Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

יומנים של סינון כתובות URL

יומני השירות של סינון כתובות URL מאפשרים לכם לבצע ביקורת, לאמת ולנתח את התנועה שמבוססת על כתובות URL ברשת שלכם.

כש-Cloud Next Generation Firewall מבצע סינון מבוסס-URL של תעבורה עם בדיקה ברמה 7 מופעלת, הוא יוצר רשומה ביומן לכל חיבור עם פרטים על החיבור. ‫Cloud NGFW יוצר רשומה ביומן כשכלל חומת האש עם בדיקה בשכבה 7 מופעל, בלי קשר להפעלה או להשבתה של Cloud Logging.

כדי להציג ולבדוק את יומני הסינון של כתובות URL, ב-Logs Explorer, מחפשים את היומן networksecurity.googleapis.com/firewall_url_filter.

בדף הזה מוסבר על הפורמט והמבנה של יומני הסינון של כתובות URL ש-Cloud NGFW יוצר לכל חיבור כשהוא מאפשר או חוסם תנועה.

פורמט היומן של סינון כתובות URL

‫Cloud NGFW יוצר רשומה ביומן ב-Cloud Logging לכל חיבור שעובר סינון כתובות URL, כדי לעקוב אחרי תעבורה אל מכונה וירטואלית (VM) או ממנה באזור ספציפי. רשומות היומן נכללות בשדה מטען ייעודי (payload) בפורמט JSON של LogEntry.

חלק מהשדות ביומן הם בפורמט של כמה שדות, עם יותר מפריט נתונים אחד בשדה נתון. לדוגמה, השדה connection הוא בפורמט Connection שמכיל את כתובת ה-IP והיציאה של השרת, את כתובת ה-IP והיציאה של הלקוח ואת מספר הפרוטוקול בשדה אחד.

בטבלה הבאה מתואר הפורמט של השדות ביומן של סינון כתובות URL.

שדה	סוג	תיאור
`connection`	`Connection`	חמישייה שמתארת את פרמטרי החיבור שמשויכים לתנועה שמותרת או נדחית על סמך מידע על שם הדומיין ועל אינדיקציית שם השרת (SNI).
`interceptInstance`	`InterceptInstance`	הפרטים של מופע המכונה הווירטואלית שבה התנועה מותרת או נדחית על סמך מידע על הדומיין ו-SNI.
`detectionTime`	`string`	השעה (UTC) שבה נקודת הסיום של חומת האש מזהה התאמה לדומיין ולמידע SNI.
`uriMatched`	`string`	הדומיין שנקודת הקצה של חומת האש זיהתה בו התאמה.
`interceptVpc`	`VpcDetails`	הפרטים של רשת הענן הווירטואלי הפרטי (VPC) שמשויכת למכונה הווירטואלית שבה התעבורה מותרת או נדחית על סמך מידע על הדומיין ו-SNI.
`ruleIndex`	`integer`	האינדקס או מספר הסידורי של מסנן כתובות ה-URL שנקודת הקצה של חומת האש זיהתה התאמה לגביו.
`direction`	`string`	כיוון התנועה (`CLIENT_TO_SERVER` או `SERVER_TO_CLIENT`) שעבורה נקודת הקצה של חומת האש זיהתה התאמה.
`securityProfileGroupDetails`	`SecurityProfileGroupDetails`	הפרטים של קבוצת פרופילי האבטחה שחלה על התנועה שיירטה.
`denyType`	`string`	סוג המידע שנקודת הקצה של חומת האש משתמשת בו כדי לדחות תנועה. ‫`SNI`: נקודת הקצה של חומת האש דחתה את התעבורה בגלל התאמה שזוהתה מול SNI. ‫`HOST`: נקודת הקצה של חומת האש דחתה את התנועה בגלל התאמה שזוהתה למידע על הדומיין שמופיע בשדה של כותרת המארח. ‫`URI`: נקודת הקצה של חומת האש דחתה את התנועה בגלל התאמה שזוהתה ל-URI.
`action`	`string`	הפעולה, `allow` או `deny`, שבוצעה על התנועה שסוננה על סמך פרטי הדומיין וה-SNI. הפעולה הזו מוגדרת בפרופיל האבטחה. מידע נוסף על הפעולה שהוגדרה זמין במאמר פרופיל אבטחה לסינון כתובות URL.
`applicationLayerDetails`	`ApplicationLayerDetails`	הפרטים שקשורים לעיבוד בשכבת האפליקציה.
`sessionLayerDetails`	`SessionLayerDetails`	הפרטים שקשורים לעיבוד של שכבת הסשן.

