Log del filtro degli URL

I log del servizio di filtraggio degli URL ti consentono di controllare, verificare e analizzare il filtraggio del traffico basato su URL nella tua rete.

Quando Cloud Next Generation Firewall esegue il filtraggio basato su URL sul traffico con l'ispezione di livello 7 abilitata, genera una voce di log per ogni connessione con i dettagli relativi alla connessione. Cloud NGFW genera una voce di log quando la regola firewall con ispezione di livello 7 viene attivata, indipendentemente dal fatto che Cloud Logging sia abilitato o disabilitato.

Per visualizzare ed esaminare i log di filtraggio degli URL, in Esplora log, cerca il log networksecurity.googleapis.com/firewall_url_filter.

Questa pagina descrive il formato e la struttura dei log di filtraggio degli URL che Cloud NGFW genera per ogni connessione quando consente o nega il traffico.

Formato del log di filtro degli URL

Cloud NGFW crea una voce di record di log in Cloud Logging per ogni connessione sottoposta al filtro URL per monitorare il traffico da o verso una macchina virtuale (VM) in una zona specifica. I record di log sono inclusi nel campo del payload JSON di una LogEntry.

Alcuni campi di log sono in un formato a più campi, con più di un dato in un determinato campo. Ad esempio, il campo connection è nel formato Connection, che contiene l'indirizzo IP e la porta del server, l'indirizzo IP e la porta del client e il numero di protocollo in un unico campo.

La tabella seguente descrive il formato dei campi di log del filtro URL.

Campo Tipo Descrizione
connection Connection Una tupla a 5 elementi che descrive i parametri di connessione associati al traffico consentito o negato in base alle informazioni SNI (Server Name Indication) e di dominio.
interceptInstance InterceptInstance I dettagli dell'istanza VM in cui il traffico è consentito o negato in base alle informazioni sul dominio e SNI.
detectionTime string L'ora (UTC) in cui l'endpoint firewall rileva una corrispondenza per il dominio e le informazioni SNI.
uriMatched string Il dominio rispetto al quale l'endpoint firewall ha rilevato una corrispondenza.
interceptVpc VpcDetails I dettagli della rete Virtual Private Cloud (VPC) associata all'istanza VM in cui il traffico è consentito o negato in base alle informazioni sul dominio e SNI.
ruleIndex integer L'indice o il numero d'ordine del filtro URL rispetto al quale l'endpoint firewall ha rilevato una corrispondenza.
direction string La direzione del traffico (CLIENT_TO_SERVER o SERVER_TO_CLIENT) per cui l'endpoint firewall ha rilevato una corrispondenza.
securityProfileGroupDetails SecurityProfileGroupDetails I dettagli del gruppo di profili di sicurezza applicato al traffico intercettato.
denyType string Il tipo di informazioni che l'endpoint firewall utilizza per negare un traffico.
  • SNI: l'endpoint firewall ha negato il traffico perché è stata rilevata una corrispondenza con un SNI.
  • HOST: l'endpoint firewall ha negato il traffico a causa di una corrispondenza rilevata con le informazioni sul dominio presenti nel campo dell'intestazione host.
  • URI: l'endpoint firewall ha negato il traffico a causa di una corrispondenza rilevata con un URI.
action string L'azione, allow o deny, eseguita sul traffico filtrato in base alle informazioni sul dominio e SNI. Il profilo di sicurezza definisce questa azione. Per saperne di più sull'azione configurata, consulta Profilo di sicurezza del filtro degli URL.
applicationLayerDetails ApplicationLayerDetails I dettagli relativi all'elaborazione del livello applicazione.
sessionLayerDetails SessionLayerDetails I dettagli relativi all'elaborazione del livello di sessione.

Formato del campo Connection

La tabella seguente descrive il formato del campo Connection.

Campo Tipo Descrizione
clientIp string L'indirizzo IP client. Se il client è una VM Compute Engine, clientIp è l'indirizzo IP interno primario o un indirizzo in un intervallo IP alias dell'interfaccia di rete della VM. L'indirizzo IP esterno non viene mostrato. I log mostrano l'indirizzo IP dell'istanza VM come osservato nell'intestazione IP, in modo simile a TCP dump sull'istanza VM.
clientPort integer Il numero di porta del client.
serverIp string L'indirizzo IP del server. Se il server è una VM Compute Engine, serverIp è l'indirizzo IP interno primario o un indirizzo in un intervallo IP alias dell'interfaccia di rete della VM. L'indirizzo IP esterno non viene mostrato anche se viene utilizzato per stabilire la connessione.
serverPort integer Il numero di porta del server.
protocol string Il protocollo IP della connessione.

