Log pemfilteran URL

Log layanan pemfilteran URL memungkinkan Anda mengaudit, memverifikasi, dan menganalisis pemfilteran lalu lintas berbasis URL di jaringan Anda.

Saat melakukan pemfilteran berbasis URL pada traffic dengan pemeriksaan Layer 7 diaktifkan, Cloud Next Generation Firewall akan membuat entri log untuk setiap koneksi dengan detail tentang koneksi tersebut. Cloud NGFW membuat entri log saat aturan firewall dengan inspeksi Lapisan 7 diaktifkan, terlepas dari apakah Cloud Logging diaktifkan atau dinonaktifkan.

Untuk melihat dan memeriksa log pemfilteran URL, di Logs Explorer, telusuri log networksecurity.googleapis.com/firewall_url_filter.

Halaman ini menjelaskan format dan struktur log pemfilteran URL yang dihasilkan Cloud NGFW untuk setiap koneksi saat mengizinkan atau menolak traffic.

Format log pemfilteran URL

Cloud NGFW membuat entri catatan log di Cloud Logging untuk setiap koneksi yang menjalani pemfilteran URL untuk memantau traffic ke atau dari instance mesin virtual (VM) di zona tertentu. Data log disertakan dalam kolom payload JSON dari LogEntry.

Beberapa kolom log menggunakan format multi-kolom, dengan lebih dari satu bagian data dalam kolom tertentu. Misalnya, kolom connection memiliki format Connection, yang berisi alamat IP dan port server, alamat IP dan port klien, serta nomor protokol dalam satu kolom.

Tabel berikut menjelaskan format kolom log pemfilteran URL.

Kolom Jenis Deskripsi
connection Connection Tuple 5 yang menjelaskan parameter koneksi yang terkait dengan traffic yang diizinkan atau ditolak berdasarkan informasi indikasi nama server (SNI) dan domain.
interceptInstance InterceptInstance Detail instance VM tempat traffic diizinkan atau ditolak berdasarkan informasi domain dan SNI.
detectionTime string Waktu (UTC) saat endpoint firewall mendeteksi kecocokan untuk domain dan informasi SNI.
uriMatched string Domain yang endpoint firewall-nya mendeteksi kecocokan.
interceptVpc VpcDetails Detail jaringan Virtual Private Cloud (VPC) yang terkait dengan instance VM tempat traffic diizinkan atau ditolak berdasarkan informasi domain dan SNI.
ruleIndex integer Indeks atau nomor urut filter URL yang cocok dengan yang terdeteksi oleh endpoint firewall.
direction string Arah traffic (CLIENT_TO_SERVER atau SERVER_TO_CLIENT) yang endpoint firewallnya mendeteksi kecocokan.
securityProfileGroupDetails SecurityProfileGroupDetails Detail grup profil keamanan yang diterapkan ke traffic yang dicegat.
denyType string Jenis informasi yang digunakan endpoint firewall untuk menolak traffic.
  • SNI: endpoint firewall menolak traffic karena kecocokan terdeteksi terhadap SNI.
  • HOST: endpoint firewall menolak traffic karena kecocokan terdeteksi dengan informasi domain yang ada di kolom header host.
  • URI: endpoint firewall menolak traffic karena kecocokan terdeteksi terhadap URI.
action string Tindakan, baik allow maupun deny, yang dilakukan pada traffic yang difilter berdasarkan informasi domain dan SNI. Profil keamanan menentukan tindakan ini. Untuk mempelajari lebih lanjut tindakan yang dikonfigurasi, lihat Profil keamanan pemfilteran URL.
applicationLayerDetails ApplicationLayerDetails Detail yang terkait dengan pemrosesan lapisan aplikasi.
sessionLayerDetails SessionLayerDetails Detail yang terkait dengan pemrosesan lapisan sesi.

Format kolom Connection

Tabel berikut menjelaskan format kolom Connection.

Kolom Jenis Deskripsi
clientIp string Alamat IP klien. Jika klien adalah VM Compute Engine, clientIp adalah alamat IP internal utama atau alamat dalam rentang IP alias antarmuka jaringan VM. Alamat IP eksternal tidak ditampilkan. Log menampilkan alamat IP instance VM seperti yang diamati di header IP, mirip dengan TCP dump di instance VM.
clientPort integer Nomor port klien.
serverIp string Alamat IP server. Jika server adalah VM Compute Engine, serverIp adalah alamat IP internal utama atau alamat dalam rentang IP alias antarmuka jaringan VM. Alamat IP eksternal tidak ditampilkan meskipun digunakan dalam membuat koneksi.
serverPort integer Nomor port server.
protocol string Protokol IP koneksi.