פורמט השדה `Connection`

בטבלה הבאה מתואר הפורמט של השדה Connection.

שדה	סוג	תיאור
`clientIp`	`string`	כתובת ה-IP של הלקוח. אם הלקוח הוא מכונה וירטואלית ב-Compute Engine, `clientIp` היא כתובת ה-IP הפנימית הראשית או כתובת בטווח כתובות IP של כינוי של הממשק של הרשת של המכונה הווירטואלית. כתובת ה-IP החיצונית לא מוצגת. ביומנים מוצגת כתובת ה-IP של מכונת ה-VM כפי שנצפתה בכותרת ה-IP, בדומה ל-TCP dump במכונת ה-VM.
`clientPort`	`integer`	מספר היציאה של הלקוח.
`serverIp`	`string`	כתובת ה-IP של השרת. אם השרת הוא מכונה וירטואלית ב-Compute Engine, ‏`serverIp` היא כתובת ה-IP הפנימית הראשית או כתובת בטווח כתובות IP של כינוי של הממשק של המכונה הווירטואלית ברשת. כתובת ה-IP החיצונית לא מוצגת גם אם נעשה בה שימוש ליצירת החיבור.
`serverPort`	`integer`	מספר היציאה בשרת.
`protocol`	`string`	פרוטוקול ה-IP של החיבור.

פורמט השדה `InterceptInstance`

בטבלה הבאה מתואר הפורמט של השדה InterceptInstance.

שדה	סוג	תיאור
`zone`	`string`	השם של האזור שבו נמצאת מכונת ה-VM שמשויכת לתנועה שנקלטה.
`vm`	`string`	השם של מופע המכונה הווירטואלית שמשויך לתנועה שירטה.
`projectId`	`string`	השם של Google Cloud הפרויקט שמשויך לתנועה שנקלטה.

פורמט השדה `VpcDetails`

בטבלה הבאה מתואר הפורמט של השדה VpcDetails.

שדה	סוג	תיאור
`vpc`	`string`	השם של רשת ה-VPC שמשויכת לתנועה שיירטה.
`projectId`	`string`	השם של Google Cloud הפרויקט שמשויך לרשת ה-VPC.

פורמט השדה `SecurityProfileGroupDetails`

בטבלה הבאה מתואר הפורמט של השדה SecurityProfileGroupDetails.

שדה	סוג	תיאור
`securityProfileGroupId`	`string`	השם של קבוצת פרופילי האבטחה שחלה על התנועה.
`organizationId`	`string`	מזהה הארגון שאליו שייכת מכונת ה-VM.

פורמט השדה `ApplicationLayerDetails`

בטבלה הבאה מתואר הפורמט של השדה ApplicationLayerDetails.

שדה	סוג	תיאור
`protocol`	`string`	גרסת הפרוטוקול שנקודת הקצה של חומת האש משתמשת בה בשכבת האפליקציה. ‫`HTTP0`: מציין גרסת HTTP נמוכה מ-1. נקודת הקצה של חומת האש קוראת את פרטי הדומיין משדה הכותרת הראשון של המארח. ‫`HTTP1`: מציין HTTP גרסה 1.x. נקודת הקצה של חומת האש קוראת את פרטי הדומיין משדה הכותרת הראשון של המארח. ‫`HTTP2`: מציין את גרסה 2 של HTTP‏, x. מכיוון שהשדה של כותרת המארח הוא אופציונלי בגרסה הזו של הפרוטוקול, נקודת הקצה של חומת האש קוראת את פרטי הדומיין מהכותרת הווירטואלית של הרשות או מבלוקי הכותרת של סוגי המסגרות header,‏ continuation או push_promise.
`uri`	`string`	המידע על הדומיין ועל תת-הדומיין שנקודת הקצה של חומת האש קוראת מהתנועה.

פורמט השדה `SessionLayerDetails`

בטבלה הבאה מתואר הפורמט של השדה SessionLayerDetails.

