Registros de filtrado de URLs

Los registros del servicio de filtrado de URLs te permiten auditar, verificar y analizar el filtrado de tráfico basado en URLs en tu red.

Cuando el firewall de nueva generación de Cloud realiza el filtrado basado en URL en el tráfico con la inspección de capa 7 habilitada, genera una entrada de registro para cada conexión con detalles sobre la conexión. Cloud NGFW genera una entrada de registro cuando se activa la regla de firewall con inspección de capa 7, independientemente de si Cloud Logging está habilitado o inhabilitado.

Para ver y examinar los registros de filtrado de URLs, en el Explorador de registros, busca el registro networksecurity.googleapis.com/firewall_url_filter.

En esta página, se describen el formato y la estructura de los registros de filtrado de URL que Cloud NGFW genera para cada conexión cuando permite o deniega el tráfico.

Formato del registro de filtrado de URLs

Cloud NGFW crea una entrada de registro en Cloud Logging para cada conexión que se somete al filtrado de URL para supervisar el tráfico desde o hacia una instancia de máquina virtual (VM) en una zona específica. Los registros se incluyen en el campo de carga útil de JSON de una LogEntry.

Algunos campos de registro se encuentran en formato de varios campos y poseen más de un dato en un campo específico. Por ejemplo, el campo connection tiene el formato Connection, que contiene el puerto y la dirección IP del servidor, la dirección IP y el puerto del cliente y el número de protocolo en un solo campo.

En la siguiente tabla, se describe el formato de los campos de registro del filtrado de URL.

Campo Tipo Descripción
connection Connection Es una tupla de 5 que describe los parámetros de conexión asociados con el tráfico que se permite o rechaza según la información de indicación de nombre de dominio y servidor (SNI).
interceptInstance InterceptInstance Son los detalles de la instancia de VM en la que se permite o rechaza el tráfico según la información del dominio y del SNI.
detectionTime string Es la fecha y hora (en UTC) en que el extremo de firewall detecta una coincidencia para el dominio y la información de SNI.
uriMatched string Es el dominio con el que el extremo de firewall detectó una coincidencia.
interceptVpc VpcDetails Son los detalles de la red de nube privada virtual (VPC) asociada con la instancia de VM en la que el tráfico se permite o rechaza según la información del dominio y del SNI.
ruleIndex integer Índice o número de orden del filtro de URL con el que el extremo del firewall detectó una coincidencia.
direction string Dirección del tráfico (CLIENT_TO_SERVER o SERVER_TO_CLIENT) para la que el extremo de firewall detectó una coincidencia.
securityProfileGroupDetails SecurityProfileGroupDetails Los detalles del grupo de perfiles de seguridad que se aplicaron al tráfico interceptado.
denyType string Es el tipo de información que usa el extremo de firewall para denegar el tráfico.
  • SNI: El extremo de firewall rechazó el tráfico debido a una coincidencia detectada con un SNI.
  • HOST: El extremo de firewall rechazó el tráfico debido a una coincidencia detectada con la información del dominio presente en el campo del encabezado del host.
  • URI: El extremo de firewall rechazó el tráfico debido a una coincidencia detectada con un URI.
action string Es la acción, ya sea allow o deny, que se realiza en el tráfico que se filtra según la información del dominio y del SNI. El perfil de seguridad define esta acción. Para obtener más información sobre la acción configurada, consulta Perfil de seguridad de filtrado de URL.
applicationLayerDetails ApplicationLayerDetails Son los detalles relacionados con el procesamiento de la capa de aplicación.
sessionLayerDetails SessionLayerDetails Son los detalles relacionados con el procesamiento de la capa de sesión.

Formato del campo Connection

En la siguiente tabla, se describe el formato del campo Connection.

Campo Tipo Descripción
clientIp string La dirección IP de cliente. Si el cliente es una VM de Compute Engine, clientIp es la dirección IP interna principal o una dirección en un rango de IP de alias de la interfaz de red de la VM. No se muestra la dirección IP externa. Los registros muestran la dirección IP de la instancia de VM como se observa en el encabezado IP, de manera similar al volcado de TCP en la instancia de VM.
clientPort integer El número de puerto del cliente.
serverIp string La dirección IP del servidor. Si el servidor es una VM de Compute Engine, serverIp es la dirección IP interna principal o una dirección en un rango de alias de IP de la interfaz de red de la VM. La dirección IP externa no se muestra aunque se haya usado para establecer la conexión.
serverPort integer El número de puerto del servidor.
protocol string El protocolo IP de la conexión.

Formato del campo InterceptInstance

En la siguiente tabla, se describe el formato del campo InterceptInstance.

