En esta página, se muestra cómo inhabilitar y habilitar el registro para las reglas de políticas de firewall jerárquicas y de red. Si deseas obtener instrucciones para registrar reglas de política de firewall, consulta Cómo habilitar y cómo inhabilitar el registro de reglas de políticas de firewall. También puedes aprender a ver los registros generados para las reglas de políticas de firewall. Para comprender el registro de reglas de política de firewall, consulta la descripción general del registro de reglas de política de firewall.
Si habilitas el registro en una regla de política de firewall, puedes ver estadísticas y recomendaciones para la regla desde Estadísticas de firewall. Para obtener más información, consulta Firewall Insights en la documentación de Network Intelligence Center.
Permisos
Para modificar las reglas de la política de firewall o los registros de acceso, los principales de Identity and Access Management (IAM) necesitan uno de los siguientes roles.
| Tarea | Función requerida |
|---|---|
| Crear, borrar o actualizar las reglas de firewall | Propietario o editor del proyecto o rol de administrador de seguridad (roles/compute.securityAdmin)
|
| Ver registros | Propietario, editor o visualizador del proyecto o rol de visualizador de registros (roles/logging.viewer)
Para obtener detalles sobre los permisos y los roles de IAM de Logging, consulta Roles predefinidos. |
Habilita e inhabilita el registro de reglas de política de firewall
Cuando creas una regla de política de firewall, puedes habilitar el registro de reglas de política de firewall. Para obtener más información, consulta lo siguiente:
- Usa reglas y políticas jerárquicas de firewall
- Usa reglas y políticas de firewall de red global
- Usa reglas y políticas de firewall de red regionales
Cuando habilitas el registro, puedes especificar si deseas incluir campos de metadatos. Si los omites, puedes ahorrar en costos de almacenamiento. Para habilitar o inhabilitar el registro de reglas de políticas de firewall para una regla de política de firewall existente, consulta las siguientes secciones.
Habilita el registro de reglas de política de firewall para una política de firewall jerárquica
Console
En la consola de Cloud de Confiance , ve a la página Políticas de firewall.
En el menú de selección de proyectos, selecciona el nombre de la organización en la que creaste tu política de firewall jerárquica.
En la sección Políticas de firewall ubicadas en esta organización, haz clic en el nombre de tu política de firewall jerárquica.
En la columna Registros, determina si el registro de reglas de política de firewall está Inhabilitado o Habilitado para cada regla de política de firewall.
Para habilitar el registro de una regla de política de firewall, haz clic en la prioridad de la regla y, luego, en Editar.
En la sección Registros, selecciona Habilitado.
Haz clic en Guardar.
gcloud
Para actualizar las reglas de la política de firewall de la organización, usa el comando gcloud compute firewall-policies rules update:
gcloud compute firewall-policies rules update PRIORITY \
--firewall-policy= FIREWALL_POLICY \
--enable-logging
Reemplaza lo siguiente:
PRIORITY: Es la prioridad de la regla de política de firewall que se actualizará.FIREWALL_POLICY: Es el nombre de la política de firewall en la que se actualiza la regla.
Para obtener más información, consulta la documentación de referencia del SDK.
Terraform
Puedes usar el recurso de Terraform para crear una regla de política de firewall con el registro habilitado.
resource "google_compute_firewall_policy_rule" "primary" {
firewall_policy = google_compute_firewall_policy.POLICY_ID
description = "Creates an ingress firewall policy rule with logging enabled"
priority = PRIORITY
enable_logging = true
action = "allow"
direction = "INGRESS"
disabled = false
match {
layer4_configs {
ip_protocol = "tcp"
ports = [8080]
}
layer4_configs {
ip_protocol = "udp"
ports = [22]
}
src_ip_ranges = ["SOURCE_IP_ADDRESS"]
}
}
Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform.
API
Habilita el registro de reglas de política de firewall en una regla de política de firewall jerárquica existente.
POST https://compute.googleapis.com/compute/v1/locations/global/firewallPolicies/POLICY_ID/patchRule?priority=PRIORITY
{
"enableLogging": true,
}
Reemplaza lo siguiente:
POLICY_ID: Es el ID de la política de firewall jerárquica en la que se encuentra la regla de política de firewall.PRIORITY: Es la prioridad de la regla de política de firewall.
Para obtener más información, consulta el método firewallPolicies.patchRule.
Inhabilita el registro de reglas de política de firewall para una política de firewall jerárquica
Console
En la consola de Cloud de Confiance , ve a la página Políticas de firewall.
En el menú de selección de proyectos, selecciona el nombre de la organización en la que creaste tu política de firewall jerárquica.
En la sección Políticas de firewall ubicadas en esta organización, haz clic en el nombre de tu política de firewall jerárquica.
