Il logging delle regole del firewall consente di controllare, verificare e analizzare gli effetti delle regole del firewall. Ad esempio, puoi determinare se una regola firewall progettata per negare il traffico funziona come previsto. Il logging delle regole firewall è utile anche se devi determinare quante connessioni sono interessate da una determinata regola firewall.
Attiva il logging delle regole firewall singolarmente per ogni regola firewall
le cui connessioni devi registrare. Il logging delle regole firewall è un'opzione
per qualsiasi regola firewall, indipendentemente dall'azione (allow o deny) o dalla direzione
(in entrata o in uscita) della regola.
Il logging delle regole firewall registra il traffico da e verso le istanze di macchine virtuali (VM) Compute Engine. Sono inclusi i prodotti basati su VM di Compute Engine, come i cluster Google Kubernetes Engine (GKE) e le istanze dell'ambiente flessibile di App Engine. Trusted Cloud by S3NS
Quando abiliti la registrazione per una regola firewall, Trusted Cloud by S3NS crea una voce chiamata record di connessione ogni volta che la regola consente o nega il traffico. Puoi visualizzare questi record in Cloud Logging ed esportare i log in qualsiasi destinazione supportata dalle funzionalità di esportazione di Cloud Logging.
Ogni record di connessione contiene gli indirizzi IP di origine e di destinazione, il protocollo e le porte, la data e l'ora e un riferimento alla regola firewall che è stata applicata al traffico.
La registrazione delle regole firewall è disponibile sia per le regole firewall VPC sia per i criteri firewall gerarchici.
Per informazioni sulla visualizzazione dei log, vedi Utilizzare il logging delle regole firewall.
Specifiche
Il logging delle regole firewall presenta le seguenti specifiche:
Il logging delle regole firewall può essere attivato per:
Regole firewall nei criteri firewall gerarchici, nei criteri firewall di rete globali e nei criteri firewall di rete regionali associati a una rete VPC standard.
Regole firewall VPC in una rete VPC normale.
Regole firewall nei criteri firewall di rete regionali associati a una rete VPC RoCE.
Il logging delle regole firewall non supporta quanto segue:
Regole firewall VPC nelle reti legacy.
Regole di traffico in entrata implicito e di traffico in uscita implicito di una rete VPC standard.
Regole implicite di consenso del traffico in entrata e in uscita di una rete VPC RoCE.
Il logging delle regole firewall registra solo le connessioni TCP e UDP. Anche se puoi creare una regola firewall che si applichi ad altri protocolli, non puoi registrare le loro connessioni.
Le voci di log vengono scritte dal punto di vista delle VM. Le voci di log vengono create solo se una regola firewall ha la registrazione abilitata e se la regola si applica al traffico inviato alla VM o proveniente dalla VM. Le voci vengono create in base ai limiti di logging delle connessioni secondo il criterio del best effort.
Il numero di connessioni che il logging delle regole firewall può registrare per unità di tempo:
È basato sul tipo di macchina per le reti VPC standard.
Dipende dall'azione di monitoraggio o logging della regola firewall per le reti VPC RoCE.
Le modifiche alle regole firewall possono essere visualizzate nei log di controllo VPC.
Formato dei log del firewall
In base alle specifiche, in Cloud Logging viene creata una voce di log per ogni regola firewall per cui è abilitata la registrazione se la regola si applica al traffico da o verso un'istanza VM. I record di log sono inclusi nel campo del payload JSON di una voce di log LogEntry.
I record di log contengono campi di base, che sono i campi principali di ogni record di log, e campi di metadati che aggiungono informazioni aggiuntive. Puoi controllare se includere i campi dei metadati. Se li ometti, puoi risparmiare sui costi di archiviazione.
Alcuni campi di log supportano valori che sono anche campi. Questi campi possono contenere più
di un dato in un determinato campo. Ad esempio, il campo connection è
nel formato IpConnection, che contiene l'indirizzo IP e la porta di origine e di destinazione, oltre al protocollo, in un unico campo. Questi campi sono descritti nelle tabelle seguenti.
