La journalisation des règles de pare-feu VPC vous permet de réaliser des audits, des vérifications et des analyses sur les effets de ces règles. Par exemple, vous pouvez déterminer si une règle de pare-feu VPC conçue pour refuser le trafic fonctionne comme prévu. La journalisation des règles de pare-feu VPC est également utile si vous devez déterminer le nombre de connexions affectées par une règle de pare-feu VPC donnée.
Vous activez la journalisation des règles de pare-feu VPC individuellement pour chaque règle de pare-feu VPC dont vous souhaitez journaliser les connexions. Cette option est disponible pour toute règle de pare-feu VPC, indépendamment de l'action de la règle (allow ou deny) et de la direction du trafic visé (ingress ou egress).
La journalisation des règles de pare-feu VPC consigne le trafic vers et depuis les instances de machine virtuelle (VM) Compute Engine. Cela inclut les Google Cloud produits basés sur des VM Compute Engine, tels que les clusters Google Kubernetes Engine (GKE) et les instances de l'environnement flexible Google Kubernetes Engine.
Lorsque vous activez la journalisation pour une règle de pare-feu VPC, Google Cloud crée une entrée appelée un enregistrement de connexion chaque fois que la règle autorise ou refuse du trafic. Vous pouvez consulter ces enregistrements dans Cloud Logging, et exporter les journaux vers n'importe quelle destination compatible avec l'exportation Cloud Logging.
Chaque enregistrement de connexion contient les adresses IP source et de destination, le protocole et les ports, la date et l'heure, ainsi qu'une référence à la règle de pare-feu VPC appliquée au trafic.
Pour savoir comment afficher les journaux, consultez Gérer la journalisation des règles de pare-feu VPC.
Spécifications
La journalisation des règles de pare-feu VPC obéit aux spécifications suivantes :
Règles non compatibles : la journalisation des règles de pare-feu VPC n'est pas compatible avec les règles des réseaux hérités, les règles implicites de refus du trafic entrant et d'autorisation du trafic sortant dans un réseau VPC standard, ni avec les règles implicites d'autorisation du trafic entrant et sortant d'un réseau VPC RoCE.
Compatibilité avec les protocoles : la journalisation des règles de pare-feu VPC n'enregistre que les connexions
TCPetUDP. Si vous souhaitez surveiller d'autres protocoles, envisagez d'utiliser l'intégration hors bande.Journalisation basée sur les connexions : les journaux des règles de pare-feu VPC sont créés lorsqu'une connexion est établie, et non pour chaque paquet individuel. Une connexion reste active tant que des paquets sont échangés au moins une fois toutes les 10 minutes. Chaque nouveau paquet réinitialise le minuteur d'inactivité. Par conséquent, un flux de trafic continu ne génère qu'une seule entrée de journal pour toute sa durée. Si vous avez besoin d'une visibilité continue sur les flux actifs, durables sans période d'inactivité, utilisez les journaux de flux VPC.
Connexions existantes : si vous activez la journalisation sur une règle qui correspond à une connexion déjà active
TCPouUDP, aucune entrée de journal n'est générée. La règle de pare-feu VPC ne consigne la connexion que si elle reste inactive pendant au moins 10 minutes et qu'un nouveau paquet est envoyé par la suite.Comportement d'autorisation et de refus :
Autoriser + Journaliser : une connexion autorisée n'est consignée qu'une seule fois, et l' entrée n'est pas répétée même si la connexion est durable. En effet, les règles de pare-feu sont avec état, le trafic de réponse est autorisé automatiquement et n'est pas journalisé.
Refuser + Journaliser : chaque paquet supprimé correspondant à un 5-tuple unique est journalisé comme une tentative ayant échoué. L'entrée de journal est répétée toutes les cinq secondes tant que des paquets sont observés pour cette connexion refusée.
Perspective de génération de journaux : les entrées de journal ne sont créées que si la journalisation est activée pour une règle de pare-feu VPC et si cette règle s'applique au trafic envoyé à la VM ou émis par celle-ci. Les entrées sont créées en fonction des limites de journalisation des connexions.
Limites de débit : le nombre de connexions journalisées par unité de temps est déterminé par le type de machine de la VM pour les réseaux VPC standards, ou par l'action de surveillance ou de journalisation de la règle pour les réseaux VPC RoCE VPC. Pour en savoir plus, consultez Limites de journalisation des connexions et Surveillance et journalisation
Champ d'application hérité : la journalisation des règles de pare-feu VPC ne s'applique qu'aux règles de pare-feu VPC héritées fonctionnant dans un réseau VPC standard.
Limites de protocole : la journalisation des règles de pare-feu VPC héritées permet de définir le champ de protocole IP sur
ALL.Journaux d'audit : vous pouvez consulter les modifications de configuration apportées à la règle de pare-feu VPC dans les journaux d'audit VPC. Pour en savoir plus, consultez Journaux d'audit VPC.
Limites
La journalisation des règles de pare-feu VPC est un format hérité et n'est pas compatible avec la journalisation des champs de métadonnées avancés de Cloud NGFW, tels que les suivants :
source_region_codedestination_region_codesource_fqdndestination_fqdnsource_threat_intelligencedestination_threat_intelligencesource_address_groupsdestination_address_groupssource_secure_tagtarget_secure_tag
Étape suivante
- Gérer la journalisation des règles de pare-feu VPC.
- Exemples de journalisation des règles de pare-feu VPC.
- Format de la journalisation des règles de pare-feu VPC.
- Présentation de Cloud Logging.