Resolver problemas de registros de regras da política de firewall

Nesta página, descrevemos como resolver problemas comuns que podem ocorrer ao usar o registro de regras de política de firewall.

A geração de registros de regras de política de firewall ajuda você a auditar, verificar e analisar os efeitos das suas regras de firewall. Ao ativar a geração de registros para regras de política de firewall, é possível conferir os registros para verificar se as regras funcionam conforme o esperado e entender como elas afetam as conexões. Para mais informações, consulte Visão geral do registro de regras da política de firewall.

Não é possível visualizar registros

Se não conseguir ver os registros de regras de firewall na seção Explorador de registros do consoleGoogle Cloud , talvez seja por um dos seguintes motivos.

Permissões insuficientes
Não há suporte para redes legadas
Contexto de projeto incorreto

Permissões insuficientes

Para ver os registros de regras de firewall, peça ao proprietário do projeto para conceder ao seu principal do Identity and Access Management o papel de Leitor de registros (roles/logging.viewer) no projeto. Para mais informações, consulte Permissões.

Não há suporte para redes legadas

Não é possível usar o registro de regras de política de firewall em uma rede legada. Apenas as redes de nuvem privada virtual (VPC) são compatíveis.

Contexto de projeto incorreto

OGoogle Cloud armazena registros de regras de firewall no projeto que contém a rede. Verifique se você está procurando registros no projeto correto.

Na VPC compartilhada, você cria instâncias de máquina virtual (VM) em projetos de serviço, mas as VMs usam uma rede VPC compartilhada no projeto host. Para a VPC compartilhada,o Google Cloud armazena os registros de regras de firewall no projeto host. Se você usa a VPC compartilhada, verifique se tem as permissões adequadas para acessar os registros de firewall no projeto host.

Entradas de registro ausentes

Se você não encontrar entradas de registro para suas regras de firewall na Análise de registros, verifique os seguintes problemas comuns:

As conexões não correspondem à regra de firewall esperada

Verifique se a regra de firewall que você espera está na lista de regras de firewall aplicáveis a uma instância.

No console do Google Cloud , acesse a página Instâncias de VM.

Acessar instâncias de VM
Na seção Instâncias de VM, clique no nome da instância.
Na seção Interfaces de rede, clique em Ver detalhes na coluna Detalhes da rede.
Na seção Análise da configuração de rede, verifique as regras de firewall aplicáveis. Para mais informações, consulte Visualizar registros.
Se você não tiver certeza sobre os endereços IP, portas e protocolos usados na conexão, use os registros de fluxo da VPC para identificar o tráfego.

Importante: Google Cloud cobra pelos Registros de fluxo da VPC com base no volume de registros gerados. Para informações sobre preços, consulte Preços da VPC.

Para criar regras de firewall corretamente, consulte Regras de firewall da VPC.

Uma regra de prioridade mais alta sem geração de registros é aplicada

As regras de firewall são avaliadas de acordo com as prioridades delas. Apenas uma regra de firewall se aplica ao tráfego correspondente. Se uma regra de prioridade mais alta corresponder ao tráfego, mas não tiver a geração de registros ativada, os registros não serão gerados mesmo que uma regra de prioridade mais baixa com a geração de registros ativada também corresponda ao tráfego.

Para resolver esse problema, execute um teste de conectividade da origem para o destino. Consulte mais informações em Criar e executar testes de conectividade. Isso vai fornecer informações sobre a regra de firewall usada para a conexão.

No console do Google Cloud , acesse a página Instâncias de VM.

Acessar instâncias de VM
Na seção Instâncias de VM, clique no nome da instância.
Na seção Interfaces de rede, clique em Ver detalhes na coluna Detalhes da rede.
Na seção Análise da configuração de rede, verifique as regras de firewall aplicáveis e identifique suas regras personalizadas nessa lista.
Ative temporariamente a geração de registros para todas essas regras de firewall personalizadas. Com a geração de registros ativada, você pode identificar qual regra está correspondendo ao tráfego.
Depois de identificar a regra, desative a geração de registros para as regras que não precisam desse recurso. Para desativar a geração de registros de regras de firewall, consulte Desativar a geração de registros de regras de política de firewall.

Metadados ausentes de algumas entradas de registro

Se você notar metadados ausentes em algumas entradas de registro na Análise de registros, isso pode ser causado por um atraso na propagação da configuração.

Se você atualizar uma regra de firewall com registro de firewall ativado, poderá levar alguns minutos para o Google Cloud terminar a propagação das mudanças necessárias para registrar o tráfego correspondente aos componentes atualizados da regra.