VPC 방화벽 규칙 로깅을 사용하면 VPC 방화벽 규칙의 영향을 감사, 확인, 분석할 수 있습니다. 예를 들어 트래픽을 거부하도록 설계된 VPC 방화벽 규칙이 의도한 대로 작동하는지 확인할 수 있습니다. VPC 방화벽 규칙 로깅은 지정된 VPC 방화벽 규칙의 영향을 받는 연결 수를 확인해야 하는 경우에도 유용합니다.
연결을 로깅해야 하는 각 VPC 방화벽 규칙에 VPC 방화벽 규칙 로깅을 개별적으로 사용 설정합니다. VPC 방화벽 규칙 로깅은 방화벽 규칙의 작업 (allow 또는 deny) 또는 방향 (ingress 또는 egress)에 관계없이 모든 VPC 방화벽 규칙에 대한 옵션입니다.
VPC 방화벽 규칙 로깅은 Compute Engine 가상 머신 (VM) 인스턴스에서 주고받는 트래픽을 로깅합니다. 여기에는 Compute Engine VM에서 빌드된 제품(예: Google Kubernetes Engine(GKE) 클러스터 및 Google Kubernetes Engine 가변형 환경 인스턴스)이 포함됩니다. Google Cloud
VPC 방화벽 규칙에 로깅을 사용 설정하면 Google Cloud 는 규칙이 트래픽을 허용하거나 거부할 때마다 연결 레코드라고 하는 항목을 만듭니다. 이러한 기록은 Cloud Logging에서 볼 수 있으며 Cloud Logging 내보내기가 지원되는 모든 대상으로 로그를 내보낼 수 있습니다.
각 연결 레코드에는 소스 및 대상 IP 주소, 프로토콜 및 포트, 날짜 및 시간, 트래픽에 적용된 VPC 방화벽에 대한 참조가 포함됩니다.
로그 보기에 대한 자세한 내용은 VPC 방화벽 규칙 로깅 관리를 참조하세요.
사양
VPC 방화벽 규칙 로깅의 사양은 다음과 같습니다.
지원되는 배포: 일반 VPC 네트워크와 연결된 계층식, 전역 네트워크, 리전 네트워크, 리전 시스템 방화벽 정책, RoCE VPC 네트워크와 연결된 리전 네트워크 방화벽 정책 내에서 VPC 방화벽 규칙에 대해 VPC 방화벽 규칙 로깅을 사용 설정할 수 있습니다.
지원되지 않는 규칙: VPC 방화벽 규칙 로깅은 기존 네트워크의 규칙, 일반 VPC 네트워크의 묵시적 거부 인그레스 및 묵시적 허용 이그레스 규칙 또는 RoCE VPC 네트워크의 묵시적 허용 인그레스 및 이그레스 규칙에 대해 지원되지 않습니다.
프로토콜 지원: VPC 방화벽 규칙 로깅은
TCP및UDP연결만 기록합니다. 다른 프로토콜을 모니터링하려면 대역 외 통합을 사용하는 것이 좋습니다.연결 기반 로깅: VPC 방화벽 규칙 로깅은 개별 패킷마다 생성되는 것이 아니라 연결이 설정될 때 생성됩니다. 연결은 10분마다 한 번 이상 패킷이 교환되는 한 활성 상태로 유지됩니다. 각 새 패킷은 유휴 타이머를 재설정합니다. 따라서 연속적인 트래픽 스트림은 전체 기간 동안 하나의 로그 항목만 생성합니다. 유휴 기간 없이 활성 상태의 장기 스트림을 지속적으로 확인해야 하는 경우 VPC 흐름 로그를 사용하세요.
기존 연결: 이미 활성 상태인
TCP또는UDP연결과 일치하는 규칙에 로깅을 사용 설정하면 새 로그 항목이 생성되지 않습니다. VPC 방화벽 규칙은 연결이 10분 이상 유휴 상태로 유지되고 새 패킷이 전송되는 경우에만 연결을 로깅합니다.허용 및 거부 동작:
허용 + 로깅: 허용된 연결은 한 번만 로깅되며 방화벽 규칙은 스테이트풀 형식이기 때문에 연결이 지속되더라도 항목이 반복되지 않습니다. 응답 트래픽은 자동으로 허용되며 로깅되지 않습니다.
거부 + 로깅: 고유한 5-튜플에 해당하는 삭제된 각 패킷은 실패한 시도로 로깅됩니다. 로그 항목은 거부된 연결에 대해 패킷이 관찰되는 한 5초마다 반복됩니다.
로그 생성 관점: 로그 항목 은 VPC 방화벽 규칙에 로깅이 사용 설정되고 방화벽 규칙이 VM을 오가는 트래픽에 적용될 때만 생성됩니다. 항목은 연결 로깅 한도에 따라 생성됩니다.
속도 제한: 단위 시간당 로깅되는 연결 수는 일반 VPC 네트워크의 경우 VM의 머신 유형에 따라, RoCE VPC 네트워크의 경우 규칙의 모니터링 또는 로깅 작업에 따라 결정됩니다. 자세한 내용은 연결 로깅 한도 및 모니터링 및 로깅을 참조하세요.
기존 범위: VPC 방화벽 규칙 로깅은 일반 VPC 네트워크 내에서 작동하는 기존 VPC 방화벽 규칙에만 적용됩니다.
프로토콜 한도: 기존 VPC 방화벽 규칙 로깅은 IP 프로토콜 필드를
ALL로 설정하는 것을 지원합니다.감사 로그: VPC 감사 로그에서 VPC 방화벽 규칙의 구성 변경사항을 확인할 수 있습니다. 자세한 내용은 VPC 감사 로그를 참조하세요.
제한사항
VPC 방화벽 규칙 로깅은 기존 형식이며 다음과 같은 고급 Cloud NGFW 메타데이터 필드의 로깅을 지원하지 않습니다.
source_region_codedestination_region_codesource_fqdndestination_fqdnsource_threat_intelligencedestination_threat_intelligencesource_address_groupsdestination_address_groupssource_secure_tagtarget_secure_tag