Auf dieser Seite wird die Loggingstruktur für VPC-Firewallregeln in Cloud Logging beschrieben. Wenn eine VPC-Regel (Virtual Private Cloud) mit aktiviertem Logging auf Traffic zu oder von einer VM-Instanz (virtuelle Maschine) angewendet wird, erstellt Cloud Logging einen Logeintrag. Logeinträge werden im JSON-Nutzlast feld eines Logging LogEntry erfasst.
Firewall-Logeinträge bestehen aus Basisfeldern, den wichtigsten Feldern jedes Logeintrags, und optionalen Metadatenfeldern. Um Speicherkosten zu senken, können Sie Metadatenfelder ausschließen.
Einige Logfelder können andere Felder als Werte enthalten. Das Feld connection verwendet beispielsweise das Format IpConnection, das die Quell- und Ziel-IP-Adresse sowie Protokoll und Port in einem einzigen Feld enthält.
In der folgenden Tabelle werden die Logfelder beschrieben, die für VPC-Firewallregeln unterstützt werden.
| Feldname | Feldtyp: Basis- oder optionale Metadaten | Beschreibung |
|---|---|---|
connection |
IpConnection | 5-Tupel, das die Quell- und Ziel-IP-Adresse, den Quell- und Zielport und das IP-Protokoll dieser Verbindung beschreibt. |
disposition |
Basis | Gibt an, ob die Verbindung ALLOWED oder
DENIED wurde. |
rule_details.reference |
Basis | Verweis auf die Firewallregel. Bei VPC-Firewall
Regeln ist das Format network:{network name}/firewall:{firewall_name}. |
rule_details.priority |
Basis | Die für die VPC-Firewallregel definierte Priorität. |
rule_details.action |
Basis | Gibt an, ob die Verbindung ALLOWED oder
DENIED wurde. |
rule_details.direction |
Basis | Die Richtung, die die Firewallregel anwendet ingress
oder egress. |
rule_details.ip_port_info[ ] |
IpPortDetails | Liste der IP-Protokolle und anwendbaren Portbereiche. Das
ip_protocol Unterfeld kann ALL für
VPC-Firewallregeln sein. |
rule_details.source_range[ ]rule_details.destination_range[ ] |
Metadaten | Liste der Quell- oder Ziel-IP-Bereiche, auf die die VPC Firewallregel angewendet wird. |
rule_details.source_tag[ ]rule_details.target_tag[ ] |
Metadaten | Liste aller Quell- oder Ziel-Netzwerk-Tags, auf die die VPC Firewallregel angewendet wird. |
rule_details.source_service_account[ ]rule_details.target_service_account[ ] |
Metadaten | Liste aller Quell- oder Ziel-Dienstkonten, auf die die VPC Firewallregel angewendet wird. |
instance |
Metadaten | InstanceDetails Details zur VM-Instanz. In einer freigegebene VPC-Konfiguration, project_id entspricht der des Dienstprojekts. |
load_balancer_details |
Metadaten | LoadBalancingDetails Details zum internen Application Load Balancer oder internen Proxy-Network Load Balancer, auf den die Firewallregel angewendet wird. Wenn das Ziel einer Firewallregel einer dieser Load Balancer ist, wird das instance Feld weggelassen. |
vpc |
Metadaten | VpcDetails Details zum VPC-Netzwerk. In einer freigegebene VPC-Konfiguration, project_id entspricht der des Hostprojekts. |
remote_instance |
Metadaten | InstanceDetails Wenn der Remote-Endpunkt der Verbindung eine VM in Compute Engine war, wird dieses Feld mit VM-Instanzdetails gefüllt. |
remote_vpc |
Metadaten | VpcDetails Wenn der Remote-Endpunkt der Verbindung eine VM in einem VPC-Netzwerk war, wird dieses Feld mit den Netzwerkdetails gefüllt. |
remote_location |
Metadaten | GeographicDetails Wenn der Remote-Endpunkt der Verbindung außerhalb des VPC-Netzwerk lag, enthält dieses Feld verfügbare Standortmetadaten. |
IpConnection
| Feld | Typ | Beschreibung |
|---|---|---|
src_ip |
String | Die Quell-IP-Adresse. Wenn die Quelle eine Compute Engine-VM ist,
src_ip ist entweder die primäre interne IP-Adresse oder eine Adresse
in einem Alias-IP-Bereich der Netzwerkschnittstelle einer VM. Die externe IP
Adresse wird nicht angegeben. Logging zeigt die IP-Adresse der VM aus Sicht der VM im Paketheader. Dieselbe IP-Adresse wird angezeigt, wenn Sie einen
tcpdump für die VM ausführen. |
src_port |
integer | Der Quellport. |
dest_ip |
