A geração de registros de regras de firewall da VPC registra informações de tráfego de rede para ajudar você a consultar, analisar e solucionar problemas de correspondências de regras na sua Google Cloud rede de nuvem privada virtual (VPC). Este documento descreve o formato de registro e a estrutura de campo para a geração de registros de regras de firewall da VPC.
O Cloud Logging estrutura os registros de firewall usando campos de base e metadados, que você usa para identificar configurações incorretas de rede e otimizar a performance das regras. Os registros aparecem no campo de payload JSON de um Logging LogEntry.
Este documento é destinado a administradores de rede, engenheiros de segurança e analistas de operações que consultam, revisam e analisam registros de firewall de rede.
Campos de registro compatíveis
A tabela a seguir descreve os campos de registro compatíveis com as regras de firewall da VPC.
| Nome do campo | Tipo de campo: base ou metadados opcionais | Descrição |
|---|---|---|
connection |
Base | IpConnection Cinco tuplas que descrevem os endereços IP e a porta de origem e destino, além do protocolo IP da conexão. |
disposition |
Base | Indica se a conexão foi ALLOWED ou
DENIED. |
rule_details |
Base | RuleDetails Detalhes da regra de firewall da VPC. Para regras de firewall da VPC, o formato é network:{network name}/firewall:{firewall_name}. |
instance |
Metadados | InstanceDetails Detalhes da instância da VM. Em uma configuração de VPC compartilhada, project_id corresponde ao ID do projeto de serviço. |
load_balancer_details |
Metadados | LoadBalancingDetails Detalhes do balanceador de carga de aplicativo interno ou do balanceador de carga de rede de proxy interno a que a regra de firewall se aplica. Quando o destino de uma regra de firewall é um desses balanceadores de carga, o campo instance é omitido. |
vpc |
Metadados | VpcDetails Detalhes da rede VPC. Em uma configuração de VPC compartilhada, project_id corresponde ao ID do projeto host. |
remote_instance |
Metadados | InstanceDetails Se o endpoint remoto da conexão for uma VM localizada no Compute Engine, esse campo será preenchido com os detalhes da instância da VM. |
remote_vpc |
Metadados | VpcDetails Se o endpoint remoto da conexão for uma VM localizada em uma rede VPC, esse campo será preenchido com os detalhes da rede. |
remote_location |
Metadados | GeographicDetails Se o endpoint remoto da conexão for externo à rede VPC, este campo será preenchido com os metadados de local disponíveis. |
IpConnection
| Campo | Tipo | Descrição |
|---|---|---|
src_ip |
string | O endereço IP de origem. Se a origem for uma VM do Compute Engine,
src_ip será o endereço de IP interno principal ou um endereço
em um intervalo de IP de alias da interface de rede da VM. O endereço IP externo
não é exibido. O Logging mostra o endereço IP da VM como
a VM o vê no cabeçalho do pacote, o mesmo que se você executasse
tcpdump na VM. |
src_port |
integer | A porta de origem. |
dest_ip |
string | O endereço IP de destino. Se o destino for uma Google Cloud VM,
dest_ip será o endereço IP interno principal ou um endereço
em um intervalo de IP de alias da interface de rede da VM. O endereço IP externo
não é exibido, mesmo que tenha sido usado para fazer a conexão. |
dest_port |
integer | A porta de destino. |
protocol |
integer | Protocolo IP da conexão. |
RuleDetails
| Campo | Tipo | Descrição |
|---|---|---|
reference |
string | Uma string de identificador exclusivo que se refere a uma regra de firewall nomeada de recurso
vinculada a uma única rede VPC. O formato da regra de firewall da VPC é:network:{network name}/firewall:{VPC firewall rule name}. |
priority |
integer | A prioridade da regra de firewall da VPC. |
action |
string | Ação aplicada à conexão. Os valores aceitos são ALLOW
ou DENY. |
direction |
string | A direção a que a regra de firewall da VPC se aplica.
Pode ser INGRESS ou EGRESS
|
source_range[ ] |
string | Lista de intervalos de origem a que a regra de firewall da VPC se aplica. |
destination_range[ ] |
string | Lista de intervalos de destino aos quais a regra de firewall da VPC se aplica. |
ip_port_info[ ] |
string | Lista de protocolos IP e intervalos de portas aplicáveis a regras. |
source_tag[ ] |
string | Listas de tags de rede de origem a que a regra de firewall da VPC se aplica. |
target_tag[ ] |
string | Listas de tags de rede de destino a que a regra de firewall da VPC se aplica. |
source_service_account[ ] |
string | Lista de todas as contas de serviço de origem a que a regra de firewall da VPC se aplica. |
target_service_account[ ] |
string | Lista de todas as contas de serviço de destino a que a regra de firewall da VPC se aplica. |
IpPortDetails
| Campo | Tipo | Descrição |
|---|---|---|
ip_protocol |
string | Protocolo IP ao qual a regra de firewall da VPC se aplica. Pode ser
definido como ALL se a regra se aplicar a todos os protocolos IP. |
port_range[ ] |
string | Lista de intervalos de portas aplicáveis a regras de firewall da VPC.
Por exemplo, 8080-9090. |
InstanceDetails
| Campo | Tipo | Descrição |
|---|---|---|
project_id |
string | ID do projeto que contém a VM. |
vm_name |
string | Nome da instância da VM. |
region |
string | Região da VM. |
zone |
string | Zona da VM. |
LoadBalancingDetails
| Campo | Tipo | Descrição |
|---|---|---|
forwarding_rule_project_id |
string | Google Cloud ID do projeto que contém a regra de encaminhamento. Enviado quando o balanceador de carga é o destino em vez de uma VM. |
type |
string | Tipo de balanceador de carga: APPLICATION_LOAD_BALANCER indica
um balanceador de carga de aplicativo interno. PROXY_NETWORK_LOAD_BALANCER indica um
balanceador de carga de rede de proxy interno. Enviado quando
o balanceador de carga é o destino em vez de uma VM. |
scheme |
string | Esquema do balanceador de carga, INTERNAL_MANAGED. Enviado quando
o balanceador de carga é o destino em vez de uma VM. |
url_map_name |
string | Nome do mapa de URL. Preenchido apenas se o type
for APPLICATION_LOAD_BALANCER. Enviado quando
o balanceador de carga é o destino em vez de uma VM. |
forwarding_rule_name |
string | Nome da regra de encaminhamento. Enviado quando o balanceador de carga é o destino em vez de uma VM. |
VpcDetails
| Campo | Tipo | Descrição |
|---|---|---|
project_id |
string | ID do projeto que contém a rede. |
vpc_name |
string | Rede em que a VM está operando. |
subnetwork_name |
string | Sub-rede em que a VM está operando. |
GeographicDetails
| Campo | Tipo | Descrição |
|---|---|---|
continent |
string | Nome do continente. É aplicável se o endpoint remoto da conexão for externo à VPC. |
country |
string | Nome do país. É aplicável se o endpoint remoto da conexão for externo à VPC. |
region |
string | Nome da região É aplicável se o endpoint remoto da conexão for externo à VPC. |
city |
string | Nome da cidade. É aplicável se o endpoint remoto da conexão for externo à VPC. |
A seguir
- Formato de geração de registros de regras da política de firewall.
- Visão geral da geração de registros de regras de firewall da VPC.
- Gerenciar a geração de registros de regras de firewall da VPC.
- Cloud Logging.