このページでは、Cloud Logging の VPC ファイアウォール ルールのロギング構造について説明します。ロギングが有効になっている Virtual Private Cloud(VPC)ルールが仮想マシン(VM)インスタンスとの間で送受信されるトラフィックに適用されると、Cloud Logging はログエントリを作成します。ログレコードは、Logging の LogEntry の JSON ペイロード フィールドに表示されます。
ファイアウォール ログレコードは、各ログレコードのコアフィールドである基本フィールドと、オプションのメタデータ フィールドで構成されます。ストレージ費用を削減するには、メタデータ フィールドを除外します。
一部のログフィールドには、値として他のフィールドを含めることができます。たとえば、connection フィールドは IpConnection 形式を使用します。この形式では、送信元と宛先の IP アドレスとポート、およびプロトコルが 1 つのフィールドに格納されます。
次の表に、VPC ファイアウォール ルールでサポートされているログフィールドを示します。
| フィールド名 | フィールド タイプ: 基本 / メタデータ(省略可) | 説明 |
|---|---|---|
connection |
IpConnection | 送信元 IP アドレス、宛先 IP アドレス、送信元ポート、宛先ポート、この接続の IP プロトコルを記述する 5 タプル。 |
disposition |
ベース | 接続が ALLOWED か DENIED かを示します。 |
rule_details.reference |
ベース | ファイアウォール ルールへの参照。VPC ファイアウォール ルールの場合、形式は network:{network name}/firewall:{firewall_name} です。 |
rule_details.priority |
ベース | VPC ファイアウォール ルールに定義された優先度。 |
rule_details.action |
ベース | 接続が ALLOWED か DENIED かを示します。 |
rule_details.direction |
ベース | ファイアウォール ルールが適用される方向(ingress または egress)。 |
rule_details.ip_port_info[ ] |
IpPortDetails | IP プロトコルと該当するポート範囲のリスト。ip_protocol サブフィールドは、VPC ファイアウォール ルールの場合、ALL になります。 |
rule_details.source_range[ ]rule_details.destination_range[ ] |
メタデータ | VPC ファイアウォール ルールが適用される送信元または宛先の IP 範囲のリスト。 |
rule_details.source_tag[ ]rule_details.target_tag[ ] |
メタデータ | VPC ファイアウォール ルールが適用されるすべての送信元またはターゲット ネットワーク タグのリスト。 |
rule_details.source_service_account[ ]rule_details.target_service_account[ ] |
メタデータ | VPC ファイアウォール ルールが適用されるすべての送信元または宛先サービス アカウントのリスト。 |
instance |
メタデータ | InstanceDetails VM インスタンスの詳細。共有 VPC 構成の場合、 project_id はサービス プロジェクトの詳細に対応します。 |
load_balancer_details |
メタデータ | LoadBalancingDetails ファイアウォール ルールが適用される内部アプリケーション ロードバランサまたは内部プロキシ ネットワーク ロードバランサの詳細。ファイアウォール ルールのターゲットがこれらのロードバランサのいずれかである場合、 instance フィールドは省略されます。 |
vpc |
メタデータ | VpcDetails VPC ネットワークの詳細。共有 VPC 構成の場合、 project_id はホスト プロジェクトの詳細に対応します。 |
remote_instance |
メタデータ | InstanceDetails 接続のリモート エンドポイントが Compute Engine にある VM の場合、このフィールドには VM インスタンスの詳細が入力されます。 |
remote_vpc |
メタデータ | VpcDetails 接続のリモート エンドポイントが VPC ネットワーク内にある VM の場合、このフィールドにはネットワークの詳細が入力されます。 |
remote_location |
メタデータ | GeographicDetails 接続のリモート エンドポイントが VPC ネットワークの外部にある場合、このフィールドには使用可能なロケーション メタデータが入ります。 |
IpConnection
| フィールド | タイプ | 説明 |
|---|---|---|
src_ip |
文字列 | 送信元 IP アドレス。送信元が Compute Engine VM の場合、src_ip はプライマリ内部 IP アドレスか、VM のネットワーク インターフェースのエイリアス IP 範囲のアドレスです。外部 IP アドレスは示されません。VM に対して tcpdump を実行した場合と同じように、Logging では VM がパケット ヘッダーで確認する VM の IP アドレスが示されます。 |
