Durch das Logging der Firewallregeln können Sie die Auswirkungen Ihrer Firewallregeln im Blick behalten, prüfen und analysieren. Sie können beispielsweise feststellen, ob eine Firewallregel, die Traffic abweisen soll, wie vorgesehen funktioniert. Das Logging von Firewallregeln ist auch nützlich, wenn Sie ermitteln müssen, wie viele Verbindungen von einer bestimmten Firewallregel betroffen sind.
Sie aktivieren das Logging von Firewallregeln für jede Firewallregel, deren Verbindungen Sie protokollieren möchten. Die Option des Loggings von Firewallregeln kann für jede Firewallregel unabhängig von der Aktion (allow oder deny) oder der Richtung (eingehend oder ausgehend) genutzt werden.
Das Logging von Firewallregeln protokolliert den Traffic von und zu VM-Instanzen von Compute Engine. Dies umfasst Trusted Cloud by S3NS Produkte, die auf Compute Engine-VMs basieren, z. B. GKE-Cluster (Google Kubernetes Engine) und Instanzen für flexible App Engine-Umgebungen.
Wenn Sie das Logging für eine Firewallregel aktivieren, erstellt Trusted Cloud by S3NS jedes Mal, wenn die Regel Traffic zulässt oder ablehnt, einen sogenannten Verbindungseintrag. Sie können sich diese Einträge in Cloud Logging ansehen und Logs an ein beliebiges Ziel exportieren, das vom Cloud Logging-Export unterstützt wird.
Jeder Verbindungseintrag enthält die folgenden Angaben: IP-Adressen der Quelle und des Ziels, Protokoll, Ports, Datum und Uhrzeit sowie einen Verweis auf die für den Traffic gültige Firewallregel.
Das Firewallregel-Logging ist sowohl für VPC-Firewallregeln als auch für hierarchische Firewallrichtlinien verfügbar.
Informationen zum Anzeigen von Logs finden Sie unter Logging zu Firewallregeln verwenden.
Spezifikationen
Für das Logging von Firewallregeln gelten die folgenden Spezifikationen:
Das Logging von Firewallregeln kann für Folgendes aktiviert werden:
Firewallregeln in hierarchischen Firewallrichtlinien, globalen Netzwerk-Firewallrichtlinien und regionalen Netzwerk-Firewallrichtlinien, die mit einem regulären VPC-Netzwerk verknüpft sind.
VPC-Firewallregeln in einem regulären VPC-Netzwerk.
Firewallregeln in regionalen Netzwerk-Firewallrichtlinien, die mit einem RoCE-VPC-Netzwerk verknüpft sind.
Das Logging von Firewallregeln unterstützt Folgendes nicht:
VPC-Firewallregeln in Legacy-Netzwerken.
Implizierte Regeln zum Ablehnen von eingehendem Traffic und zum Zulassen von ausgehendem Traffic eines regulären VPC-Netzwerk.
Implizierte Regeln zum Zulassen von eingehendem und ausgehendem Traffic eines RoCE-VPC-Netzwerk.
Das Logging von Firewallregeln erfasst nur TCP- und UDP-Verbindungen. Sie können zwar Firewallregeln erstellen, die für andere Protokolle gelten, aber ihre Verbindungen können nicht im Log erfasst werden.
Logeinträge werden aus der Perspektive von VMs geschrieben. Logeinträge werden nur erstellt, wenn Logging für eine Firewallregel aktiviert ist und wenn die Regel für Traffic gilt, der an die VM oder von der VM gesendet wird. Einträge werden entsprechend den für Verbindungs-Logging gültigen Beschränkungen auf Best-Effort-Basis erstellt.
Anzahl der Verbindungen, die beim Logging von Firewallregeln pro Zeiteinheit protokolliert werden können:
Basierend auf dem Maschinentyp für reguläre VPC-Netzwerke.
Hängt von der Überwachungs- oder Logging-Aktion der Firewallregel ab für RoCE-VPC-Netzwerke.
Änderungen an Firewallregeln können in VPC-Audit-Logs eingesehen werden.
Firewall-Logformat
Je nach den Spezifikationen wird in Cloud Logging für jede Firewallregel mit aktiviertem Logging ein Logeintrag erstellt, wenn die Regel auf Traffic an oder von VM-Instanzen zutrifft. Logeinträge werden im JSON-Nutzlastfeld eines Logging-LogEntry erfasst.
Logdatensätze umfassen Basisfelder – die wichtigsten Felder jedes Logeintrags – sowie Metadatenfelder, die zusätzliche Informationen enthalten. Sie können steuern, ob Metadatenfelder enthalten sind. Wenn Sie sie weglassen, können Sie Speicherkosten sparen.
Einige Logfelder unterstützen Werte, die auch Felder sind. Diese Felder können mehrere Daten in einem bestimmten Feld enthalten. Das Feld connection hat beispielsweise das Format IpConnection. Dieses Format enthält die Quell- und Ziel-IP-Adresse sowie Protokoll und Port in einem einzigen Feld. Diese Felder werden in den folgenden Tabellen beschrieben.
