通过 VPC 防火墙规则日志记录,您可以审核、验证和分析 VPC 防火墙规则所带来的影响。例如,您可以确定用于拒绝流量的 VPC 防火墙规则是否如期发挥作用。如果您需要确定特定 VPC 防火墙规则影响的连接数,VPC 防火墙规则日志记录也非常有用。
对于您需要记录其连接的每一条 VPC 防火墙规则,您都要单独启用 VPC 防火墙规则日志记录。VPC 防火墙规则日志记录选项适用于所有 VPC 防火墙规则,与规则的操作(allow 或 deny)或方向(ingress 或 egress)无关。
VPC 防火墙规则日志记录会记录进出 Compute Engine 虚拟机 (VM) 实例的流量。这包括在 Compute Engine 虚拟机上构建的 Google Cloud 产品,例如 Google Kubernetes Engine (GKE) 集群和 Google Kubernetes Engine 柔性环境实例。
启用 VPC 防火墙规则日志记录后, Google Cloud 会在规则允许或拒绝流量时创建称为连接记录的条目。 您可以在 Cloud Logging 中查看这些记录,并将日志导出至 Cloud Logging 导出功能支持的任意目的地。
每一条连接记录都包含来源和目标 IP 地址、协议和端口、日期和时间,以及对流量所应用的 VPC 防火墙规则的引用。
如需了解如何查看日志,请参阅管理 VPC 防火墙规则日志记录。
规格
VPC 防火墙规则日志记录具有以下规范:
支持的部署:您可以为与常规 VPC 网络关联的分层防火墙政策、全球网络防火墙政策、区域级网络防火墙政策和区域级系统防火墙政策中的 VPC 防火墙规则启用 VPC 防火墙规则日志记录,也可以为与 RoCE VPC 网络关联的区域级网络防火墙政策中的 VPC 防火墙规则启用 VPC 防火墙规则日志记录。
不支持的规则:VPC 防火墙规则日志记录不支持以下规则:旧版网络中的规则、常规 VPC 网络中的隐式拒绝入站流量规则和隐式允许出站流量规则,或 RoCE VPC 网络的隐式允许入站流量规则和出站流量规则。
协议支持:VPC 防火墙规则日志记录仅记录
TCP和UDP连接。如果您想监控其他协议,请考虑使用带外集成。基于连接的日志记录:VPC 防火墙规则日志记录是在建立连接时创建的,而不是针对每个单独的数据包创建的。 只要每 10 分钟至少交换一次数据包,连接就会保持活跃状态。每个新数据包都会重置空闲计时器。因此,持续的流量流在其整个持续时间内只会生成一条日志条目。如果您需要持续了解活跃的长期存在的数据流(无空闲时段),请使用 VPC 流日志。
现有连接:如果您为与已处于活动状态的
TCP或UDP连接匹配的规则启用日志记录,则不会生成新的日志条目。仅当 VPC 防火墙规则记录的连接保持空闲状态至少 10 分钟,并且随后发送了新数据包时,才会记录该连接。允许和拒绝行为:
允许 + 日志记录:系统仅记录一次允许的连接,即使连接持续,也不会重复记录条目,因为防火墙规则是有状态的,回复流量会自动允许,并且不会记录。
拒绝 + 日志记录:与唯一五元组对应的每个丢弃的数据包均会被记录为一次失败的尝试。只要在被拒的连接中检测到数据包,系统就会每 5 秒钟重复记录一次日志条目。
日志生成视角:仅当 VPC 防火墙规则启用了日志记录,且该规则适用于进出虚拟机的流量时,才会创建日志条目。系统会根据连接日志记录限制来创建条目。
速率限制:每单位时间记录的连接数由常规 VPC 网络的虚拟机的机器类型决定,或者由 RoCE VPC 网络的规则的监控或日志记录操作决定。如需了解详情,请参阅连接日志记录限制以及监控和日志记录
旧版范围:VPC 防火墙规则日志记录仅适用于在常规 VPC 网络内运行的旧版 VPC 防火墙规则。
协议限制:旧版 VPC 防火墙规则日志记录支持将 IP 协议字段设置为
ALL。审核日志:您可以在 VPC 审核日志中查看对 VPC 防火墙规则的配置更改。如需了解详情,请参阅 VPC 审核日志。
限制
VPC 防火墙规则日志记录是一种旧版格式,不支持记录高级 Cloud NGFW 元数据字段,例如:
source_region_codedestination_region_codesource_fqdndestination_fqdnsource_threat_intelligencedestination_threat_intelligencesource_address_groupsdestination_address_groupssource_secure_tagtarget_secure_tag