Nesta página, descrevemos a estrutura de geração de registros das regras de firewall da VPC no Cloud Logging. Quando uma regra de nuvem privada virtual (VPC) com o registro em log ativado se aplica ao tráfego de ou para uma instância de máquina virtual (VM), o Cloud Logging cria uma entrada de registro. Os registros aparecem no campo de payload JSON de um LogEntry do Logging.
Os registros de firewall consistem em campos básicos, que são os campos principais de cada registro, e campos de metadados opcionais. Para reduzir os custos de armazenamento, é possível excluir campos de metadados.
Alguns campos de registro podem conter outros campos como valores. Por exemplo, o campo
connection usa o formato IpConnection, que inclui o endereço IP e a porta de origem e
destino, além do protocolo, em um único campo.
A tabela a seguir descreve os campos de registro compatíveis com as regras de firewall da VPC.
| Nome do campo | Tipo de campo: base ou metadados opcionais | Descrição |
|---|---|---|
connection |
IpConnection | Cinco tuplas que descrevem os endereços IP e a porta de origem e destino, além do protocolo IP da conexão. |
disposition |
Base | Indica se a conexão foi ALLOWED ou
DENIED. |
rule_details.reference |
Base | Referência à regra de firewall. Para regras de firewall da VPC, o formato é network:{network name}/firewall:{firewall_name}. |
rule_details.priority |
Base | A prioridade definida para a regra de firewall da VPC. |
rule_details.action |
Base | Indica se a conexão foi ALLOWED ou
DENIED. |
rule_details.direction |
Base | A direção em que a regra de firewall se aplica ingress
ou egress. |
rule_details.ip_port_info[ ] |
IpPortDetails | Lista de protocolos IP e intervalos de portas aplicáveis. O subcampo ip_protocol pode ser ALL para regras de firewall da VPC. |
rule_details.source_range[ ]rule_details.destination_range[ ] |
Metadados | Lista de intervalos de IP de origem ou destino a que a regra de firewall da VPC se aplica. |
rule_details.source_tag[ ]rule_details.target_tag[ ] |
Metadados | Lista de todas as tags de rede de origem ou destino a que a regra de firewall da VPC se aplica. |
rule_details.source_service_account[ ]rule_details.target_service_account[ ] |
Metadados | Lista de todas as contas de serviço de origem ou destino a que a regra de firewall da VPC se aplica. |
instance |
Metadados | InstanceDetails Detalhes da instância da VM. Em uma configuração de VPC compartilhada, project_id corresponde ao ID do projeto de serviço. |
load_balancer_details |
Metadados | LoadBalancingDetails Detalhes do balanceador de carga de aplicativo interno ou do balanceador de carga de rede de proxy interno a que a regra de firewall se aplica. Quando o destino de uma regra de firewall é um desses balanceadores de carga, o campo instance é omitido. |
vpc |
Metadados | VpcDetails Detalhes da rede VPC. Em uma configuração de VPC compartilhada, project_id corresponde ao ID do projeto host. |
remote_instance |
Metadados | InstanceDetails Se o endpoint remoto da conexão for uma VM localizada no Compute Engine, esse campo será preenchido com os detalhes da instância da VM. |
remote_vpc |
Metadados | VpcDetails Se o endpoint remoto da conexão for uma VM localizada em uma rede VPC, esse campo será preenchido com os detalhes da rede. |
remote_location |
Metadados | GeographicDetails Se o endpoint remoto da conexão for externo à rede VPC, este campo será preenchido com os metadados de local disponíveis. |
IpConnection
| Campo | Tipo | Descrição |
|---|---|---|
src_ip |
string | O endereço IP de origem. Se a origem for uma VM do Compute Engine, src_ip será o endereço de IP interno principal ou um endereço em um intervalo de IP de alias da interface de rede da VM. O endereço IP externo não é exibido. O Logging mostra o endereço IP da VM conforme ela o vê no cabeçalho do pacote, como se você tivesse executado
tcpdump na VM. |
src_port |
integer | A porta de origem. |
dest_ip |