שדה	סוג	תיאור
`sni`	`string`	האינדיקציה של שם השרת (SNI) שנקודת הקצה של חומת האש קוראת מהתנועה.
`protocolVersion`	`string`	גרסת הפרוטוקול שנקודת הקצה של חומת האש משתמשת בה בשכבת הסשן. ‫`TLS1_0`: מציין את גרסה TLS 1.0. ‫`TLS1_1`: מציין את גרסת TLS 1.1. ‫`TLS1_2`: מציין את גרסת TLS 1.2. ‫`TLS1_3`: מציין את גרסת TLS 1.3.

קורלציה של יומן סינון כתובות URL עם יומן חומת אש

כשכלל חומת אש בודק את תעבורת הנתונים, Cloud NGFW רושם רשומה ביומן של רישום ביומן של כללי מדיניות חומת אש. הערך הזה כולל שדות כמו כתובת ה-IP של המקור, כתובת ה-IP של היעד והשעה שבה התבצעת בדיקת התעבורה. כדי לראות את היומנים של הכללים האלה של חומת האש, אפשר לעיין במאמר בנושא הצגת יומנים.

אם הפעלתם רישום ביומן של כלל במדיניות חומת האש עם בדיקה של Layer 7, ‏ Cloud NGFW ירשום ביומן קודם את הרשומה של רישום ביומן של כללי חומת האש ב-VPC עבור תעבורת הנתונים שנבדקה. לאחר מכן, הוא שולח את תעבורת הנתונים לנקודת הקצה של חומת האש לבדיקה של Layer 7.

נקודת הקצה של חומת האש מנתחת את התנועה באמצעות הדומיין וה-SNI שלה, ויוצרת יומן נפרד של סינון כתובות URL עבור החיבור. יומן הסינון של כתובות ה-URL כולל שדות כמו שם הדומיין, מקור התנועה ויעד התנועה.

כדי לראות את היומנים של סינון כתובות URL, בLogs Explorer, מחפשים את היומן networksecurity.googleapis.com/firewall_url_filter.

אפשר להשוות בין השדות ביומן של כללי מדיניות חומת האש וביומן של סינון כתובות URL כדי לזהות את החיבור שהפעיל את סינון כתובות ה-URL ולנקוט פעולה מתאימה כדי לפתור את הבעיה.

לדוגמה, יש לכם כלל במדיניות חומת האש עם ההגדרות הבאות:

כתובת ה-IP של המקור: 192.0.2.0
יציאת המקור: 47644
כתובת ה-IP של היעד: 192.0.2.1
יציאת היעד: 80
רישום ביומן: Enabled

כדי לראות את יומני הסינון של כתובות ה-URL שמשויכים לכלל הזה, עוברים לדף Logs Explorer. בחלונית Query, מדביקים את השאילתה הבאה בשדה של עורך השאילתות.

  resource.type="networksecurity.googleapis.com/FirewallEndpoint"
  jsonPayload.source_ip_address="192.0.2.0"
  jsonPayload.source_port="47644"
  jsonPayload.destination_ip_address="192.0.2.1"
  jsonPayload.destination_port="80"

בקטע תוצאות השאילתה מוצג יומן הסינון של כתובות ה-URL:

    {
      "insertId": "akxp8uf5f0fuv",
      "jsonPayload": {
      "connection": {
      "serverPort": 80,
      "clientPort": 47644,
      "protocol": "TCP",
      "clientIp": "192.0.2.0",
      "serverIp": "192.0.2.1"
    },
      "interceptInstance": {
      "zone": "us-central1-c",
      "vm": "aied-test-dont-delete",
      "projectId": "project_001"
    },
      "detectionTime": "2025-06-02T19:09:27.802711668Z",
      "uriMatched": "",
      "interceptVpc": {
      "projectId": "project_001",
      "vpc": "default"
    },
      "ruleIndex": 0,
      "direction": "CLIENT_TO_SERVER",
      "@type": "type.googleapis.com/google.cloud.networksecurity.logging.v1.URLFilterLog",
      "securityProfileGroupDetails": {
      "securityProfileGroupId": "project_001/spg/my-spg-id",
      "organizationId": "organization_001"
    },
      "denyType": "HOST",
      "action": "DENY",
      "applicationLayerDetails": {
      "protocol": "HTTP1",
      "uri": "server.fwp.com"
    },
      "sessionLayerDetails": {
      "sni": "",
      "protocolVersion": "PROTOCOL_VERSION_UNSPECIFIED"
    }
  },
    "resource": {
    "type": "networksecurity.googleapis.com/FirewallEndpoint",
    "labels": {
      "location": "us-central1-c",
      "resource_container": "organizations/organization_001",
      "id": "pg-ni-latencyayzl8peq"
    }
  },
  "timestamp": "2025-06-02T19:09:35.452299517Z",
  "logName": "projects/project_001/logs/networksecurity.googleapis.com%2Ffirewall_url_filter",
  "receiveTimestamp": "2025-06-02T19:09:35.452299517Z"
}

