Questa pagina descrive la struttura di logging delle regole firewall VPC in Cloud Logging. Quando una regola Virtual Private Cloud (VPC) con il logging abilitato si applica al traffico da o verso un'istanza di macchina virtuale (VM), Cloud Logging crea una voce di log. I record di log vengono visualizzati nel campo del payload JSON di un LogEntry LogEntry.
I record di log del firewall sono costituiti da campi di base, che sono i campi principali di ogni record di log, e da campi di metadati facoltativi. Per ridurre i costi di archiviazione, puoi escludere i campi di metadati.
Alcuni campi di log possono contenere altri campi come valori. Ad esempio, il campo connection utilizza il formato IpConnection, che include l'indirizzo IP e la porta di origine e di destinazione, nonché il protocollo, in un unico campo.
La tabella seguente descrive i campi di log supportati per le regole firewall VPC.
| Nome campo | Tipo di campo: metadati di base o facoltativi | Descrizione |
|---|---|---|
connection |
IpConnection | 5 tuple che descrivono l'indirizzo IP di origine e di destinazione, la porta di origine e di destinazione e il protocollo IP di questa connessione. |
disposition |
Base | Indica se la connessione è stata ALLOWED o
DENIED. |
rule_details.reference |
Base | Riferimento alla regola firewall. Per le regole firewall VPC
il formato è network:{network name}/firewall:{firewall_name}. |
rule_details.priority |
Base | La priorità definita per la regola firewall VPC. |
rule_details.action |
Base | Indica se la connessione è stata ALLOWED o
DENIED. |
rule_details.direction |
Base | La direzione a cui si applica la regola firewall ingress
o egress. |
rule_details.ip_port_info[ ] |
IpPortDetails | Elenco dei protocolli IP e degli intervalli di porte applicabili. Il
ip_protocol sotto-campo può essere ALL per
le regole firewall VPC. |
rule_details.source_range[ ]rule_details.destination_range[ ] |
Metadati | Elenco degli intervalli IP di origine o di destinazione a cui si applica la regola firewall VPC. |
rule_details.source_tag[ ]rule_details.target_tag[ ] |
Metadati | Elenco di tutti i tag di rete di origine o di destinazione a cui si applica la regola firewall VPC. |
rule_details.source_service_account[ ]rule_details.target_service_account[ ] |
Metadati | Elenco di tutti gli account di servizio di origine o di destinazione a cui si applica la regola firewall VPC |
instance |
Metadati | InstanceDetails Dettagli dell'istanza VM. In una configurazione del VPC condiviso, project_id corrisponde a quello del progetto di servizio. |
load_balancer_details |
Metadati | LoadBalancingDetails Dettagli del bilanciatore del carico delle applicazioni interno o del bilanciatore del carico di rete proxy interno a cui si applica la regola firewall. Quando la destinazione di una regola firewall è uno di questi bilanciatori del carico, il campo instance viene omesso. |
vpc |
Metadati | VpcDetails Dettagli della rete VPC. In una configurazione del VPC condiviso, project_id corrisponde a quello del progetto host. |
remote_instance |
Metadati | InstanceDetails Se l'endpoint remoto della connessione era una VM situata in Compute Engine, questo campo viene compilato con i dettagli dell'istanza VM. |
remote_vpc |
Metadati | VpcDetails Se l'endpoint remoto della connessione era una VM situata in una rete VPC, questo campo viene compilato con i dettagli della rete. |
remote_location |
Metadati | GeographicDetails Se l'endpoint remoto della connessione era esterno alla rete VPC, questo campo viene compilato con i metadati sulla posizione disponibili. |
IpConnection
| Campo | Tipo | Descrizione |
|---|---|---|
src_ip |
string | L'indirizzo IP di origine. Se l'origine è una VM di Compute Engine,
src_ip è l'indirizzo IP interno primario o un indirizzo
in un intervallo IP alias dell'interfaccia di rete della VM. L'indirizzo IP esterno
non viene mostrato. Il logging mostra l'indirizzo IP della VM così come
viene visualizzato nell'intestazione del pacchetto, come se avessi eseguito
tcpdump sulla VM. |
src_port |
integer | La porta di origine. |
dest_ip |
