防火牆規則記錄

您可以根據防火牆規則記錄，進一步稽核、驗證及分析防火牆規則的成效。舉例來說，您可以判斷專門用於拒絕流量的防火牆規則是否如預期運作。需要瞭解特定防火牆規則影響的連線數量時，這項功能也能派上用場。

您必須為需要記錄連線的每項防火牆規則，個別啟用防火牆規則記錄。無論規則的動作 (allow 或 deny) 或方向 (輸入或輸出) 為何，防火牆規則記錄功能都是任何防火牆規則的選項。

防火牆規則記錄功能會記錄Compute Engine 虛擬機器 (VM) 執行個體的往來流量。包括在 Compute Engine VM 上建構的產品，例如 Google Kubernetes Engine (GKE) 叢集和 App Engine 彈性環境執行個體。 Trusted Cloud by S3NS

啟用防火牆規則記錄後，每當規則允許或拒絕流量時， Trusted Cloud by S3NS 就會建立稱為「連線記錄」的項目。您可以在 Cloud Logging 中查看這些記錄，並將記錄檔匯出至 Cloud Logging 匯出功能支援的任何目的地。

每項連線記錄都會包含來源和目標 IP 位址、通訊協定和通訊埠、日期和時間，以及流量所套用防火牆規則的參照。

防火牆規則記錄功能適用於虛擬私有雲防火牆規則和階層式防火牆政策。

如要瞭解如何查看記錄，請參閱「使用防火牆規則記錄」一文。

規格

防火牆規則記錄適用的規範如下：

您可以為下列項目啟用防火牆規則記錄功能：
- 與一般虛擬私有雲網路相關聯的階層式防火牆政策、全域網路防火牆政策和區域網路防火牆政策中的防火牆規則。
- 一般虛擬私有雲網路中的虛擬私有雲防火牆規則。
- 與 RoCE 虛擬私有雲網路相關聯的區域網路防火牆政策中的防火牆規則。
防火牆規則記錄不支援下列項目：
- 舊版網路中的虛擬私有雲防火牆規則。
- 一般虛擬私有雲網路的默示拒絕輸入和默示允許輸出規則。
- RoCE 虛擬私有雲網路的默示允許輸入和輸出規則。
防火牆規則記錄只會記錄 TCP 和 UDP 連線。您可以建立其他通訊協定適用的防火牆規則，但無法記錄這類連線。
記錄項目是以 VM 的角度寫成。只有在防火牆規則已啟用記錄，且該規則套用至 VM 傳送或接收的流量時，系統才會建立記錄項目。系統會盡可能根據連線記錄限制建立記錄項目。
防火牆規則記錄功能每單位時間可記錄的連線數：
- 一般虛擬私有雲網路的費用取決於機器類型。
- 取決於 RoCE 虛擬私有雲網路的防火牆規則監控或記錄動作。
您可以在 VPC 稽核記錄中查看防火牆規則的變更。

如果防火牆規則套用至 VM 執行個體的流量，且已啟用記錄功能，系統就會在 Cloud Logging 中為該規則建立記錄項目 (須符合規格)。記錄記錄會納入 Logging LogEntry 的 JSON 酬載欄位。

記錄包含做為每個記錄核心欄位的幾個基礎欄位，以及用來新增其他資訊的中繼資料欄位。您可以控管是否要加入中繼資料欄位。如果省略這些欄位，即可節省儲存空間費用。

部分記錄檔欄位支援的值也是欄位。這些欄位可能包含多項資料。舉例來說，connection 欄位採用的格式是 IpConnection，也就是一個欄位同時包含來源和目的地 IP 位址及通訊埠，外加通訊協定等資料。下表提供這些欄位的說明。

欄位	說明	欄位類型：基本或選用中繼資料
連結	IpConnection 5 個元組，說明這個連線的來源和目的地 IP 位址、來源和目的地通訊埠，以及 IP 通訊協定。	基本
disposition	字串表示連線是 `ALLOWED` 或 `DENIED`。	基本
rule_details	RuleDetails 套用至這個連線的規則詳細資料。
	`rule_details.reference` 欄位	基本
	其他規則詳細資料欄位	中繼資料
執行個體	InstanceDetails VM 執行個體詳細資料。在共用虛擬私有雲設定中，`project_id` 會對應至服務專案。	中繼資料
虛擬私人雲端	VpcDetails 虛擬私有雲網路詳細資料。在共用虛擬私有雲設定中，`project_id` 會對應至主專案。	中繼資料
remote_instance	InstanceDetails 如果連線的遠端端點是位於 Compute Engine 的 VM，這個欄位會填入 VM 執行個體詳細資料。	中繼資料
remote_vpc	VpcDetails 如果連線的遠端端點是位於虛擬私有雲網路中的 VM，這個欄位會填入網路詳細資料。	中繼資料
remote_location	GeographicDetails 如果連線的遠端端點位於虛擬私有雲網路外部，這個欄位會填入可用的位置中繼資料。	中繼資料

欄位	類型	說明
src_ip	字串	來源 IP 位址。如果來源是 Compute Engine VM，`src_ip` 則為主要內部 IP 位址，或是 VM 網路介面別名 IP 範圍內的位址。不會顯示外部 IP 位址。記錄檔會顯示 VM 的 IP 位址，因為 VM 會在封包標頭中看到該位址，這與您在 VM 上執行 TCP 傾印時相同。
src_port	整數	來源通訊埠
dest_ip	字串	目標 IP 位址。如果目的地是 Trusted Cloud VM，`dest_ip` 則可以是主要內部 IP 位址，也可以是 VM 網路介面別名 IP 範圍內的位址。即使連線時使用外部 IP 位址，系統也不會顯示。
dest_port	整數	目的地通訊埠
protocol	整數	連線的 IP 通訊協定

欄位	類型	說明
reference	字串	防火牆規則的參照；格式： `"network:{network name}/firewall:{firewall_name}"`
優先順序	整數	防火牆規則的優先順序。
action	字串	ALLOW (允許) 或 DENY (拒絕)
source_range[ ]	字串	套用防火牆規則的來源範圍清單。
destination_range[ ]	字串	防火牆規則適用的目的地範圍清單。
ip_port_info[ ]	IpPortDetails	規則的 IP 通訊協定和適用通訊埠範圍清單。
方向	字串	防火牆規則適用的方向 (傳入或傳出)。
source_tag[ ]	字串	套用防火牆規則的所有來源標記清單。
target_tag[ ]	字串	套用防火牆規則的所有目標標記清單。
source_service_account[ ]	字串	套用防火牆規則的所有來源服務帳戶清單。
target_service_account[ ]	字串	套用防火牆規則的所有目標服務帳戶清單。
source_region_code[ ]	字串	防火牆規則適用的所有來源國家/地區代碼清單。
destination_region_code[ ]	字串	防火牆規則適用的所有目的地國家/地區代碼清單。
source_fqdn[ ]	字串	防火牆規則適用的所有來源網域名稱清單。
destination_fqdn[ ]	字串	防火牆規則適用的所有目的地網域名稱清單。
source_address_groups[ ]	字串	防火牆規則適用的所有來源位址群組清單。
destination_address_groups[ ]	字串	防火牆規則適用的所有目的地地址群組清單。

欄位	類型	說明
ip_protocol	字串	套用防火牆規則的 IP 通訊協定。如果規則是套用至所有通訊協定，則會顯示「ALL」(全部)。
port_range[ ]	字串	規則適用的通訊埠範圍清單，例如 `8080-9090`。