Cette page décrit la structure de journalisation des règles de pare-feu VPC dans Cloud Logging. Lorsqu'une règle de cloud privé virtuel (VPC) avec journalisation activée s'applique au trafic vers ou depuis une instance de machine virtuelle (VM), Cloud Logging crée une entrée de journal. Les enregistrements de journaux s'affichent dans le champ de charge utile JSON d'un objet Logging LogEntry.
Les enregistrements de journaux de pare-feu se composent de champs de base, qui sont les principaux champs de chaque enregistrement de journal, et de champs de métadonnées facultatifs. Pour réduire les coûts de stockage, vous pouvez exclure des champs de métadonnées.
Certains champs de journaux peuvent contenir d'autres champs en tant que valeurs. Par exemple, le champ connection utilise le format IpConnection, qui inclut l'adresse IP et le port sources et de destination, ainsi que le protocole, dans un seul champ.
Le tableau suivant décrit les champs de journaux compatibles avec les règles de pare-feu VPC.
| Nom du champ | Type de champ : métadonnées de base ou facultatives | Description |
|---|---|---|
connection |
IpConnection | Hachage à cinq tuples décrivant les adresses IP source et de destination, les ports source et de destination, ainsi que le protocole IP de cette connexion. |
disposition |
Couches | Indique si la connexion a été ALLOWED ou DENIED. |
rule_details.reference |
Couches | Référence à la règle de pare-feu. Pour les règles de pare-feu VPC, le format est network:{network name}/firewall:{firewall_name}. |
rule_details.priority |
Couches | Priorité définie pour la règle de pare-feu VPC. |
rule_details.action |
Couches | Indique si la connexion a été ALLOWED ou DENIED. |
rule_details.direction |
Couches | Direction dans laquelle la règle de pare-feu s'applique : ingress ou egress. |
rule_details.ip_port_info[ ] |
IpPortDetails | Liste des protocoles IP et des plages de ports applicables. Le sous-champ ip_protocol peut être ALL pour les règles de pare-feu VPC. |
rule_details.source_range[ ]rule_details.destination_range[ ] |
Métadonnées | Liste des plages d'adresses IP sources ou de destination auxquelles la règle de pare-feu VPC s'applique. |
rule_details.source_tag[ ]rule_details.target_tag[ ] |
Métadonnées | Liste de tous les tags réseau sources ou cibles auxquels la règle de pare-feu VPC s'applique. |
rule_details.source_service_account[ ]rule_details.target_service_account[ ] |
Métadonnées | Liste de tous les comptes de service sources ou cibles auxquels la règle de pare-feu VPC s'applique. |
instance |
Métadonnées | InstanceDetails Détails de l'instance de VM. Dans une configuration de VPC partagé, project_id correspond à l'identifiant du projet de service. |
load_balancer_details |
Métadonnées | LoadBalancingDetails Détails de l'équilibreur de charge d'application interne ou de l'équilibreur de charge réseau proxy interne auquel s'applique la règle de pare-feu. Lorsque la cible d'une règle de pare-feu est l'un de ces équilibreurs de charge, le champ instance est omis. |
vpc |
Métadonnées | VpcDetails Détails du réseau VPC. Dans une configuration de VPC partagé, project_id correspond à l'ID du projet hôte. |
remote_instance |
Métadonnées | InstanceDetails Si le point de terminaison distant de la connexion était une VM hébergée dans Compute Engine, ce champ contient les détails de l'instance de VM. |
remote_vpc |
Métadonnées | VpcDetails Si le point de terminaison distant de la connexion était une VM hébergée sur un réseau VPC, ce champ contient les détails du réseau. |
remote_location |
Métadonnées | GeographicDetails Si le point de terminaison distant de la connexion était externe au réseau VPC, ce champ contient les métadonnées disponibles concernant son emplacement. |
IpConnection
| Champ | Type | Description |
|---|---|---|
src_ip |
string | Adresse IP source. Si la source est une VM Compute Engine, src_ip est l'adresse IP interne principale ou une adresse dans une plage d'adresses IP d'alias de l'interface réseau de la VM. L'adresse IP externe n'est pas affichée. La journalisation affiche l'adresse IP de la VM telle qu'elle est vue par la VM dans l'en-tête du paquet, de la même manière que si vous exécutiez tcpdump sur la VM. |