באופן דומה, כדי לראות את היומנים של חומת האש שמשויכים לכלל הזה, עוברים לדף Logs Explorer. בחלונית Query, מדביקים את השאילתה הבאה בשדה של עורך השאילתות.

    jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP"
    jsonPayload.connection.src_ip="192.0.2.0"
    jsonPayload.connection.src_port="47644"
    jsonPayload.connection.dest_ip="192.0.2.1"
    jsonPayload.connection.dest_port="80"

בקטע Query results מוצג יומן חומת האש הבא:

    {
      insertId: "qn82vdg109q3r9"
      jsonPayload: {
      connection: {
      }
      dest_ip: "192.0.2.1"
      dest_port: 80
      protocol: 6
      src_ip: "192.0.2.0"
      src_port: 47644
      disposition: "INTERCEPTED"
      ►instance: {4}
      ▸ remote_instance: {4}
      ▸ remote_vpc: {3}
      rule_details: {
      action: "APPLY_SECURITY_PROFILE_GROUP"
      apply_security_profile_fallback_action: "UNSPECIFIED"
      direction: "INGRESS"
      ▸ ip_port_info: [1]
      ▼
      priority: 6000
      reference: "network: fwplus-vpc/firewallPolicy: fwplus-fwpolicy"
      source_range: [
      1
      0: "192.0.2.0/24"
      target_secure_tag: [
      0: "tagValues/281479199099651"
      ]
      }
      vpc: {
      project_id: "project_001"
      subnetwork_name: "fwplus-us-central1-subnet"
      vpc_name: "fwplus-vpc"
      }
      }
      logName: "projects/project_001/logs/compute.googleapis.com%2Ffirewall",
      receiveTimestamp: "2023-11-28T19:08:46.749244092Z"
      resource: {2}
      timestamp: "2023-11-28T19:08:40.207465099Z"
    }

בשתי השאילתות של יומן הסינון לפי כתובת URL ויומן חומת האש אפשר לראות את הקשר ביניהן. בטבלה הבאה מפורטים השדות ביומן של חומת האש והשדות התואמים ביומן של סינון כתובות URL.

שדה ביומן של חומת האש	שדה יומן לסינון כתובות URL	תיאור
`src_ip`	`clientIp`	כתובת ה-IP של המקור ביומן של חומת האש מתואמת לכתובת ה-IP של הלקוח ביומן של סינון כתובות URL, כדי לזהות את המקור של התנועה שסוננה.
`src_port`	`clientPort`	יציאת המקור ביומן של חומת האש מתואמת עם יציאת הלקוח ביומן של סינון כתובות URL, כדי לזהות את יציאת המקור שבה נעשה שימוש בתנועה המסוננת
`dest_ip`	`serverIp`	כתובת ה-IP של היעד ביומן חומת האש מתואמת עם כתובת ה-IP של השרת ביומן הסינון של כתובות ה-URL, כדי לזהות את היעד של התעבורה המסוננת
`dest_port`	`serverPort`	יציאת היעד ביומן של חומת האש מתואמת עם יציאת השרת ביומן של סינון כתובות ה-URL, כדי לזהות את יציאת היעד שבה נעשה שימוש בתנועה המסוננת.

המאמרים הבאים

סקירה כללית של שירות סינון כתובות URL

יומנים של סינון כתובות URL קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

פורמט היומן של סינון כתובות URL

פורמט השדה Connection

פורמט השדה InterceptInstance

פורמט השדה VpcDetails

פורמט השדה SecurityProfileGroupDetails

פורמט השדה ApplicationLayerDetails

פורמט השדה SessionLayerDetails