VPC ファイアウォール ルールのロギング形式

VPC ファイアウォール ルールのロギングは、ネットワーク トラフィック情報を記録し、 Virtual Private Cloud(VPC)ネットワークでのルールの一致のクエリ、分析、トラブルシューティングに Google Cloud 役立ちます。このドキュメントでは、VPC ファイアウォール ルールのロギングのログ形式とフィールド構造について説明します。

Cloud Logging は、ベース フィールドとメタデータ フィールドを使用してファイアウォール ログレコードを構造化します。これらのフィールドを使用して、ネットワークの構成ミスを特定し、ルール パフォーマンスを最適化します。ログレコードは、 Logging LogEntry の JSON ペイロード フィールドに表示されます。

このドキュメントは、ネットワーク ファイアウォール ログのクエリ、確認、分析を行うネットワーク管理者、セキュリティ エンジニア、運用アナリストを対象としています。

サポートされているログフィールド

次の表に、VPC ファイアウォール ルールでサポートされているログフィールドを示します。

フィールド名 フィールド タイプ: 基本 / メタデータ(省略可) 説明
connection ベース IpConnection
送信元 IP アドレス、宛先 IP アドレス、送信元ポート、宛先ポート、この接続の IP プロトコルを記述する 5 タプル。
disposition ベース 接続が ALLOWEDDENIED かを示します。
rule_details ベース RuleDetails
VPC ファイアウォール ルールの詳細。VPC ファイアウォール ルールの場合、形式は network:{network name}/firewall:{firewall_name} です。
instance メタデータ InstanceDetails
VM インスタンスの詳細。共有 VPC 構成の場合、project_id はサービス プロジェクトの詳細に対応します。
load_balancer_details メタデータ LoadBalancingDetails
ファイアウォール ルールが適用される内部アプリケーション ロードバランサまたは内部プロキシ ネットワーク ロードバランサの詳細。ファイアウォール ルールのターゲットがこれらのロードバランサのいずれかである場合、instance フィールドは省略されます。
vpc メタデータ VpcDetails
VPC ネットワークの詳細。共有 VPC 構成の場合、project_id はホスト プロジェクトの詳細に対応します。
remote_instance メタデータ InstanceDetails
接続のリモート エンドポイントが Compute Engine にある VM の場合、このフィールドには VM インスタンスの詳細が入力されます。
remote_vpc メタデータ VpcDetails
接続のリモート エンドポイントが VPC ネットワーク内にある VM の場合、このフィールドにはネットワークの詳細が入力されます。
remote_location メタデータ GeographicDetails
接続のリモート エンドポイントが VPC ネットワークの外部にある場合、このフィールドには使用可能な位置情報メタデータが入ります。

IpConnection

フィールド タイプ 説明
src_ip 文字列 ソース IP アドレス。送信元が Compute Engine VM の場合、 src_ip はプライマリ内部 IP アドレスか、アドレス VM のネットワーク インターフェースのエイリアス IP 範囲のアドレスです。外部 IP アドレスは示されません。Logging では、VM に対して tcpdump を実行した場合と同じように、VM がパケット ヘッダーで確認する VM の IP アドレスが示されます。
src_port integer ソースポート。
dest_ip 文字列 宛先 IP アドレス。宛先が Google Cloud VM の場合、 dest_ip はプライマリ内部 IP アドレスか、VM のネットワーク インターフェースのエイリアス IP 範囲のアドレスです。外部 IP アドレスは、接続に使用されていても表示されません。
dest_port integer 宛先ポート。
protocol integer 接続の IP プロトコル

RuleDetails

フィールド タイプ 説明
reference 文字列 単一の VPC ネットワークにバインドされたリソース名付きファイアウォール ルールを参照する一意の識別子文字列。VPC ファイアウォール ルールの形式は次のとおりです。
network:{network name}/firewall:{VPC firewall rule name}
priority integer VPC ファイアウォール ルールの優先順位。
action 文字列 接続に適用されるアクション。サポートされている値は ALLOW または DENY です。
direction 文字列 VPC ファイアウォール ルールが適用される方向。 INGRESS または EGRESS を指定できます。
source_range[ ] 文字列 VPC ファイアウォール ルールが適用される送信元範囲のリスト。
destination_range[ ] 文字列 VPC ファイアウォール ルールが適用される宛先範囲のリスト。
ip_port_info[ ] 文字列 ルールが適用される IP プロトコルと該当するポート範囲のリスト。
source_tag[ ] 文字列 VPC ファイアウォール ルールが適用される送信元ネットワーク タグのリスト。
target_tag[ ] 文字列 VPC ファイアウォール ルールが適用されるターゲット ネットワーク タグのリスト。
source_service_account[ ] 文字列 VPC ファイアウォール ルールが適用されるすべてのソースサービス アカウントのリスト。
target_service_account[ ] 文字列 VPC ファイアウォール ルールが適用されるすべてのターゲット サービス アカウントのリスト。

IpPortDetails

フィールド タイプ 説明
ip_protocol 文字列 VPC ファイアウォール ルールが適用される IP プロトコル。ルールがすべての IP プロトコルに適用される場合は、 ALL に設定できます。
port_range[ ] 文字列 VPC ファイアウォール ルールに適用可能なポート範囲のリスト。 例: 8080-9090

InstanceDetails

フィールド タイプ 説明
project_id 文字列 VM を含むプロジェクトの ID。
vm_name 文字列 VM のインスタンス名。
region 文字列 VM のリージョン。
zone 文字列 VM のゾーン。

LoadBalancingDetails

フィールド タイプ 説明
forwarding_rule_project_id 文字列 Google Cloud 転送ルールを含むプロジェクトの プロジェクト ID。ロードバランサが VM ではなくターゲットの場合に送信されます。
type 文字列 ロードバランサのタイプ: APPLICATION_LOAD_BALANCER は 内部アプリケーション ロードバランサを示します。PROXY_NETWORK_LOAD_BALANCER は 内部プロキシ ネットワーク ロードバランサを示します。ロードバランサが VM ではなくターゲットの場合に送信されます。
scheme 文字列 ロードバランサ スキーム INTERNAL_MANAGED。ロードバランサが VM ではなくターゲットの場合に送信されます。
url_map_name 文字列 URL マップの名前。typeAPPLICATION_LOAD_BALANCER の場合にのみ入力されます。ロードバランサが VM ではなくターゲットの場合に送信されます。
forwarding_rule_name 文字列 転送ルールの名前。ロードバランサが VM ではなくターゲットの場合に送信されます。

VpcDetails

フィールド タイプ 説明
project_id 文字列 ネットワークを含むプロジェクトの ID。
vpc_name 文字列 VM が動作しているネットワーク。
subnetwork_name 文字列 VM が動作しているサブネット。

GeographicDetails

フィールド タイプ 説明
continent 文字列 大陸の名前。接続のリモート エンドポイントが VPC の外部にある場合に適用されます。
country 文字列 国の名前。接続のリモート エンドポイントが VPC の外部にある場合に適用されます。
region 文字列 地域の名前。接続のリモート エンドポイントが VPC の外部にある場合に適用されます。
city 文字列 都市の名前。接続のリモート エンドポイントが VPC の外部にある場合に適用されます。

次のステップ