網址篩選記錄

網址篩選服務記錄可讓您稽核、驗證及分析網路中以網址為準的流量篩選作業。

當 Cloud Next Generation Firewall 對啟用第 7 層檢查的流量執行網址篩選時,系統會為每個連線產生記錄項目,並提供連線詳細資料。無論 Cloud Logging 是否啟用,只要啟用第 7 層檢查的防火牆規則,Cloud NGFW 就會產生記錄項目。

如要查看及檢查網址篩選記錄,請在 Logs Explorer 中搜尋記錄 networksecurity.googleapis.com/firewall_url_filter

本頁說明 Cloud NGFW 在允許或拒絕流量時,為每個連線產生的網址篩選記錄格式和結構。

網址篩選記錄格式

Cloud NGFW 會在 Cloud Logging 中建立記錄項目,記錄每個經過網址篩選的連線,監控特定區域中虛擬機器 (VM) 執行個體的流量。記錄記錄會納入 LogEntry 的 JSON 酬載欄位。

某些記錄欄位採用多欄位格式,也就是指定欄位會包含多項資料。舉例來說,connection 欄位採用的格式是 Connection,也就是一個欄位同時包含伺服器 IP 位址和通訊埠、用戶端 IP 位址和通訊埠,以及通訊協定編號。

下表說明網址篩選記錄欄位的格式。

欄位 類型 說明
connection Connection 五元組,用於說明與流量相關聯的連線參數,這些流量會根據網域和伺服器名稱指示 (SNI) 資訊允許或拒絕。
interceptInstance InterceptInstance 根據網域和 SNI 資訊允許或拒絕流量的 VM 執行個體詳細資料。
detectionTime string 防火牆端點偵測到網域和 SNI 資訊相符的時間 (世界標準時間)。
uriMatched string 防火牆端點偵測到相符項目的網域。
interceptVpc VpcDetails 與 VM 執行個體相關聯的虛擬私有雲 (VPC) 網路詳細資料,其中流量是根據網域和 SNI 資訊允許或拒絕。
ruleIndex integer 防火牆端點偵測到相符項目的網址篩選器索引或序號。
direction string 防火牆端點偵測到相符項目的流量方向 (CLIENT_TO_SERVERSERVER_TO_CLIENT)。
securityProfileGroupDetails SecurityProfileGroupDetails 套用至攔截流量的安全性設定檔群組詳細資料。
denyType string 防火牆端點用於拒絕流量的資訊類型。
  • SNI:防火牆端點偵測到與 SNI 相符的項目,因此拒絕流量。
  • HOST:防火牆端點偵測到與主機標頭欄位中網域資訊相符的項目,因此拒絕流量。
  • URI:防火牆端點偵測到與 URI 相符的項目,因此拒絕流量。
action string 根據網域和 SNI 資訊篩選流量後,對流量執行的動作 (allowdeny)。安全性設定檔會定義這項動作。如要進一步瞭解設定的動作,請參閱「網址篩選安全設定檔」。
applicationLayerDetails ApplicationLayerDetails 應用層處理相關詳細資料。
sessionLayerDetails SessionLayerDetails 與工作階段層處理相關的詳細資料。

Connection 欄位格式

下表說明「Connection」欄位的格式。

欄位 類型 說明
clientIp string 用戶端 IP 位址。如果用戶端是 Compute Engine VM,則 clientIp 是主要內部 IP 位址,或是 VM 網路介面別名 IP 範圍內的位址。不會顯示外部 IP 位址。記錄會顯示 IP 標頭中觀察到的 VM 執行個體 IP 位址,與 VM 執行個體上的 TCP 傾印類似。
clientPort integer 用戶端連接埠號碼。
serverIp string 伺服器 IP 位址。如果伺服器是 Compute Engine VM,則 serverIp 是主要內部 IP 位址,或是 VM 網路介面別名 IP 範圍內的位址。即使外部 IP 位址用於建立連線,也不會顯示。
serverPort integer 伺服器通訊埠號碼。
protocol string 連線的 IP 通訊協定

InterceptInstance 欄位格式

下表說明「InterceptInstance」欄位的格式。

欄位 類型 說明
zone string 與攔截流量相關聯的 VM 執行個體所在區域的名稱。
vm string 與攔截流量相關聯的 VM 執行個體名稱。
projectId string 與攔截流量相關聯的 Google Cloud 專案名稱。

