Logging aturan firewall VPC memungkinkan Anda mengaudit, memverifikasi, dan menganalisis efek aturan firewall Anda. Misalnya, Anda dapat menentukan apakah aturan firewall yang dirancang untuk menolak traffic berfungsi sebagaimana mestinya. Logging aturan firewall VPC juga berguna jika Anda perlu menentukan jumlah koneksi yang terpengaruh oleh aturan firewall tertentu.
Anda mengaktifkan logging aturan firewall VPC satu per satu untuk setiap aturan firewall yang koneksinya perlu Anda catat. Pencatatan log aturan firewall VPC adalah opsi untuk setiap aturan firewall, terlepas dari tindakan (allow atau deny) atau arah (masuk atau keluar) aturan tersebut.
Logging aturan firewall VPC mencatat traffic ke dan dari instance virtual machine (VM) Compute Engine. Hal ini mencakup Cloud de Confiance by S3NS produk yang dibangun di VM Compute Engine, seperti cluster Google Kubernetes Engine (GKE) dan instance lingkungan fleksibel App Engine.
Saat Anda mengaktifkan logging untuk aturan firewall, Cloud de Confiance by S3NS akan membuat entri yang disebut catatan koneksi setiap kali aturan mengizinkan atau menolak traffic. Anda dapat melihat catatan ini di Cloud Logging, dan mengekspor log ke tujuan mana pun yang didukung oleh ekspor Cloud Logging.
Setiap kumpulan data koneksi berisi alamat IP sumber dan tujuan, protokol dan port, tanggal dan waktu, serta referensi ke aturan firewall yang diterapkan pada traffic.
Logging aturan firewall VPC tersedia untuk aturan firewall VPC dan kebijakan firewall hierarkis.
Untuk mengetahui informasi tentang cara melihat log, lihat Menggunakan logging aturan firewall VPC.
Spesifikasi
Logging aturan firewall VPC memiliki spesifikasi berikut:
Logging aturan firewall VPC dapat diaktifkan untuk hal berikut:
Aturan firewall dalam kebijakan firewall hierarkis, kebijakan firewall sistem regional, kebijakan firewall jaringan global, dan kebijakan firewall jaringan regional yang terkait dengan jaringan VPC reguler.
Aturan firewall VPC di jaringan VPC reguler.
Aturan firewall dalam kebijakan firewall jaringan regional yang dikaitkan dengan jaringan VPC RoCE.
Logging aturan firewall VPC tidak mendukung hal berikut:
Aturan firewall VPC di Jaringan lama.
Aturan tolak traffic masuk yang tersirat dan aturan izinkan traffic keluar yang tersirat dari jaringan VPC reguler.
Aturan izin masuk dan keluar implisit jaringan VPC RoCE.
Logging aturan firewall VPC hanya mencatat koneksi TCP dan UDP. Meskipun Anda dapat membuat aturan firewall yang berlaku untuk protokol lain, Anda tidak dapat mencatat koneksinya.
Entri log ditulis dari perspektif VM. Entri log hanya dibuat jika aturan firewall mengaktifkan logging dan jika aturan berlaku untuk traffic yang dikirim ke atau dari VM. Entri dibuat sesuai dengan batas logging koneksi berdasarkan upaya terbaik.
Logging aturan firewall VPC membuat entri log hanya saat koneksi dibuat. Tidak mencatat setiap paket. Entri koneksi UDP tetap aktif selama paket dipertukarkan setidaknya sekali setiap 10 menit. Setiap paket masuk atau keluar berikutnya akan mereset timer tidak ada aktivitas, sehingga memperpanjang koneksi selama 10 menit lagi. Akibatnya, aliran traffic UDP yang konstan hanya menghasilkan satu entri log selama seluruh durasinya. Jika Anda memerlukan visibilitas berkelanjutan ke aliran aktif yang berjalan lama tanpa periode tidak ada aktivitas, gunakan VPC Flow Logs.
Jumlah koneksi yang dapat dicatat oleh logging aturan firewall VPC per unit waktu:
Berdasarkan jenis mesin untuk jaringan VPC reguler.
Bergantung pada tindakan pemantauan atau logging aturan firewall untuk jaringan VPC RoCE.
Perubahan pada aturan firewall dapat dilihat di log audit VPC.
