Nesta página, mostramos como ativar e desativar a geração de registros para regras de políticas hierárquicas e de firewall de rede. Para instruções sobre a geração de registros de regras de política de firewall, consulte Ativar e desativar a geração de registros de regras de política de firewall. Você também pode aprender a ver os registros gerados para regras de política de firewall. Para entender o registro em registros das regras da política de firewall, consulte Visão geral do registro em registros das regras da política de firewall.
Se a geração de registros for ativada em uma regra de política de firewall, será possível ter acesso a insights e recomendações relacionadas no Firewall Insights. Para mais informações, consulte Firewall Insights na documentação do Network Intelligence Center.
Permissões
Para modificar regras de política de firewall ou registros de acesso, os principais do Identity and Access Management (IAM) precisam ter um dos papéis a seguir.
| Tarefa | Papel necessário |
|---|---|
| Criar, excluir ou atualizar regras de firewall | Proprietário ou editor do projeto ou papel de administrador de segurança (roles/compute.securityAdmin)
|
| Como visualizar registros | Proprietário, editor ou leitor do projeto ou papel de leitor de registros (roles/logging.viewer)Para mais detalhes sobre papéis e permissões do IAM do Logging, consulte Papéis predefinidos. |
Ativar e desativar a geração de registros de regras da política de firewall
Ao criar uma regra de política de firewall, é possível ativar a geração de registros das regras de política de firewall. Para ver mais informações, consulte os seguintes tópicos:
- Usar políticas e regras hierárquicas de firewall
- Usar políticas e regras globais de firewall de rede
- Usar políticas e regras de firewall de rede regional
Ao ativar a geração de registros, é possível especificar se os campos de metadados serão incluídos. Se omiti-los, você economiza custos de armazenamento. Para ativar ou desativar a geração de registros de regras de política de firewall para uma regra de política de firewall existente, consulte as seções a seguir.
Ativar a geração de registros de regras da política de firewall para uma política de firewall hierárquica
Console
No console do Cloud de Confiance , acesse a página Políticas de firewall.
No menu do seletor de projetos, selecione o nome da organização em que você criou a política de firewall hierárquica.
Na seção Políticas de firewall localizadas nesta organização, clique no nome da sua política hierárquica de firewall.
Na coluna Registros, determine se a geração de registros de regras da política de firewall está Desativada ou Ativada para cada regra.
Para ativar a geração de registros para uma regra de política de firewall, clique na prioridade da regra e em Editar.
Na seção Registros, selecione Ativado.
Clique em Salvar.
gcloud
Para atualizar as regras da política de firewall da organização, use o
comando gcloud compute firewall-policies rules update:
gcloud compute firewall-policies rules update PRIORITY \
--firewall-policy= FIREWALL_POLICY \
--enable-logging
Substitua:
PRIORITY: a prioridade da regra da política de firewall a ser atualizada.FIREWALL_POLICY: o nome da política de firewall em que a regra é atualizada.
Para mais informações, consulte a documentação de referência do SDK.
Terraform
Use o recurso Terraform para criar uma regra de política de firewall com a geração de registros ativada.
resource "google_compute_firewall_policy_rule" "primary" {
firewall_policy = google_compute_firewall_policy.POLICY_ID
description = "Creates an ingress firewall policy rule with logging enabled"
priority = PRIORITY
enable_logging = true
action = "allow"
direction = "INGRESS"
disabled = false
match {
layer4_configs {
ip_protocol = "tcp"
ports = [8080]
}
layer4_configs {
ip_protocol = "udp"
ports = [22]
}
src_ip_ranges = ["SOURCE_IP_ADDRESS"]
}
}
Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.
API
Ative a geração de registros de regras de política de firewall para uma regra de política de firewall hierárquica.
POST https://compute.googleapis.com/compute/v1/locations/global/firewallPolicies/POLICY_ID/patchRule?priority=PRIORITY
{
"enableLogging": true,
}
Substitua:
POLICY_ID: o ID da política de firewall hierárquica em que a regra de política de firewall está localizada.PRIORITY: a prioridade da regra da política de firewall.
Para mais informações, consulte o
método firewallPolicies.patchRule.
Desativar a geração de registros de regras da política de firewall para uma política de firewall hierárquica
Console
No console do Cloud de Confiance , acesse a página Políticas de firewall.
No menu do seletor de projetos, selecione o nome da organização em que você criou a política de firewall hierárquica.