| Feld | Beschreibung | Feldtyp: Basis- oder optionale Metadaten |
|---|---|---|
| Verbindung | IpConnection
5-Tupel, das die Quell- und Ziel-IP-Adresse, den Quell- und Zielport und das IP-Protokoll dieser Verbindung beschreibt. |
Basis |
| disposition | String Gibt an, ob die Verbindung ALLOWED oder DENIED war. |
Basis |
| rule_details | RuleDetails Details zur Regel, die auf diese Verbindung angewendet wurde. |
|
Feld rule_details.reference |
Basis | |
| Weitere Felder für Regeldetails | Metadaten | |
| instance | InstanceDetails
Details zur VM-Instanz. In einer freigegebenen VPC-Konfiguration entspricht project_id der ID des Dienstprojekts. |
Metadaten |
| vpc | VpcDetails
Details zum VPC-Netzwerk. In einer freigegebenen VPC-Konfiguration entspricht die project_id der des Hostprojekts. |
Metadaten |
| remote_instance | InstanceDetails Wenn der Remote-Endpunkt der Verbindung eine VM in Compute Engine war, wird dieses Feld mit VM-Instanzdetails gefüllt. |
Metadaten |
| remote_vpc | VpcDetails Wenn der Remote-Endpunkt der Verbindung eine VM in einem VPC-Netzwerk war, wird dieses Feld mit den Netzwerkdetails gefüllt. |
Metadaten |
| remote_location | GeographicDetails
Wenn der Remote-Endpunkt der Verbindung außerhalb des VPC-Netzwerks lag, enthält dieses Feld verfügbare Standortmetadaten. |
Metadaten |
IpConnection
| Feld | Typ | Beschreibung |
|---|---|---|
| src_ip | String | IP-Adresse der Quelle: Wenn die Quelle eine Compute Engine-VM ist, ist src_ip entweder die primäre interne IP-Adresse oder eine Adresse in einem Alias-IP-Bereich der Netzwerkschnittstelle einer VM. Die externe IP-Adresse wird nicht angegeben. Logging zeigt die IP-Adresse der VM aus Sicht der VM im Paketheader. Dieselbe IP-Adresse wird angezeigt, wenn Sie einen TCP-Dump für die VM ausführen. |
| src_port | Ganzzahl | Quellport |
| dest_ip | String | IP-Adresse des Ziels. Wenn das Ziel eine Trusted Cloud VM ist, ist dest_ip entweder die primäre interne IP-Adresse oder eine Adresse in einem Alias-IP-Bereich der Netzwerkschnittstelle der VM. Die externe IP-Adresse wird nicht angegeben, auch wenn sie zur Herstellung der Verbindung verwendet wurde. |
| dest_port | Ganzzahl | Zielport |
| protocol | Ganzzahl | IP-Protokoll der Verbindung |
RuleDetails
| Feld | Typ | Beschreibung |
|---|---|---|
| Referenz | String | Verweis auf die Firewallregel; Format:"network:{network name}/firewall:{firewall_name}" |
| Priorität | Ganzzahl | Die Priorität für die Firewallregel |
| Aktion | String | ALLOW oder DENY |
| source_range[ ] | String | Liste der Quellbereiche, für die die Firewallregel gilt |
| destination_range[ ] | String | Liste der Zielbereiche, für die die Firewallregel gilt |
| ip_port_info[ ] | IpPortDetails | Liste der IP-Protokolle und anwendbaren Portbereiche für Regeln |
| direction | String | Die Richtung, die die Firewallregel anwendet (eingehender oder ausgehender Traffic) |
| source_tag[ ] | String | Liste aller Quelltags, auf die die Firewallregel angewendet wird |
| target_tag[ ] | String | Liste aller Zieltags, auf die die Firewallregel angewendet wird |
| source_service_account[ ] | String | Liste aller Quelldienstkonten, auf die die Firewallregel angewendet wird |
| target_service_account[ ] | String | Liste aller Zieldienstkonten, auf die die Firewallregel angewendet wird |
| source_region_code[ ] | String | Liste aller Quell-Ländercodes, auf die die Firewallregel angewendet wird. |
| destination_region_code[ ] | String | Liste aller Ziel-Ländercodes, auf die die Firewallregel angewendet wird. |
| source_fqdn[ ] | String | Liste aller Quelldomainnamen, auf die die Firewallregel angewendet wird. |
| destination_fqdn[ ] | String | Liste aller Zieldomainnamen, auf die die Firewallregel angewendet wird. |
| source_address_groups[ ] | String | Liste aller Quelladressgruppen, auf die die Firewallregel angewendet wird. |
| destination_address_groups[ ] | String | Liste aller Zieladressgruppen, auf die die Firewallregel angewendet wird. |
IpPortDetails
| Feld | Typ | Beschreibung |
|---|---|---|
| ip_protocol | String | IP-Protokoll, für das die Firewallregel gilt. "ALL", wenn sie für alle Protokolle gilt. |
| port_range[ ] | String | Liste der anwendbaren Portbereiche für Regeln, zum Beispiel 8080-9090. |
InstanceDetails
| Feld | Typ | Beschreibung |
|---|---|---|
| project_id | String | ID des Projekts, das die VM enthält |
| vm_name | String | Instanzname der VM |
| Region | String | Region der VM |
| Zone | String | Zone der VM |
VpcDetails
| Feld | Typ | Beschreibung |
|---|---|---|
| project_id | String | ID des Projekts, das das Netzwerk enthält |
| vpc_name | String | Netzwerk, in dem die VM ausgeführt wird |
| subnetwork_name | String | Subnetz, in dem die VM ausgeführt wird |
GeographicDetails
| Feld | Typ | Beschreibung |
|---|---|---|
| continent | String | Kontinent für externe Endpunkte |
| Land | String | Land für externe Endpunkte |
| Region | String | Region für externe Endpunkte |
| Ort | String | Stadt für externe Endpunkte |
Nächste Schritte
- Mehr zum Einrichten von Logging und zur Anzeige von Logs finden Sie unter Firewallregel-Logging verwenden.
- Informationen dazu, wie Ihre Firewallregeln verwendet werden, finden Sie unter Firewall Insights.
- Mehr zum Speichern, Suchen, Analysieren und Beobachten von Logdaten und Ereignissen finden Sie unter Cloud Logging.
- Informationen zum Weiterleiten von Logeinträgen finden Sie unter Senken konfigurieren und verwalten.