本页介绍了如何排查使用防火墙政策规则日志记录功能时可能会遇到的常见问题。
防火墙政策规则日志记录有助于您审核、验证和分析防火墙规则所带来的影响。为防火墙政策规则启用日志记录功能后,您可以查看日志,验证规则是否按预期发挥作用,并了解规则对连接的影响。如需了解详情,请参阅防火墙政策规则日志记录概览。
无法查看日志
如果您无法在Google Cloud 控制台的日志浏览器部分中查看防火墙规则日志,可能是以下原因之一。
- 权限不足
- 不支持旧版网络
- 项目上下文不正确
权限不足
如需查看防火墙规则日志,请让项目所有者向您的 Identity and Access Management 主账号授予项目的 Logs Viewer 角色 (roles/logging.viewer)。如需了解详情,请参阅权限。
不支持旧版网络
您无法在旧版网络中使用防火墙政策规则日志记录。仅支持 Virtual Private Cloud (VPC) 网络。
项目上下文不正确
Google Cloud 将防火墙规则日志存储在包含相应网络的项目中。请确保您在正确的项目中查找日志。
在共享 VPC 中,您可以在服务项目中创建虚拟机 (VM) 实例,但这些虚拟机使用宿主项目中的共享 VPC 网络。对于共享 VPC, Google Cloud 将防火墙规则日志存储在宿主项目中。如果您使用共享 VPC,请确保您拥有适当的权限,以便查看宿主项目中的防火墙日志。
缺少日志条目
如果您在 Logs Explorer 中找不到防火墙规则的日志条目,请检查以下常见问题:
连接与预期的防火墙规则不匹配
确保您预期的防火墙规则位于实例的适用防火墙规则列表中。
在 Google Cloud 控制台中,转到虚拟机实例页面。
在虚拟机实例部分,点击虚拟机实例的名称。
在网络接口部分中,点击网络详情列下的查看详情。
在网络配置分析部分中,检查适用的防火墙规则。如需了解详情,请参阅查看日志。
如果您不确定连接所用的 IP 地址、端口和协议,可以使用 VPC 流日志来识别流量。
如需确保正确创建防火墙规则,请参阅 VPC 防火墙规则。
应用了未启用日志记录的更高优先级规则
防火墙规则根据其优先级进行评估。只有一条防火墙规则适用于匹配的流量。如果优先级较高的规则与流量匹配,但未启用日志记录,则即使优先级较低且启用了日志记录的规则也与流量匹配,系统也不会生成日志。
如需排查此问题,请运行从来源到目的地的连接测试。如需了解详情,请参阅创建和运行 Connectivity Tests。这样一来,您就可以获取有关连接所用防火墙规则的信息。
在 Google Cloud 控制台中,转到虚拟机实例页面。
在虚拟机实例部分,点击虚拟机实例的名称。
在网络接口部分中,点击网络详情列下的查看详情。
在网络配置分析部分中,检查适用的防火墙规则,并在该列表中识别您的自定义规则。
暂时对所有自定义防火墙规则启用日志记录。 启用日志记录后,即可识别与流量匹配的规则。
确定规则后,请为不需要日志记录的规则停用日志记录功能。 如需停用防火墙规则日志记录,请参阅停用防火墙政策规则日志记录。
部分日志条目缺少元数据
如果您在 Logs Explorer 中发现某些日志条目缺少元数据,这可能是由于配置传播延迟所致。
如果您更新了启用防火墙日志记录的防火墙规则, Google Cloud 可能需要几分钟才能完成更改的传播,开始记录与更新后的规则部分相匹配的流量日志。