Na seção Políticas de firewall localizadas nesta organização, clique no nome da sua política hierárquica de firewall.
Na coluna Registros, determine se a geração de registros de regras da política de firewall está Desativada ou Ativada para cada regra.
Para desativar a geração de registros de uma regra de política de firewall, clique na prioridade da regra e em Editar.
Na seção Registros, selecione Desativado.
Clique em Salvar.
gcloud
Para atualizar as regras da política de firewall da organização, use o
comando gcloud compute firewall-policies rules update:
gcloud compute firewall-policies rules update PRIORITY \
--firewall-policy= FIREWALL_POLICY \
--no-enable-logging
Substitua:
PRIORITY: a prioridade da regra da política de firewall a ser atualizada.FIREWALL_POLICY: o nome da política de firewall em que a regra é atualizada.
Para mais informações, consulte a documentação de referência do SDK.
API
Desativar a geração de registros de regras da política de firewall para uma regra de política de firewall hierárquica
POST https://compute.googleapis.com/compute/v1/locations/global/firewallPolicies/POLICY_ID/patchRule?priority=PRIORITY
{
"enableLogging": false,
}
Substitua:
POLICY_ID: o ID da política de firewall hierárquica em que a regra de política de firewall está localizada.PRIORITY: a prioridade da regra da política de firewall.
Para mais informações, consulte o
método firewallPolicies.patchRule.
Ativar a geração de registros de regras da política de firewall para uma política de firewall de rede
Console
No console do Cloud de Confiance , acesse a página Políticas de firewall.
No menu do seletor de projetos, selecione o nome do projeto em que você criou a política de firewall de rede.
Na seção Políticas de firewall de rede, clique no nome da política em que você quer ativar o registro.
Na coluna Registros, determine se a geração de registros de regras da política de firewall está Desativada ou Ativada para cada regra.
Para ativar a geração de registros de uma regra de política de firewall de rede, clique na prioridade da regra e em Editar.
Na seção Registros, selecione Ativado.
Clique em Salvar.
gcloud
Para atualizar as regras da política de firewall de rede, use o
comando gcloud compute network-firewall-policies rules update:
gcloud compute network-firewall-policies rules update PRIORITY \
--firewall-policy= FIREWALL_POLICY \
--enable-logging
Substitua:
PRIORITY: a prioridade da regra da política de firewall a ser atualizada.FIREWALL_POLICY: o nome da política de firewall de rede em que a regra de política de firewall está localizada.
Para mais informações, consulte a documentação de referência do SDK.
Terraform
Use o recurso Terraform para criar uma regra de política de firewall com a geração de registros ativada.
resource "google_compute_firewall_policy_rule" "primary" {
firewall_policy = google_compute_firewall_policy.POLICY_ID
description = "Creates an ingress firewall policy rule with logging enabled"
priority = PRIORITY
enable_logging = true
action = "allow"
direction = "INGRESS"
disabled = false
match {
layer4_configs {
ip_protocol = "tcp"
ports = [8080]
}
layer4_configs {
ip_protocol = "udp"
ports = [22]
}
src_ip_ranges = ["SOURCE_IP_ADDRESS"]
}
}
Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.
API
Ative a geração de registros de regras da política de firewall para uma regra de política de firewall de rede.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewallPolicies/POLICY_ID/patchRule?priority=PRIORITY
{
"enableLogging": true,
}
Substitua:
PROJECT_ID: o ID do projeto em que a política de rede está localizada.POLICY_ID: o ID da política de firewall hierárquica em que a regra de política de firewall está localizada.PRIORITY: a prioridade da regra da política de firewall.
Para mais informações, consulte o
método networkFirewallPolicies.patchRule.
Desativar a geração de registros de regras da política de firewall de rede
Console
No console do Cloud de Confiance , acesse a página Políticas de firewall.
No menu do seletor de projetos, selecione o nome do projeto em que você criou a política de firewall de rede.
Na seção Políticas de firewall de rede, clique no nome da política em que você quer ativar o registro.
Na coluna Registros, determine se a geração de registros de regras da política de firewall está Desativada ou Ativada para cada regra.
Para desativar a geração de registros de uma regra de política de firewall de rede, clique na prioridade da regra e em Editar.
Na seção Registros, selecione Desativado.