En la columna Registros, determina si el registro de reglas de política de firewall está Inhabilitado o Habilitado para cada regla de política de firewall.
Para inhabilitar el registro de una regla de política de firewall, haz clic en la prioridad de la regla y, luego, en Editar.
En la sección Registros, selecciona Inhabilitado.
Haz clic en Guardar.
gcloud
Para actualizar las reglas de la política de firewall de la organización, usa el comando gcloud compute firewall-policies rules update:
gcloud compute firewall-policies rules update PRIORITY \
--firewall-policy= FIREWALL_POLICY \
--no-enable-logging
Reemplaza lo siguiente:
PRIORITY: Es la prioridad de la regla de política de firewall que se actualizará.FIREWALL_POLICY: Es el nombre de la política de firewall en la que se actualiza la regla.
Para obtener más información, consulta la documentación de referencia del SDK.
API
Inhabilita el registro de reglas de política de firewall en una regla de política de firewall jerárquica existente
POST https://compute.googleapis.com/compute/v1/locations/global/firewallPolicies/POLICY_ID/patchRule?priority=PRIORITY
{
"enableLogging": false,
}
Reemplaza lo siguiente:
POLICY_ID: Es el ID de la política de firewall jerárquica en la que se encuentra la regla de política de firewall.PRIORITY: Es la prioridad de la regla de política de firewall.
Para obtener más información, consulta el método firewallPolicies.patchRule.
Habilita el registro de reglas de política de firewall para una política de firewall de red
Console
En la consola de Cloud de Confiance , ve a la página Políticas de firewall.
En el menú de selección de proyectos, selecciona el nombre del proyecto en el que creaste tu política de firewall de red.
En la sección Políticas de firewall de red, haz clic en el nombre de la política de firewall de red para la que deseas habilitar el registro.
En la columna Registros, determina si el registro de reglas de política de firewall está Inhabilitado o Habilitado para cada regla de política de firewall.
Para habilitar el registro de una regla de política de firewall de red, haz clic en la prioridad de la regla y, luego, en Editar.
En la sección Registros, selecciona Habilitado.
Haz clic en Guardar.
gcloud
Para actualizar las reglas de políticas de firewall de red, usa el comando gcloud compute network-firewall-policies rules update:
gcloud compute network-firewall-policies rules update PRIORITY \
--firewall-policy= FIREWALL_POLICY \
--enable-logging
Reemplaza lo siguiente:
PRIORITY: Es la prioridad de la regla de política de firewall que se actualizará.FIREWALL_POLICY: Es el nombre de la política de firewall de red en la que se encuentra la regla de política de firewall.
Para obtener más información, consulta la documentación de referencia del SDK.
Terraform
Puedes usar el recurso de Terraform para crear una regla de política de firewall con el registro habilitado.
resource "google_compute_firewall_policy_rule" "primary" {
firewall_policy = google_compute_firewall_policy.POLICY_ID
description = "Creates an ingress firewall policy rule with logging enabled"
priority = PRIORITY
enable_logging = true
action = "allow"
direction = "INGRESS"
disabled = false
match {
layer4_configs {
ip_protocol = "tcp"
ports = [8080]
}
layer4_configs {
ip_protocol = "udp"
ports = [22]
}
src_ip_ranges = ["SOURCE_IP_ADDRESS"]
}
}
Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform.
API
Habilita el registro de reglas de política de firewall en una regla de política de firewall de red existente.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewallPolicies/POLICY_ID/patchRule?priority=PRIORITY
{
"enableLogging": true,
}
Reemplaza lo siguiente:
PROJECT_ID: Es el ID del proyecto en el que se encuentra tu política de red.POLICY_ID: Es el ID de la política de firewall jerárquica en la que se encuentra la regla de política de firewall.PRIORITY: Es la prioridad de la regla de política de firewall.
Para obtener más información, consulta el método networkFirewallPolicies.patchRule.
Inhabilita el registro de reglas de política de firewall para una política de firewall de red
Console
En la consola de Cloud de Confiance , ve a la página Políticas de firewall.
En el menú de selección de proyectos, selecciona el nombre del proyecto en el que creaste tu política de firewall de red.
En la sección Políticas de firewall de red, haz clic en el nombre de la política de firewall de red para la que deseas habilitar el registro.
En la columna Registros, determina si el registro de reglas de política de firewall está Inhabilitado o Habilitado para cada regla de política de firewall.
Para inhabilitar el registro de una regla de política de firewall de red, haz clic en la prioridad de la regla y, luego, en Editar.
En la sección Registros, selecciona Inhabilitado.
