Auf dieser Seite wird beschrieben, wie Sie häufige Probleme beheben, die bei der Verwendung des Loggings von Firewallrichtlinienregeln auftreten können.
Durch das Logging von Firewallrichtlinienregeln können Sie die Auswirkungen Ihrer Firewallregeln im Blick behalten, prüfen und analysieren. Wenn Sie das Logging für Firewallrichtlinienregeln aktivieren, können Sie Logs aufrufen, um zu prüfen, ob Ihre Regeln wie vorgesehen funktionieren, und um nachzuvollziehen, wie sie sich auf Verbindungen auswirken. Weitere Informationen finden Sie unter Logging von Firewallrichtlinien-Regeln – Übersicht.
Logs können nicht angezeigt werden
Wenn Sie im Abschnitt Log-Explorer derGoogle Cloud -Konsole keine Firewallregellogs aufrufen können, kann das folgende Ursachen haben.
- Unzureichende Berechtigungen
- Legacy-Netzwerke werden nicht unterstützt
- Falscher Projektkontext
Unzureichende Berechtigungen
Wenn Sie Firewallregel-Logs ansehen möchten, bitten Sie den Projektinhaber, Ihrem IAM-Hauptkonto die Rolle Logbetrachter (roles/logging.viewer) für das Projekt zu gewähren. Weitere Informationen finden Sie unter Berechtigungen.
Legacy-Netzwerke werden nicht unterstützt
Das Logging von Firewallrichtlinien-Regeln kann in Legacy-Netzwerken nicht verwendet werden. Nur VPC-Netzwerke (Virtual Private Cloud) werden unterstützt.
Falscher Projektkontext
Google Cloud speichert Firewallregellogs in dem Projekt, das das Netzwerk enthält. Achten Sie darauf, dass Sie im richtigen Projekt nach Logs suchen.
Bei einer freigegebenen VPC erstellen Sie VM-Instanzen in Dienstprojekten, die VMs verwenden jedoch ein freigegebene VPC-Netzwerk im Hostprojekt. Bei einer freigegebenen VPC speichert Google Cloud die Firewallregellogs im Hostprojekt. Wenn Sie eine freigegebene VPC verwenden, müssen Sie die entsprechenden Berechtigungen haben, um die Firewall-Logs im Hostprojekt aufzurufen.
Logeinträge fehlen
Wenn Sie im Log-Explorer keine Logeinträge für Ihre Firewallregeln finden, prüfen Sie, ob eines der folgenden häufigen Probleme vorliegt:
Verbindungen entsprechen nicht der erwarteten Firewallregel
Prüfen Sie, ob sich die erwartete Firewallregel in der Liste der anwendbaren Firewallregeln für eine Instanz befindet.
Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf:
Klicken Sie im Abschnitt VM-Instanzen auf den Namen der VM-Instanz.
Klicken Sie im Bereich Netzwerkschnittstellen in der Spalte Netzwerkdetails auf Details ansehen.
Prüfen Sie im Abschnitt Analyse der Netzwerkkonfiguration die anwendbaren Firewallregeln. Weitere Informationen finden Sie unter Logs ansehen.
Wenn Sie sich nicht sicher sind, welche IP-Adressen, Ports und Protokolle für die Verbindung verwendet werden, können Sie den Traffic mit VPC-Flusslogs ermitteln.
Informationen zum korrekten Erstellen von Firewallregeln finden Sie unter VPC-Firewallregeln.
Es gilt eine Regel mit höherer Priorität ohne Logging.
Firewallregeln werden nach ihren Prioritäten ausgewertet. Für übereinstimmenden Traffic gilt nur eine Firewallregel. Wenn eine Regel mit höherer Priorität mit dem Traffic übereinstimmt, für die aber kein Logging aktiviert ist, werden keine Logs generiert, auch wenn eine Regel mit niedrigerer Priorität, für die Logging aktiviert ist, ebenfalls mit dem Traffic übereinstimmt.
Um dieses Problem zu beheben, führen Sie einen Konnektivitätstest von der Quelle zum Ziel aus. Weitere Informationen finden Sie unter Konnektivitätstests erstellen und ausführen. So erhalten Sie Informationen zur Firewallregel, die für die Verbindung verwendet wird.
Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf:
Klicken Sie im Abschnitt VM-Instanzen auf den Namen der VM-Instanz.
Klicken Sie im Bereich Netzwerkschnittstellen in der Spalte Netzwerkdetails auf Details ansehen.
Prüfen Sie im Abschnitt Analyse der Netzwerkkonfiguration die anwendbaren Firewallregeln und ermitteln Sie in dieser Liste Ihre benutzerdefinierten Regeln.
Aktivieren Sie vorübergehend das Logging für all diese benutzerdefinierten Firewallregeln. Wenn das Logging aktiviert ist, können Sie ermitteln, welche Regel mit dem Traffic übereinstimmt.
Nachdem Sie die Regel identifiziert haben, deaktivieren Sie das Logging für Regeln, für die es nicht erforderlich ist. Informationen zum Deaktivieren des Firewallregel-Loggings finden Sie unter Logging von Firewallrichtlinienregeln deaktivieren.
Fehlende Metadaten für einige Logeinträge
Wenn Sie im Log-Explorer feststellen, dass für einige Logeinträge Metadaten fehlen, kann das an einer Verzögerung bei der Weitergabe der Konfiguration liegen.
Wenn Sie eine Firewallregel mit aktiviertem Firewall-Logging aktualisieren, kann es einige Minuten dauern, bis Google Cloud die Änderungen weitergeleitet hat, die erforderlich sind, um Traffic zu protokollieren, der den aktualisierten Komponenten der Regel entspricht.