Clique em Salvar.
gcloud
Para atualizar as regras da política de firewall de rede, use o
comando gcloud compute network-firewall-policies rules update:
gcloud compute network-firewall-policies rules update PRIORITY \
--firewall-policy= FIREWALL_POLICY \
--no-enable-logging
Substitua:
PRIORITY: a prioridade da regra da política de firewall a ser atualizada.FIREWALL_POLICY: o nome da política de firewall de rede em que a regra de política de firewall está localizada.
Para mais informações, consulte a documentação de referência do SDK.
API
Desativar a geração de registros de regras da política de firewall para uma regra de política de firewall hierárquica
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewallPolicies/POLICY_ID/patchRule?priority=PRIORITY
{
"enableLogging": false,
}
Substitua:
POLICY_ID: o ID da política de firewall hierárquica em que a regra de política de firewall está localizada.PRIORITY: a prioridade da regra da política de firewall.
Para mais informações, consulte o
método networkFirewallPolicies.patchRule.
Como visualizar registros
Os registros de regras de política de firewall são criados no projeto que hospeda a rede contendo as instâncias de VM e as regras de firewall. Com a VPC compartilhada, você cria instâncias de VM em projetos de serviço, mas elas usam uma rede VPC compartilhada localizada no projeto host. Nesses cenários, o projeto host armazena os registros de regras da política de firewall.
Para ver os registros de regras de política de firewall, use a seção "Análise de registros" do console Cloud de Confiance . Para mais informações, consulte Visualizar e analisar registros.
As consultas a seguir demonstram como pesquisar eventos de firewall específicos.
Ver todos os registros de firewall
Para conferir os registros de regras da política de firewall, use uma das seguintes opções.
Opção 1
No console do Cloud de Confiance , acesse a página Análise de registros.
Clique em Todos os recursos.
Na lista Selecionar recurso, clique em Sub-rede e em Aplicar.
Clique em Todos os nomes de registros e selecione firewall na lista.
Clique em Aplicar.
Opção 2
No console do Cloud de Confiance , acesse a página Análise de registros.
Cole o código a seguir no campo do editor de consultas.
resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Ffirewall"
Substitua
PROJECT_IDpela ID do seu projeto.Se você não vir o campo do editor de consultas, clique no botão Mostrar consulta.
Clique em Executar consulta.
Ver registros de sub-redes específicas
Para conferir os registros de regras da política de firewall de sub-redes específicas, use uma das seguintes opções.
Opção 1
No console do Cloud de Confiance , acesse a página Análise de registros.
Clique em Todos os recursos.
Na lista Selecionar recurso, clique em Sub-rede.
Selecione a sub-rede em que você quer ver os registros e clique em Aplicar.
Clique em Todos os nomes de registros e selecione firewall na lista.
Clique em Aplicar.
Opção 2
No console do Cloud de Confiance , acesse a página Análise de registros.
Cole o código a seguir no campo do editor de consultas.
resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Ffirewall" resource.labels.subnetwork_name="SUBNET_NAME"
Substitua:
PROJECT_ID: ID do projetoSUBNET_NAME: o nome da sub-rede
Se você não vir o campo do editor de consultas, clique no botão Mostrar consulta.
Clique em Executar consulta.
Ver registros em VMs específicas
Para conferir os registros de regras da política de firewall de VMs específicas, use uma das seguintes opções.
Opção 1
No console do Cloud de Confiance , acesse a página Análise de registros.
Clique em Todos os recursos.
Na lista Selecionar recurso, clique em Instância de VM.
Selecione a instância em que você quer ver os registros e clique em Aplicar.
Clique em Todos os nomes de registros e selecione firewall na lista.
Clique em Aplicar.
Opção 2
No console do Cloud de Confiance , acesse a página Análise de registros.
Cole o código a seguir no campo do editor de consultas.
resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Ffirewall" jsonPayload.instance.vm_name="INSTANCE_ID"
Substitua:
PROJECT_ID: ID do projetoINSTANCE_ID: o ID da VM para que você quer ver os registros.
Se você não vir o campo do editor de consultas, clique no botão Mostrar consulta.
Clique em Executar consulta.
Ver registros de conexões de um país específico
Para conferir os registros de regras de política de firewall de um país específico, faça o seguinte:
No console do Cloud de Confiance , acesse a página Análise de registros.
Cole o código a seguir no campo do editor de consultas.
resource.type="gce_subnetwork" logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Ffirewall" jsonPayload.remote_location.country=COUNTRY
Substitua:
PROJECT_ID: ID do projetoCOUNTRY: o código ISO 3166-1 alfa-3 do país para o qual você quer ver os registros
Se você não vir o campo do editor de consultas, clique no botão Mostrar consulta.