Haz clic en Guardar.
gcloud
Para actualizar las reglas de políticas de firewall de red, usa el comando gcloud compute network-firewall-policies rules update:
gcloud compute network-firewall-policies rules update PRIORITY \
--firewall-policy= FIREWALL_POLICY \
--no-enable-logging
Reemplaza lo siguiente:
PRIORITY: Es la prioridad de la regla de política de firewall que se actualizará.FIREWALL_POLICY: Es el nombre de la política de firewall de red en la que se encuentra la regla de política de firewall.
Para obtener más información, consulta la documentación de referencia del SDK.
API
Inhabilita el registro de reglas de política de firewall en una regla de política de firewall jerárquica existente
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewallPolicies/POLICY_ID/patchRule?priority=PRIORITY
{
"enableLogging": false,
}
Reemplaza lo siguiente:
POLICY_ID: Es el ID de la política de firewall jerárquica en la que se encuentra la regla de política de firewall.PRIORITY: Es la prioridad de la regla de política de firewall.
Para obtener más información, consulta el método networkFirewallPolicies.patchRule.
Ver registros
Los registros de las reglas de políticas de firewall se crean en el proyecto que aloja la red que contiene las instancias de VM y las reglas de firewall. Con la VPC compartida, creas instancias de VM en proyectos de servicio, pero estas instancias usan una red de VPC compartida ubicada en el proyecto host. En estos casos, el proyecto host almacena los registros de las reglas de la política de firewall.
Para ver los registros de las reglas de políticas de firewall, usa la sección Explorador de registros de la consola de Cloud de Confiance . Para obtener más información, consulta Visualiza y analiza registros.
Las siguientes consultas demuestran cómo puedes buscar eventos de firewall específicos.
Ver todos los registros de firewall
Para ver los registros de reglas de la política de firewall, usa una de las siguientes opciones.
Opción 1
En la consola de Cloud de Confiance , accede a la página Explorador de registros.
Haz clic en Todos los recursos.
En la lista Seleccionar recurso, haz clic en Subred y, luego, en Aplicar.
Haz clic en Todos los nombres de registro y, luego, en la lista, selecciona firewall.
Haz clic en Aplicar.
Opción 2
En la consola de Cloud de Confiance , accede a la página Explorador de registros.
Pega lo siguiente en el campo del editor de consultas.
resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Ffirewall"
Reemplaza
PROJECT_IDcon el ID del proyecto.Si no ves el campo del editor de consultas, haz clic en el botón de activación Mostrar consulta.
Haz clic en Ejecutar consulta.
Visualiza los registros de subredes específicas
Para ver los registros de reglas de la política de firewall de subredes específicas, usa una de las siguientes opciones.
Opción 1
En la consola de Cloud de Confiance , accede a la página Explorador de registros.
Haz clic en Todos los recursos.
En la lista Seleccionar recurso, haz clic en Subred.
Selecciona la subred cuyos registros deseas ver y, luego, haz clic en Aplicar.
Haz clic en Todos los nombres de registro y, luego, en la lista, selecciona firewall.
Haz clic en Aplicar.
Opción 2
En la consola de Cloud de Confiance , accede a la página Explorador de registros.
Pega lo siguiente en el campo del editor de consultas.
resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Ffirewall" resource.labels.subnetwork_name="SUBNET_NAME"
Reemplaza lo siguiente:
PROJECT_ID: Es el ID del proyecto.SUBNET_NAME: Es el nombre de tu subred.
Si no ves el campo del editor de consultas, haz clic en el botón de activación Mostrar consulta.
Haz clic en Ejecutar consulta.
Visualiza registros en VM específicas
Para ver los registros de reglas de políticas de firewall de VMs específicas, usa una de las siguientes opciones.
Opción 1
En la consola de Cloud de Confiance , accede a la página Explorador de registros.
Haz clic en Todos los recursos.
En la lista Seleccionar recurso, haz clic en Instancia de VM.
Selecciona la instancia de la que deseas ver los registros y haz clic en Aplicar.
Haz clic en Todos los nombres de registro y, luego, en la lista, selecciona firewall.
Haz clic en Aplicar.
Opción 2
En la consola de Cloud de Confiance , accede a la página Explorador de registros.
Pega lo siguiente en el campo del editor de consultas.
resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Ffirewall" jsonPayload.instance.vm_name="INSTANCE_ID"
Reemplaza lo siguiente:
PROJECT_ID: Es el ID del proyecto.INSTANCE_ID: Es el ID de la VM para la que deseas ver los registros.
Si no ves el campo del editor de consultas, haz clic en el botón de activación Mostrar consulta.
Haz clic en Ejecutar consulta.
Visualiza los registros de las conexiones de un país específico
Para ver los registros de reglas de la política de firewall de un país específico, haz lo siguiente:
En la consola de Cloud de Confiance , accede a la página Explorador de registros.
