Cette page explique comment résoudre les problèmes courants que vous pouvez rencontrer lors de l'utilisation de la journalisation des règles de stratégie de pare-feu.
La journalisation des règles de stratégie de pare-feu vous permet d'auditer, de vérifier et d'analyser les effets de vos règles de pare-feu. Lorsque vous activez la journalisation pour les règles de stratégie de pare-feu, vous pouvez afficher les journaux pour vérifier que vos règles fonctionnent comme prévu et comprendre leur impact sur les connexions. Pour en savoir plus, consultez la présentation de la journalisation des règles de stratégie de pare-feu.
Impossible d'afficher les journaux
Si vous ne pouvez pas afficher les journaux des règles de pare-feu dans la section Explorateur de journaux de la consoleGoogle Cloud , cela peut être dû à l'une des raisons suivantes.
- Autorisations insuffisantes
- Les anciens réseaux ne sont pas compatibles
- Contexte de projet incorrect
Autorisations insuffisantes
Pour afficher les journaux des règles de pare-feu, demandez au propriétaire du projet d'accorder à votre compte principal Identity and Access Management le rôle Lecteur de journaux (roles/logging.viewer) sur le projet. Pour en savoir plus, consultez Autorisations.
Les anciens réseaux ne sont pas compatibles
Vous ne pouvez pas utiliser la journalisation des règles de stratégie de pare-feu dans un ancien réseau. Seuls les réseaux de cloud privé virtuel (VPC) sont acceptés.
Contexte de projet incorrect
Google Cloud stocke les journaux des règles de pare-feu dans le projet contenant le réseau. Assurez-vous de rechercher les journaux dans le bon projet.
Dans un VPC partagé, vous créez des instances de machine virtuelle (VM) dans des projets de service, mais les VM utilisent un réseau VPC partagé dans le projet hôte. Pour le VPC partagé, Google Cloud stocke les journaux des règles de pare-feu dans le projet hôte. Si vous utilisez un VPC partagé, assurez-vous de disposer des autorisations appropriées pour afficher les journaux de pare-feu dans le projet hôte.
Enregistrer les entrées manquantes
Si vous ne trouvez pas d'entrées de journal pour vos règles de pare-feu dans l'explorateur de journaux, vérifiez les problèmes courants suivants :
Les connexions ne correspondent pas à la règle de pare-feu attendue
Vérifiez que la règle de pare-feu à laquelle vous pensez figure bien dans la liste des règles de pare-feu applicables à une instance.
Dans la console Google Cloud , accédez à la page Instances de VM.
Dans la section Instances de VM, cliquez sur le nom de l'instance de VM.
Dans la section Interfaces réseau, cliquez sur Afficher les détails sous la colonne Détails du réseau.
Dans la section Analyse de la configuration réseau, vérifiez les règles de pare-feu applicables. Pour en savoir plus, consultez Afficher les journaux.
Si vous n'êtes pas sûr des adresses IP, des ports et des protocoles utilisés pour la connexion, vous pouvez utiliser les journaux de flux VPC pour identifier le trafic.
Pour vous assurer de créer correctement vos règles de pare-feu, consultez la page Règles de pare-feu VPC.
Une règle de priorité plus élevée sans journalisation s'applique
Les règles de pare-feu sont évaluées par ordre de priorité. Une seule règle de pare-feu s'applique au trafic correspondant. Si une règle de priorité plus élevée correspond au trafic, mais que la journalisation n'est pas activée, aucun journal n'est généré, même si une règle de priorité inférieure avec la journalisation activée correspond également au trafic.
Pour résoudre ce problème, exécutez un test de connectivité de la source à la destination. Pour en savoir plus, consultez Créer et exécuter des tests de connectivité. Vous obtiendrez ainsi des informations sur la règle de pare-feu utilisée pour la connexion.
Dans la console Google Cloud , accédez à la page Instances de VM.
Dans la section Instances de VM, cliquez sur le nom de l'instance de VM.
Dans la section Interfaces réseau, cliquez sur Afficher les détails sous la colonne Détails du réseau.
Dans la section Analyse de la configuration réseau, vérifiez les règles de pare-feu applicables et identifiez vos règles personnalisées dans cette liste.
Activez temporairement la journalisation pour toutes ces règles de pare-feu personnalisées. Lorsque la journalisation est activée, vous pouvez identifier la règle qui correspond au trafic.
Une fois la règle identifiée, désactivez la journalisation pour les règles qui n'en ont pas besoin. Pour désactiver la journalisation des règles de pare-feu, consultez Désactiver la journalisation des règles de stratégie de pare-feu.
Métadonnées manquantes pour certaines entrées de journal
Si vous constatez qu'il manque des métadonnées pour certaines entrées de journal dans l'explorateur de journaux, cela peut être dû à un délai dans la propagation de la configuration.
Lorsque vous mettez à jour une règle de pare-feu pour laquelle la journalisation du pare-feu est activée, il faut parfois plusieurs minutes à Google Cloud pour propager les modifications nécessaires à la journalisation du trafic correspondant aux composants modifiés de la règle.