Formato del campo InterceptInstance

La tabella seguente descrive il formato del campo InterceptInstance.

Campo Tipo Descrizione
zone string Il nome della zona in cui si trova l'istanza VM associata al traffico intercettato.
vm string Il nome dell'istanza VM associata al traffico intercettato.
projectId string Il nome del progetto Google Cloud associato al traffico intercettato.

Formato del campo VpcDetails

La tabella seguente descrive il formato del campo VpcDetails.

Campo Tipo Descrizione
vpc string Il nome della rete VPC associata al traffico intercettato.
projectId string Il nome del progetto Google Cloud associato alla rete VPC.

Formato del campo SecurityProfileGroupDetails

La tabella seguente descrive il formato del campo SecurityProfileGroupDetails.

Campo Tipo Descrizione
securityProfileGroupId string Il nome del gruppo di profili di sicurezza applicato al traffico.
organizationId string L'ID organizzazione a cui appartiene l'istanza VM.

Formato del campo ApplicationLayerDetails

La tabella seguente descrive il formato del campo ApplicationLayerDetails.

Campo Tipo Descrizione
protocol string La versione del protocollo utilizzata dall'endpoint firewall a livello di applicazione.
  • HTTP0: indica la versione HTTP precedente alla 1. L'endpoint firewall legge le informazioni sul dominio dal primo campo dell'intestazione host.
  • HTTP1: indica la versione 1.x di HTTP. L'endpoint firewall legge le informazioni sul dominio dal primo campo dell'intestazione host.
  • HTTP2: indica la versione 2.x di HTTP. Poiché il campo dell'intestazione host è facoltativo per questa versione del protocollo, l'endpoint firewall legge le informazioni sul dominio dai blocchi di intestazione o pseudo-intestazione di autorità dei tipi di frame intestazione, continuazione o push_promise.
uri string Le informazioni sul dominio e sul sottodominio che l'endpoint firewall legge dal traffico.

Formato del campo SessionLayerDetails

La tabella seguente descrive il formato del campo SessionLayerDetails.

Campo Tipo Descrizione
sni string L'indicazione nome server (SNI) che l'endpoint firewall legge dal traffico.
protocolVersion string La versione del protocollo utilizzata dall'endpoint firewall a livello di sessione.
  • TLS1_0: indica la versione 1.0 di TLS.
  • TLS1_1: indica la versione 1.1 di TLS.
  • TLS1_2: indica la versione 1.2 di TLS.
  • TLS1_3: indica la versione 1.3 di TLS.

Correlazione del log di filtro degli URL con un log del firewall

Quando il traffico viene valutato da una regola firewall, Cloud NGFW registra una voce di logging delle regole firewall. Questa voce include campi come l'indirizzo IP di origine, l'indirizzo IP di destinazione e l'ora di ispezione del traffico. Per visualizzare questi log delle regole firewall, consulta Visualizzare i log.

Se una regola del criterio firewall con ispezione di livello 7 ha il logging abilitato, Cloud NGFW registra innanzitutto la voce di logging delle regole firewall per il traffico valutato. Poi, invia il traffico all'endpoint firewall per l'ispezione di livello 7.

L'endpoint firewall analizza il traffico utilizzando il proprio dominio e SNI e crea un log di filtro degli URL separato per la connessione. Questo log di filtraggio degli URL include campi come il nome di dominio, la sorgente del traffico e la destinazione del traffico.

Per visualizzare i log di filtraggio degli URL, in Esplora log, cerca il log networksecurity.googleapis.com/firewall_url_filter.

Puoi confrontare i campi nel log delle regole firewall e nel log del filtro URL per identificare la connessione che ha attivato il filtro URL e intraprendere l'azione appropriata per risolvere il problema.

Ad esempio, hai configurato una regola di policy firewall con le seguenti impostazioni:

  • Indirizzo IP di origine: 192.0.2.0
  • Porta di origine: 47644
  • Indirizzo IP di destinazione: 192.0.2.1
  • Porta di destinazione: 80
  • Logging: Enabled

Per visualizzare i log di filtraggio degli URL associati a questa regola, vai alla pagina Esplora log. Nel riquadro Query, incolla la seguente query nel campo dell'editor di query.

  resource.type="networksecurity.googleapis.com/FirewallEndpoint"
  jsonPayload.source_ip_address="192.0.2.0"
  jsonPayload.source_port="47644"
  jsonPayload.destination_ip_address="192.0.2.1"
  jsonPayload.destination_port="80"

La sezione Risultati delle query mostra il seguente log di filtraggio degli URL:

