プロキシのトランザクション ログには、Secure Web Proxy が処理する各リクエストの詳細情報が記録されます。これらのログには、Secure Web Proxy がユーザーとインターネットの間で仲介するすべてのトランザクションの記録が含まれます。 このページでは、Secure Web Proxy インスタンスが生成するトランザクション ログにアクセスして解釈する方法について説明します。
プロキシのトランザクション ログエントリのタイプ
プロキシのトランザクション ログエントリには、次の 3 つのタイプがあります。
これらのログは、次のアクションに役立ちます。
- セキュリティ分析と脅威の検出
- 接続とポリシーに関する問題のトラブルシューティング
- ウェブアクセスの監査
- Secure Web Proxy のパフォーマンス分析
HttpRequest
これらのログエントリには次の情報が含まれています。
| 名前 | タイプ | 説明 |
|---|---|---|
requestMethod
|
文字列 | リクエスト メソッドのタイプ(GET、HEAD、PUT、POST など)。 |
requestUrl
|
文字列 | リクエストされた URL のスキーム(http または https)、ホスト名、パス、
クエリ部分。例:
http://example.com/some/info?color=red.
|
requestSize
|
文字列(int64 形式) |
HTTP リクエスト メッセージのサイズ(バイト単位)。リクエスト ヘッダーとリクエスト ボディを含む。 |
status
|
Integer | レスポンスを示す HTTP または HTTPS ステータス コード。例:
200 OK または 404 Not Found。
|
responseSize
|
文字列(int64 形式) | クライアントに返される HTTP ステータス コードのサイズ(バイト単位)。ヘッダーとボディを含む。 |
userAgent
|
文字列 | クライアントが送信するユーザー エージェント(
Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; Q312461;
.NET CLR 1.0.3705)など)。
|
remoteIp
|
文字列 | HTTP
リクエストを発行したクライアントの IP アドレス(IPv4 または IPv6)。このフィールドにはポート情報を含めることができます。例:
192.168.1.1、10.0.0.1:80、
およびFE80::0202:B3FF:FE1E:8329。
|
serverIp
|
文字列 | リクエストが送信された配信元サーバーの IP アドレス(IPv4 または IPv6)。このフィールドにはポート情報を含めることができます。例:
192.168.1.1、10.0.0.1:80、FE80::0202:B3FF:FE1E:8329。
|
referrer
|
文字列 | リクエストのリファラー URL( HTTP/1.1 Header Field Definitions で規定されている)。 |
latency
|
文字列(Duration 形式) | サーバー上でのリクエスト処理のレイテンシ。サーバーがリクエスト
を受信してからレスポンスを送信するまでの時間。
レイテンシは、小数 9 桁までの秒単位の期間で、 |
cacheLookup
|
Boolean | キャッシュ検索が試行されたかどうかを示します。 |
cacheHit
|
Boolean | エンティティがキャッシュから提供されたかどうかを示します(検証の有無を問わず)。 |
cacheValidatedWithOriginServer
|
Boolean | レスポンスがキャッシュから提供される前に配信元サーバーで検証されたかどうかを示します。このフィールドは、
cacheHit が True の場合にのみ意味があります。
|
cacheFillBytes
|
文字列(int64 形式) | 挿入される HTTP ステータス コードのバイト数。 |
protocol
|
文字列 | リクエストに使用されるプロトコル(HTTP/1.1、
HTTP/2、websocket など)。
|
LoadBalancerLogEntry
これらのログエントリには次の情報が含まれています。
| 名前 | タイプ | 説明 |
|---|---|---|
insertId
|
文字列 | 一意のログ ID。 |
jsonPayload.@type
|
文字列 | ログタイプ。ログタイプの値は常に
type.googleapis.com/google.cloud.loadbalancing.type.LoadBalancerLogEntry です。
|
jsonPayload.enforcedGatewaySecurityPolicy.hostname
|
文字列 | リクエストに関連付けられたホスト名。 |
jsonPayload.enforcedGatewaySecurityPolicy.matchedRules.action
|
文字列 | リクエストに対して行われたアクション。 |
jsonPayload.enforcedGatewaySecurityPolicy.matchedRules.rule
|
文字列 | リクエストに適用されたルールの名前。 |
jsonPayload.enforcedGatewaySecurityPolicy.clientServiceAccount
|
文字列 | リクエストに関連付けられたサービス アカウント。 |
jsonPayload.enforcedGatewaySecurityPolicy.clientSecureTags
|
文字列 | リクエストに関連付けられたセキュアタグ。 |
GatewayLogEntry
これらのログエントリには次の情報が含まれています。
| 名前 | タイプ | 説明 |
|---|---|---|
resource_container
|
文字列 | ゲートウェイに関連付けられたコンテナ。 |
location
|
文字列 | ゲートウェイが定義されているリージョンの名前。 |
network_name
|
文字列 | ゲートウェイが作成された Virtual Private Cloud(VPC)ネットワークの名前。 |
gateway_type
|
文字列 | ゲートウェイの列挙型。Secure Web Proxy の場合、値は
SECURE_WEB_GATEWAY.