| Campo | Descrizione | Tipo di campo: metadati di base o facoltativi |
|---|---|---|
| connessione | IpConnection 5 tuple che descrivono l'indirizzo IP di origine e di destinazione, la porta di origine e di destinazione e il protocollo IP di questa connessione. |
Livelli |
| disposizione | stringa Indica se la connessione è stata ALLOWED o
DENIED. |
Livelli |
| rule_details | RuleDetails Dettagli della regola applicata a questa connessione. |
|
Campo rule_details.reference |
Livelli | |
| Altri campi dei dettagli della regola | Metadati | |
| istanza | InstanceDetails Dettagli dell'istanza VM. In una configurazione del VPC condiviso, project_id corrisponde a quello del progetto di servizio. |
Metadati |
| vpc | VpcDetails Dettagli rete VPC. In una configurazione del VPC condiviso, project_id corrisponde a quello del progetto host. |
Metadati |
| remote_instance | InstanceDetails Se l'endpoint remoto della connessione era una VM situata in Compute Engine, questo campo viene compilato con i dettagli dell'istanza VM. |
Metadati |
| remote_vpc | VpcDetails Se l'endpoint remoto della connessione era una VM che si trova in una rete VPC, questo campo viene compilato con i dettagli della rete. |
Metadati |
| remote_location | GeographicDetails Se l'endpoint remoto della connessione era esterno alla rete VPC, questo campo viene compilato con i metadati di località disponibili. |
Metadati |
IpConnection
| Campo | Tipo | Descrizione |
|---|---|---|
| src_ip | string | Indirizzo IP di origine. Se l'origine è una VM Compute Engine,
src_ip è l'indirizzo IP interno primario o un indirizzo
in un intervallo IP alias dell'interfaccia di rete della VM. L'indirizzo IP
esterno non viene mostrato. La registrazione mostra l'indirizzo IP della VM
come viene visualizzato nell'intestazione del pacchetto, come se avessi eseguito TCP dump sulla VM. |
| src_port | integer | Porta di origine |
| dest_ip | string | Indirizzo IP di destinazione. Se la destinazione è una VM,
dest_ip è l'indirizzo IP interno principale o un indirizzo
in un intervallo IP alias dell'interfaccia di rete della VM. Trusted Cloud L'indirizzo IP esterno non viene mostrato anche se è stato utilizzato per stabilire la connessione. |
| dest_port | integer | Porta di destinazione |
| protocollo | integer | Protocollo IP della connessione |
RuleDetails
| Campo | Tipo | Descrizione |
|---|---|---|
| riferimento | string | Riferimento alla regola firewall; formato:"network:{network name}/firewall:{firewall_name}" |
| priorità | integer | La priorità della regola firewall. |
| azione | string | ALLOW o DENY |
| source_range[ ] | string | Elenco degli intervalli di origine a cui si applica la regola firewall. |
| destination_range[ ] | string | Elenco degli intervalli di destinazione a cui si applica la regola firewall. |
| ip_port_info[ ] | IpPortDetails | Elenco dei protocolli IP e degli intervalli di porte applicabili per le regole. |
| direction | string | La direzione a cui si applica la regola firewall (in entrata o in uscita). |
| source_tag[ ] | string | Elenco di tutti i tag di origine a cui si applica la regola firewall. |
| target_tag[ ] | string | Elenco di tutti i tag di destinazione a cui si applica la regola firewall. |
| source_service_account[ ] | string | Elenco di tutti i service account di origine a cui si applica la regola firewall. |
| target_service_account[ ] | string | Elenco di tutti gli account di servizio di destinazione a cui si applica la regola firewall. |
| source_region_code[ ] | string | Elenco di tutti i codici paese di origine a cui si applica la regola firewall. |
| destination_region_code[ ] | string | Elenco di tutti i codici paese di destinazione a cui si applica la regola firewall. |
| source_fqdn[ ] | string | Elenco di tutti i nomi di dominio di origine a cui si applica la regola firewall. |
| destination_fqdn[ ] | string | Elenco di tutti i nomi di dominio di destinazione a cui si applica la regola firewall. |
| source_address_groups[ ] | string | Elenco di tutti i gruppi di indirizzi di origine a cui si applica la regola firewall. |
| destination_address_groups[ ] | string | Elenco di tutti i gruppi di indirizzi di destinazione a cui si applica la regola firewall. |
IpPortDetails
| Campo | Tipo | Descrizione |
|---|---|---|
| ip_protocol | string | Il protocollo IP a cui si applica la regola firewall. "ALL" se si applica a tutti i protocolli. |
| port_range[ ] | string | Elenco degli intervalli di porte applicabili per le regole; ad esempio, 8080-9090. |
InstanceDetails
| Campo | Tipo | Descrizione |
|---|---|---|
| project_id | string | ID del progetto contenente la VM |
| vm_name | string | Nome istanza della VM |
| regione | string | Regione della VM |
| zona | string | Zona della VM |
VpcDetails
| Campo | Tipo | Descrizione |
|---|---|---|
| project_id | string | ID del progetto contenente la rete |
| vpc_name | string | La rete su cui opera la VM |
| subnetwork_name | string | La subnet su cui opera la VM |
GeographicDetails
| Campo | Tipo | Descrizione |
|---|---|---|
| continent | string | Continente per gli endpoint esterni |
| country | string | Paese per gli endpoint esterni |
| regione | string | Regione per gli endpoint esterni |
| city | string | Città per gli endpoint esterni |
Passaggi successivi
- Per configurare la registrazione e visualizzare i log, vedi Utilizzare il logging delle regole firewall.
- Per ottenere informazioni sull'utilizzo delle regole firewall, consulta Firewall Insights.
- Per archiviare, cercare, analizzare, monitorare e creare avvisi su dati ed eventi di log, consulta Cloud Logging.
- Per eseguire il routing delle voci di log, vedi Configurare e gestire i sink.