Auf dieser Seite wird die Logging-Struktur für VPC-Firewallregeln in Cloud Logging beschrieben. Wenn eine VPC-Regel (Virtual Private Cloud) mit aktiviertem Logging auf Traffic zu oder von einer VM-Instanz (Virtual Machine) angewendet wird, wird in Cloud Logging ein Logeintrag erstellt. Logeinträge werden im JSON-Nutzlastfeld eines Logging-LogEntry erfasst.
Firewall-Logeinträge bestehen aus Basisfeldern, die die wichtigsten Felder jedes Logeintrags sind, und optionalen Metadatenfeldern. Um Speicherkosten zu senken, können Sie Metadatenfelder ausschließen.
Einige Logfelder können andere Felder als Werte enthalten. Das Feld connection verwendet beispielsweise das Format IpConnection, das die Quell- und Ziel-IP-Adresse sowie Protokoll und Port in einem einzigen Feld enthält.
In der folgenden Tabelle werden die Logfelder beschrieben, die für VPC-Firewallregeln unterstützt werden.
| Feldname | Feldtyp: Basis- oder optionale Metadaten | Beschreibung |
|---|---|---|
connection |
IpConnection | 5-Tupel, das die Quell- und Ziel-IP-Adresse, den Quell- und Zielport und das IP-Protokoll dieser Verbindung beschreibt. |
disposition |
Basis | Gibt an, ob die Verbindung ALLOWED oder DENIED war. |
rule_details.reference |
Basis | Verweis auf die Firewallregel. Für VPC-Firewallregeln ist das Format network:{network name}/firewall:{firewall_name}. |
rule_details.priority |
Basis | Die für die VPC-Firewallregel definierte Priorität. |
rule_details.action |
Basis | Gibt an, ob die Verbindung ALLOWED oder DENIED war. |
rule_details.direction |
Basis | Die Richtung, für die die Firewallregel gilt: ingress oder egress. |
rule_details.ip_port_info[ ] |
IpPortDetails | Liste der IP-Protokolle und anwendbaren Portbereiche. Das Unterfeld ip_protocol kann für VPC-Firewallregeln ALL sein. |
rule_details.source_range[ ]rule_details.destination_range[ ] |
Metadaten | Liste der Quell- oder Ziel-IP-Bereiche, für die die VPC-Firewallregel gilt. |
rule_details.source_tag[ ]rule_details.target_tag[ ] |
Metadaten | Liste aller Quell- oder Zielnetzwerktags, auf die die VPC-Firewallregel angewendet wird. |
rule_details.source_service_account[ ]rule_details.target_service_account[ ] |
Metadaten | Liste aller Quell- oder Zieldienstkonten, auf die die VPC-Firewallregel angewendet wird. |
instance |
Metadaten | InstanceDetails
Details zur VM-Instanz. In einer freigegebene VPC-Konfiguration entspricht project_id der ID des Dienstprojekts. |
load_balancer_details |
Metadaten | LoadBalancingDetails Details des internen Application Load Balancers oder des internen Proxy-Network Load Balancers, auf den die Firewallregel angewendet wird. Wenn das Ziel einer Firewallregel einer dieser Load Balancer ist, wird das Feld instance weggelassen. |
vpc |
Metadaten | VpcDetails
Details zum VPC-Netzwerk. In einer freigegebene VPC-Konfiguration entspricht project_id der ID des Hostprojekts. |
remote_instance |
Metadaten | InstanceDetails Wenn der Remote-Endpunkt der Verbindung eine VM in Compute Engine war, wird dieses Feld mit VM-Instanzdetails gefüllt. |
remote_vpc |
Metadaten | VpcDetails Wenn der Remote-Endpunkt der Verbindung eine VM in einem VPC-Netzwerk war, wird dieses Feld mit den Netzwerkdetails gefüllt. |
remote_location |
Metadaten | GeographicDetails
Wenn der Remote-Endpunkt der Verbindung außerhalb des VPC-Netzwerks lag, enthält dieses Feld verfügbare Standortmetadaten. |
IpConnection
| Feld | Typ | Beschreibung |
|---|---|---|
src_ip |
String | Die Quell-IP-Adresse. Wenn die Quelle eine Compute Engine-VM ist, ist src_ip entweder die primäre interne IP-Adresse oder eine Adresse in einem Alias-IP-Bereich der Netzwerkschnittstelle einer VM. Die externe IP-Adresse wird nicht angegeben. Im Logging wird die IP-Adresse der VM so angezeigt, wie sie von der VM im Paketheader gesehen wird. Das ist dasselbe, als wenn Sie tcpdump auf der VM ausführen. |
src_port |
integer | Der Quellport. |
dest_ip |
