방화벽 정책 규칙 로그 문제 해결

이 페이지에서는 방화벽 정책 규칙 로깅을 사용할 때 발생할 수 있는 일반적인 문제를 해결하는 방법을 설명합니다.

방화벽 정책 규칙 로깅을 사용하면 방화벽 규칙의 영향을 감사, 확인, 분석할 수 있습니다. 방화벽 정책 규칙에 로깅을 사용 설정하면 로그를 확인하여 규칙이 의도한 대로 작동하는지 확인하고 연결에 미치는 영향을 파악할 수 있습니다. 자세한 내용은 방화벽 정책 규칙 로깅 개요를 참고하세요.

로그를 볼 수 없음

Google Cloud 콘솔의 로그 탐색기 섹션에서 방화벽 규칙 로그를 볼 수 없는 경우 다음 이유 중 하나일 수 있습니다.

  • 권한 부족
  • 기존 네트워크는 지원되지 않음
  • 잘못된 프로젝트 컨텍스트

권한 부족

방화벽 규칙 로그를 보려면 프로젝트 소유자에게 Identity and Access Management 주 구성원에 프로젝트에 대한 로그 뷰어 역할 (roles/logging.viewer)을 부여해 달라고 요청하세요. 자세한 내용은 권한을 참고하세요.

기존 네트워크는 지원되지 않음

이전 네트워크에서는 방화벽 정책 규칙 로깅을 사용할 수 없습니다. 가상 프라이빗 클라우드 (VPC) 네트워크만 지원됩니다.

잘못된 프로젝트 컨텍스트

Google Cloud 는 네트워크가 포함된 프로젝트에 방화벽 규칙 로그를 저장합니다. 올바른 프로젝트에서 로그를 찾고 있는지 확인합니다.

공유 VPC에서는 서비스 프로젝트에 가상 머신 (VM) 인스턴스를 만들지만 VM은 호스트 프로젝트의 공유 VPC 네트워크를 사용합니다. 공유 VPC의 경우 Google Cloud 호스트 프로젝트에 방화벽 규칙 로그를 저장합니다. 공유 VPC를 사용하는 경우 호스트 프로젝트에서 방화벽 로그를 볼 수 있는 적절한 권한이 있는지 확인합니다.

로그 항목 누락

로그 탐색기에서 방화벽 규칙의 로그 항목을 찾을 수 없는 경우 다음과 같은 일반적인 문제를 확인하세요.

연결이 예상 방화벽 규칙과 일치하지 않음

예상 방화벽 규칙이 인스턴스에 대한 적용 가능한 방화벽 목록에 있는지 확인하세요.

  1. Google Cloud 콘솔에서 VM 인스턴스 페이지로 이동합니다.

    VM 인스턴스로 이동

  2. VM 인스턴스 섹션에서 VM 인스턴스의 이름을 클릭합니다.

  3. 네트워크 인터페이스 섹션의 네트워크 세부정보 열에서 세부정보 보기를 클릭합니다.

  4. 네트워크 구성 분석 섹션에서 적용 가능한 방화벽 규칙을 확인합니다. 자세한 내용은 로그 보기를 참고하세요.

  5. 연결에 사용되는 IP 주소, 포트, 프로토콜을 잘 모르는 경우 VPC 흐름 로그를 사용하여 트래픽을 식별할 수 있습니다.

방화벽 규칙을 올바르게 만들었는지 확인하려면 VPC 방화벽 규칙을 참고하세요.

로깅이 없는 우선순위가 더 높은 규칙이 적용됨

방화벽 규칙은 우선순위에 따라 평가됩니다. 일치하는 트래픽에는 하나의 방화벽 규칙만 적용됩니다. 우선순위가 높은 규칙이 트래픽과 일치하지만 로깅이 사용 설정되어 있지 않으면 로깅이 사용 설정된 우선순위가 낮은 규칙도 트래픽과 일치하더라도 로그가 생성되지 않습니다.

이 문제를 해결하려면 소스에서 대상으로 연결 테스트를 실행하세요. 자세한 내용은 연결 테스트 만들기 및 실행을 참조하세요. 이렇게 하면 연결에 사용된 방화벽 규칙에 관한 정보가 제공됩니다.

  1. Google Cloud 콘솔에서 VM 인스턴스 페이지로 이동합니다.

    VM 인스턴스로 이동

  2. VM 인스턴스 섹션에서 VM 인스턴스의 이름을 클릭합니다.

  3. 네트워크 인터페이스 섹션의 네트워크 세부정보 열에서 세부정보 보기를 클릭합니다.

  4. 네트워크 구성 분석 섹션에서 적용 가능한 방화벽 규칙을 확인하고 해당 목록에서 커스텀 규칙을 식별합니다.

  5. 이러한 모든 커스텀 방화벽 규칙에 임시로 로깅을 사용 설정합니다. 로깅이 사용 설정되면 트래픽과 일치하는 규칙을 식별할 수 있습니다.

  6. 규칙을 식별한 후에는 로깅이 필요하지 않은 규칙에 로깅을 사용 중지합니다. 방화벽 규칙 로깅을 사용 중지하려면 방화벽 정책 규칙 로깅 사용 중지를 참고하세요.

일부 로그 항목의 누락된 메타데이터

로그 탐색기에서 일부 로그 항목의 메타데이터가 누락된 경우 구성 전파가 지연되었기 때문일 수 있습니다.

방화벽 로깅이 사용 설정된 방화벽 규칙을 업데이트하는 경우 Google Cloud 에서 규칙의 업데이트된 구성요소와 일치하는 트래픽을 로깅하는 데 필요한 변경사항을 전파하기까지 몇 분 정도 걸릴 수 있습니다.

다음 단계