|
gateway_name
|
文字列 | ゲートウェイ リソースの名前。 |
プロキシのトランザクション ログの形式
プロキシのトランザクション ログは、ログ名 projects/PROJECT_ID/logs/networkservices.googleapis.com%2Fgateway_requests で Cloud Logging に書き込まれます。
各ログエントリの JSON ペイロードには、トランザクションに関する詳細情報が含まれています。ログエントリには次のキーフィールドが含まれています。
| 名前 | タイプ | 説明 |
|---|---|---|
destination_ip |
文字列 | 宛先の解決済み IP アドレス。 |
instance |
文字列 | リクエストを処理した Secure Web Proxy インスタンスの名前。 |
mtls_info |
オブジェクト | 該当する場合は、mTLS ハンドシェイクに関する情報。 |
policy_evaluation_results |
オブジェクト | 一致したルールと、その結果のアクション(allow、deny など)に関する情報。 |
request_host |
文字列 | リクエストされたホスト名。 |
request_method |
文字列 | HTTP メソッド(GET、POST など)。 |
request_path |
文字列 | リクエストのパス。 |
request_port |
Integer | 宛先ポート。 |
request_protocol |
文字列 | HTTP プロトコルのバージョン。 |
request_scheme |
文字列 | URL リクエストのスキーム(http、
https など)。 |
request_time |
タイムスタンプ | プロキシがリクエストを受信した日時。タイムスタンプ
は ISO 8601 形式(YYYY-MM-DDTHH:MM:SS.MsMsMsZoneOffset)で指定されます。例:
2025-06-03T11:52:26.452Z。 |
response_code |
Integer | クライアントに返される HTTP ステータス コード。 |
response_size |
Integer | レスポンス ボディのサイズ(バイト単位)。 |
response_time |
タイムスタンプ | プロキシがクライアントにレスポンスを送信した日時。
タイムスタンプは ISO 8601 形式:
YYYY-MM-DDTHH:MM:SS.MsMsMsZoneOffset で指定されます。例:
2025-06-03T11:52:26.452Z。 |
source_ip |
文字列 | クライアントの IP アドレス。 |
source_port |
Integer | クライアントの送信元ポート。 |
tls_cipher_suite |
文字列 | TLS 接続に使用される暗号スイート。 |
tls_version |
文字列 | 接続に使用される TLS バージョン。 |
プロキシのトランザクション ログをモニタリングする
コンソールで、[**ログ エクスプローラ**] ページに移動します。 Google Cloud
プロジェクトを選択します。 Google Cloud
次のクエリを使用して、すべての Secure Web Proxy トランザクション ログを表示します。
logName="projects/PROJECT_ID/logs/networkservices.googleapis.com%2Fgateway_requests"
PROJECT_IDは、ターゲット Google Cloud プロジェクトの ID に置き換えます。特定の詳細を表示するために使用できるクエリの例をいくつか示します。
拒否されたリクエストをすべて検索します。
logName="projects/PROJECT_ID/logs/networkservices.googleapis.com%2Fgateway_requests" jsonPayload.policy_evaluation_results.policy_action="DENY"
特定の送信元 IP アドレスからのリクエストを検索します。
logName="projects/PROJECT_ID/logs/networkservices.googleapis.com%2Fgateway_requests" jsonPayload.source_ip="192.0.2.1"
特定のホストへのリクエストを検索します。
logName="projects/PROJECT_ID/logs/networkservices.googleapis.com%2Fgateway_requests" jsonPayload.request_host="example.com"
プロキシのトランザクション ログを転送する
ログシンクを使用すると、プロキシのトランザクション ログを Cloud Storage、BigQuery、Pub/Sub などの他の宛先に転送できます。詳細については、 ログエントリをルーティングするをご覧ください。