Risolvi i problemi relativi ai log delle regole delle policy del firewall

Questa pagina descrive come risolvere i problemi comuni che potresti riscontrare durante l'utilizzo del logging delle regole dei criteri firewall.

Il logging delle regole dei criteri firewall consente di controllare, verificare e analizzare gli effetti delle regole firewall. Quando attivi la registrazione per le regole dei criteri firewall, puoi visualizzare i log per verificare che le regole funzionino come previsto e per capire come influiscono sulle connessioni. Per saperne di più, consulta Panoramica del logging delle regole delle policy firewall.

Impossibile visualizzare i log

Se non riesci a visualizzare i log delle regole firewall nella sezione Esplora log della consoleGoogle Cloud , il motivo potrebbe essere uno dei seguenti.

Autorizzazioni insufficienti
Reti legacy non supportate
Contesto del progetto errato

Autorizzazioni insufficienti

Per visualizzare i log delle regole firewall, chiedi al proprietario del progetto di concedere all'entità Identity and Access Management il ruolo Visualizzatore log (roles/logging.viewer) nel progetto. Per ulteriori informazioni, consulta la sezione Autorizzazioni.

Reti legacy non supportate

Non puoi utilizzare il logging delle regole dei criteri firewall in una rete legacy. Sono supportate solo le reti Virtual Private Cloud (VPC).

Contesto del progetto errato

Google Cloud memorizza i log delle regole firewall nel progetto che contiene la rete. Assicurati di cercare i log nel progetto corretto.

In VPC condiviso, crei istanze di macchine virtuali (VM) nei progetti di servizio, ma le VM utilizzano una rete VPC condivisa nel progetto host. Per il VPC condiviso, Google Cloud memorizza i log delle regole firewall nel progetto host. Se utilizzi un VPC condiviso, assicurati di disporre delle autorizzazioni appropriate per visualizzare i log del firewall nel progetto host.

Voci di log mancanti

Se non riesci a trovare voci di log per le regole firewall in Esplora log, controlla i seguenti problemi comuni:

Le connessioni non corrispondono alla regola firewall prevista

Verifica che la regola firewall che ti aspetti sia presente nell'elenco delle regole firewall applicabili per un'istanza.

Nella console Google Cloud , vai alla pagina Istanze VM.

Vai a Istanze VM
Nella sezione Istanze VM, fai clic sul nome dell'istanza VM.
Nella sezione Interfacce di rete, fai clic su Visualizza dettagli nella colonna Dettagli di rete.
Nella sezione Analisi della configurazione di rete, controlla le regole firewall applicabili. Per saperne di più, consulta Visualizza i log.
Se non hai la certezza degli indirizzi IP, delle porte e dei protocolli utilizzati per la connessione, puoi utilizzare VPC Flow Logs per identificare il traffico.

Importante: Google Cloud fattura i log di flusso VPC in base al volume di log generati. Per informazioni sui prezzi, consulta la pagina Prezzi di VPC.

Per assicurarti di creare correttamente le regole firewall, consulta la sezione Regole firewall VPC.

Viene applicata una regola con priorità più alta senza registrazione

Le regole firewall vengono valutate in base alle loro priorità. Al traffico corrispondente viene applicata una sola regola firewall. Se una regola con priorità più elevata corrisponde al traffico, ma la registrazione non è abilitata, i log non vengono generati anche se una regola con priorità inferiore con la registrazione abilitata corrisponde anche al traffico.

Per risolvere il problema, esegui un test di connettività dall'origine alla destinazione. Per saperne di più, consulta Crea ed esegui Connectivity Tests. In questo modo, otterrai informazioni sulla regola firewall utilizzata per la connessione.

Nella console Google Cloud , vai alla pagina Istanze VM.

Vai a Istanze VM
Nella sezione Istanze VM, fai clic sul nome dell'istanza VM.
Nella sezione Interfacce di rete, fai clic su Visualizza dettagli nella colonna Dettagli di rete.
Nella sezione Analisi della configurazione di rete, controlla le regole firewall applicabili e identifica le regole personalizzate nell'elenco.
Attiva temporaneamente il logging per tutte queste regole firewall personalizzate. Con la registrazione abilitata, puoi identificare la regola che corrisponde al traffico.
Dopo aver identificato la regola, disattiva la registrazione per le regole che non la richiedono. Per disattivare il logging delle regole firewall, consulta Disattivare il logging delle regole dei criteri firewall.

Metadati mancanti per alcune voci di log

Se noti metadati mancanti per alcune voci di log in Esplora log, il problema potrebbe essere causato da un ritardo nella propagazione della configurazione.

Se aggiorni una regola firewall per cui è attivata la registrazione firewall, potrebbero essere necessari alcuni minuti prima che Google Cloud termini la propagazione delle modifiche necessarie per registrare il traffico che corrisponde ai componenti aggiornati della regola.