Ringkasan logging aturan firewall VPC

Logging aturan firewall VPC memungkinkan Anda mengaudit, memverifikasi, dan menganalisis efek aturan firewall VPC Anda. Misalnya, Anda dapat menentukan apakah aturan firewall VPC yang dirancang untuk menolak traffic berfungsi sebagaimana mestinya. Logging aturan firewall VPC juga berguna jika Anda perlu menentukan jumlah koneksi yang terpengaruh oleh aturan firewall VPC tertentu.

Anda mengaktifkan logging aturan firewall VPC satu per satu untuk setiap aturan firewall VPC yang koneksinya perlu Anda catat. Pencatatan log aturan firewall VPC adalah opsi untuk setiap aturan firewall VPC, terlepas dari tindakan (allow atau deny) atau arah (ingress atau egress) aturan tersebut.

Logging aturan firewall VPC mencatat traffic ke dan dari instance virtual machine (VM) Compute Engine. Hal ini mencakup Google Cloud produk yang dibangun di VM Compute Engine, seperti cluster Google Kubernetes Engine (GKE) dan instance lingkungan fleksibel Google Kubernetes Engine.

Saat Anda mengaktifkan logging untuk aturan firewall VPC, Google Cloud akan membuat entri yang disebut catatan koneksi setiap kali aturan mengizinkan atau menolak traffic. Anda dapat melihat catatan ini di Cloud Logging, dan mengekspor log ke tujuan mana pun yang didukung oleh ekspor Cloud Logging.

Setiap kumpulan data koneksi berisi alamat IP sumber dan tujuan, protokol dan port, tanggal dan waktu, serta referensi ke aturan firewall VPC yang diterapkan pada traffic.

Untuk mengetahui informasi tentang cara melihat log, lihat Mengelola logging aturan firewall VPC.

Spesifikasi

Logging aturan firewall VPC memiliki spesifikasi berikut:

  • Deployment yang didukung: Anda dapat mengaktifkan logging aturan firewall VPC untuk aturan firewall VPC dalam kebijakan firewall hierarkis, jaringan global, jaringan regional, dan kebijakan firewall sistem regional yang terkait dengan jaringan VPC reguler, serta kebijakan firewall jaringan regional yang terkait dengan jaringan VPC RoCE.

  • Aturan yang tidak didukung: Logging aturan firewall VPC tidak didukung untuk aturan di jaringan lama, Aturan tolak traffic masuk dan izinkan traffic keluar yang tersirat di jaringan VPC reguler, atau Aturan izinkan traffic masuk dan keluar yang tersirat dari jaringan VPC RoCE.

  • Dukungan protokol: Logging aturan firewall VPC hanya mencatat koneksi TCP dan UDP. Jika Anda ingin memantau protokol lain, pertimbangkan untuk menggunakan Integrasi di luar band.

  • Pencatatan log berbasis koneksi: Pencatatan log aturan firewall VPC dibuat saat koneksi dibuat, bukan untuk setiap paket individual. Koneksi tetap aktif selama paket dipertukarkan setidaknya sekali setiap 10 menit. Setiap paket baru akan mereset timer idle. Oleh karena itu, aliran traffic yang berkelanjutan hanya menghasilkan satu entri log selama durasinya. Jika Anda memerlukan visibilitas berkelanjutan ke aliran aktif yang berumur panjang tanpa periode tidak ada aktivitas, gunakan Log Aliran VPC.

  • Koneksi yang ada: jika Anda mengaktifkan logging pada aturan yang cocok dengan koneksi TCP atau UDP yang sudah aktif, entri log baru tidak akan dibuat. Aturan firewall VPC mencatat koneksi hanya jika koneksi tetap tidak ada aktivitas selama setidaknya 10 menit dan paket baru dikirim setelahnya.

  • Perilaku mengizinkan dan menolak:

    • Izinkan + Logging: koneksi yang diizinkan hanya dicatat satu kali, dan entri tidak diulang meskipun koneksi berlanjut, karena aturan firewall bersifat stateful, traffic balasan diizinkan secara otomatis dan tidak dicatat.

    • Tolak + Pencatatan Aktivitas: setiap paket yang dibatalkan yang sesuai dengan 5-tuple unik dicatat sebagai upaya yang gagal. Entri log berulang setiap 5 detik selama paket diamati untuk koneksi yang ditolak tersebut.

  • Perspektif pembuatan log: entri log hanya dibuat jika aturan firewall VPC mengaktifkan logging dan jika aturan berlaku untuk traffic yang dikirim ke atau dari VM. Entri dibuat tunduk pada batas logging koneksi.

  • Batas kecepatan: jumlah koneksi yang dicatat per unit waktu ditentukan oleh jenis mesin VM untuk jaringan VPC reguler, atau oleh tindakan pemantauan atau pencatatan log aturan untuk jaringan VPC RoCE. Untuk mengetahui informasi selengkapnya, lihat Batas logging koneksi dan Pemantauan dan logging

  • Cakupan lama: Logging aturan firewall VPC hanya berlaku untuk aturan firewall VPC lama yang beroperasi dalam jaringan VPC reguler.

  • Batasan protokol: logging aturan firewall VPC lama mendukung penetapan kolom protokol IP ke ALL.

  • Log audit: Anda dapat melihat perubahan konfigurasi pada aturan firewall VPC di log audit VPC. Untuk mengetahui informasi selengkapnya, lihat Log audit VPC.

Batasan

Logging aturan firewall VPC adalah format lama dan tidak mendukung logging untuk kolom metadata Cloud NGFW lanjutan seperti berikut:

  • source_region_code
  • destination_region_code
  • source_fqdn
  • destination_fqdn
  • source_threat_intelligence
  • destination_threat_intelligence
  • source_address_groups
  • destination_address_groups
  • source_secure_tag
  • target_secure_tag

Langkah berikutnya