Pega lo siguiente en el campo del editor de consultas.
resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Ffirewall" jsonPayload.remote_location.country=COUNTRY
Reemplaza lo siguiente:
PROJECT_ID: Es el ID del proyecto.COUNTRY: Código ISO 3166-1 alpha-3 del país del que deseas ver los registros
Si no ves el campo del editor de consultas, haz clic en el botón de activación Mostrar consulta.
Haz clic en Ejecutar consulta.
Exporta registros
Para exportar registros de reglas de política de firewall, consulta Enruta registros a destinos compatibles. Puedes usar las consultas de ejemplo para limitar los registros que exportas.
Tabla de interacciones
- En el caso de la comunicación de VM a VM, ambas VM pueden generar registros, según sus respectivas reglas de firewall.
- La conexión registrada incluye paquetes que circulan en ambos sentidos si el firewall permitió el paquete inicial.
- Para una VM determinada, las conexiones entrantes se comparan con las reglas de firewall configuradas en esa VM, y las conexiones salientes se comparan con la regla de firewall de salida configurada en esa VM.
- Una conexión permitida que coincide con una regla de firewall con la indicación "permitir y registrar" se registra solo una vez. La entrada de registro no se repite cada 5 segundos, incluso si la conexión perdura.
- Una conexión denegada que coincide con una regla de firewall con la indicación "denegada y registrar" repite la entrada de registro cada 5 segundos mientras haya paquetes observados en esa conexión denegada.
- Si habilitas el registro en una regla de firewall que coincide con una conexión TCP o UDP ya activa, no se generará una nueva entrada de registro. Solo se crea una entrada de registro si la conexión permanece inactiva durante al menos 10 minutos y se envía un paquete nuevo en la misma conexión. En el caso del tráfico continuo con períodos de inactividad inferiores a 10 minutos, solo se genera una entrada de registro para la conexión.
En esta tabla se muestra el comportamiento del registro de firewall desde el punto de vista de una VM única.
Si una VM1 tiene una regla de entrada R1 que coincide con los paquetes y una regla de salida R2 que también coincide con los paquetes, el comportamiento del registro de firewall es el siguiente:
| La VM1 tiene una regla de entrada R1 (coincide con los paquetes) | La VM1 tiene una regla de salida R2 (coincide con los paquetes) | Dirección de conexión | Acción | Registro |
|---|---|---|---|---|
| Permitir + registrar | Permitir | Entrada | Permitir | Una entrada de registro: disposition=allow, rule=R1 |
| Rechazar | ||||
| Permitir + registrar | ||||
| Denegar + registrar | ||||
| Permitir | Permitir | Entrada | Permitir | Sin registro |
| Rechazar | ||||
| Permitir + registrar | ||||
| Denegar + registrar | ||||
| Denegar + registrar | N/A | Entrada | Rechazar | Una entrada de registro cada 5 segundos: disposition=deny, rule=R1 |
| Rechazar | N/A | Entrada | Rechazar | Sin registro |
| Permitir | Permitir + registrar | Salida | Permitir | Una entrada de registro: disposition=allow, rule=R2 |
| Rechazar | ||||
| Permitir + registrar | ||||
| Denegar + registrar | ||||
| Permitir | Permitir | Salida | Permitir | Sin registro |
| Rechazar | ||||
| Permitir + registrar | ||||
| Denegar + registrar | ||||
| N/A | Denegar + registrar | Salida | Rechazar | Una entrada de registro cada 5 segundos: disposition=deny, rule=R2 |
| N/A | Rechazar | Salida | Rechazar | Sin registro |
Ten en cuenta que la entrada y salida son simétricas.
Esta es la descripción detallada de la semántica de los registros de firewall:
Permitir + registrar (el registro solo es compatible con TCP y UDP)
- La conexión iniciada en la dirección en la que se aplica la regla crea un registro único.
- Se permite el tráfico de respuesta debido al seguimiento de la conexión. El tráfico de respuesta no genera ningún registro, independientemente de las reglas de firewall de VPC en esa dirección.
- Si la conexión expira desde el firewall (inactiva durante 10 minutos o RST de TCP recibido), es posible que otro paquete en cualquier dirección active el registro.
- El registro se basa en 5 tuplas. Los marcadores de TCP no influyen en el comportamiento del registro.
Denegar + registrar (el registro solo es compatible con TCP y UDP)
- Los paquetes se descartan (no se inicia ninguna conexión).
- Cada paquete que corresponde a una tupla única de 5 se registra como un intento de conexión con errores.
- La misma tupla de 5 se vuelve a registrar cada 5 segundos si continúa recibiendo paquetes.