Soluciona problemas relacionados con el registro de reglas de políticas de firewall

En esta página, se describe cómo solucionar problemas comunes que puedes encontrar cuando usas el registro de reglas de políticas de firewall.

El registro de reglas de políticas de firewall te ayuda a auditar, verificar y analizar los efectos de tus reglas de firewall. Cuando habilitas el registro de las reglas de la política de firewall, puedes ver los registros para verificar que tus reglas funcionen según lo previsto y comprender cómo afectan las conexiones. Para obtener más información, consulta la Descripción general del registro de reglas de políticas de firewall.

No se pueden ver los registros

Si no puedes ver los registros de reglas de firewall en la sección Explorador de registros de la consola deGoogle Cloud , podría deberse a uno de los siguientes motivos.

Permisos insuficientes
No se admiten las redes heredadas
Contexto de proyecto incorrecto

Permisos insuficientes

Para ver los registros de las reglas de firewall, pídele al propietario del proyecto que le otorgue a tu principal de Identity and Access Management el rol de visualizador de registros (roles/logging.viewer) en el proyecto. Para obtener más información, consulta Permisos.

No se admiten las redes heredadas

No puedes usar el registro de reglas de políticas de firewall en una red heredada. Solo se admiten las redes de nube privada virtual (VPC).

Contexto de proyecto incorrecto

Google Cloud almacena los registros de reglas de firewall en el proyecto que contiene la red. Asegúrate de buscar los registros en el proyecto correcto.

En la VPC compartida, creas instancias de máquina virtual (VM) en proyectos de servicio, pero las VMs usan una red de VPC compartida en el proyecto host. En el caso de la VPC compartida, Google Cloud almacena los registros de reglas de firewall en el proyecto host. Si usas una VPC compartida, asegúrate de tener los permisos adecuados para ver los registros de firewall en el proyecto host.

Entradas de registro faltantes

Si no encuentras entradas de registro para tus reglas de firewall en el Explorador de registros, verifica los siguientes problemas habituales:

Las conexiones no coinciden con la regla de firewall esperada

Verifica que la regla de firewall que esperas se encuentre en la lista de reglas de firewall aplicables para una instancia.

En la consola de Google Cloud , ve a la página Instancias de VM.

Ir a Instancias de VM
En la sección Instancias de VM, haz clic en el nombre de la instancia de VM.
En la sección Interfaces de red, haz clic en Ver detalles en la columna Detalles de la red.
En la sección Análisis de configuración de red, verifica las reglas de firewall aplicables. Para obtener más información, consulta Visualiza registros.
Si no tienes certeza sobre las direcciones IP, los puertos y los protocolos que se usan para la conexión, puedes usar los registros de flujo de VPC para identificar el tráfico.

Importante: Google Cloud factura los registros de flujo de VPC según el volumen de registros generados. Para obtener información sobre los precios, consulta Precios de VPC.

Para asegurarte de crear las reglas de firewall de forma correcta, consulta Reglas de firewall de VPC.

Se aplica una regla de mayor prioridad sin registro.

Las reglas de firewall se evalúan en función de sus prioridades. Solo se aplica una regla de firewall al tráfico coincidente. Si una regla de mayor prioridad coincide con el tráfico, pero no tiene habilitado el registro, no se generan registros, incluso si una regla de menor prioridad con el registro habilitado también coincide con el tráfico.

Para solucionar este problema, ejecuta una prueba de conectividad desde la fuente hasta el destino. Para obtener más información, consulta Crea y ejecuta pruebas de conectividad. Esto te proporcionará información sobre la regla de firewall que se usó para la conexión.

En la consola de Google Cloud , ve a la página Instancias de VM.

Ir a Instancias de VM
En la sección Instancias de VM, haz clic en el nombre de la instancia de VM.
En la sección Interfaces de red, haz clic en Ver detalles en la columna Detalles de la red.
En la sección Análisis de configuración de red, verifica las reglas de firewall aplicables y, luego, identifica tus reglas personalizadas en esa lista.
Habilita temporalmente el registro de todas estas reglas de firewall personalizadas. Con el registro habilitado, puedes identificar qué regla coincide con el tráfico.
Después de identificar la regla, inhabilita el registro de las reglas que no lo requieran. Para inhabilitar el registro de reglas de firewall, consulta Inhabilita el registro de reglas de políticas de firewall.

Metadatos faltantes para algunas entradas de registro

Si notas que faltan metadatos para algunas entradas de registro en el Explorador de registros, es posible que se deba a una demora en la propagación de la configuración.

Si actualizas una regla de firewall que tiene habilitado el registro de firewall, puede que transcurran unos minutos antes de que Google Cloud finalice la propagación de los cambios necesarios para registrar el tráfico que coincida con los componentes actualizados de la regla.