string | L'indirizzo IP di destinazione. Se la destinazione è una Google Cloud VM,
dest_ip è l'indirizzo IP interno primario o un indirizzo
in un intervallo IP alias dell'interfaccia di rete della VM. L'indirizzo IP esterno
non viene mostrato, anche se è stato utilizzato per stabilire la connessione. |
dest_port |
integer | La porta di destinazione. |
protocol |
integer | Il protocollo IP della connessione. |
RuleDetails
| Campo | Tipo | Descrizione |
|---|---|---|
reference |
string | Riferimento alla regola firewall VPC; formato:network:{network name}/firewall:{VPC firewall rule name}. |
priority |
integer | La priorità della regola firewall VPC. |
action |
string | Azione applicata alla connessione. I valori supportati sono ALLOW
o DENY. |
direction |
string | La direzione a cui si applica la regola firewall VPC
(ingress o egress). |
source_range[ ] |
string | Elenco degli intervalli di origine a cui si applica la regola firewall VPC. |
destination_range[ ] |
string | Elenco degli intervalli di destinazione a cui si applica la regola firewall VPC. |
source_tag[ ] |
string | Elenco dei tag di rete di origine a cui si applica la regola firewall VPC. |
target_tag[ ] |
string | Elenco dei tag di rete di destinazione a cui si applica la regola firewall VPC. |
source_service_account[ ] |
string | Elenco di tutti gli account di servizio di origine a cui si applica la regola firewall VPC. |
target_service_account[ ] |
string | Elenco di tutti gli account di servizio di destinazione a cui si applica la regola firewall VPC. |
IpPortDetails
| Campo | Tipo | Descrizione |
|---|---|---|
ip_protocol |
string | Il protocollo IP a cui si applica la regola firewall VPC. Può essere
impostato su ALL se la regola si applica a tutti i protocolli IP. |
port_range[ ] |
string | Elenco degli intervalli di porte applicabili per le regole firewall VPC.
Ad esempio, 8080-9090. |
InstanceDetails
| Campo | Tipo | Descrizione |
|---|---|---|
project_id |
string | L'ID del progetto contenente la VM. |
vm_name |
string | Il nome dell'istanza VM. |
region |
string | La regione della VM. |
zone |
string | La zona della VM. |
LoadBalancingDetails
| Campo | Tipo | Descrizione |
|---|---|---|
forwarding_rule_project_id |
string | Google Cloud L'ID progetto che contiene la regola di forwarding. Inviato quando il bilanciatore del carico è la destinazione anziché una VM. |
type |
string | Il tipo di bilanciatore del carico: APPLICATION_LOAD_BALANCER indica
un bilanciatore del carico delle applicazioni interno. PROXY_NETWORK_LOAD_BALANCER indica un
bilanciatore del carico di rete proxy interno. Inviato quando
il bilanciatore del carico è la destinazione anziché una VM. |
scheme |
string | Lo schema del bilanciatore del carico, INTERNAL_MANAGED. Inviato quando
il bilanciatore del carico è la destinazione anziché una VM. |
url_map_name |
string | Il nome della mappa URL. Viene compilato solo se il type
è APPLICATION_LOAD_BALANCER. Inviato quando
il bilanciatore del carico è la destinazione anziché una VM. |
forwarding_rule_name |
string | Il nome della regola di forwarding. Inviato quando il bilanciatore del carico è la destinazione anziché una VM. |
VpcDetails
| Campo | Tipo | Descrizione |
|---|---|---|
project_id |
string | L'ID del progetto contenente la rete. |
vpc_name |
string | La rete su cui è in esecuzione la VM. |
subnetwork_name |
string | La subnet su cui è in esecuzione la VM. |
GeographicDetails
| Campo | Tipo | Descrizione |
|---|---|---|
continent |
string | Il nome del continente. È applicabile se l'endpoint remoto della connessione è esterno al VPC. |
country |
string | Il nome del paese. È applicabile se l'endpoint remoto della connessione è esterno al VPC. |
region |
string | Il nome della regione. È applicabile se l'endpoint remoto della connessione è esterno al VPC. |
city |
string | Il nome della città. È applicabile se l'endpoint remoto della connessione è esterno al VPC. |
Passaggi successivi
- Formato di logging delle regole delle policy del firewall.
- Panoramica del logging delle regole firewall VPC.
- Gestire il logging delle regole firewall VPC.
- Cloud Logging.