ファイアウォール ポリシー ルールのログに関する問題のトラブルシューティング

このページでは、ファイアウォール ポリシー ルールのロギングを使用する際に発生する可能性のある一般的な問題のトラブルシューティング方法について説明します。

ファイアウォール ポリシー ルール ロギングを使用すると、ファイアウォール ルールの効果を監査、検証、分析できます。ファイアウォール ポリシー ルールのロギングを有効にすると、ログを表示して、ルールが意図したとおりに機能していることを確認し、接続にどのような影響を与えているかを把握できます。詳細については、ファイアウォール ポリシールール ロギングの概要をご覧ください。

ログが表示されない

Google Cloud コンソールの [ログ エクスプローラ] セクションでファイアウォール ルールのログを表示できない場合は、次のいずれかの原因が考えられます。

  • 十分な権限がありません
  • レガシー ネットワークはサポートされていません
  • プロジェクト コンテキストが正しくない

十分な権限がありません

ファイアウォール ルールログを表示するには、プロジェクト オーナーに、プロジェクトに対するログ閲覧者ロールroles/logging.viewer)を Identity and Access Management プリンシパルに付与するよう依頼してください。詳細については、権限をご覧ください。

レガシー ネットワークはサポートされていません

レガシー ネットワークでは、ファイアウォール ポリシー ルールのロギングを使用できません。Virtual Private Cloud(VPC)ネットワークのみがサポートされています。

プロジェクト コンテキストが正しくない

Google Cloud は、ネットワークを含むプロジェクトにファイアウォール ルールのログを保存します。正しいプロジェクトのログを調べていることを確認してください。

共有 VPC では、サービス プロジェクトに仮想マシン(VM)インスタンスを作成しますが、VM はホスト プロジェクトの共有 VPC ネットワークを使用します。共有 VPC の場合、 Google Cloud はファイアウォール ルールのログをホスト プロジェクトに保存します。共有 VPC を使用する場合は、ホスト プロジェクトでファイアウォール ログを表示するための適切な権限があることを確認します。

ログエントリが見つからない

ログ エクスプローラでファイアウォール ルールのログエントリが見つからない場合は、次の一般的な問題を確認してください。

接続が想定されるファイアウォール ルールに一致しない

期待するファイアウォール ルールが、インスタンスに適用されるファイアウォール ルールのリストに含まれていることを確認します。

  1. Google Cloud コンソールで、[VM インスタンス] ページに移動します。

    [VM インスタンス] に移動

  2. [VM インスタンス] セクションで、VM インスタンスの名前をクリックします。

  3. [ネットワーク インターフェース] セクションの [ネットワークの詳細] 列で、[詳細を表示] をクリックします。

  4. [ネットワーク構成分析] セクションで、該当するファイアウォール ルールを確認します。詳細については、ログの表示をご覧ください。

  5. 接続に使用されている IP アドレス、ポート、プロトコルが不明な場合は、VPC Flow Logs を使用してトラフィックを特定できます。

ファイアウォール ルールが正しく作成されていることを確認するには、VPC ファイアウォール ルールをご覧ください。

ロギングのない優先度の高いルールが適用される

ファイアウォール ルールは優先順位に従って評価されます。一致するトラフィックには 1 つのファイアウォール ルールのみが適用されます。優先度の高いルールがトラフィックと一致しても、ロギングが有効になっていない場合、ロギングが有効になっている優先度の低いルールもトラフィックと一致しても、ログは生成されません。

この問題をトラブルシューティングするには、移行元から移行先への接続テストを実行します。詳細については、接続テストを作成して実行するをご覧ください。これにより、接続に使用されたファイアウォール ルールに関する情報が提供されます。

  1. Google Cloud コンソールで、[VM インスタンス] ページに移動します。

    [VM インスタンス] に移動

  2. [VM インスタンス] セクションで、VM インスタンスの名前をクリックします。

  3. [ネットワーク インターフェース] セクションの [ネットワークの詳細] 列で、[詳細を表示] をクリックします。

  4. [ネットワーク構成の分析] セクションで、適用されるファイアウォール ルールを確認し、リスト内でカスタムルールを特定します。

  5. それらのカスタム ファイアウォール ルールのすべてに対し、一時的にロギングを有効にします。ロギングを有効にすると、どのルールがトラフィックに一致しているかを特定できます。

  6. ルールを特定したら、ロギングを必要としないルールのロギングを無効にします。ファイアウォール ルールのロギングを無効にするには、ファイアウォール ポリシー ルールのロギングを無効にするをご覧ください。

ログエントリの一部にメタデータが欠落している

ログ エクスプローラで一部のログエントリのメタデータが欠落している場合は、構成の伝播の遅延が原因である可能性があります。

ファイアウォール ロギングが有効化されているファイアウォール ルールを更新した場合、 Google Cloud がその変更を反映し終わるまでに数分かかることがあります。それまでは、そのルールで更新されたコンポーネントに一致するトラフィックは、ログに記録されません。

次のステップ