Auf dieser Seite wird die Loggingstruktur für VPC-Firewallregeln in Cloud Logging beschrieben. Wenn eine VPC-Regel (Virtual Private Cloud) mit aktiviertem Logging auf Traffic zu oder von einer VM-Instanz (virtuelle Maschine) angewendet wird, erstellt Cloud Logging einen Logeintrag. Logeinträge werden im JSON-Nutzlast feld eines Logging LogEntry erfasst.
Firewall-Logeinträge bestehen aus Basisfeldern, den wichtigsten Feldern jedes Logeintrags, und optionalen Metadatenfeldern. Um Speicherkosten zu senken, können Sie Metadatenfelder ausschließen.
Einige Logfelder können andere Felder als Werte enthalten. Das Feld connection verwendet beispielsweise das Format IpConnection, das die Quell- und Ziel-IP-Adresse sowie Protokoll und Port in einem einzigen Feld enthält.
In der folgenden Tabelle werden die Logfelder beschrieben, die für VPC-Firewallregeln unterstützt werden.
| Feldname | Feldtyp: Basis- oder optionale Metadaten | Beschreibung |
|---|---|---|
connection |
Basis | IpConnection 5-Tupel, das die Quell- und Ziel-IP-Adresse, den Quell- und Zielport und das IP-Protokoll dieser Verbindung beschreibt. |
disposition |
Basis | Gibt an, ob die Verbindung ALLOWED oder
DENIED wurde. |
rule_details |
Basis | RuleDetails Details zur VPC-Firewallregel. Für VPC-Firewall Regeln ist das Format network:{network name}/firewall:{firewall_name}. |
instance |
Metadaten | InstanceDetails Details zur VM-Instanz. In einer freigegebene VPC-Konfiguration, project_id entspricht der des Dienstprojekts. |
load_balancer_details |
Metadaten | LoadBalancingDetails Details zum internen Application Load Balancer oder internen Proxy-Network Load Balancer, auf den die Firewallregel angewendet wird. Wenn das Ziel einer Firewallregel einer dieser Load Balancer ist, wird das instance Feld weggelassen. |
vpc |
Metadaten | VpcDetails Details zum VPC-Netzwerk. In einer freigegebene VPC-Konfiguration, project_id entspricht der des Hostprojekts. |
remote_instance |
Metadaten | InstanceDetails Wenn der Remote-Endpunkt der Verbindung eine VM in Compute Engine war, wird dieses Feld mit VM-Instanzdetails gefüllt. |
remote_vpc |
Metadaten | VpcDetails Wenn der Remote-Endpunkt der Verbindung eine VM in einem VPC-Netzwerk war, wird dieses Feld mit den Netzwerkdetails gefüllt. |
remote_location |
Metadaten | GeographicDetails Wenn der Remote-Endpunkt der Verbindung außerhalb des VPC-Netzwerk lag, enthält dieses Feld verfügbare Standortmetadaten. |
IpConnection
| Feld | Typ | Beschreibung |
|---|---|---|
src_ip |
String | Die Quell-IP-Adresse. Wenn die Quelle eine Compute Engine-VM ist,
src_ip ist entweder die primäre interne IP-Adresse oder eine Adresse
in einem Alias-IP-Bereich der Netzwerkschnittstelle einer VM. Die externe IP
Adresse wird nicht angegeben. Im Logging wird die IP-Adresse der VM so angezeigt, wie sie im Paketheader zu sehen ist. Das ist dasselbe, als wenn Sie tcpdump auf der VM ausführen. |
src_port |
integer | Der Quellport. |
dest_ip |
String | Die Ziel-IP-Adresse. Wenn das Ziel eine Google Cloud VM,
dest_ip entweder die primäre interne IP-Adresse oder eine Adresse
in einem Alias-IP-Bereich der Netzwerkschnittstelle einer VM ist. Die externe IP
-Adresse wird nicht angegeben, auch wenn sie zur Herstellung der Verbindung verwendet wurde. |
dest_port |
integer | Der Zielport. |
protocol |
integer | IP-Protokoll der Verbindung. |
RuleDetails
| Feld | Typ | Beschreibung |
|---|---|---|
reference |
String | Ein eindeutiger String, der auf eine benannte Firewallregel verweist, die an ein einzelnes VPC-Netzwerk gebunden ist. Das Format für
VPC-Firewallregeln ist:network:{network name}/firewall:{VPC firewall rule name}. |
priority |
integer | Die Priorität für die VPC-Firewallregel. |
action |
String | Auf die Verbindung angewendete Aktion. Unterstützte Werte sind ALLOW
oder DENY. |
direction |
String | Die Richtung, auf die die VPC-Firewallregel angewendet wird.
