Auf dieser Seite wird beschrieben, wie Sie mit Cloud Logging Fehler in VPC Service Controls finden können.
Mit VPC Service Controls können Sie das Risiko einer Daten-Exfiltration verringern, indem mehrmandantenfähige Google Cloud -Dienste isoliert werden. Weitere Informationen finden Sie unter VPC Service Controls.
Bestimmen, ob ein Fehler auf VPC Service Controls zurückzuführen ist
VPC Service Controls kann die Attribute von Google Cloud ändern und Auswirkungen auf mehrere Dienste haben. Das kann die Fehlersuche erschweren, insbesondere wenn Sie nicht wissen, worauf Sie achten müssen.
Es kann bis zu 30 Minuten dauern, bis die Änderungen am Dienstperimeter übernommen und wirksam werden. Sobald die Änderungen übernommen wurden, ist der Zugriff auf die innerhalb des Perimeters eingeschränkten Dienste nur noch möglich, wenn dies ausdrücklich autorisiert wurde.
Damit Sie feststellen können, ob ein Fehler mit VPC Service Controls zusammenhängt, müssen Sie prüfen, ob Sie VPC Service Controls aktiviert und auf die Projekte und Dienste angewendet haben, die Sie verwenden möchten. Wenn Sie prüfen möchten, ob die Projekte und Dienste durch VPC Service Controls geschützt sind, sehen Sie sich die VPC Service Controls-Richtlinie auf dieser Ebene der Ressourcenhierarchie an.
Betrachten Sie ein Beispiel, in dem Sie indirekt einen Dienst verwenden, der von VPC Service Controls in einem Projekt innerhalb eines Dienstperimeters als eingeschränkter Dienst markiert wurde. In diesem Fall kann es sein, dass VPC Service Controls den Zugriff verweigern.
Normalerweise geben Dienste Fehlermeldungen von ihren Abhängigkeiten weiter. Wenn einer der folgenden Fehler auftritt, weist dies auf ein Problem mit VPC Service Controls hin.
Cloud Storage:
403: Request violates VPC Service Controls.BigQuery:
403: VPC Service Controls: Request is prohibited by organization's policy.Weitere Dienste:
403: Request is prohibited by organization's policy.
Eindeutige ID des Fehlers verwenden
Im Gegensatz zur Google Cloud Console gibt das gcloud-Befehlszeilentool eine eindeutige ID für VPC Service Controls-Fehler zurück. Damit Sie Logeinträge für andere Fehler finden, filtern Sie die Logs mithilfe von Metadaten.
Ein von VPC Service Controls generierter Fehler enthält eine eindeutige ID, mit der relevante Audit-Logs identifiziert werden.
So erhalten Sie Informationen zu einem Fehler anhand der eindeutigen ID:
Wechseln Sie in der Google Cloud Console zur Seite Cloud Logging für das Projekt innerhalb des Dienstperimeters, das den Fehler ausgelöst hat.
Geben Sie im Suchfilterfeld die eindeutige ID des Fehlers ein.
Sie sehen den entsprechenden Logeintrag.
Logs mit Metadaten filtern
Mit dem Log-Explorer können Sie Fehler im Zusammenhang mit VPC Service Controls finden. Sie können die Logging-Abfragesprache verwenden, um die Logs abzurufen. Informationen zum Erstellen von Abfragen finden Sie unter Abfragen mit der Logging-Abfragesprache erstellen.
Console
So können Sie die VPC Service Controls-Fehler der letzten 24 Stunden in Logging abrufen:
Wechseln Sie in der Google Cloud Console zur Seite Cloud Logging.
Sie müssen in dem Projekt sein, das sich innerhalb des Dienstperimeters befindet.
Geben Sie im Suchfilterfeld Folgendes ein:
protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"Wählen Sie im Menü Ressource die Option Geprüfte Ressource aus.
Wählen Sie im Menü für die Zeitraumauswahl die Option Letzte 24 Stunden aus.
Optional: Wenn Sie die VPC Service Controls-Fehler aus einem anderen Zeitraum ermitteln möchten, verwenden Sie das Menü Zeitraumauswahl.
gcloud
Führen Sie den folgenden Befehl aus, um die VPC Service Controls-Fehler der letzten 24 Stunden abzurufen:
gcloud logging read 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"'Der Befehl
readist standardmäßig auf die letzten 24 Stunden beschränkt. Wenn Sie VPC Service Controls-Logs für einen anderen Zeitraum abrufen möchten, können Sie einen der folgenden Befehle verwenden:Führen Sie den folgenden Befehl aus, um Logs abzurufen, die innerhalb eines bestimmten Zeitraums ab dem aktuellen Datum generiert wurden:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"' \ --freshness=DURATIONDURATION (Dauer) ist ein formatierter Zeitraum. Weitere Informationen zur Formatierung finden Sie unter Relative Dauer- und Uhrzeitformate für die gcloud CLI.
Führen Sie den folgenden Befehl aus, um alle VPC Service Controls-Fehler abzurufen, die in der letzten Woche aufgetreten sind:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"' \ --freshness=7dFühren Sie den folgenden Befehl aus, um Logs abzurufen, die zwischen bestimmten Datumsangaben generiert wurden:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" AND timestamp>="START_DATETIME" AND timestamp<="END_DATETIME"'START_DATETIME und END_DATETIME sind formatierte Strings für Datum und Uhrzeit. Weitere Informationen zur Formatierung finden Sie unter Absolute Datums- und Uhrzeitformate für die gcloud CLI.
So rufen Sie beispielsweise alle VPC Service Controls-Fehler ab, die zwischen dem 22. März 2019 und dem 26. März 2019 aufgetreten sind:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" AND timestamp>="2019-03-22T23:59:59Z" AND timestamp<="2019-03-26T00:00:00Z"'
Nächste Schritte
- Informationen zum Diagnostizieren eines Zugriffsverweigerungsfehlers im Tool zur Analyse von Verstößen und zum Aufrufen des zugehörigen umfassenden Bewertungsberichts
- Zugriffsverweigerung diagnostizieren und klassischen Bericht ansehen
- Häufige Probleme mit VPC Service Controls beheben
- Häufige Probleme mit anderen Diensten von Google Cloud beheben