La journalisation des règles de pare-feu VPC enregistre des informations sur le trafic réseau pour vous aider à interroger, analyser et résoudre les problèmes de correspondance des règles sur votre réseau Google Cloud VPC (cloud privé virtuel). Ce document décrit le format et la structure des champs des journaux des règles de pare-feu VPC.
Cloud Logging structure les enregistrements de journaux de pare-feu à l'aide de champs de base et de métadonnées, que vous utilisez pour identifier les erreurs de configuration réseau et optimiser les performances des règles. Les enregistrements de journaux s'affichent dans le champ de charge utile JSON d'un objet Logging LogEntry.
Ce document est destiné aux administrateurs réseau, aux ingénieurs en sécurité et aux analystes des opérations qui interrogent, examinent et analysent les journaux de pare-feu réseau.
Champs de journaux compatibles
Le tableau suivant décrit les champs de journaux compatibles avec les règles de pare-feu VPC.
| Nom du champ | Type de champ : métadonnées de base ou facultatives | Description |
|---|---|---|
connection |
Couches | IpConnection Hachage à cinq tuples décrivant les adresses IP source et de destination, les ports source et de destination, ainsi que le protocole IP de cette connexion. |
disposition |
Couches | Indique si la connexion a été autorisée (ALLOWED) ou refusée (DENIED). |
rule_details |
Couches | RuleDetails Détails de la règle de pare-feu VPC. Pour les règles de pare-feu VPC, le format est network:{network name}/firewall:{firewall_name}. |
instance |
Métadonnées | InstanceDetails Détails de l'instance de VM. Dans une configuration de VPC partagé, project_id correspond à l'identifiant du projet de service. |
load_balancer_details |
Métadonnées | LoadBalancingDetails Détails de l'équilibreur de charge d'application interne ou de l'équilibreur de charge réseau proxy interne auquel s'applique la règle de pare-feu. Lorsque la cible d'une règle de pare-feu est l'un de ces équilibreurs de charge, le champ instance est omis. |
vpc |
Métadonnées | VpcDetails Détails du réseau VPC. Dans une configuration de VPC partagé, project_id correspond à l'ID du projet hôte. |
remote_instance |
Métadonnées | InstanceDetails Si le point de terminaison distant de la connexion était une VM hébergée dans Compute Engine, ce champ contient les détails de l'instance de VM. |
remote_vpc |
Métadonnées | VpcDetails Si le point de terminaison distant de la connexion était une VM hébergée sur un réseau VPC, ce champ contient les détails du réseau. |
remote_location |
Métadonnées | GeographicDetails Si le point de terminaison distant de la connexion était externe au réseau VPC, ce champ contient les métadonnées disponibles concernant son emplacement. |
IpConnection
| Champ | Type | Description |
|---|---|---|
src_ip |
string | Adresse IP source. Si la source est une VM Compute Engine, src_ip est l'adresse IP interne principale ou une adresse dans une plage d'adresses IP d'alias de l'interface réseau de la VM. L'adresse IP externe n'est pas affichée. La journalisation affiche l'adresse IP de la VM telle qu'elle est vue par la VM dans l'en-tête du paquet, de la même manière que si vous exécutiez tcpdump sur la VM. |
src_port |
entier | Port source. |
dest_ip |
string | Adresse IP de destination. Si la destination est une VM Google Cloud , dest_ip est l'adresse IP interne principale ou une adresse dans une plage d'adresses IP d'alias de l'interface réseau de la VM. L'adresse IP externe ne s'affiche pas, même si elle a été utilisée pour établir la connexion. |
dest_port |
entier | Port de destination. |
protocol |
entier | Protocole IP de la connexion. |
RuleDetails
| Champ | Type | Description |
|---|---|---|
reference |
string | Chaîne d'identifiant unique faisant référence à une règle de pare-feu nommée et associée à un seul réseau VPC. Le format des règles de pare-feu VPC est le suivant :network:{network name}/firewall:{VPC firewall rule name}. |
priority |
entier | Priorité de la règle de pare-feu VPC. |
action |
string | Action appliquée à la connexion. Les valeurs acceptées sont ALLOW ou DENY. |
direction |
string | Direction dans laquelle la règle de pare-feu VPC s'applique.