String | Die Ziel-IP-Adresse. Wenn das Ziel eine Google Cloud VM ist, ist dest_ip entweder die primäre interne IP-Adresse oder eine Adresse in einem Alias-IP-Bereich der Netzwerkschnittstelle der VM. Die externe IP-Adresse wird nicht angegeben, auch wenn sie zur Herstellung der Verbindung verwendet wurde. |
dest_port |
integer | Der Zielport. |
protocol |
integer | IP-Protokoll der Verbindung. |
RuleDetails
| Feld | Typ | Beschreibung |
|---|---|---|
reference |
String | Verweis auf die VPC-Firewallregel; Format:network:{network name}/firewall:{VPC firewall rule name}. |
priority |
integer | Die Priorität für die VPC-Firewallregel. |
action |
String | Auf die Verbindung angewendete Aktion. Unterstützte Werte sind ALLOW oder DENY. |
direction |
String | Die Richtung, die die VPC-Firewallregel anwendet (ingress oder egress). |
source_range[ ] |
String | Liste der Quellbereiche, für die die VPC-Firewallregel gilt. |
destination_range[ ] |
String | Liste der Zielbereiche, für die die VPC-Firewallregel gilt |
source_tag[ ] |
String | Listen der Quellnetzwerktags, auf die die VPC-Firewallregel angewendet wird. |
target_tag[ ] |
String | Listen der Zielnetzwerk-Tags, auf die die VPC-Firewallregel angewendet wird. |
source_service_account[ ] |
String | Liste aller Quelldienstkonten, auf die die VPC-Firewallregel angewendet wird. |
target_service_account[ ] |
String | Liste aller Zieldienstkonten, auf die die VPC-Firewallregel angewendet wird. |
IpPortDetails
| Feld | Typ | Beschreibung |
|---|---|---|
ip_protocol |
String | IP-Protokoll, für das die VPC-Firewallregel gilt. Kann auf ALL gesetzt werden, wenn die Regel für alle IP-Protokolle gilt. |
port_range[ ] |
String | Liste der anwendbaren Portbereiche für VPC-Firewallregeln.
Beispiel: 8080-9090. |
InstanceDetails
| Feld | Typ | Beschreibung |
|---|---|---|
project_id |
String | ID des Projekts, das die VM enthält. |
vm_name |
String | Instanzname der VM. |
region |
String | Region der VM. |
zone |
String | Zone der VM |
LoadBalancingDetails
| Feld | Typ | Beschreibung |
|---|---|---|
forwarding_rule_project_id |
String | Google Cloud Projekt-ID des Projekts, das die Weiterleitungsregel enthält. Wird gesendet, wenn der Load-Balancer anstelle einer VM das Ziel ist. |
type |
String | Load Balancer-Typ: APPLICATION_LOAD_BALANCER gibt einen internen Application Load Balancer an. PROXY_NETWORK_LOAD_BALANCER gibt einen internen Proxy-Network Load Balancer an. Wird gesendet, wenn der Load-Balancer anstelle einer VM das Ziel ist. |
scheme |
String | Load-Balancer-Schema: INTERNAL_MANAGED. Wird gesendet, wenn der Load-Balancer anstelle einer VM das Ziel ist. |
url_map_name |
String | Name der URL-Zuordnung. Wird nur ausgefüllt, wenn der type APPLICATION_LOAD_BALANCER ist. Wird gesendet, wenn der Load-Balancer anstelle einer VM das Ziel ist. |
forwarding_rule_name |
String | Name der Weiterleitungsregel. Wird gesendet, wenn der Load-Balancer anstelle einer VM das Ziel ist. |
VpcDetails
| Feld | Typ | Beschreibung |
|---|---|---|
project_id |
String | ID des Projekts, das das Netzwerk enthält. |
vpc_name |
String | Netzwerk, in dem die VM ausgeführt wird. |
subnetwork_name |
String | Subnetz, in dem die VM ausgeführt wird. |
GeographicDetails
| Feld | Typ | Beschreibung |
|---|---|---|
continent |
String | Name des Kontinents. Das Feld ist anwendbar, wenn der Remote-Endpunkt der Verbindung außerhalb der VPC liegt. |
country |
String | Name des Landes. Das Feld ist anwendbar, wenn der Remote-Endpunkt der Verbindung außerhalb der VPC liegt. |
region |
String | Name der Region. Das Feld ist anwendbar, wenn der Remote-Endpunkt der Verbindung außerhalb der VPC liegt. |
city |
String | Name der Stadt. Sie gilt, wenn der Remote-Endpunkt der Verbindung außerhalb der VPC liegt. |
Nächste Schritte
- Logging-Format für Firewallrichtlinien-Regeln
- Übersicht über das Logging von VPC-Firewallregeln.
- Logging von VPC-Firewallregeln verwalten
- Cloud Logging.