string | O endereço IP de destino. Se o destino for uma VM Google Cloud ,
dest_ip será o endereço IP interno principal ou um endereço
em um intervalo de IP de alias da interface de rede da VM. O endereço IP externo não é exibido, mesmo que tenha sido usado para fazer a conexão. |
dest_port |
integer | A porta de destino. |
protocol |
integer | Protocolo IP da conexão. |
RuleDetails
| Campo | Tipo | Descrição |
|---|---|---|
reference |
string | Referência à regra de firewall da VPC. Formato:network:{network name}/firewall:{VPC firewall rule name}. |
priority |
integer | A prioridade da regra de firewall da VPC. |
action |
string | Ação aplicada à conexão. Os valores aceitos são ALLOW
ou DENY. |
direction |
string | A direção em que a regra de firewall da VPC se aplica (ingress ou egress). |
source_range[ ] |
string | Lista de intervalos de origem a que a regra de firewall da VPC se aplica. |
destination_range[ ] |
string | Lista de intervalos de destino aos quais a regra de firewall da VPC se aplica. |
source_tag[ ] |
string | Listas de tags de rede de origem a que a regra de firewall da VPC se aplica. |
target_tag[ ] |
string | Listas de tags de rede de destino a que a regra de firewall da VPC se aplica. |
source_service_account[ ] |
string | Lista de todas as contas de serviço de origem a que a regra de firewall da VPC se aplica. |
target_service_account[ ] |
string | Lista de todas as contas de serviço de destino a que a regra de firewall da VPC se aplica. |
IpPortDetails
| Campo | Tipo | Descrição |
|---|---|---|
ip_protocol |
string | Protocolo IP ao qual a regra de firewall da VPC se aplica. Pode ser definido como ALL se a regra se aplicar a todos os protocolos IP. |
port_range[ ] |
string | Lista de intervalos de portas aplicáveis às regras de firewall da VPC.
Por exemplo, 8080-9090 |
InstanceDetails
| Campo | Tipo | Descrição |
|---|---|---|
project_id |
string | ID do projeto que contém a VM. |
vm_name |
string | Nome da instância da VM. |
region |
string | Região da VM. |
zone |
string | Zona da VM. |
LoadBalancingDetails
| Campo | Tipo | Descrição |
|---|---|---|
forwarding_rule_project_id |
string | Google Cloud ID do projeto que contém a regra de encaminhamento. Enviado quando o destino é o balanceador de carga em vez de uma VM. |
type |
string | Tipo de balanceador de carga: APPLICATION_LOAD_BALANCER indica
um balanceador de carga de aplicativo interno. PROXY_NETWORK_LOAD_BALANCER indica um balanceador de carga de rede de proxy interno. Enviado quando
o destino é o balanceador de carga em vez de uma VM. |
scheme |
string | Esquema do balanceador de carga, INTERNAL_MANAGED. Enviado quando
o destino é o balanceador de carga em vez de uma VM. |
url_map_name |
string | Nome do mapa de URL. Preenchido apenas se o type
for APPLICATION_LOAD_BALANCER. Enviado quando
o destino é o balanceador de carga em vez de uma VM. |
forwarding_rule_name |
string | Nome da regra de encaminhamento. Enviado quando o destino é o balanceador de carga em vez de uma VM. |
VpcDetails
| Campo | Tipo | Descrição |
|---|---|---|
project_id |
string | ID do projeto que contém a rede. |
vpc_name |
string | Rede em que a VM está operando. |
subnetwork_name |
string | Sub-rede em que a VM está operando. |
GeographicDetails
| Campo | Tipo | Descrição |
|---|---|---|
continent |
string | Nome do continente. Isso é aplicável se o endpoint remoto da conexão for externo à VPC. |
country |
string | Nome do país. Isso é aplicável se o endpoint remoto da conexão for externo à VPC. |
region |
string | Nome da região. Isso é aplicável se o endpoint remoto da conexão for externo à VPC. |
city |
string | Nome da cidade. Ele é aplicável se o endpoint remoto da conexão for externo à VPC. |
A seguir
- Formato de geração de registros de regras da política de firewall.
- Visão geral da geração de registros de regras de firewall da VPC.
- Gerenciar o registro de regras de firewall da VPC.
- Cloud Logging.