A geração de registros de regras de firewall da VPC permite auditar, verificar e analisar os efeitos das suas regras de firewall da VPC. Por exemplo, é possível determinar se uma regra de firewall da VPC criada para negar tráfego está funcionando conforme o esperado. A geração de registros de regras de firewall da VPC também é útil quando é preciso determinar quantas conexões são afetadas por uma determinada regra de firewall da VPC.
Ative a geração de registros de regras de firewall da VPC individualmente para cada regra de firewall da VPC que tem as conexões que você precisa registrar. A geração de registros de regras de firewall da VPC é uma opção para qualquer regra de firewall da VPC, seja qual for a ação (allow ou deny) ou a direção (ingress ou egress) dela.
A geração de registros de regras de firewall da VPC documenta o tráfego de e para as instâncias de máquina virtual (VM) do Compute Engine. Isso inclui Google Cloud produtos criados em VMs do Compute Engine, como os clusters do Google Kubernetes Engine (GKE) e as instâncias do ambiente flexível do Google Kubernetes Engine.
Quando você ativa a geração de registros para uma regra de firewall da VPC, Google Cloud o Google Cloud cria uma entrada chamada registro de conexão toda vez que a regra permite ou nega tráfego. É possível ver esses registros no Cloud Logging, e exportá-los para qualquer destino compatível.
Cada registro de conexão tem os endereços IP de origem e de destino, o protocolo e as portas, a data e a hora e uma referência à regra de firewall da VPC aplicada ao tráfego.
Para informações sobre como visualizar registros, consulte Gerenciar a geração de registros de regras de firewall da VPC.
Especificações
A geração de registros de regras de firewall da VPC tem as seguintes especificações:
Implantações compatíveis: é possível ativar a geração de registros de regras de firewall da VPC para regras de firewall da VPC em políticas de firewall hierárquicas, de rede global, de rede regional de rede e de sistema regional associadas a uma rede VPC normal e políticas de firewall de rede regional associadas a uma rede VPC RoCE.
Regras não compatíveis: a geração de registros de regras de firewall da VPC não é compatível com regras em redes legadas, regras de negação de entrada implícita e permissão de saída implícita em uma rede VPC normal ou regras de permissão de entrada e saída implícita de uma rede VPC RoCE.
Suporte a protocolos: a geração de registros de regras de firewall da VPC só marca conexões
TCPeUDP. Se você quiser monitorar outros protocolos, use a integração fora da banda.Geração de registros com base na conexão: a geração de registros de regras de firewall da VPC é criada quando uma conexão é estabelecida, não para cada pacote individual. Uma conexão permanece ativa enquanto os pacotes são trocados pelo menos uma vez a cada 10 minutos. Cada novo pacote redefine o timer de inatividade. Portanto, um fluxo contínuo de tráfego gera apenas uma entrada de registro para toda a duração. Se você precisar de visibilidade contínua em fluxos ativos, de longa duração sem períodos de inatividade, use os registros de fluxo da VPC.
Conexões atuais: se você ativar a geração de registros em uma regra que corresponde a uma conexão já ativa
TCPouUDP, uma nova entrada de registro não será gerada. A regra de firewall da VPC registra a conexão somente se ela permanecer inativa por pelo menos 10 minutos e um novo pacote for enviado posteriormente.Comportamento de permissão e negação:
Permitir + geração de registros: uma conexão permitida é registrada apenas uma vez, e a entrada não é repetida mesmo que a conexão persista, porque as regras de firewall são com estado. O tráfego de resposta é permitido automaticamente e não é registrado.
Negar + geração de registros: cada pacote descartado correspondente a um hash de cinco tuplas único é registrado como uma tentativa com falha. A entrada de registro se repete a cada cinco segundos enquanto os pacotes são observados para essa conexão negada.
Perspectiva de geração de registros: as entradas de registro só serão criadas se uma regra de firewall da VPC tiver a geração de registros ativada e for aplicável ao tráfego enviado de ou para a VM. As entradas são criadas sujeitas aos limites de geração de registros de conexão.
Limites de taxa: o número de conexões registradas por unidade de tempo é determinado pelo tipo de máquina da VM para redes VPC normais ou pela ação de monitoramento ou geração de registros da regra para redes VPC RoCE. Para mais informações, consulte Limites de geração de registros de conexão e Monitoramento e geração de registros
Escopo legado: a geração de registros de regras de firewall da VPC se aplica apenas a regras de firewall da VPC legadas que operam em uma rede VPC normal.
Limites de protocolo: a geração de registros de regras de firewall da VPC legadas oferece suporte à configuração do campo de protocolo IP como
ALL.Registros de auditoria: é possível visualizar as mudanças de configuração na regra de firewall da VPC nos registros de auditoria da VPC. Para mais informações, consulte Registros de auditoria da VPC.
Limitações
A geração de registros de regras de firewall da VPC é um formato legado e não oferece suporte à geração de registros para campos de metadados avançados do Cloud NGFW, como:
source_region_codedestination_region_codesource_fqdndestination_fqdnsource_threat_intelligencedestination_threat_intelligencesource_address_groupsdestination_address_groupssource_secure_tagtarget_secure_tag
A seguir
- Gerenciar a geração de registros de regras de firewall da VPC.
- Exemplos de geração de registros de regras de firewall da VPC.
- Formato de geração de registros de regras de firewall da VPC.
- Visão geral do Cloud Logging.