src_port |
integer | 送信元ポート。 |
dest_ip |
文字列 | 宛先 IP アドレス。宛先が Google Cloud VM の場合、dest_ip はプライマリ内部 IP アドレスか、VM のネットワーク インターフェースのエイリアス IP 範囲のアドレスです。外部 IP アドレスは、接続に使用されていても表示されません。 |
dest_port |
integer | 宛先ポート。 |
protocol |
integer | 接続の IP プロトコル。 |
RuleDetails
| フィールド | タイプ | 説明 |
|---|---|---|
reference |
文字列 | VPC ファイアウォール ルールへの参照。形式:network:{network name}/firewall:{VPC firewall rule name}。 |
priority |
integer | VPC ファイアウォール ルールの優先順位。 |
action |
文字列 | 接続に適用されたアクション。指定できる値は ALLOW または DENY です。 |
direction |
文字列 | VPC ファイアウォール ルールが適用される方向(ingress または egress)。 |
source_range[ ] |
文字列 | VPC ファイアウォール ルールが適用される送信元範囲のリスト。 |
destination_range[ ] |
文字列 | VPC ファイアウォール ルールが適用される宛先範囲のリスト。 |
source_tag[ ] |
文字列 | VPC ファイアウォール ルールが適用される送信元ネットワーク タグのリスト。 |
target_tag[ ] |
文字列 | VPC ファイアウォール ルールが適用されるターゲット ネットワーク タグのリスト。 |
source_service_account[ ] |
文字列 | VPC ファイアウォール ルールが適用されるすべての送信元サービス アカウントのリスト。 |
target_service_account[ ] |
文字列 | VPC ファイアウォール ルールが適用されるすべてのターゲット サービス アカウントのリスト。 |
IpPortDetails
| フィールド | タイプ | 説明 |
|---|---|---|
ip_protocol |
文字列 | VPC ファイアウォール ルールが適用される IP プロトコル。ルールがすべての IP プロトコルに適用される場合は、ALL に設定できます。 |
port_range[ ] |
文字列 | VPC ファイアウォール ルールに適用可能なポート範囲のリスト。例: 8080-9090 |
InstanceDetails
| フィールド | タイプ | 説明 |
|---|---|---|
project_id |
文字列 | VM を含むプロジェクトの ID。 |
vm_name |
文字列 | VM のインスタンス名。 |
region |
文字列 | VM のリージョン。 |
zone |
文字列 | VM のゾーン。 |
LoadBalancingDetails
| フィールド | タイプ | 説明 |
|---|---|---|
forwarding_rule_project_id |
文字列 | 転送ルールを含むGoogle Cloud プロジェクト ID。ロードバランサが VM ではなくターゲットの場合に送信されます。 |
type |
文字列 | ロードバランサのタイプ: APPLICATION_LOAD_BALANCER は、内部アプリケーション ロードバランサを示します。PROXY_NETWORK_LOAD_BALANCER は、内部プロキシ ネットワーク ロードバランサを示します。ロードバランサが VM ではなくターゲットの場合に送信されます。 |
scheme |
文字列 | ロードバランサ スキーム(INTERNAL_MANAGED)。ロードバランサが VM ではなくターゲットの場合に送信されます。 |
url_map_name |
文字列 | URL マップの名前。type が APPLICATION_LOAD_BALANCER の場合にのみ入力されます。ロードバランサが VM ではなくターゲットの場合に送信されます。 |
forwarding_rule_name |
文字列 | 転送ルールの名前。ロードバランサが VM ではなくターゲットの場合に送信されます。 |
VpcDetails
| フィールド | タイプ | 説明 |
|---|---|---|
project_id |
文字列 | ネットワークを含むプロジェクトの ID。 |
vpc_name |
文字列 | VM が動作しているネットワーク。 |
subnetwork_name |
文字列 | VM が動作しているサブネット。 |
GeographicDetails
| フィールド | タイプ | 説明 |
|---|---|---|
continent |
文字列 | 大陸の名前。接続のリモート エンドポイントが VPC の外部にある場合に適用されます。 |
country |
文字列 | 国の名前。接続のリモート エンドポイントが VPC の外部にある場合に適用されます。 |
region |
文字列 | 地域の名前。接続のリモート エンドポイントが VPC の外部にある場合に適用されます。 |
city |
文字列 | 都市の名前。接続のリモート エンドポイントが VPC の外部にある場合に適用されます。 |