In VPC-Firewallregeln werden Informationen zum Netzwerkverkehr protokolliert, damit Sie Regelübereinstimmungen in Ihrem VPC-Netzwerk (Virtual Private Cloud) abfragen, analysieren und Fehler beheben können. Google CloudIn diesem Dokument werden das Logformat und die Feldstruktur für die Protokollierung von VPC-Firewallregeln beschrieben.
Cloud Logging strukturiert Firewall-Logeinträge mithilfe von Basis- und Metadatenfeldern, mit denen Sie Fehlkonfigurationen im Netzwerk identifizieren und die Regelleistung optimieren können. Logeinträge werden im JSON-Nutzlastfeld eines Logging LogEntry erfasst.
Dieses Dokument richtet sich an Netzwerkadministratoren, Sicherheitsexperten und Betriebsanalysten, die Netzwerk-Firewalllogs abfragen, prüfen und analysieren.
Unterstützte Logfelder
In der folgenden Tabelle werden die Logfelder beschrieben, die für VPC-Firewallregeln unterstützt werden.
| Feldname | Feldtyp: Basis- oder optionale Metadaten | Beschreibung |
|---|---|---|
connection |
Basis | IpConnection 5-Tupel, das die Quell- und Ziel-IP-Adresse, den Quell- und Zielport und das IP-Protokoll dieser Verbindung beschreibt. |
disposition |
Basis | Gibt an, ob die Verbindung ALLOWED oder
DENIED war. |
rule_details |
Basis | RuleDetails Details zur VPC-Firewallregel. Für VPC-Firewall Regeln ist das Format network:{network name}/firewall:{firewall_name}. |
instance |
Metadaten | InstanceDetails Details zur VM-Instanz. In einer freigegebene VPC-Konfiguration, project_id entspricht der ID des Dienstprojekts. |
load_balancer_details |
Metadaten | LoadBalancingDetails Details zum internen Application Load Balancer oder internen Proxy-Network Load Balancer, auf den die Firewallregel angewendet wird. Wenn das Ziel einer Firewallregel einer dieser Load Balancer ist, wird das instance Feld weggelassen. |
vpc |
Metadaten | VpcDetails Details zum VPC-Netzwerk. In einer freigegebene VPC-Konfiguration entspricht project_id der ID des Hostprojekts. |
remote_instance |
Metadaten | InstanceDetails Wenn der Remote-Endpunkt der Verbindung eine VM in Compute Engine war, wird dieses Feld mit VM-Instanzdetails gefüllt. |
remote_vpc |
Metadaten | VpcDetails Wenn der Remote-Endpunkt der Verbindung eine VM in einem VPC-Netzwerk war, wird dieses Feld mit den Netzwerkdetails gefüllt. |
remote_location |
Metadaten | GeographicDetails Wenn der Remote-Endpunkt der Verbindung außerhalb des VPC-Netzwerk lag, enthält dieses Feld verfügbare Standortmetadaten. |
IpConnection
| Feld | Typ | Beschreibung |
|---|---|---|
src_ip |
String | Die Quell-IP-Adresse. Wenn die Quelle eine Compute Engine-VM ist,
src_ip ist entweder die primäre interne IP-Adresse oder eine Adresse
in einem Alias-IP-Bereich der Netzwerkschnittstelle einer VM. Die externe IP
Adresse wird nicht angegeben. Logging zeigt die IP-Adresse der VM aus Sicht der VM im Paketheader. Dieselbe IP-Adresse wird angezeigt, wenn Sie einen
tcpdump für die VM ausführen. |
src_port |
Integer | Der Quellport. |
dest_ip |
String | Die Ziel-IP-Adresse. Wenn das Ziel eine Google Cloud VM,
dest_ip entweder die primäre interne IP-Adresse oder eine Adresse
in einem Alias-IP-Bereich der Netzwerkschnittstelle einer VM ist. Die externe IP
-Adresse wird nicht angegeben, auch wenn sie zur Herstellung der Verbindung verwendet wurde. |
dest_port |
Integer | Der Zielport. |
protocol |
Integer | IP-Protokoll der Verbindung. |
RuleDetails
| Feld | Typ | Beschreibung |
|---|---|---|
reference |
String | Eine eindeutige Kennung, die auf eine benannte Firewallregel verweist, die an ein einzelnes VPC-Netzwerk gebunden ist. Das Format für
VPC-Firewallregeln ist:network:{network name}/firewall:{VPC firewall rule name}. |
priority |
Integer | Die Priorität für die VPC-Firewallregel. |
action |
String | Auf die Verbindung angewendete Aktion. Unterstützte Werte sind ALLOW
oder DENY. |
direction |
String | Die Richtung, auf die die VPC-Firewallregel angewendet wird.