Batasan
Saat Anda menggunakan tindakan
apply_security_profile_groupdengan logging diaktifkan, Cloud NGFW tidak mencatat log semua sesi. Batasan ini tidak memengaruhi pemeriksaan atau penyadapan traffic.Jika Anda mengaktifkan logging untuk aturan firewall yang cocok dengan koneksi TCP atau UDP yang ada, entri log tidak akan dibuat untuk koneksi aktif tersebut. Pencatatan untuk koneksi ini hanya dimulai setelah koneksi tersebut tidak aktif selama setidaknya 10 menit.
Format log firewall
Tunduk pada spesifikasi, entri log dibuat di Cloud Logging untuk setiap aturan firewall yang mengaktifkan logging jika aturan tersebut berlaku untuk traffic ke atau dari instance VM. Kumpulan data log disertakan dalam kolom payload JSON dari LogEntry Logging.
Data log berisi kolom dasar, yang merupakan kolom inti dari setiap data log, dan kolom metadata yang menambahkan informasi tambahan. Anda dapat mengontrol apakah kolom metadata disertakan. Jika Anda menghilangkannya, Anda dapat menghemat biaya penyimpanan.
Beberapa kolom log mendukung nilai yang juga merupakan kolom. Kolom ini dapat memiliki lebih dari satu data dalam kolom tertentu. Misalnya, kolom connection memiliki format IpConnection, yang berisi alamat IP dan port sumber dan tujuan, serta protokol, dalam satu kolom. Kolom-kolom ini dijelaskan dalam tabel berikut.
| Kolom | Deskripsi | Jenis kolom: metadata dasar atau opsional |
|---|---|---|
| koneksi | IpConnection 5-Tuple yang menjelaskan alamat IP sumber dan tujuan, port sumber dan tujuan, serta protokol IP koneksi ini. |
Dasar |
| disposisi | string Menunjukkan apakah koneksi ALLOWED atau
DENIED. |
Dasar |
| rule_details | RuleDetails Detail aturan yang diterapkan pada koneksi ini. |
|
Kolom rule_details.reference |
Dasar | |
| Kolom detail aturan lainnya | Metadata | |
| instance | InstanceDetails Detail instance VM. Dalam konfigurasi VPC Bersama, project_id berkorespondensi dengan project layanan. |
Metadata |
| load_balancer_details | LoadBalancingDetails Detail Load Balancer Aplikasi internal atau Load Balancer Jaringan proxy internal yang menerapkan aturan firewall. Jika target aturan firewall adalah salah satu load balancer ini, kolom instance akan dihilangkan. |
Metadata |
| vpc | VpcDetails Detail jaringan VPC. Dalam konfigurasi VPC Bersama, project_id berkorespondensi dengan project host. |
Metadata |
| remote_instance | InstanceDetails Jika endpoint jarak jauh koneksi adalah VM yang berada di Compute Engine, kolom ini akan diisi dengan detail instance VM. |
Metadata |
| remote_vpc | VpcDetails Jika endpoint jarak jauh koneksi adalah VM yang berada di jaringan VPC, kolom ini akan diisi dengan detail jaringan. |
Metadata |
| remote_location | GeographicDetails Jika endpoint jarak jauh koneksi berada di luar jaringan VPC, kolom ini akan diisi dengan metadata lokasi yang tersedia. |
Metadata |
IpConnection
| Kolom | Jenis | Deskripsi |
|---|---|---|
| src_ip | string | Alamat IP sumber. Jika sumbernya adalah VM Compute Engine,
src_ip adalah alamat IP internal utama atau alamat
dalam rentang IP alias antarmuka jaringan VM. Alamat IP eksternal tidak ditampilkan. Logging menampilkan alamat IP VM sebagaimana yang dilihat VM di header paket, sama seperti jika Anda menjalankan TCP dump di VM. |
| src_port | integer | Port sumber |
| dest_ip | string | Alamat IP tujuan. Jika tujuannya adalah Cloud de Confiance VM,
dest_ip adalah alamat IP internal utama atau alamat
dalam rentang IP alias antarmuka jaringan VM. Alamat IP eksternal tidak ditampilkan meskipun digunakan untuk membuat koneksi. |
| dest_port | integer | Port tujuan |
| protokol | integer | Protokol IP koneksi |
