Nesta página, mostramos como ativar e desativar a geração de registros para regras de firewall da VPC. Para instruções sobre a geração de registros de regras de firewall da nuvem privada virtual (VPC), consulte Ativar e desativar a geração de registros de regras de firewall da VPC. Você também pode aprender a ver os registros gerados para regras de firewall da VPC. Para entender o registro em registros das regras de firewall da VPC, consulte Visão geral do registro em registros das regras de firewall da VPC.
Se a geração de registros for ativada em uma regra de firewall da VPC, será possível ter acesso a insights e recomendações relacionadas no Firewall Insights. Para mais informações, consulte Firewall Insights na documentação do Network Intelligence Center.
Permissões
Para modificar regras de firewall da VPC ou registros de acesso, os principais do Identity and Access Management (IAM) precisam ter um dos seguintes papéis.
| Tarefa | Papel necessário |
|---|---|
| Criar, excluir ou atualizar regras de firewall | Proprietário ou editor do projeto ou papel de administrador de segurança (roles/compute.securityAdmin)
|
| Como visualizar registros | Proprietário, editor ou leitor do projeto ou papel de leitor de registros (roles/logging.viewer)Para mais detalhes sobre papéis e permissões do IAM do Logging, consulte Papéis predefinidos. |
Ativar e desativar a geração de registros de regras de firewall da VPC
Ao criar uma regra de firewall da VPC, é possível ativar o registro de regras de firewall da VPC. Para mais informações, consulte Criar regras de firewall da VPC.
Ao ativar a geração de registros, é possível especificar se os campos de metadados serão incluídos. Se omiti-los, você economiza custos de armazenamento. Para ativar ou desativar a geração de registros de regras de firewall da VPC para uma regra de política de firewall existente, consulte as seções a seguir.
Ativar a geração de registros de regras de firewall da VPC
Console
No console do Google Cloud , acesse a página Políticas de firewall.
No menu do seletor de projetos, selecione o nome do projeto.
Na seção Regras de firewall da VPC, é possível conferir a lista de regras de firewall da VPC.
Na coluna Registros, determine se a opção Registros está Ativada ou Desativada para cada regra de firewall.
Para ativar a geração de registros de uma ou mais regras, marque a caixa de seleção ao lado de cada regra que você quer atualizar.
Na barra de ações Regras de firewall da VPC, clique em Configurar registros.
Na caixa de diálogo Configurar registros, selecione Ativado.
Para omitir os campos de metadados, expanda Mostrar detalhes de registros e desmarque a caixa de seleção Incluir metadados.
Clique em Salvar configuração.
gcloud
gcloud compute firewall-rules update RULE_NAME \
--enable-logging \
--logging-metadata=LOGGING_METADATA
Substitua:
RULE_NAME: o nome da regra de firewall da VPC.LOGGING_METADATA: especifica se o registro de regras de firewall da VPC inclui campos de metadados no formato de registro de regras de firewall da VPC. Só é possível configurar esse campo se a geração de registros estiver ativada. O valor precisa serexclude-allouinclude-all. Por padrão, os campos de metadados são incluídos.
Para mais informações, consulte a documentação de referência do SDK.
Terraform
Use o recurso Terraform para criar uma regra de firewall da VPC com a geração de registros ativada.
Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.
API
Ative a geração de registros de regras de firewall da VPC para uma regra de firewall da VPC existente.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls/RULE_NAME
{
"name": "RULE_NAME",
"logConfig": {
"enable": true,
"metadata": "LOGGING_METADATA"
}
}
Substitua:
PROJECT_ID: o ID do projeto em que a regra de firewall da VPC está localizada.RULE_NAME: o nome da regra de firewall da VPC.LOGGING_METADATA: especifica se o registro de regras de firewall da VPC inclui campos de metadados no formato de registro de regras de firewall da VPC. Só é possível configurar esse campo se a geração de registros estiver ativada. O valor precisa serexclude-allouinclude-all. Por padrão, os campos de metadados são incluídos.
Para mais informações, consulte o
método firewalls.patch.
Desativar a geração de registros de regras de firewall da VPC
Console
No console do Google Cloud , acesse a página Políticas de firewall.
No menu do seletor de projetos, selecione o nome do projeto.
Na seção Regras de firewall da VPC, é possível conferir a lista de regras de firewall da VPC.
Na coluna Registros, determine se a opção Registros está Ativada ou Desativada para cada regra de firewall.
Para desativar a geração de registros de uma ou mais regras, marque a caixa de seleção ao lado de cada regra que você quer atualizar.
Na barra de ações Regras de firewall da VPC, clique em Configurar registros.
