Halaman ini menjelaskan struktur logging aturan firewall VPC di Cloud Logging. Saat aturan Virtual Private Cloud (VPC) dengan logging diaktifkan berlaku untuk traffic ke atau dari instance virtual machine (VM), Cloud Logging akan membuat entri log. Data log muncul di kolom payload JSON dari LogEntry Logging.
Kumpulan data log firewall terdiri dari kolom dasar, yang merupakan kolom inti dari setiap kumpulan data log, dan kolom metadata opsional. Untuk mengurangi biaya penyimpanan, Anda dapat mengecualikan kolom metadata.
Beberapa kolom log dapat berisi kolom lain sebagai nilai. Misalnya, kolom
connection menggunakan format IpConnection, yang mencakup alamat IP dan port sumber dan tujuan, serta protokol, dalam satu kolom.
Tabel berikut menjelaskan kolom log yang didukung untuk aturan firewall VPC.
| Nama kolom | Jenis kolom: metadata dasar atau opsional | Deskripsi |
|---|---|---|
connection |
IpConnection | 5-Tuple yang menjelaskan alamat IP sumber dan tujuan, port sumber dan tujuan, serta protokol IP koneksi ini. |
disposition |
Dasar | Menunjukkan apakah koneksi ALLOWED atau
DENIED. |
rule_details.reference |
Dasar | Referensi ke aturan firewall. Untuk aturan firewall VPC, formatnya adalah network:{network name}/firewall:{firewall_name}. |
rule_details.priority |
Dasar | Prioritas yang ditentukan untuk aturan firewall VPC. |
rule_details.action |
Dasar | Menunjukkan apakah koneksi ALLOWED atau
DENIED. |
rule_details.direction |
Dasar | Arah yang diterapkan aturan firewall ingress
atau egress. |
rule_details.ip_port_info[ ] |
IpPortDetails | Daftar protokol IP dan rentang port yang berlaku. Sub-bidang
ip_protocol dapat berupa ALL untuk
aturan firewall VPC. |
rule_details.source_range[ ]rule_details.destination_range[ ] |
Metadata | Daftar rentang IP sumber atau tujuan yang berlaku untuk aturan firewall VPC. |
rule_details.source_tag[ ]rule_details.target_tag[ ] |
Metadata | Daftar semua tag jaringan sumber atau target yang berlaku untuk aturan firewall VPC. |
rule_details.source_service_account[ ]rule_details.target_service_account[ ] |
Metadata | Daftar semua akun layanan sumber atau target yang berlaku untuk aturan firewall VPC. |
instance |
Metadata | InstanceDetails Detail instance VM. Dalam konfigurasi VPC Bersama, project_id berkorespondensi dengan project layanan. |
load_balancer_details |
Metadata | LoadBalancingDetails Detail Load Balancer Aplikasi internal atau Load Balancer Jaringan proxy internal yang menerapkan aturan firewall. Jika target aturan firewall adalah salah satu load balancer ini, kolom instance akan dihilangkan. |
vpc |
Metadata | VpcDetails Detail jaringan VPC. Dalam konfigurasi VPC Bersama, project_id berkorespondensi dengan project host. |
remote_instance |
Metadata | InstanceDetails Jika endpoint jarak jauh koneksi adalah VM yang berada di Compute Engine, kolom ini akan diisi dengan detail instance VM. |
remote_vpc |
Metadata | VpcDetails Jika endpoint jarak jauh koneksi adalah VM yang berada di jaringan VPC, kolom ini akan diisi dengan detail jaringan. |
remote_location |
Metadata | GeographicDetails Jika endpoint jarak jauh koneksi berada di luar jaringan VPC, kolom ini akan diisi dengan metadata lokasi yang tersedia. |
IpConnection
| Kolom | Jenis | Deskripsi |
|---|---|---|
src_ip |
string | Alamat IP sumber. Jika sumbernya adalah VM Compute Engine,
src_ip adalah alamat IP internal utama atau alamat
dalam rentang IP alias antarmuka jaringan VM. Alamat IP eksternal tidak ditampilkan. Logging menampilkan alamat IP VM sebagaimana yang dilihat VM di header paket, sama seperti jika Anda menjalankan tcpdump di VM. |