Campo Tipo Descripción
zone string Es el nombre de la zona en la que se encuentra la instancia de VM asociada con el tráfico interceptado.
vm string Es el nombre de la instancia de VM asociada con el tráfico interceptado.
projectId string Es el nombre del proyecto Google Cloud asociado con el tráfico interceptado.

Formato del campo VpcDetails

En la siguiente tabla, se describe el formato del campo VpcDetails.

Campo Tipo Descripción
vpc string El nombre de la red de VPC asociada con el tráfico interceptado.
projectId string Nombre del proyecto de Google Cloud asociado a la red de VPC.

Formato del campo SecurityProfileGroupDetails

En la siguiente tabla, se describe el formato del campo SecurityProfileGroupDetails.

Campo Tipo Descripción
securityProfileGroupId string El nombre del grupo de perfiles de seguridad que se aplica al tráfico.
organizationId string El ID de la organización al que pertenece la instancia de VM.

Formato del campo ApplicationLayerDetails

En la siguiente tabla, se describe el formato del campo ApplicationLayerDetails.

Campo Tipo Descripción
protocol string Es la versión del protocolo que usa el extremo de firewall en la capa de aplicación.
  • HTTP0: Indica que la versión de HTTP es inferior a 1. El extremo de firewall lee la información del dominio del primer campo de encabezado del host.
  • HTTP1: Indica la versión 1.x de HTTP. El extremo de firewall lee la información del dominio del primer campo de encabezado del host.
  • HTTP2: Indica la versión 2.x de HTTP. Dado que el campo de encabezado host es opcional para esta versión del protocolo, el extremo del firewall lee la información del dominio desde el seudoencabezado de autoridad o los bloques de encabezado de los tipos de marcos header, continuation o push_promise.
uri string Es la información del dominio y el subdominio que el extremo de firewall lee del tráfico.

Formato del campo SessionLayerDetails

En la siguiente tabla, se describe el formato del campo SessionLayerDetails.

Campo Tipo Descripción
sni string Es la indicación del nombre del servidor (SNI) que el extremo del firewall lee del tráfico.
protocolVersion string Es la versión del protocolo que usa el extremo de firewall en la capa de sesión.
  • TLS1_0: Indica la versión 1.0 de TLS.
  • TLS1_1: Indica la versión 1.1 de TLS.
  • TLS1_2: Indica la versión 1.2 de TLS.
  • TLS1_3: Indica la versión 1.3 de TLS.

Correlación del registro de filtrado de URLs con un registro de firewall

Cuando una regla de firewall evalúa el tráfico, Cloud NGFW registra una entrada de registro de reglas de firewall. Esta entrada incluye campos como la dirección IP de origen, la dirección IP de destino y la hora de inspección del tráfico. Para ver estos registros de reglas de firewall, consulta Visualiza registros.

Si una regla de política de firewall con inspección de capa 7 tiene habilitado el registro, Cloud NGFW primero registra la entrada de registro de reglas de firewall para el tráfico evaluado. Luego, envía el tráfico al extremo de firewall para la inspección de la capa 7.

El extremo del firewall analiza el tráfico con su dominio y SNI, y crea un registro de filtrado de URLs independiente para la conexión. Este registro de filtrado de URLs incluye campos como el nombre de dominio, la fuente del tráfico y el destino del tráfico.

Para ver los registros de filtrado de URL, en el Explorador de registros, busca el registro networksecurity.googleapis.com/firewall_url_filter.

Puedes comparar los campos del registro de reglas de firewall y el registro de filtrado de URL para identificar la conexión que activó el filtrado de URL y tomar las medidas adecuadas para resolver el problema.

Por ejemplo, tienes una regla de política de firewall configurada con los siguientes parámetros:

  • Dirección IP de origen: 192.0.2.0
  • Puerto de origen: 47644
  • Dirección IP de destino: 192.0.2.1
  • Puerto de destino: 80
  • Registro: Enabled

Para ver los registros de filtrado de URL asociados con esta regla, navega a la página Explorador de registros. En el panel Consulta, pega la siguiente consulta en el campo del editor de consultas.

  resource.type="networksecurity.googleapis.com/FirewallEndpoint"
  jsonPayload.source_ip_address="192.0.2.0"
  jsonPayload.source_port="47644"
  jsonPayload.destination_ip_address="192.0.2.1"
  jsonPayload.destination_port="80"

En la sección Resultados de la consulta, se muestra el siguiente registro de filtrado de URL:

    {
      "insertId": "akxp8uf5f0fuv",
      "jsonPayload": {
      "connection": {
      "serverPort": 80,
      "clientPort": 47644,
      "protocol": "TCP",
      "clientIp": "192.0.2.0",
      "serverIp": "192.0.2.1"
    },
      "interceptInstance": {
      "zone": "us-central1-c",
      "vm": "aied-test-dont-delete",
      "projectId": "project_001"
    },
      "detectionTime": "2025-06-02T19:09:27.802711668Z",
      "uriMatched": "",
      "interceptVpc": {
      "projectId": "project_001",
      "vpc": "default"
    },
      "ruleIndex": 0,
      "direction": "CLIENT_TO_SERVER",
      "@type": "type.googleapis.com/google.cloud.networksecurity.logging.v1.URLFilterLog",
      "securityProfileGroupDetails": {
      "securityProfileGroupId": "project_001/spg/my-spg-id",
      "organizationId": "organization_001"
    },
      "denyType": "HOST",
      "action": "DENY",
      "applicationLayerDetails": {
      "protocol": "HTTP1",
      "uri": "server.fwp.com"
    },
      "sessionLayerDetails": {
      "sni": "",
      "protocolVersion": "PROTOCOL_VERSION_UNSPECIFIED"
    }
  },
    "resource": {
    "type": "networksecurity.googleapis.com/FirewallEndpoint",
    "labels": {
      "location": "us-central1-c",
      "resource_container": "organizations/organization_001",
      "id": "pg-ni-latencyayzl8peq"
    }
  },
  "timestamp": "2025-06-02T19:09:35.452299517Z",
  "logName": "projects/project_001/logs/networksecurity.googleapis.com%2Ffirewall_url_filter",
  "receiveTimestamp": "2025-06-02T19:09:35.452299517Z"
}

Del mismo modo, para ver los registros de firewall asociados con esta regla, navega a la página Explorador de registros. En el panel Consulta, pega la siguiente consulta en el campo del editor de consultas.

    jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP"
    jsonPayload.connection.src_ip="192.0.2.0"
    jsonPayload.connection.src_port="47644"
    jsonPayload.connection.dest_ip="192.0.2.1"
    jsonPayload.connection.dest_port="80"

En la sección Resultados de la consulta, se muestra el siguiente registro del firewall:

    {
      insertId: "qn82vdg109q3r9"
      jsonPayload: {
      connection: {
      }
      dest_ip: "192.0.2.1"
      dest_port: 80
      protocol: 6
      src_ip: "192.0.2.0"
      src_port: 47644
      disposition: "INTERCEPTED"
      ►instance: {4}
      ▸ remote_instance: {4}
      ▸ remote_vpc: {3}
      rule_details: {
      action: "APPLY_SECURITY_PROFILE_GROUP"
      apply_security_profile_fallback_action: "UNSPECIFIED"
      direction: "INGRESS"
      ▸ ip_port_info: [1]
      ▼
      priority: 6000
      reference: "network: fwplus-vpc/firewallPolicy: fwplus-fwpolicy"
      source_range: [
      1
      0: "192.0.2.0/24"
      target_secure_tag: [
      0: "tagValues/281479199099651"
      ]
      }
      vpc: {
      project_id: "project_001"
      subnetwork_name: "fwplus-us-central1-subnet"
      vpc_name: "fwplus-vpc"
      }
      }
      logName: "projects/project_001/logs/compute.googleapis.com%2Ffirewall",
      receiveTimestamp: "2023-11-28T19:08:46.749244092Z"
      resource: {2}
      timestamp: "2023-11-28T19:08:40.207465099Z"
    }

Con las consultas de registro de filtrado de URL y de registro de firewall, puedes ver la correlación entre ellas. En la siguiente tabla, se asignan los campos de registro del firewall a los campos de registro del filtrado de URL correspondientes.

Campo de registro de firewall Campo de registro de filtrado de URL Descripción
src_ip clientIp La dirección IP de origen en el registro del firewall se correlaciona con la dirección IP del cliente en el registro del filtro de URL para identificar el origen del tráfico filtrado.
src_port clientPort El puerto de origen en el registro del firewall se correlaciona con el puerto del cliente en el registro del filtrado de URL para identificar el puerto de origen que usa el tráfico filtrado.
dest_ip serverIp La dirección IP de destino en el registro del firewall se correlaciona con la dirección IP del servidor en el registro del filtrado de URL para identificar el destino del tráfico filtrado.
dest_port serverPort El puerto de destino en el registro del firewall se correlaciona con el puerto del servidor en el registro del filtro de URL para identificar el puerto de destino que usa el tráfico filtrado.

¿Qué sigue?