Na caixa de diálogo Configurar registros, selecione Desativado e clique em Salvar configuração.
gcloud
gcloud compute firewall-rules update RULE_NAME \
--no-enable-logging
Substitua RULE_NAME pelo nome da regra de firewall da VPC.
API
Desative a geração de registros de regras de firewall da VPC para uma regra de firewall da VPC existente.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls/RULE_NAME
{
"name": "RULE_NAME",
"logConfig": {
"enable": false
}
}
Substitua:
PROJECT_ID: o ID do projeto em que a regra de firewall da VPC está localizada.RULE_NAME: o nome da regra de firewall da VPC.
Para mais informações, consulte o
método firewalls.patch.
Como visualizar registros
Os registros de regras de política de firewall são criados no projeto que hospeda a rede contendo as instâncias de VM e as regras de firewall. Com a VPC compartilhada, você cria instâncias de VM em projetos de serviço, mas elas usam uma rede VPC compartilhada localizada no projeto host. Nesses cenários, o projeto host armazena os registros de regras da política de firewall.
Os registros de regras de firewall da VPC são criados no projeto que hospeda a rede com as instâncias de VM e as regras de firewall da VPC. Com a VPC compartilhada, você cria instâncias de VM em projetos de serviço, mas elas usam uma rede VPC compartilhada localizada no projeto host. Nesses cenários, o projeto host armazena os registros de regras da política de firewall.
Para ver os registros de regras de firewall da VPC, use a seção "Análise de registros" do console Google Cloud . Para mais informações, consulte Visualizar e analisar registros.
As consultas a seguir demonstram como pesquisar eventos específicos do firewall da VPC.
Ver todos os registros de firewall
Para ver os registros de regras de firewall da VPC, use uma das seguintes opções.
Opção 1
No console do Google Cloud , acesse a página Análise de registros.
Clique em Todos os recursos.
Na lista Selecionar recurso, clique em Sub-rede e em Aplicar.
Clique em Todos os nomes de registros e selecione firewall na lista.
Clique em Aplicar.
Opção 2
No console do Google Cloud , acesse a página Análise de registros.
Cole o código a seguir no campo do editor de consultas.
resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Ffirewall"
Substitua
PROJECT_IDpela ID do seu projeto.Se você não vir o campo do editor de consultas, clique no botão Mostrar consulta.
Clique em Executar consulta.
Ver registros de sub-redes específicas
Para conferir os registros de regras de firewall da VPC de sub-redes específicas, use uma das seguintes opções.
Opção 1
No console do Google Cloud , acesse a página Análise de registros.
Clique em Todos os recursos.
Na lista Selecionar recurso, clique em Sub-rede.
Selecione a sub-rede em que você quer ver os registros e clique em Aplicar.
Clique em Todos os nomes de registros e selecione firewall na lista.
Clique em Aplicar.
Opção 2
No console do Google Cloud , acesse a página Análise de registros.
Cole o código a seguir no campo do editor de consultas.
resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Ffirewall" resource.labels.subnetwork_name="SUBNET_NAME"
Substitua:
PROJECT_ID: ID do projetoSUBNET_NAME: o nome da sub-rede
Se você não vir o campo do editor de consultas, clique no botão Mostrar consulta.
Clique em Executar consulta.
Ver registros em VMs específicas
Para conferir os registros de regras de firewall da VPC de VMs específicas, use uma das seguintes opções.
Opção 1
No console do Google Cloud , acesse a página Análise de registros.
Clique em Todos os recursos.
Na lista Selecionar recurso, clique em Instância de VM.
Selecione a instância em que você quer ver os registros e clique em Aplicar.
Clique em Todos os nomes de registros e selecione firewall na lista.
Clique em Aplicar.
Opção 2
No console do Google Cloud , acesse a página Análise de registros.
Cole o código a seguir no campo do editor de consultas.
resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Ffirewall" jsonPayload.instance.vm_name="INSTANCE_ID"
Substitua:
PROJECT_ID: ID do projetoINSTANCE_ID: o ID da VM para que você quer ver os registros.
Se você não vir o campo do editor de consultas, clique no botão Mostrar consulta.
Clique em Executar consulta.
Ver registros de conexões de um país específico
Para conferir os registros de regras de firewall da VPC de um país específico, faça o seguinte:
No console do Google Cloud , acesse a página Análise de registros.
Cole o código a seguir no campo do editor de consultas.
resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Ffirewall" jsonPayload.remote_location.country=COUNTRY
Substitua:
PROJECT_ID: ID do projetoCOUNTRY: o código ISO 3166-1 alfa-3 do país para o qual você quer ver os registros
Se você não vir o campo do editor de consultas, clique no botão Mostrar consulta.