Format kolom InterceptInstance

Tabel berikut menjelaskan format kolom InterceptInstance.

Kolom Jenis Deskripsi
zone string Nama zona tempat instance VM yang terkait dengan traffic yang dicegat berada.
vm string Nama instance VM yang terkait dengan traffic yang dicegat.
projectId string Nama Google Cloud project yang terkait dengan traffic yang dicegat.

Format kolom VpcDetails

Tabel berikut menjelaskan format kolom VpcDetails.

Kolom Jenis Deskripsi
vpc string Nama jaringan VPC yang terkait dengan traffic yang dicegat.
projectId string Nama project Google Cloud yang terkait dengan jaringan VPC.

Format kolom SecurityProfileGroupDetails

Tabel berikut menjelaskan format kolom SecurityProfileGroupDetails.

Kolom Jenis Deskripsi
securityProfileGroupId string Nama grup profil keamanan yang diterapkan ke traffic.
organizationId string ID organisasi tempat instance VM berada.

Format kolom ApplicationLayerDetails

Tabel berikut menjelaskan format kolom ApplicationLayerDetails.

Kolom Jenis Deskripsi
protocol string Versi protokol yang digunakan endpoint firewall di lapisan aplikasi.
  • HTTP0: menunjukkan versi HTTP kurang dari 1. Endpoint firewall membaca informasi domain dari kolom header host pertama.
  • HTTP1: menunjukkan HTTP versi 1.x. Endpoint firewall membaca informasi domain dari kolom header host pertama.
  • HTTP2: menunjukkan HTTP versi 2.x. Karena kolom header host bersifat opsional untuk versi protokol ini, endpoint firewall membaca informasi domain dari header semu otoritas atau blok header dari jenis frame header, lanjutan, atau push_promise.
uri string Informasi domain dan subdomain yang dibaca endpoint firewall dari traffic.

Format kolom SessionLayerDetails

Tabel berikut menjelaskan format kolom SessionLayerDetails.

Kolom Jenis Deskripsi
sni string Indikasi Nama Server (SNI) yang dibaca endpoint firewall dari traffic.
protocolVersion string Versi protokol yang digunakan endpoint firewall di lapisan sesi.
  • TLS1_0: menunjukkan TLS versi 1.0.
  • TLS1_1: menunjukkan TLS versi 1.1.
  • TLS1_2: menunjukkan TLS versi 1.2.
  • TLS1_3: menunjukkan TLS versi 1.3.

Korelasi log pemfilteran URL dengan log firewall

Saat traffic dievaluasi oleh aturan firewall, Cloud NGFW mencatat entri Logging Aturan Firewall. Entri ini mencakup kolom seperti alamat IP sumber, alamat IP tujuan, dan waktu inspeksi traffic. Untuk melihat log aturan firewall ini, lihat Melihat log.

Jika aturan kebijakan firewall dengan inspeksi Lapisan 7 mengaktifkan logging, Cloud NGFW akan mencatat entri Logging Aturan Firewall terlebih dahulu untuk traffic yang dievaluasi. Kemudian, traffic dikirim ke endpoint firewall untuk pemeriksaan Layer 7.

Endpoint firewall menganalisis traffic menggunakan domain dan SNI-nya, serta membuat log pemfilteran URL terpisah untuk koneksi. Log pemfilteran URL ini mencakup kolom seperti nama domain, sumber traffic, dan tujuan traffic.

Untuk melihat log pemfilteran URL, di Logs Explorer, telusuri log networksecurity.googleapis.com/firewall_url_filter.

Anda dapat membandingkan kolom dalam log aturan firewall dan log pemfilteran URL untuk mengidentifikasi koneksi yang memicu pemfilteran URL dan mengambil tindakan yang sesuai untuk menyelesaikannya.

Misalnya, Anda telah mengonfigurasi aturan kebijakan firewall dengan setelan berikut:

  • Alamat IP sumber: 192.0.2.0
  • Port sumber: 47644
  • Alamat IP tujuan: 192.0.2.1
  • Port tujuan: 80
  • Logging: Enabled

Untuk melihat log pemfilteran URL yang terkait dengan aturan ini, buka halaman Logs Explorer. Di panel Query, tempel kueri berikut ke dalam kolom editor kueri.

  resource.type="networksecurity.googleapis.com/FirewallEndpoint"
  jsonPayload.source_ip_address="192.0.2.0"
  jsonPayload.source_port="47644"
  jsonPayload.destination_ip_address="192.0.2.1"
  jsonPayload.destination_port="80"

Bagian Hasil kueri menampilkan log pemfilteran URL berikut:

    {
      "insertId": "akxp8uf5f0fuv",
      "jsonPayload": {
      "connection": {
      "serverPort": 80,
      "clientPort": 47644,
      "protocol": "TCP",
      "clientIp": "192.0.2.0",
      "serverIp": "192.0.2.1"
    },
      "interceptInstance": {
      "zone": "us-central1-c",
      "vm": "aied-test-dont-delete",
      "projectId": "project_001"
    },
      "detectionTime": "2025-06-02T19:09:27.802711668Z",
      "uriMatched": "",
      "interceptVpc": {
      "projectId": "project_001",
      "vpc": "default"
    },
      "ruleIndex": 0,
      "direction": "CLIENT_TO_SERVER",
      "@type": "type.googleapis.com/google.cloud.networksecurity.logging.v1.URLFilterLog",
      "securityProfileGroupDetails": {
      "securityProfileGroupId": "project_001/spg/my-spg-id",
      "organizationId": "organization_001"
    },
      "denyType": "HOST",
      "action": "DENY",
      "applicationLayerDetails": {
      "protocol": "HTTP1",
      "uri": "server.fwp.com"
    },
      "sessionLayerDetails": {
      "sni": "",
      "protocolVersion": "PROTOCOL_VERSION_UNSPECIFIED"
    }
  },
    "resource": {
    "type": "networksecurity.googleapis.com/FirewallEndpoint",
    "labels": {
      "location": "us-central1-c",
      "resource_container": "organizations/organization_001",
      "id": "pg-ni-latencyayzl8peq"
    }
  },
  "timestamp": "2025-06-02T19:09:35.452299517Z",
  "logName": "projects/project_001/logs/networksecurity.googleapis.com%2Ffirewall_url_filter",
  "receiveTimestamp": "2025-06-02T19:09:35.452299517Z"
}

Demikian pula, untuk melihat log firewall yang terkait dengan aturan ini, buka halaman Logs Explorer. Di panel Query, tempel kueri berikut ke dalam kolom editor kueri.

    jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP"
    jsonPayload.connection.src_ip="192.0.2.0"
    jsonPayload.connection.src_port="47644"
    jsonPayload.connection.dest_ip="192.0.2.1"
    jsonPayload.connection.dest_port="80"

Bagian Query results menampilkan log firewall berikut:

    {
      insertId: "qn82vdg109q3r9"
      jsonPayload: {
      connection: {
      }
      dest_ip: "192.0.2.1"
      dest_port: 80
      protocol: 6
      src_ip: "192.0.2.0"
      src_port: 47644
      disposition: "INTERCEPTED"
      ►instance: {4}
      ▸ remote_instance: {4}
      ▸ remote_vpc: {3}
      rule_details: {
      action: "APPLY_SECURITY_PROFILE_GROUP"
      apply_security_profile_fallback_action: "UNSPECIFIED"
      direction: "INGRESS"
      ▸ ip_port_info: [1]
      ▼
      priority: 6000
      reference: "network: fwplus-vpc/firewallPolicy: fwplus-fwpolicy"
      source_range: [
      1
      0: "192.0.2.0/24"
      target_secure_tag: [
      0: "tagValues/281479199099651"
      ]
      }
      vpc: {
      project_id: "project_001"
      subnetwork_name: "fwplus-us-central1-subnet"
      vpc_name: "fwplus-vpc"
      }
      }
      logName: "projects/project_001/logs/compute.googleapis.com%2Ffirewall",
      receiveTimestamp: "2023-11-28T19:08:46.749244092Z"
      resource: {2}
      timestamp: "2023-11-28T19:08:40.207465099Z"
    }

Dengan kueri log pemfilteran URL dan log firewall, Anda dapat melihat korelasi di antara keduanya. Tabel berikut memetakan kolom log firewall ke kolom log pemfilteran URL yang sesuai.

Kolom log firewall Kolom log pemfilteran URL Deskripsi
src_ip clientIp Alamat IP sumber dalam log firewall dikorelasikan dengan alamat IP klien dalam log pemfilteran URL untuk mengidentifikasi asal traffic yang difilter
src_port clientPort Port sumber dalam log firewall dikorelasikan dengan port klien dalam log pemfilteran URL untuk mengidentifikasi port sumber yang digunakan oleh traffic yang difilter
dest_ip serverIp Alamat IP tujuan dalam log firewall dikorelasikan dengan alamat IP server dalam log pemfilteran URL untuk menentukan target traffic yang difilter
dest_port serverPort Port tujuan dalam log firewall dikorelasikan dengan port server dalam log pemfilteran URL untuk mengidentifikasi port tujuan yang digunakan oleh traffic yang difilter

Langkah berikutnya