Il peut s'agir de INGRESS ou de EGRESS.
|
source_range[ ] |
string | Liste des plages d'adresses sources auxquelles la règle de pare-feu du VPC s'applique. |
destination_range[ ] |
string | Liste des plages de destination auxquelles la règle de pare-feu VPC s'applique. |
ip_port_info[ ] |
string | Liste des protocoles IP et des plages de ports applicables pour les règles. |
source_tag[ ] |
string | Listes des tags réseau sources auxquels la règle de pare-feu VPC s'applique. |
target_tag[ ] |
string | Listes des tags réseau cibles auxquels la règle de pare-feu VPC s'applique. |
source_service_account[ ] |
string | Liste de tous les comptes de service sources auxquels la règle de pare-feu VPC s'applique. |
target_service_account[ ] |
string | Liste de tous les comptes de service cibles auxquels la règle de pare-feu VPC s'applique. |
IpPortDetails
| Champ | Type | Description |
|---|---|---|
ip_protocol |
string | Protocole IP auquel la règle de pare-feu VPC s'applique. Peut être défini sur ALL si la règle s'applique à tous les protocoles IP. |
port_range[ ] |
string | Liste des plages de ports applicables pour les règles de pare-feu VPC.
Par exemple, 8080-9090. |
InstanceDetails
| Champ | Type | Description |
|---|---|---|
project_id |
string | ID du projet contenant la VM. |
vm_name |
string | Nom d'instance de la VM. |
region |
string | Région de la VM. |
zone |
string | Zone de la VM source. |
LoadBalancingDetails
| Champ | Type | Description |
|---|---|---|
forwarding_rule_project_id |
string | Google Cloud ID du projet contenant la règle de transfert. Envoyé lorsque l'équilibreur de charge est la cible au lieu d'une VM. |
type |
string | Le type d'équilibreur de charge : APPLICATION_LOAD_BALANCER indique un équilibreur de charge d'application interne. PROXY_NETWORK_LOAD_BALANCER indique un équilibreur de charge réseau proxy interne. Envoyé lorsque l'équilibreur de charge est la cible au lieu d'une VM. |
scheme |
string | Schéma de l'équilibreur de charge, INTERNAL_MANAGED. Envoyé lorsque l'équilibreur de charge est la cible au lieu d'une VM. |
url_map_name |
string | Nom du mappage d'URL. N'est renseigné que si type est défini sur APPLICATION_LOAD_BALANCER. Envoyé lorsque l'équilibreur de charge est la cible au lieu d'une VM. |
forwarding_rule_name |
string | Nom de la règle de transfert. Envoyé lorsque l'équilibreur de charge est la cible au lieu d'une VM. |
VpcDetails
| Champ | Type | Description |
|---|---|---|
project_id |
string | ID du projet hébergeant le réseau. |
vpc_name |
string | Réseau sur lequel opère la VM. |
subnetwork_name |
string | Sous-réseau sur lequel opère la VM. |
GeographicDetails
| Champ | Type | Description |
|---|---|---|
continent |
string | Nom du continent. Applicable si le point de terminaison distant de la connexion est externe au VPC. |
country |
string | Nom du pays. Applicable si le point de terminaison distant de la connexion est externe au VPC. |
region |
string | Nom de la région. Applicable si le point de terminaison distant de la connexion est externe au VPC. |
city |
string | Nom de la ville. Il s'applique si le point de terminaison distant de la connexion est externe au VPC. |
Étapes suivantes
- Format de journalisation des règles de stratégie de pare-feu
- Présentation de la journalisation des règles de pare-feu VPC
- Gérez la journalisation des règles de pare-feu VPC.
- Cloud Logging