src_port |
integer | Port sumber. |
dest_ip |
string | Alamat IP tujuan. Jika tujuannya adalah Google Cloud VM,
dest_ip adalah alamat IP internal utama atau alamat
dalam rentang IP alias antarmuka jaringan VM. Alamat IP eksternal tidak ditampilkan meskipun digunakan untuk membuat koneksi. |
dest_port |
integer | Port tujuan. |
protocol |
integer | Protokol IP koneksi. |
RuleDetails
| Kolom | Jenis | Deskripsi |
|---|---|---|
reference |
string | Referensi ke aturan firewall VPC; format:network:{network name}/firewall:{VPC firewall rule name}. |
priority |
integer | Prioritas untuk aturan firewall VPC. |
action |
string | Tindakan yang diterapkan pada koneksi. Nilai yang didukung adalah ALLOW
atau DENY. |
direction |
string | Arah yang berlaku untuk aturan firewall VPC
(ingress atau egress). |
source_range[ ] |
string | Daftar rentang sumber yang diterapkan aturan firewall VPC. |
destination_range[ ] |
string | Daftar rentang tujuan yang menerapkan aturan firewall VPC. |
source_tag[ ] |
string | Daftar tag jaringan sumber yang berlaku untuk aturan firewall VPC. |
target_tag[ ] |
string | Daftar tag jaringan target yang menerapkan aturan firewall VPC. |
source_service_account[ ] |
string | Daftar semua akun layanan sumber yang berlaku untuk aturan firewall VPC. |
target_service_account[ ] |
string | Daftar semua akun layanan target yang berlaku untuk aturan firewall VPC. |
IpPortDetails
| Kolom | Jenis | Deskripsi |
|---|---|---|
ip_protocol |
string | Protokol IP yang menjadi target aturan firewall VPC. Dapat
ditetapkan ke ALL jika aturan berlaku untuk semua protokol IP. |
port_range[ ] |
string | Daftar rentang port yang berlaku untuk aturan firewall VPC.
Misalnya, 8080-9090. |
InstanceDetails
| Kolom | Jenis | Deskripsi |
|---|---|---|
project_id |
string | ID project yang berisi VM. |
vm_name |
string | Nama instance VM. |
region |
string | Region VM. |
zone |
string | Zona VM. |
LoadBalancingDetails
| Kolom | Jenis | Deskripsi |
|---|---|---|
forwarding_rule_project_id |
string | ID projectGoogle Cloud yang berisi aturan penerusan. Dikirim saat load balancer menjadi target, bukan VM. |
type |
string | Jenis load balancer: APPLICATION_LOAD_BALANCER menunjukkan
Load Balancer Aplikasi internal. PROXY_NETWORK_LOAD_BALANCER menunjukkan
Load Balancer Jaringan proxy internal. Dikirim saat
load balancer menjadi target, bukan VM. |
scheme |
string | Skema load balancer, INTERNAL_MANAGED. Dikirim saat
load balancer menjadi target, bukan VM. |
url_map_name |
string | Nama peta URL. Hanya diisi jika type
adalah APPLICATION_LOAD_BALANCER. Dikirim saat
load balancer menjadi target, bukan VM. |
forwarding_rule_name |
string | Nama aturan penerusan. Dikirim saat load balancer menjadi target, bukan VM. |
VpcDetails
| Kolom | Jenis | Deskripsi |
|---|---|---|
project_id |
string | ID project yang berisi jaringan. |
vpc_name |
string | Jaringan tempat VM beroperasi. |
subnetwork_name |
string | Subnet tempat VM beroperasi. |
GeographicDetails
| Kolom | Jenis | Deskripsi |
|---|---|---|
continent |
string | Nama benua. Berlaku jika endpoint jarak jauh dari koneksi berada di luar VPC. |
country |
string | Nama negara. Berlaku jika endpoint jarak jauh dari koneksi berada di luar VPC. |
region |
string | Nama wilayah. Berlaku jika endpoint jarak jauh dari koneksi berada di luar VPC. |
city |
string | Nama kota. Hal ini berlaku jika endpoint jarak jauh dari koneksi berada di luar VPC. |
Langkah berikutnya
- Format logging aturan kebijakan firewall.
- Ringkasan logging aturan firewall VPC.
- Mengelola logging aturan firewall VPC.
- Cloud Logging.