src_port |
entier | Port source. |
dest_ip |
string | Adresse IP de destination. Si la destination est une VM Google Cloud , dest_ip est l'adresse IP interne principale ou une adresse dans une plage d'adresses IP d'alias de l'interface réseau de la VM. L'adresse IP externe ne s'affiche pas, même si elle a été utilisée pour établir la connexion. |
dest_port |
entier | Port de destination. |
protocol |
entier | Protocole IP de la connexion. |
RuleDetails
| Champ | Type | Description |
|---|---|---|
reference |
string | Référence à la règle de pare-feu VPC, au format :network:{network name}/firewall:{VPC firewall rule name}. |
priority |
entier | Priorité de la règle de pare-feu VPC. |
action |
string | Action appliquée à la connexion. Les valeurs acceptées sont ALLOW ou DENY. |
direction |
string | Direction dans laquelle la règle de pare-feu VPC s'applique (ingress ou egress). |
source_range[ ] |
string | Liste des plages d'adresses sources auxquelles la règle de pare-feu du VPC s'applique. |
destination_range[ ] |
string | Liste des plages de destination auxquelles la règle de pare-feu VPC s'applique. |
source_tag[ ] |
string | Listes des tags réseau sources auxquels la règle de pare-feu VPC s'applique. |
target_tag[ ] |
string | Listes des tags réseau cibles auxquels la règle de pare-feu VPC s'applique. |
source_service_account[ ] |
string | Liste de tous les comptes de service sources auxquels la règle de pare-feu VPC s'applique. |
target_service_account[ ] |
string | Liste de tous les comptes de service cibles auxquels la règle de pare-feu VPC s'applique. |
IpPortDetails
| Champ | Type | Description |
|---|---|---|
ip_protocol |
string | Protocole IP auquel la règle de pare-feu VPC s'applique. Peut être défini sur ALL si la règle s'applique à tous les protocoles IP. |
port_range[ ] |
string | Liste des plages de ports applicables pour les règles de pare-feu VPC.
Par exemple, 8080-9090. |
InstanceDetails
| Champ | Type | Description |
|---|---|---|
project_id |
string | ID du projet contenant la VM. |
vm_name |
string | Nom d'instance de la VM. |
region |
string | Région de la VM. |
zone |
string | Zone de la VM source. |
LoadBalancingDetails
| Champ | Type | Description |
|---|---|---|
forwarding_rule_project_id |
string | Google Cloud ID du projet contenant la règle de transfert. Envoyé lorsque l'équilibreur de charge est la cible au lieu d'une VM. |
type |
string | Le type d'équilibreur de charge APPLICATION_LOAD_BALANCER indique un équilibreur de charge d'application interne. PROXY_NETWORK_LOAD_BALANCER indique un équilibreur de charge réseau proxy interne. Envoyé lorsque l'équilibreur de charge est la cible au lieu d'une VM. |
scheme |
string | Schéma de l'équilibreur de charge, INTERNAL_MANAGED. Envoyé lorsque l'équilibreur de charge est la cible au lieu d'une VM. |
url_map_name |
string | Nom du mappage d'URL. N'est renseigné que si type est défini sur APPLICATION_LOAD_BALANCER. Envoyé lorsque l'équilibreur de charge est la cible au lieu d'une VM. |
forwarding_rule_name |
string | Nom de la règle de transfert. Envoyé lorsque l'équilibreur de charge est la cible au lieu d'une VM. |
VpcDetails
| Champ | Type | Description |
|---|---|---|
project_id |
string | ID du projet hébergeant le réseau. |
vpc_name |
string | Réseau sur lequel opère la VM. |
subnetwork_name |
string | Sous-réseau sur lequel opère la VM. |
GeographicDetails
| Champ | Type | Description |
|---|---|---|
continent |
string | Nom du continent. Il s'applique si le point de terminaison distant de la connexion est externe au VPC. |
country |
string | Nom du pays. Il s'applique si le point de terminaison distant de la connexion est externe au VPC. |
region |
string | Nom de la région. Il s'applique si le point de terminaison distant de la connexion est externe au VPC. |
city |
string | Nom de la ville. Il s'applique si le point de terminaison distant de la connexion est externe au VPC. |
Étapes suivantes
- Format de journalisation des règles de stratégie de pare-feu
- Présentation de la journalisation des règles de pare-feu VPC
- Gérez la journalisation des règles de pare-feu VPC.
- Cloud Logging