本頁說明如何排解使用防火牆政策規則記錄時可能遇到的常見問題。
防火牆政策規則記錄可協助您稽核、驗證及分析防火牆規則的效果。啟用防火牆政策規則的記錄功能後,您就能查看記錄,確認規則是否正常運作,並瞭解規則對連線的影響。詳情請參閱防火牆政策規則記錄總覽。
無法查看記錄
如果無法在Google Cloud 控制台的「Logs Explorer」(記錄檔探索工具) 區段中查看防火牆規則記錄,可能是下列原因所致。
- 權限不足
- 不支援舊版網路
- 專案環境不正確
權限不足
如要查看防火牆規則記錄,請要求專案擁有者授予您的 Identity and Access Management 主體專案的記錄檢視者角色 (roles/logging.viewer)。詳情請參閱「權限」。
不支援舊版網路
您無法在舊版網路中使用防火牆政策規則記錄。這項功能只適用於虛擬私有雲 (VPC) 網路。
專案環境不正確
Google Cloud 將防火牆規則記錄儲存在包含網路的專案中。請確認您是在正確的專案中尋找記錄。
在共用虛擬私有雲中,您會在服務專案中建立虛擬機器 (VM) 執行個體,但 VM 會使用主專案中的共用虛擬私有雲網路。如果是共用虛擬私有雲, Google Cloud 會將防火牆規則記錄儲存在主專案中。如果您使用共用 VPC,請確認您擁有適當的權限,可在主專案中查看防火牆記錄。
缺少記錄項目
如果無法在記錄檔探索工具中找到防火牆規則的記錄項目,請檢查下列常見問題:
連線與預期的防火牆規則不符
確認您預期的防火牆規則是否在執行個體的適用防火牆規則清單中。
前往 Google Cloud 控制台的「VM instances」(VM 執行個體) 頁面。
在「VM instances」(VM 執行個體) 區段中,按一下 VM 執行個體的名稱。
在「Network interfaces」(網路介面) 區段中,按一下「Network details」(網路詳細資料) 欄下方的「View details」(查看詳細資料)。
在「網路設定分析」部分,檢查適用的防火牆規則。詳情請參閱「查看記錄」。
如果不確定連線使用的 IP 位址、通訊埠和通訊協定,可以使用 VPC 流量記錄找出流量。
如要確保防火牆規則建立正確,請參閱「虛擬私有雲防火牆規則」。
套用優先順序較高但未啟用記錄功能的規則
防火牆規則會依優先順序評估。只有一個防火牆規則適用於相符流量。如果優先順序較高的規則符合流量,但未啟用記錄功能,即使優先順序較低的規則也符合流量並啟用記錄功能,系統也不會產生記錄。
如要排解這個問題,請從來源執行連線測試到目的地。詳情請參閱「建立及執行連線測試」。這會提供連線所用防火牆規則的相關資訊。
前往 Google Cloud 控制台的「VM instances」(VM 執行個體) 頁面。
在「VM instances」(VM 執行個體) 區段中,按一下 VM 執行個體的名稱。
在「Network interfaces」(網路介面) 區段中,按一下「Network details」(網路詳細資料) 欄下方的「View details」(查看詳細資料)。
在「網路設定分析」部分,檢查適用的防火牆規則,並從清單中找出您的自訂規則。
暫時為所有自訂防火牆規則啟用記錄功能。 啟用記錄功能後,您就能判斷哪些規則符合流量。
找出規則後,請停用不需要記錄的規則。 如要停用防火牆規則記錄功能,請參閱「停用防火牆政策規則記錄功能」。
部分記錄項目缺少中繼資料
如果您發現 Logs Explorer 中部分記錄項目的中繼資料遺失,可能是因為設定傳播延遲所致。
如果您更新已啟用防火牆記錄的防火牆規則, Google Cloud 可能需要幾分鐘的時間,才能完成傳播變更,以便記錄符合規則更新元件的流量。