Mögliche Werte sind INGRESS oder EGRESS.
|
source_range[ ] |
String | Liste der Quellbereiche, auf die die VPC-Firewallregel angewendet wird. |
destination_range[ ] |
String | Liste der Zielbereiche, auf die die VPC-Firewallregel angewendet wird. |
ip_port_info[ ] |
String | Liste der IP-Protokolle und anwendbaren Portbereiche für Regeln. |
source_tag[ ] |
String | Liste der Quellnetzwerk-Tags, auf die die VPC-Firewallregel angewendet wird. |
target_tag[ ] |
String | Liste der Zielnetzwerk-Tags, auf die die VPC-Firewallregel angewendet wird. |
source_service_account[ ] |
String | Liste aller Quelldienstkonten, auf die die VPC-Firewallregel angewendet wird. |
target_service_account[ ] |
String | Liste aller Zieldienstkonten, auf die die VPC-Firewallregel angewendet wird. |
IpPortDetails
| Feld | Typ | Beschreibung |
|---|---|---|
ip_protocol |
String | IP-Protokoll, auf das die VPC-Firewallregel angewendet wird. Kann auf ALL gesetzt werden, wenn die Regel für alle IP-Protokolle gilt. |
port_range[ ] |
String | Liste der anwendbaren Portbereiche für VPC-Firewallregeln.
Beispiel: 8080-9090. |
InstanceDetails
| Feld | Typ | Beschreibung |
|---|---|---|
project_id |
String | ID des Projekts, das die VM enthält. |
vm_name |
String | Instanzname der VM. |
region |
String | Region der VM. |
zone |
String | Zone der VM. |
LoadBalancingDetails
| Feld | Typ | Beschreibung |
|---|---|---|
forwarding_rule_project_id |
String | Google Cloud Projekt-ID, die die Weiterleitungsregel enthält. Wird gesendet, wenn der Load Balancer anstelle einer VM das Ziel ist. |
type |
String | Load Balancer-Typ: APPLICATION_LOAD_BALANCER gibt
einen internen Application Load Balancer an. PROXY_NETWORK_LOAD_BALANCER gibt einen
internen Proxy-Network Load Balancer an. Wird gesendet, wenn
der Load Balancer anstelle einer VM das Ziel ist. |
scheme |
String | Load Balancer-Schema: INTERNAL_MANAGED. Wird gesendet, wenn
der Load Balancer anstelle einer VM das Ziel ist. |
url_map_name |
String | Name der URL-Zuordnung. Wird nur ausgefüllt, wenn type
den Wert APPLICATION_LOAD_BALANCER hat. Wird gesendet, wenn
der Load Balancer anstelle einer VM das Ziel ist. |
forwarding_rule_name |
String | Name der Weiterleitungsregel. Wird gesendet, wenn der Load Balancer anstelle einer VM das Ziel ist. |
VpcDetails
| Feld | Typ | Beschreibung |
|---|---|---|
project_id |
String | ID des Projekts, das das Netzwerk enthält. |
vpc_name |
String | Netzwerk, in dem die VM ausgeführt wird. |
subnetwork_name |
String | Subnetz, in dem die VM ausgeführt wird. |
GeographicDetails
| Feld | Typ | Beschreibung |
|---|---|---|
continent |
String | Name des Kontinents. Gilt, wenn der Remote-Endpunkt der Verbindung außerhalb der VPC liegt. |
country |
String | Name des Landes. Gilt, wenn der Remote-Endpunkt der Verbindung außerhalb der VPC liegt. |
region |
String | Name der Region. Gilt, wenn der Remote-Endpunkt der Verbindung außerhalb der VPC liegt. |
city |
String | Name der Stadt. Gilt, wenn der Remote-Endpunkt der Verbindung außerhalb der VPC liegt. |
Nächste Schritte
- Loggingformat für Firewallrichtlinienregeln.
- Übersicht über das Logging von VPC-Firewallregeln.
- Logging von VPC-Firewallregeln verwalten.
- Cloud Logging.