    {
      "insertId": "akxp8uf5f0fuv",
      "jsonPayload": {
      "connection": {
      "serverPort": 80,
      "clientPort": 47644,
      "protocol": "TCP",
      "clientIp": "192.0.2.0",
      "serverIp": "192.0.2.1"
    },
      "interceptInstance": {
      "zone": "us-central1-c",
      "vm": "aied-test-dont-delete",
      "projectId": "project_001"
    },
      "detectionTime": "2025-06-02T19:09:27.802711668Z",
      "uriMatched": "",
      "interceptVpc": {
      "projectId": "project_001",
      "vpc": "default"
    },
      "ruleIndex": 0,
      "direction": "CLIENT_TO_SERVER",
      "@type": "type.googleapis.com/google.cloud.networksecurity.logging.v1.URLFilterLog",
      "securityProfileGroupDetails": {
      "securityProfileGroupId": "project_001/spg/my-spg-id",
      "organizationId": "organization_001"
    },
      "denyType": "HOST",
      "action": "DENY",
      "applicationLayerDetails": {
      "protocol": "HTTP1",
      "uri": "server.fwp.com"
    },
      "sessionLayerDetails": {
      "sni": "",
      "protocolVersion": "PROTOCOL_VERSION_UNSPECIFIED"
    }
  },
    "resource": {
    "type": "networksecurity.googleapis.com/FirewallEndpoint",
    "labels": {
      "location": "us-central1-c",
      "resource_container": "organizations/organization_001",
      "id": "pg-ni-latencyayzl8peq"
    }
  },
  "timestamp": "2025-06-02T19:09:35.452299517Z",
  "logName": "projects/project_001/logs/networksecurity.googleapis.com%2Ffirewall_url_filter",
  "receiveTimestamp": "2025-06-02T19:09:35.452299517Z"
}

Analogamente, per visualizzare i log firewall associati a questa regola, vai alla pagina Esplora log. Nel riquadro Query, incolla la seguente query nel campo dell'editor di query.

    jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP"
    jsonPayload.connection.src_ip="192.0.2.0"
    jsonPayload.connection.src_port="47644"
    jsonPayload.connection.dest_ip="192.0.2.1"
    jsonPayload.connection.dest_port="80"

La sezione Risultati delle query mostra il seguente log del firewall:

    {
      insertId: "qn82vdg109q3r9"
      jsonPayload: {
      connection: {
      }
      dest_ip: "192.0.2.1"
      dest_port: 80
      protocol: 6
      src_ip: "192.0.2.0"
      src_port: 47644
      disposition: "INTERCEPTED"
      ►instance: {4}
      ▸ remote_instance: {4}
      ▸ remote_vpc: {3}
      rule_details: {
      action: "APPLY_SECURITY_PROFILE_GROUP"
      apply_security_profile_fallback_action: "UNSPECIFIED"
      direction: "INGRESS"
      ▸ ip_port_info: [1]
      ▼
      priority: 6000
      reference: "network: fwplus-vpc/firewallPolicy: fwplus-fwpolicy"
      source_range: [
      1
      0: "192.0.2.0/24"
      target_secure_tag: [
      0: "tagValues/281479199099651"
      ]
      }
      vpc: {
      project_id: "project_001"
      subnetwork_name: "fwplus-us-central1-subnet"
      vpc_name: "fwplus-vpc"
      }
      }
      logName: "projects/project_001/logs/compute.googleapis.com%2Ffirewall",
      receiveTimestamp: "2023-11-28T19:08:46.749244092Z"
      resource: {2}
      timestamp: "2023-11-28T19:08:40.207465099Z"
    }

Con le query dei log di filtro degli URL e dei log del firewall puoi visualizzare la correlazione tra loro. La tabella seguente mappa i campi dei log firewall ai campi dei log di filtro URL corrispondenti.

Campo del log del firewall Campo del log di filtro degli URL Descrizione
src_ip clientIp L'indirizzo IP di origine nel log del firewall è correlato all'indirizzo IP del client nel log del filtro URL per identificare l'origine del traffico filtrato.
src_port clientPort La porta di origine nel log del firewall è correlata alla porta del client nel log di filtraggio degli URL per identificare la porta di origine utilizzata dal traffico filtrato.
dest_ip serverIp L'indirizzo IP di destinazione nel log firewall è correlato all'indirizzo IP del server nel log di filtraggio URL per individuare la destinazione del traffico filtrato.
dest_port serverPort La porta di destinazione nel log firewall è correlata alla porta del server nel log di filtraggio URL per identificare la porta di destinazione utilizzata dal traffico filtrato.

Passaggi successivi