Clique em Executar consulta.
Exportar registros
Para exportar registros de regras de firewall da VPC, consulte Rotear registros para destinos compatíveis. Use as consultas de exemplo para restringir os registros exportados.
Tabela de interações
- No caso de comunicação de VM para VM, os registros podem ser gerados pelas duas VMs, dependendo das regras de firewall de cada uma.
- A conexão registrada inclui pacotes fluindo nos dois sentidos caso o pacote inicial tenha obtido permissão do firewall.
- Para uma determinada VM, as conexões de entrada são correspondidas às regras de firewall configuradas nela, e as conexões de saída são correspondidas à regra de firewall de saída configurada nessa VM.
- Uma conexão permitida que corresponde a uma regra de firewall com “permitir e gerar registros” é registrada apenas uma vez. A entrada de registro não é repetida a cada cinco segundos, mesmo que a conexão persista.
- Uma conexão negada que corresponde a uma regra de firewall com “negado e gerando registros” repete a entrada de registro a cada cinco segundos enquanto houver pacotes observados nessa conexão negada.
- Se você ativar a geração de registros em uma regra de firewall que corresponda a uma conexão TCP ou UDP já ativa, uma nova entrada de registro não será gerada. Uma entrada de registro só é criada se a conexão permanecer inativa por pelo menos 10 minutos e um novo pacote for enviado na mesma conexão. Para tráfego contínuo com períodos de inatividade menores que 10 minutos, apenas uma entrada de registro é gerada para a conexão.
Esta tabela mostra o comportamento de geração de registros de firewall pela perspectiva de uma única VM.
Em um cenário em que uma VM1 tem uma regra de entrada R1 que corresponde aos pacotes e uma regra de saída R2 que também corresponde aos pacotes, o comportamento de geração de registros de firewall é o seguinte:
| A VM1 tem a regra de entrada R1 (pacotes correspondentes) | A VM1 tem a regra de saída R2 (pacotes correspondentes) | Direção da conexão | Ação | Registro |
|---|---|---|---|---|
| Permitir + gerar registros | Permitir | Entrada | Permitir | Uma entrada de registro: disposição=permitir, regra=R1 |
| Negar | ||||
| Permitir + gerar registros | ||||
| Negar + gerar registros | ||||
| Permitir | Permitir | Entrada | Permitir | Sem geração de registros |
| Negar | ||||
| Permitir + gerar registros | ||||
| Negar + gerar registros | ||||
| Negar + gerar registros | N/A | Entrada | Negar | Uma entrada de registro a cada 5 segundos: disposição=negar, regra=R1 |
| Negar | N/A | Entrada | Negar | Sem geração de registros |
| Permitir | Permitir + gerar registros | Saída | Permitir | Uma entrada de registro: disposição=permitir, regra=R2 |
| Negar | ||||
| Permitir + gerar registros | ||||
| Negar + gerar registros | ||||
| Permitir | Permitir | Saída | Permitir | Sem geração de registros |
| Negar | ||||
| Permitir + gerar registros | ||||
| Negar + gerar registros | ||||
| N/A | Negar + gerar registros | Saída | Negar | Uma entrada de registro a cada 5 segundos: disposição=negar, regra=R2 |
| N/A | Negar | Saída | Negar | Sem geração de registros |
Observe que a entrada e a saída são simétricas.
Esta é a descrição detalhada da semântica dos registros de firewall:
Permitir + gerar registros (a geração de registros é compatível somente com TCP e UDP)
- A conexão iniciada na direção à qual a regra se aplica faz com que um único registro seja criado.
- O tráfego de resposta é permitido devido ao rastreamento de conexão. O tráfego de resposta não faz com que a geração de registros ocorra, independentemente das regras de firewall da VPC nessa direção.
- Se a conexão expirar a partir do firewall (inativa por 10 minutos ou TCP RST recebido), outro pacote em qualquer direção poderá acionar a geração de registros.
- A geração de registros é baseada em cinco tuplas. Os flags TCP não afetam o comportamento de geração de registros.
Negar + gerar registros (a geração de registros é compatível somente com TCP e UDP)
- Os pacotes são descartados (não é iniciada nenhuma conexão).
- Cada pacote que corresponde a um hash de cinco tuplas único é registrado como uma tentativa de conexão com falha.
- O mesmo hash de cinco tuplas é registrado novamente a cada cinco segundos caso continue recebendo pacotes.
A seguir
- Gerenciar a geração de registros de regras da política de firewall
- Visão geral do Cloud Logging
- Encaminhar registros para destinos compatíveis