LOGGING_METADATA"
  }
}

Disabilita la registrazione delle regole firewall VPC

gcloud compute firewall-rules update RULE_NAME \
    --no-enable-logging

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls/RULE_NAME
{
  "name": "RULE_NAME",
  "logConfig": {
    "enable": false
  }
}

Visualizza i log

I log delle regole dei criteri firewall vengono creati nel progetto che ospita la rete contenente le istanze VM e le regole firewall. Con il VPC condiviso, crei istanze VM nei progetti di servizio, ma queste istanze utilizzano una rete VPC condivisa che si trova nel progetto host. In questi scenari, il progetto host archivia i log delle regole delle policy del firewall.

I log delle regole firewall VPC vengono creati nel progetto che ospita la rete contenente le istanze VM e le regole firewall VPC. Con il VPC condiviso, crei istanze VM nei progetti di servizio, ma queste istanze utilizzano una rete VPC condivisa che si trova nel progetto host. In questi scenari, il progetto host archivia i log delle regole delle policy del firewall.

Per visualizzare i log delle regole firewall VPC, utilizza la sezione Esplora log della console Google Cloud . Per saperne di più, vedi Visualizzare e analizzare i log.

Le seguenti query mostrano come cercare eventi firewall VPC specifici.

Visualizzare tutti i log firewall

Per visualizzare i log delle regole firewall VPC, utilizza una delle seguenti opzioni.

Visualizza i log per subnet specifiche

Per visualizzare i log delle regole firewall VPC per subnet specifiche, utilizza una delle seguenti opzioni.

Visualizzare i log in VM specifiche

Per visualizzare i log delle regole firewall VPC per VM specifiche, utilizza una delle seguenti opzioni.

Visualizzare i log per le connessioni da un paese specifico

Per visualizzare i log delle regole firewall VPC per un paese specifico:

1. Nella console Google Cloud , vai alla pagina Esplora log.

   Vai a Esplora log

2. Incolla quanto segue nel campo dell'editor di query.

   resource.type="gce_subnetwork"
   logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Ffirewall"
   jsonPayload.remote_location.country=COUNTRY
   

   Sostituisci quanto segue:

   • PROJECT_ID: l'ID del progetto
   • COUNTRY: il codice ISO 3166-1 alpha-3 del paese per cui vuoi visualizzare i log

3. Se non vedi il campo dell'editor di query, fai clic sul pulsante di attivazione/disattivazione Mostra query.

4. Fai clic su Esegui query.

Esporta log

Per esportare i log delle regole firewall VPC, vedi Instrada i log verso destinazioni supportate. Puoi utilizzare le query di esempio per restringere i log che esporti.

Tabella delle interazioni

• Nel caso di comunicazione da VM a VM, i record di log potrebbero essere generati da entrambe le VM, a seconda delle rispettive regole firewall.
• La connessione registrata include pacchetti che scorrono in entrambe le direzioni se il pacchetto iniziale è stato consentito dal firewall.
• Per una determinata VM, le connessioni in entrata vengono confrontate con le regole firewall configurate sulla VM e le connessioni in uscita vengono confrontate con la regola firewall in uscita configurata sulla VM.
• Una connessione consentita che corrisponde a una regola firewall con "consenti e registra" viene registrata una sola volta. La voce di log non viene ripetuta ogni 5 secondi anche se la connessione persiste.
• Una connessione negata che corrisponde a una regola firewall con "negata e registrazione" ripete la voce di log ogni 5 secondi finché vengono osservati pacchetti in quella connessione negata.
• Se attivi la registrazione in una regola firewall che corrisponde a una connessione TCP o UDP già attiva, non viene generata una nuova voce di log. Una voce di log viene creata solo se la connessione rimane inattiva per almeno 10 minuti e viene inviato un nuovo pacchetto sulla stessa connessione. Per il traffico continuo con periodi di inattività inferiori a 10 minuti, viene generata una sola voce di log per la connessione.

Questa tabella mostra il comportamento di logging del firewall dal punto di vista di una singola VM.

In uno scenario in cui una VM1 ha una regola in entrata R1 che corrisponde ai pacchetti e una regola in uscita R2 che corrisponde anche ai pacchetti, il comportamento della registrazione firewall è il seguente:

Tieni presente che l'ingresso e l'uscita sono simmetrici.

Di seguito è riportata la descrizione dettagliata della semantica dei log firewall:

• Consenti + Log (il logging è supportato solo per TCP e UDP)

  • La connessione avviata nella direzione a cui si applica la regola causa la creazione di un singolo record di log.
  • Il traffico di risposta è consentito grazie al monitoraggio della connessione. Il traffico di risposta non causa alcun logging, indipendentemente dalle regole firewall VPC in quella direzione.
  • Se la connessione scade dal firewall (inattiva per 10 minuti o TCP RST ricevuto), un altro pacchetto in una delle due direzioni potrebbe attivare la registrazione.
  • La registrazione si basa su 5 tuple. I flag TCP non influiscono sul comportamento di logging.

• Nega + Log (il logging è supportato solo per TCP e UDP)

  • I pacchetti vengono eliminati (non viene avviata alcuna connessione).
  • Ogni pacchetto che corrisponde a una tupla a 5 elementi univoca viene registrato come tentativo di connessione non riuscito.
  • La stessa 5-tupla viene registrata di nuovo ogni 5 secondi se continua a ricevere pacchetti.

Passaggi successivi

• Gestisci il logging delle regole dei criteri firewall
• Panoramica di Cloud Logging
• Instrada i log verso destinazioni supportate