VPC ファイアウォール ルール ロギングを使用すると、VPC ファイアウォール ルールの効果を監査、検証、分析できます。たとえば、トラフィックを拒否するように設計された VPC ファイアウォール ルールが意図したとおりに機能しているかどうかを判別できます。VPC ファイアウォール ルールのロギングは、特定の VPC ファイアウォール ルールによって影響を受ける接続数を判別する必要がある場合にも役立ちます。
接続をログに記録する必要がある VPC ファイアウォール ルールごとに、VPC ファイアウォール ルールロギングを個別に有効にします。ルールの動作(allow または deny)や方向(ingress または egress)に関係なく、あらゆる VPC ファイアウォール ルールに任意で VPC ファイアウォール ルールロギングを有効にできます。
VPC ファイアウォール ルールのロギングでは、Compute Engine 仮想マシン(VM)インスタンス間のトラフィックが記録されます。これには、Google Kubernetes Engine(GKE)クラスタや Google Kubernetes Engine フレキシブル環境のインスタンスなど、Compute Engine VM 上に構築された Google Cloud プロダクトが含まれます。
VPC ファイアウォール ルールのロギングを有効にすると、ルールによってトラフィックが許可または拒否されるたびに、 Google Cloud が接続レコードと呼ばれるエントリを作成します。これらのレコードは Cloud Logging で表示でき、Cloud Logging のエクスポート先としてサポートされている任意の宛先にログをエクスポートできます。
接続レコードごとに、送信元 IP アドレス、宛先 IP アドレス、プロトコルとポート、日時、およびトラフィックに適用された VPC ファイアウォール ルールへの参照が記録されます。
ログの表示については、VPC ファイアウォール ルールのロギングを管理するをご覧ください。
仕様
VPC ファイアウォール ルールロギングの仕様は次のとおりです。
サポートされているデプロイ: 通常の VPC ネットワークに関連付けられた階層型、グローバル ネットワーク、リージョン ネットワーク、リージョン システムのファイアウォール ポリシー内の VPC ファイアウォール ルールと、RoCE VPC ネットワークに関連付けられたリージョン ネットワーク ファイアウォール ポリシーに対して、VPC ファイアウォール ルールのロギングを有効にできます。
サポートされていないルール: VPC ファイアウォール ルールのロギングは、レガシー ネットワークのルール、通常の VPC ネットワークの暗黙の上り(内向き)拒否ルールと暗黙の下り(外向き)許可ルール、または RoCE VPC ネットワークの暗黙の上り(内向き)許可ルールと下り(外向き)許可ルールではサポートされていません。
プロトコルのサポート: VPC ファイアウォール ルールのロギングでは、
TCP接続とUDP接続のみが記録されます。他のプロトコルをモニタリングする場合は、アウトオブバンド統合の使用を検討してください。接続ベースのロギング: VPC ファイアウォール ルールのロギングは、個々のパケットごとではなく、接続が確立されたときに作成されます。10 分ごとに少なくとも 1 回パケットが交換される限り、接続はアクティブのままになります。新しいパケットが届くたびに、アイドル タイマーがリセットされます。そのため、トラフィックの連続ストリームでは、その期間全体に対して 1 つのログエントリのみが生成されます。アイドル期間のないアクティブな長時間存続ストリームの継続的な可視性が必要な場合は、VPC Flow Logs を使用します。
既存の接続: すでにアクティブな
TCPまたはUDP接続に一致するルールでロギングを有効にしても、新しいログエントリは生成されません。VPC ファイアウォール ルールは、接続が少なくとも 10 分間アイドル状態のままで、その後新しいパケットが送信された場合にのみ、接続をログに記録します。許可と拒否の動作:
許可 + ログ記録: 許可された接続は一度だけログに記録されます。ファイアウォール ルールはステートフルであるため、接続が維持されてもエントリは繰り返されません。応答トラフィックは自動的に許可され、ログに記録されません。
拒否 + ロギング: 一意の 5 タプルに対応するドロップされた各パケットが、失敗した試行としてログに記録されます。拒否された接続でパケットが観測される限り、ログエントリは 5 秒ごとに繰り返されます。
ログ生成の観点: ログエントリが作成されるのは、VPC ファイアウォール ルールのロギングが有効化されていて、かつ、そのルールが VM との間で送受信されるトラフィックに適用される場合のみです。エントリは、接続ロギング上限に従って作成されます。
レート上限: 単位時間あたりにロギングされる接続数は、通常の VPC ネットワークの場合は VM のマシンタイプによって決まります。RoCE VPC ネットワークの場合は、ルールのモニタリングまたはロギング アクションによって決まります。詳細については、接続ロギングの上限とモニタリングとロギングをご覧ください。
以前のスコープ: VPC ファイアウォール ルールのロギングは、通常の VPC ネットワーク内で動作する以前の VPC ファイアウォール ルールにのみ適用されます。
プロトコルの上限: 以前の VPC ファイアウォール ルールのロギングでは、IP プロトコル フィールドを
ALLに設定できます。監査ログ: VPC 監査ログで VPC ファイアウォール ルールの構成変更を確認できます。詳細については、VPC 監査ログをご覧ください。
制限事項
VPC ファイアウォール ルールのロギングは以前の形式であり、次のような高度な Cloud NGFW メタデータ フィールドのロギングはサポートされていません。
source_region_codedestination_region_codesource_fqdndestination_fqdnsource_threat_intelligencedestination_threat_intelligencesource_address_groupsdestination_address_groupssource_secure_tagtarget_secure_tag