RuleDetails
| Kolom | Jenis | Deskripsi |
|---|---|---|
| referensi | string | Referensi ke aturan firewall; format:"network:{network name}/firewall:{firewall_name}" |
| priority | integer | Prioritas untuk aturan firewall. |
| tindakan | string | IZINKAN atau TOLAK |
| source_range[ ] | string | Daftar rentang sumber yang menerapkan aturan firewall. |
| destination_range[ ] | string | Daftar rentang tujuan tempat aturan firewall berlaku. |
| ip_port_info[ ] | IpPortDetails | Daftar protokol IP dan rentang port yang berlaku untuk aturan. |
| direction | string | Arah penerapan aturan firewall (masuk atau keluar). |
| source_tag[ ] | string | Daftar semua tag sumber yang berlaku untuk aturan firewall. |
| target_tag[ ] | string | Daftar semua tag target tempat berlakunya aturan firewall. |
| source_service_account[ ] | string | Daftar semua akun layanan sumber yang berlaku untuk aturan firewall. |
| target_service_account[ ] | string | Daftar semua akun layanan target yang menjadi cakupan aturan firewall. |
| source_region_code[ ] | string | Daftar semua kode negara sumber yang menjadi cakupan aturan firewall. |
| destination_region_code[ ] | string | Daftar semua kode negara tujuan yang aturan firewallnya berlaku. |
| source_fqdn[ ] | string | Daftar semua nama domain sumber tempat aturan firewall diterapkan. |
| destination_fqdn[ ] | string | Daftar semua nama domain tujuan yang aturan firewallnya berlaku. |
| source_address_groups[ ] | string | Daftar semua grup alamat sumber yang menjadi cakupan aturan firewall. |
| destination_address_groups[ ] | string | Daftar semua grup alamat tujuan yang menjadi cakupan aturan firewall. |
IpPortDetails
| Kolom | Jenis | Deskripsi |
|---|---|---|
| ip_protocol | string | Protokol IP yang menerapkan aturan firewall. "ALL" jika berlaku untuk semua protokol. |
| port_range[ ] | string | Daftar rentang port yang berlaku untuk aturan; misalnya, 8080-9090. |
InstanceDetails
| Kolom | Jenis | Deskripsi |
|---|---|---|
| project_id | string | ID project yang berisi VM |
| vm_name | string | Nama instance VM |
| region | string | Region VM |
| zona | string | Zona VM |
LoadBalancingDetails
| Kolom | Jenis | Deskripsi |
|---|---|---|
| forwarding_rule_project_id | string | ID projectCloud de Confiance by S3NS yang berisi aturan penerusan. |
| jenis | string | Jenis load balancer: APPLICATION_LOAD_BALANCER menunjukkan
Load Balancer Aplikasi internal. PROXY_NETWORK_LOAD_BALANCER menunjukkan
Load Balancer Jaringan proxy internal. |
| skema | string | Skema load balancer, INTERNAL_MANAGED. |
| url_map_name | string | Nama peta URL. Hanya diisi jika type
adalah APPLICATION_LOAD_BALANCER. |
| forwarding_rule_name | string | Nama aturan penerusan. |
VpcDetails
| Kolom | Jenis | Deskripsi |
|---|---|---|
| project_id | string | ID project yang berisi jaringan |
| vpc_name | string | Jaringan tempat VM beroperasi |
| subnetwork_name | string | Subnet tempat VM beroperasi |
GeographicDetails
| Kolom | Jenis | Deskripsi |
|---|---|---|
| benua | string | Benua untuk endpoint eksternal |
| country | string | Negara untuk endpoint eksternal |
| region | string | Region untuk endpoint eksternal |
| city | string | Kota untuk endpoint eksternal |
Langkah berikutnya
- Untuk menyiapkan logging dan melihat log, lihat Menggunakan logging aturan firewall VPC.
- Untuk mendapatkan insight tentang penggunaan aturan firewall Anda, lihat Analisis Firewall.
- Untuk menyimpan, menelusuri, menganalisis, memantau, dan mengirim peringatan tentang data dan peristiwa log, lihat Cloud Logging.
- Untuk merutekan entri log, lihat Merutekan log ke tujuan yang didukung.