Mit dem Logging von VPC-Firewallregeln können Sie die Auswirkungen Ihrer VPC-Firewallregeln im Blick behalten, prüfen und analysieren. Beispielsweise lässt sich so feststellen, ob eine VPC-Firewallregel zum Ablehnen von Traffic wie vorgesehen funktioniert. Das Logging von VPC-Firewallregeln ist auch nützlich, wenn Sie ermitteln müssen, wie viele Verbindungen von einer bestimmten VPC-Firewallregel betroffen sind.
Sie aktivieren das Logging von VPC-Firewallregeln für jede VPC-Firewallregel, deren Verbindungen Sie protokollieren möchten. Die Option des Loggings von VPC-Firewallregeln kann für jede VPC-Firewallregel unabhängig von der Aktion (allow oder deny) oder der Richtung (ingress oder egress) genutzt werden.
Das Logging von VPC-Firewallregeln protokolliert den Traffic von und zu VM-Instanzen von Compute Engine. Dazu gehören Google Cloud Produkte, die auf Compute Engine VMs aufsetzen, z. B. GKE-Cluster (Google Kubernetes Engine) und Instanzen der flexiblen GKE-Umgebung (Google Kubernetes Engine).
Wenn Sie das Logging für eine VPC-Firewallregel aktivieren, Google Cloud erstellt jedes Mal, wenn die Regel Traffic zulässt oder ablehnt, einen als Verbindungsdatensatz bezeichneten Eintrag. Sie können sich diese Einträge in Cloud Logging, ansehen und Logs an ein beliebiges Ziel exportieren, das vom Cloud Logging-Export unterstützt wird.
Jeder Verbindungsdatensatz enthält die folgenden Angaben: IP-Adressen der Quelle und des Ziels, Protokoll, Ports, Datum und Uhrzeit sowie einen Verweis auf die für den Traffic gültige VPC-Firewallregel.
Informationen zum Ansehen von Logs finden Sie unter Logging von VPC-Firewallregeln verwalten.
Spezifikationen
Für das Logging von VPC-Firewallregeln gelten die folgenden Spezifikationen:
Unterstützte Bereitstellungen: Sie können das Logging von VPC-Firewallregeln für VPC-Firewallregeln in hierarchischen, globalen Netzwerk-, regionalen Netzwerk- und regionalen System-Firewallrichtlinien aktivieren, die mit einem regulären VPC-Netzwerk verknüpft sind, sowie für regionale Netzwerk-Firewall richtlinien, die mit einem RoCE-VPC-Netzwerk verknüpft sind.
Nicht unterstützte Regeln: Das Logging von VPC-Firewallregeln wird nicht für Regeln in Legacy-Netzwerken, implizierte Regeln zum Ablehnen von eingehendem Traffic und implizierte Regeln zum Zulassen von ausgehendem Traffic in einem regulären VPC-Netzwerk oder implizierte Regeln zum Zulassen von eingehendem und ausgehendem Traffic eines RoCE-VPC-Netzwerks unterstützt.
Protokollunterstützung: Das Logging von VPC-Firewallregeln erfasst nur
TCPundUDPVerbindungen. Wenn Sie andere Protokolle überwachen möchten, sollten Sie die Out-of-Band-Integration verwenden.Verbindungsbasiertes Logging: Das Logging von VPC-Firewallregeln wird erstellt, wenn eine Verbindung hergestellt wird, nicht für jedes einzelne Paket. Eine Verbindung bleibt aktiv, solange mindestens alle 10 Minuten Pakete ausgetauscht werden. Jedes neue Paket setzt den Leerlauf-Timer zurück. Daher wird für einen kontinuierlichen Trafficstream nur ein Logeintrag für die gesamte Dauer generiert. Wenn Sie kontinuierliche Einblicke in aktive, langlebige Streams ohne Leerlaufzeiten benötigen, verwenden Sie VPC-Flusslogs.
Vorhandene Verbindungen: Wenn Sie das Logging für eine Regel aktivieren, die mit einer bereits aktiven
TCPoderUDPVerbindung übereinstimmt, wird kein neuer Logeintrag generiert. Die VPC-Firewallregel protokolliert die Verbindung nur, wenn sie mindestens 10 Minuten lang im Leerlauf ist und anschließend ein neues Paket gesendet wird.Verhalten bei Zulassen und Ablehnen:
Zulassen + Logging: Eine zulässige Verbindung wird nur einmal protokolliert. Der Eintrag wird auch dann nicht wiederholt, wenn die Verbindung bestehen bleibt, da Firewall regeln zustandsbehaftet sind. Antwort-Traffic wird automatisch zugelassen und wird nicht protokolliert.
Ablehnen + Logging: Jedes verworfene Paket, das einem eindeutigen 5-Tupel entspricht, wird als fehlgeschlagener Versuch protokolliert. Der Logeintrag wird alle 5 Sekunden wiederholt, solange Pakete für diese abgelehnte Verbindung erkannt werden.
Perspektive der Loggenerierung: Logeinträge werden nur erstellt, wenn das Logging für eine VPC-Firewallregel aktiviert ist und wenn die Regel für Traffic gilt, der an die VM oder von der VM gesendet wird. Einträge werden gemäß den Beschränkungen für das Logging von Verbindungen erstellt.
Ratenlimits: Die Anzahl der protokollierten Verbindungen pro Zeiteinheit wird für reguläre VPC-Netzwerke durch den Maschinentyp der VM und für RoCE-VPC-Netzwerke durch die Überwachungs- oder Loggingaktion der Regel bestimmt. Weitere Informationen finden Sie unter Beschränkungen beim Logging von Verbindungen und Monitoring und Logging
Legacy-Bereich: Das Logging von VPC-Firewallregeln gilt nur für Legacy- VPC-Firewallregeln, die in einem regulären VPC-Netzwerk ausgeführt werden.
Protokollbeschränkungen: Das Logging von Legacy-VPC-Firewallregeln unterstützt die Einstellung des IP-Protokollfelds auf
ALL.Audit-Logs: Sie können Konfigurationsänderungen an der VPC-Firewallregel in VPC-Audit-Logs ansehen. Weitere Informationen finden Sie unter VPC-Audit-Logs.
Beschränkungen
Das Logging von VPC-Firewallregeln ist ein Legacy-Format und unterstützt kein Logging für erweiterte Cloud NGFW-Metadatenfelder wie die folgenden:
source_region_codedestination_region_codesource_fqdndestination_fqdnsource_threat_intelligencedestination_threat_intelligencesource_address_groupsdestination_address_groupssource_secure_tagtarget_secure_tag
Nächste Schritte
- Logging von VPC-Firewallregeln verwalten.
- Beispiele für das Logging von VPC-Firewallregeln.
- Format für das Logging von VPC-Firewallregeln.
- Cloud Logging – Übersicht.