本頁面說明 Cloud Logging 中的虛擬私有雲防火牆規則記錄結構。如果啟用記錄功能的虛擬私有雲 (VPC) 規則套用至往來虛擬機器 (VM) 執行個體的流量,Cloud Logging 就會建立記錄項目。記錄會顯示在 Logging LogEntry 的 JSON 酬載欄位中。
防火牆記錄包含基礎欄位 (每個記錄的核心欄位) 和選用的中繼資料欄位。如要降低儲存費用,可以排除中繼資料欄位。
部分記錄欄位可能包含其他欄位做為值。舉例來說,connection 欄位採用 IpConnection 格式,也就是一個欄位同時包含來源和目的地 IP 位址及通訊埠,外加通訊協定等資料。
下表說明 VPC 防火牆規則支援的記錄檔欄位。
| 欄位名稱 | 欄位類型:基本或選填中繼資料 | 說明 |
|---|---|---|
connection |
IpConnection | 5 個元組,說明這個連線的來源和目的地 IP 位址、來源和目的地通訊埠,以及 IP 通訊協定。 |
disposition |
基本 | 表示連線是 ALLOWED 或 DENIED。 |
rule_details.reference |
基本 | 防火牆規則的參照。虛擬私有雲防火牆規則的格式為 network:{network name}/firewall:{firewall_name}。 |
rule_details.priority |
基本 | 為虛擬私有雲防火牆規則定義的優先順序。 |
rule_details.action |
基本 | 表示連線是 ALLOWED 或 DENIED。 |
rule_details.direction |
基本 | 防火牆規則適用的方向 ingress
或 egress。 |
rule_details.ip_port_info[ ] |
IpPortDetails | IP 通訊協定和適用通訊埠範圍的清單。ip_protocol 子欄位可以是虛擬私有雲防火牆規則的 ALL。 |
rule_details.source_range[ ]rule_details.destination_range[ ] |
中繼資料 | 虛擬私有雲防火牆規則適用的來源或目的地 IP 範圍清單。 |
rule_details.source_tag[ ]rule_details.target_tag[ ] |
中繼資料 | 虛擬私有雲防火牆規則適用的所有來源或目標網路標記清單。 |
rule_details.source_service_account[ ]rule_details.target_service_account[ ] |
中繼資料 | 虛擬私有雲防火牆規則適用的所有來源或目標服務帳戶清單。 |
instance |
中繼資料 | InstanceDetails VM 執行個體詳細資料。在 Shared VPC 設定中, project_id 會對應至服務專案。 |
load_balancer_details |
中繼資料 | LoadBalancingDetails 防火牆規則適用的內部應用程式負載平衡器或內部 Proxy 網路負載平衡器詳細資料。如果防火牆規則的目標是其中一個負載平衡器,系統會省略 instance 欄位。 |
vpc |
中繼資料 | VpcDetails 虛擬私有雲網路詳細資料。在 Shared VPC 設定中, project_id 會對應至主專案。 |
remote_instance |
中繼資料 | InstanceDetails 如果連線的遠端端點是位於 Compute Engine 中的 VM,這個欄位會填入 VM 執行個體詳細資料。 |
remote_vpc |
中繼資料 | VpcDetails 如果連線的遠端端點是位於虛擬私有雲網路中的 VM,這個欄位會填入網路詳細資料。 |
remote_location |
中繼資料 | GeographicDetails 如果連線的遠端端點位於虛擬私有雲網路外部,這個欄位會填入可用的地點中繼資料。 |
IpConnection
| 欄位 | 類型 | 說明 |
|---|---|---|
src_ip |
字串 | 來源 IP 位址。如果來源是 Compute Engine VM,則 src_ip 是主要內部 IP 位址,或是 VM 網路介面別名 IP 範圍內的位址。不會顯示外部 IP 位址。記錄檔會顯示 VM 在封包標頭上看到的 IP 位址,與您在 VM 上執行 tcpdump 時看到的相同。 |
src_port |
整數 | 來源通訊埠。 |
dest_ip |