VpcDetails 欄位格式

下表說明「VpcDetails」欄位的格式。

欄位 類型 說明
vpc string 與遭攔截流量相關聯的虛擬私有雲網路名稱。
projectId string 與虛擬私有雲網路相關聯的 Google Cloud 專案名稱。

SecurityProfileGroupDetails 欄位格式

下表說明「SecurityProfileGroupDetails」欄位的格式。

欄位 類型 說明
securityProfileGroupId string 套用至流量的安全性設定檔群組名稱。
organizationId string VM 執行個體所屬的機構 ID。

ApplicationLayerDetails 欄位格式

下表說明「ApplicationLayerDetails」欄位的格式。

欄位 類型 說明
protocol string 防火牆端點在應用程式層使用的通訊協定版本。
  • HTTP0:表示 HTTP 版本低於 1。防火牆端點會從第一個主機標頭欄位讀取網域資訊。
  • HTTP1:表示 HTTP 1.x 版。防火牆端點會從第一個主機標頭欄位讀取網域資訊。
  • HTTP2:表示 HTTP 第 2 版。x。由於這個通訊協定版本可選擇是否要使用主機標頭欄位,防火牆端點會從授權偽標頭或標頭、接續或 push_promise 框架類型的標頭區塊讀取網域資訊。
uri string 防火牆端點從流量讀取的網域和子網域資訊。

SessionLayerDetails 欄位格式

下表說明「SessionLayerDetails」欄位的格式。

欄位 類型 說明
sni string 防火牆端點從流量讀取的伺服器名稱指示 (SNI)。
protocolVersion string 防火牆端點在工作階段層使用的通訊協定版本。
  • TLS1_0:表示 TLS 1.0 版。
  • TLS1_1:表示 TLS 1.1 版。
  • TLS1_2:表示 TLS 1.2 版。
  • TLS1_3:表示 TLS 1.3 版。

網址篩選記錄與防火牆記錄的關聯性

當防火牆規則評估流量時,Cloud NGFW 會記錄 防火牆規則記錄項目。這項記錄包含來源 IP 位址、目的地 IP 位址和流量檢查時間等欄位。如要查看這些防火牆規則記錄,請參閱「查看記錄」。

如果啟用記錄功能,Cloud NGFW 會先記錄評估流量的防火牆規則記錄項目,接著,流量會傳送至防火牆端點,進行第 7 層檢查。

防火牆端點會使用網域和 SNI 分析流量,並為連線建立個別的網址篩選記錄。這個網址篩選記錄包含網域名稱、流量來源和流量目的地等欄位。

如要查看網址篩選記錄,請在 Logs Explorer 中搜尋記錄 networksecurity.googleapis.com/firewall_url_filter

您可以比較防火牆規則記錄URL 篩選記錄中的欄位,找出觸發 URL 篩選的連線,並採取適當行動來解決問題。

舉例來說,您設定的防火牆政策規則具有下列設定:

  • 來源 IP 位址:192.0.2.0
  • 來源通訊埠:47644
  • 目的地 IP 位址:192.0.2.1
  • 目的地通訊埠:80
  • 記錄:Enabled

如要查看與這項規則相關聯的網址篩選記錄,請前往「記錄探索工具」頁面。在「Query」(查詢) 窗格中,將下列查詢貼到查詢編輯器欄位。

  resource.type="networksecurity.googleapis.com/FirewallEndpoint"
  jsonPayload.source_ip_address="192.0.2.0"
  jsonPayload.source_port="47644"
  jsonPayload.destination_ip_address="192.0.2.1"
  jsonPayload.destination_port="80"

「查詢結果」部分會顯示下列網址篩選記錄:

    {
      "insertId": "akxp8uf5f0fuv",
      "jsonPayload": {
      "connection": {
      "serverPort": 80,
      "clientPort": 47644,
      "protocol": "TCP",
      "clientIp": "192.0.2.0",
      "serverIp": "192.0.2.1"
    },
      "interceptInstance": {
      "zone": "us-central1-c",
      "vm": "aied-test-dont-delete",
      "projectId": "project_001"
    },
      "detectionTime": "2025-06-02T19:09:27.802711668Z",
      "uriMatched": "",
      "interceptVpc": {
      "projectId": "project_001",
      "vpc": "default"
    },
      "ruleIndex": 0,
      "direction": "CLIENT_TO_SERVER",
      "@type": "type.googleapis.com/google.cloud.networksecurity.logging.v1.URLFilterLog",
      "securityProfileGroupDetails": {
      "securityProfileGroupId": "project_001/spg/my-spg-id",
      "organizationId": "organization_001"
    },
      "denyType": "HOST",
      "action": "DENY",
      "applicationLayerDetails": {
      "protocol": "HTTP1",
      "uri": "server.fwp.com"
    },
      "sessionLayerDetails": {
      "sni": "",
      "protocolVersion": "PROTOCOL_VERSION_UNSPECIFIED"
    }
  },
    "resource": {
    "type": "networksecurity.googleapis.com/FirewallEndpoint",
    "labels": {
      "location": "us-central1-c",
      "resource_container": "organizations/organization_001",
      "id": "pg-ni-latencyayzl8peq"
    }
  },
  "timestamp": "2025-06-02T19:09:35.452299517Z",
  "logName": "projects/project_001/logs/networksecurity.googleapis.com%2Ffirewall_url_filter",
  "receiveTimestamp": "2025-06-02T19:09:35.452299517Z"
}

同樣地,如要查看與這項規則相關聯的防火牆記錄,請前往「記錄檔探索工具」頁面。在「Query」(查詢) 窗格中,將下列查詢貼到查詢編輯器欄位。

    jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP"
    jsonPayload.connection.src_ip="192.0.2.0"
    jsonPayload.connection.src_port="47644"
    jsonPayload.connection.dest_ip="192.0.2.1"
    jsonPayload.connection.dest_port="80"

「查詢結果」部分會顯示下列防火牆記錄:

    {
      insertId: "qn82vdg109q3r9"
      jsonPayload: {
      connection: {
      }
      dest_ip: "192.0.2.1"
      dest_port: 80
      protocol: 6
      src_ip: "192.0.2.0"
      src_port: 47644
      disposition: "INTERCEPTED"
      ►instance: {4}
      ▸ remote_instance: {4}
      ▸ remote_vpc: {3}
      rule_details: {
      action: "APPLY_SECURITY_PROFILE_GROUP"
      apply_security_profile_fallback_action: "UNSPECIFIED"
      direction: "INGRESS"
      ▸ ip_port_info: [1]
      ▼
      priority: 6000
      reference: "network: fwplus-vpc/firewallPolicy: fwplus-fwpolicy"
      source_range: [
      1
      0: "192.0.2.0/24"
      target_secure_tag: [
      0: "tagValues/281479199099651"
      ]
      }
      vpc: {
      project_id: "project_001"
      subnetwork_name: "fwplus-us-central1-subnet"
      vpc_name: "fwplus-vpc"
      }
      }
      logName: "projects/project_001/logs/compute.googleapis.com%2Ffirewall",
      receiveTimestamp: "2023-11-28T19:08:46.749244092Z"
      resource: {2}
      timestamp: "2023-11-28T19:08:40.207465099Z"
    }

您可以使用網址篩選記錄和防火牆記錄查詢,查看兩者之間的關聯性。下表列出防火牆記錄欄位與對應的網址篩選記錄欄位。

防火牆記錄欄位 網址篩選記錄欄位 說明
src_ip clientIp 防火牆記錄中的來源 IP 位址會與網址篩選記錄中的用戶端 IP 位址相互關聯,以識別遭篩選流量的來源
src_port clientPort 防火牆記錄中的來源通訊埠會與網址篩選記錄中的用戶端通訊埠建立關聯,以識別篩選後流量使用的來源通訊埠
dest_ip serverIp 防火牆記錄中的目的地 IP 位址會與網址篩選記錄中的伺服器 IP 位址相互關聯,以找出篩選流量的目標
dest_port serverPort 防火牆記錄中的目的地通訊埠會與網址篩選記錄中的伺服器通訊埠相互關聯,以識別遭篩選流量使用的目的地通訊埠

後續步驟