Mögliche Werte sind INGRESS oder EGRESS.
|
source_range[ ] |
String | Liste der Quellbereiche, auf die die VPC-Firewallregel angewendet wird. |
destination_range[ ] |
String | Liste der Zielbereiche, auf die die VPC-Firewallregel angewendet wird. |
ip_port_info[ ] |
String | Liste der IP-Protokolle und anwendbaren Portbereiche für Regeln. |
source_tag[ ] |
String | Liste der Quellnetzwerk-Tags, auf die die VPC-Firewallregel angewendet wird. |
target_tag[ ] |
String | Liste der Zielnetzwerk-Tags, auf die die VPC-Firewallregel angewendet wird. |
source_service_account[ ] |
String | Liste aller Quelldienstkonten, auf die die VPC-Firewallregel angewendet wird. |
target_service_account[ ] |
String | Liste aller Zieldienstkonten, auf die die VPC-Firewallregel angewendet wird. |
IpPortDetails
| Feld | Typ | Beschreibung |
|---|---|---|
ip_protocol |
String | IP-Protokoll, für das die VPC-Firewallregel gilt. Kann auf ALL gesetzt werden, wenn die Regel für alle IP-Protokolle gilt. |
port_range[ ] |
String | Liste der anwendbaren Portbereiche für VPC-Firewallregeln.
Beispiel: 8080-9090. |
InstanceDetails
| Feld | Typ | Beschreibung |
|---|---|---|
project_id |
String | ID des Projekts, das die VM enthält. |
vm_name |
String | Instanzname der VM. |
region |
String | Region der VM. |
zone |
String | Zone der VM. |
LoadBalancingDetails
| Feld | Typ | Beschreibung |
|---|---|---|
forwarding_rule_project_id |
String | Google Cloud Projekt-ID, die die Weiterleitungsregel enthält. Wird gesendet, wenn der Load Balancer anstelle einer VM das Ziel ist. |
type |
String | Load Balancer-Typ: APPLICATION_LOAD_BALANCER gibt
einen internen Application Load Balancer an. PROXY_NETWORK_LOAD_BALANCER gibt einen
internen Proxy-Network Load Balancer an. Wird gesendet, wenn
der Load Balancer anstelle einer VM das Ziel ist. |
scheme |
String | Load Balancer-Schema: INTERNAL_MANAGED. Wird gesendet, wenn
der Load Balancer anstelle einer VM das Ziel ist. |
url_map_name |
String | Name der URL-Zuordnung. Wird nur ausgefüllt, wenn type
den Wert APPLICATION_LOAD_BALANCER hat. Wird gesendet, wenn
der Load Balancer anstelle einer VM das Ziel ist. |
forwarding_rule_name |
String | Name der Weiterleitungsregel. Wird gesendet, wenn der Load Balancer anstelle einer VM das Ziel ist. |
VpcDetails
| Feld | Typ | Beschreibung |
|---|---|---|
project_id |
String | ID des Projekts, das das Netzwerk enthält. |
vpc_name |
String | Netzwerk, in dem die VM ausgeführt wird. |
subnetwork_name |
String | Subnetz, in dem die VM ausgeführt wird. |
GeographicDetails
| Feld | Typ | Beschreibung |
|---|---|---|
continent |
String | Name des Kontinents. Ist anwendbar, wenn der Remote-Endpunkt der Verbindung außerhalb der VPC liegt. |
country |
String | Name des Landes. Ist anwendbar, wenn der Remote-Endpunkt der Verbindung außerhalb der VPC liegt. |
region |
String | Name der Region. Ist anwendbar, wenn der Remote-Endpunkt der Verbindung außerhalb der VPC liegt. |
city |
String | Name der Stadt. Ist anwendbar, wenn der Remote-Endpunkt der Verbindung außerhalb der VPC liegt. |
Nächste Schritte
- Protokollierungsformat für Firewallrichtlinienregeln.
- Übersicht über die Protokollierung von VPC-Firewallregeln.
- Protokollierung von VPC-Firewallregeln verwalten.
- Cloud Logging