Clique em Executar consulta.
Exportar registros
Para exportar registros de regras de política de firewall, consulte Rotear registros para destinos compatíveis. Use as consultas de exemplo para restringir os registros exportados.
Tabela de interações
- No caso de comunicação de VM para VM, os registros podem ser gerados pelas duas VMs, dependendo das regras de firewall de cada uma.
- A conexão registrada inclui pacotes fluindo nos dois sentidos caso o pacote inicial tenha obtido permissão do firewall.
- Para uma determinada VM, as conexões de entrada são correspondidas às regras de firewall configuradas nela, e as conexões de saída são correspondidas à regra de firewall de saída configurada nessa VM.
- Uma conexão permitida que corresponde a uma regra de firewall com “permitir e gerar registros” é registrada apenas uma vez. A entrada de registro não é repetida a cada cinco segundos, mesmo que a conexão persista.
- Uma conexão negada que corresponde a uma regra de firewall com “negado e gerando registros” repete a entrada de registro a cada cinco segundos enquanto houver pacotes observados nessa conexão negada.
- Se você ativar a geração de registros em uma regra de firewall que corresponda a uma conexão TCP ou UDP já ativa, uma nova entrada de registro não será gerada. Uma entrada de registro só é criada se a conexão permanecer inativa por pelo menos 10 minutos e um novo pacote for enviado na mesma conexão. Para tráfego contínuo com períodos de inatividade menores que 10 minutos, apenas uma entrada de registro é gerada para a conexão.
Esta tabela mostra o comportamento de geração de registros de firewall pela perspectiva de uma única VM.
Em um cenário em que uma VM1 tem uma regra de entrada R1 que corresponde aos pacotes e uma regra de saída R2 que também corresponde aos pacotes, o comportamento de geração de registros de firewall é o seguinte:
| A VM1 tem a regra de entrada R1 (pacotes correspondentes) | A VM1 tem a regra de saída R2 (pacotes correspondentes) | Direção da conexão | Ação | Registro |
|---|---|---|---|---|
| Permitir + gerar registros | Permitir | Entrada | Permitir | Uma entrada de registro: disposição=permitir, regra=R1 |
| Negar | ||||
| Permitir + gerar registros | ||||
| Negar + gerar registros | ||||
| Permitir | Permitir | Entrada | Permitir | Sem geração de registros |
| Negar | ||||
| Permitir + gerar registros | ||||
| Negar + gerar registros | ||||
| Negar + gerar registros | N/A | Entrada | Negar | Uma entrada de registro a cada 5 segundos: disposição=negar, regra=R1 |
| Negar | N/A | Entrada | Negar | Sem geração de registros |
| Permitir | Permitir + gerar registros | Saída | Permitir | Uma entrada de registro: disposição=permitir, regra=R2 |
| Negar | ||||
| Permitir + gerar registros | ||||
| Negar + gerar registros | ||||
| Permitir | Permitir | Saída | Permitir | Sem geração de registros |
| Negar | ||||
| Permitir + gerar registros | ||||
| Negar + gerar registros | ||||
| N/A | Negar + gerar registros | Saída | Negar | Uma entrada de registro a cada 5 segundos: disposição=negar, regra=R2 |
| N/A | Negar | Saída | Negar | Sem geração de registros |
Observe que a entrada e a saída são simétricas.
Esta é a descrição detalhada da semântica dos registros de firewall:
Permitir + gerar registros (a geração de registros é compatível somente com TCP e UDP)
- A conexão iniciada na direção à qual a regra se aplica faz com que um único registro seja criado.
- O tráfego de resposta é permitido devido ao rastreamento de conexão. O tráfego de resposta não faz com que a geração de registros ocorra, independentemente das regras de firewall da VPC nessa direção.
- Se a conexão expirar a partir do firewall (inativa por 10 minutos ou TCP RST recebido), outro pacote em qualquer direção poderá acionar a geração de registros.
- A geração de registros é baseada em cinco tuplas. Os flags TCP não afetam o comportamento de geração de registros.
Negar + gerar registros (a geração de registros é compatível somente com TCP e UDP)
- Os pacotes são descartados (não é iniciada nenhuma conexão).
- Cada pacote que corresponde a um hash de cinco tuplas único é registrado como uma tentativa de conexão com falha.
- O mesmo hash de cinco tuplas é registrado novamente a cada cinco segundos caso continue recebendo pacotes.