String | Die Ziel-IP-Adresse. Wenn das Ziel eine Google Cloud VM,
dest_ip entweder die primäre interne IP-Adresse oder eine Adresse
in einem Alias-IP-Bereich der Netzwerkschnittstelle einer VM ist. Die externe IP
-Adresse wird nicht angegeben, auch wenn sie zur Herstellung der Verbindung verwendet wurde. |
dest_port |
integer | Der Zielport. |
protocol |
integer | IP-Protokoll der Verbindung. |
RuleDetails
| Feld | Typ | Beschreibung |
|---|---|---|
reference |
String | Verweis auf die VPC-Firewallregel; Format:network:{network name}/firewall:{VPC firewall rule name}. |
priority |
integer | Die Priorität für die VPC-Firewallregel. |
action |
String | Auf die Verbindung angewendete Aktion. Unterstützte Werte sind ALLOW
oder DENY. |
direction |
String | Die Richtung, die die VPC-Firewallregel anwendet
(ingress oder egress). |
source_range[ ] |
String | Liste der Quellbereiche, auf die die VPC-Firewallregel angewendet wird. |
destination_range[ ] |
String | Liste der Zielbereiche, auf die die VPC-Firewallregel angewendet wird. |
source_tag[ ] |
String | Liste der Quell-Netzwerk-Tags, auf die die VPC-Firewallregel angewendet wird. |
target_tag[ ] |
String | Liste der Ziel-Netzwerk-Tags, auf die die VPC-Firewallregel angewendet wird. |
source_service_account[ ] |
String | Liste aller Quelldienstkonten, auf die die VPC-Firewallregel angewendet wird. |
target_service_account[ ] |
String | Liste aller Zieldienstkonten, auf die die VPC-Firewallregel angewendet wird. |
IpPortDetails
| Feld | Typ | Beschreibung |
|---|---|---|
ip_protocol |
String | IP-Protokoll, für das die VPC-Firewallregel gilt. Kann auf ALL gesetzt werden, wenn die Regel für alle IP-Protokolle gilt. |
port_range[ ] |
String | Liste der anwendbaren Portbereiche für VPC-Firewallregeln.
Beispiel: 8080-9090. |
InstanceDetails
| Feld | Typ | Beschreibung |
|---|---|---|
project_id |
String | ID des Projekts, das die VM enthält. |
vm_name |
String | Instanzname der VM. |
region |
String | Region der VM. |
zone |
String | Zone der VM. |
LoadBalancingDetails
| Feld | Typ | Beschreibung |
|---|---|---|
forwarding_rule_project_id |
String | Google Cloud Projekt-ID, die die Weiterleitungsregel enthält. Wird gesendet, wenn der Load Balancer anstelle einer VM das Ziel ist. |
type |
String | Load Balancer-Typ: APPLICATION_LOAD_BALANCER gibt
einen internen Application Load Balancer an. PROXY_NETWORK_LOAD_BALANCER gibt einen
internen Proxy-Network Load Balancer an. Wird gesendet, wenn
der Load Balancer anstelle einer VM das Ziel ist. |
scheme |
String | Load Balancer-Schema: INTERNAL_MANAGED. Wird gesendet, wenn
der Load Balancer anstelle einer VM das Ziel ist. |
url_map_name |
String | Name der URL-Zuordnung. Wird nur ausgefüllt, wenn type
gleich APPLICATION_LOAD_BALANCER ist. Wird gesendet, wenn
der Load Balancer anstelle einer VM das Ziel ist. |
forwarding_rule_name |
String | Name der Weiterleitungsregel. Wird gesendet, wenn der Load Balancer anstelle einer VM das Ziel ist. |
VpcDetails
| Feld | Typ | Beschreibung |
|---|---|---|
project_id |
String | ID des Projekts, das das Netzwerk enthält. |
vpc_name |
String | Netzwerk, in dem die VM ausgeführt wird. |
subnetwork_name |
String | Subnetz, in dem die VM ausgeführt wird. |
GeographicDetails
| Feld | Typ | Beschreibung |
|---|---|---|
continent |
String | Name des Kontinents. Gilt, wenn der Remote-Endpunkt der Verbindung außerhalb der VPC liegt. |
country |
String | Name des Landes. Gilt, wenn der Remote-Endpunkt der Verbindung außerhalb der VPC liegt. |
region |
String | Name der Region. Gilt, wenn der Remote-Endpunkt der Verbindung außerhalb der VPC liegt. |
city |
String | Name der Stadt. Gilt, wenn der Remote-Endpunkt der Verbindung außerhalb der VPC liegt. |
Nächste Schritte
- Loggingformat für Firewallrichtlinienregeln.
- Übersicht über das Logging von VPC-Firewallregeln.
- Logging von VPC-Firewallregeln verwalten.
- Cloud Logging.