字串 | 目的地 IP 位址。如果目的地是 VM, Google Cloud dest_ip 可以是主要內部 IP 位址,也可以是 VM 網路介面別名 IP 範圍內的位址。即使連線時使用外部 IP 位址,系統也不會顯示該位址。 |
dest_port |
整數 | 目的地通訊埠。 |
protocol |
整數 | 連線的 IP 通訊協定。 |
RuleDetails
| 欄位 | 類型 | 說明 |
|---|---|---|
reference |
字串 | 虛擬私有雲防火牆規則的參照;格式:network:{network name}/firewall:{VPC firewall rule name}。 |
priority |
整數 | 虛擬私有雲防火牆規則的優先順序。 |
action |
字串 | 套用至連結的動作。支援的值為 ALLOW 或 DENY。 |
direction |
字串 | 虛擬私有雲防火牆規則適用的方向 (ingress 或 egress)。 |
source_range[ ] |
字串 | 虛擬私有雲防火牆規則適用的來源範圍清單。 |
destination_range[ ] |
字串 | 虛擬私有雲防火牆規則適用的目的地範圍清單。 |
source_tag[ ] |
字串 | 虛擬私有雲防火牆規則適用的來源網路標記清單。 |
target_tag[ ] |
字串 | 虛擬私有雲防火牆規則適用的目標網路標記清單。 |
source_service_account[ ] |
字串 | 虛擬私有雲防火牆規則適用的所有來源服務帳戶清單。 |
target_service_account[ ] |
字串 | 虛擬私有雲防火牆規則適用的所有目標服務帳戶清單。 |
IpPortDetails
| 欄位 | 類型 | 說明 |
|---|---|---|
ip_protocol |
字串 | 虛擬私有雲防火牆規則套用的 IP 通訊協定。如果規則適用於所有 IP 通訊協定,則可設為 ALL。 |
port_range[ ] |
字串 | 虛擬私有雲防火牆規則適用的連接埠範圍清單。
例如 8080-9090。 |
InstanceDetails
| 欄位 | 類型 | 說明 |
|---|---|---|
project_id |
字串 | VM 所屬專案的 ID。 |
vm_name |
字串 | VM 的執行個體名稱。 |
region |
字串 | VM 所在區域。 |
zone |
字串 | VM 的可用區。 |
LoadBalancingDetails
| 欄位 | 類型 | 說明 |
|---|---|---|
forwarding_rule_project_id |
字串 | Google Cloud 包含轉送規則的專案 ID。當負載平衡器是目標,而不是 VM 時傳送。 |
type |
字串 | 負載平衡器類型:APPLICATION_LOAD_BALANCER 表示內部應用程式負載平衡器。PROXY_NETWORK_LOAD_BALANCER 表示內部 Proxy 網路負載平衡器。當負載平衡器是目標,而不是 VM 時傳送。 |
scheme |
字串 | 負載平衡器架構,INTERNAL_MANAGED。當負載平衡器是目標,而不是 VM 時傳送。 |
url_map_name |
字串 | 網址對應名稱。只有在 type 為 APPLICATION_LOAD_BALANCER 時,才會填入這個欄位。當負載平衡器是目標,而不是 VM 時傳送。 |
forwarding_rule_name |
字串 | 轉送規則名稱。當負載平衡器是目標,而不是 VM 時傳送。 |
VpcDetails
| 欄位 | 類型 | 說明 |
|---|---|---|
project_id |
字串 | 網路所屬專案的 ID。 |
vpc_name |
字串 | VM 運作的網路。 |
subnetwork_name |
字串 | VM 運作所在的子網路。 |
GeographicDetails
| 欄位 | 類型 | 說明 |
|---|---|---|
continent |
字串 | 洲名。如果連線的遠端端點在虛擬私有雲外部,則適用此欄位。 |
country |
字串 | 國家/地區名稱。如果連線的遠端端點在虛擬私有雲外部,則適用此欄位。 |
region |
字串 | 區域名稱。如果連線的遠端端點在虛擬私有雲外部,則適用此欄位。 |
city |
字串 | 城市名稱。如果連線的遠端端點在虛擬私有雲外部,則適用這項功能。 |