Registros de filtragem de URL

Com os registros do serviço de filtragem de URL, é possível auditar, verificar e analisar a filtragem de tráfego baseada em URL na sua rede.

Quando o Cloud Next Generation Firewall realiza a filtragem com base em URL no tráfego com a inspeção da camada 7 ativada, ele gera uma entrada de registro para cada conexão com detalhes sobre a conexão. O Cloud NGFW gera uma entrada de registro quando a regra de firewall com inspeção da camada 7 é ativada, independente de o Cloud Logging estar ativado ou desativado.

Para visualizar e examinar os registros de filtragem de URL, na Análise de registros, pesquise o registro networksecurity.googleapis.com/firewall_url_filter.

Nesta página, descrevemos o formato e a estrutura dos registros de filtragem de URL que o Cloud NGFW gera para cada conexão quando permite ou nega o tráfego.

Formato do registro de filtragem de URL

O Cloud NGFW cria uma entrada de registro no Cloud Logging para cada conexão que passa por filtragem de URL para monitorar o tráfego de ou para uma instância de máquina virtual (VM) em uma zona específica. Os registros são incluídos no campo de payload JSON de um LogEntry.

Alguns campos de registro aparecem em um formato múltiplo, com mais de um dado em cada campo. Por exemplo, o campo connection tem o formato Connection, que contém a porta e o endereço IP do servidor, o endereço IP e a porta do cliente, além do número do protocolo em um único campo.

Confira na tabela a seguir o formato dos campos de registro de filtragem de URL.

Campo Tipo Descrição
connection Connection Uma tupla de 5 valores que descreve os parâmetros de conexão associados ao tráfego permitido ou negado com base nas informações de indicação de nome do servidor (SNI) e de domínio.
interceptInstance InterceptInstance Os detalhes da instância de VM em que o tráfego é permitido ou negado com base nas informações de domínio e SNI.
detectionTime string O horário (UTC) em que o endpoint de firewall detecta uma correspondência para as informações de domínio e SNI.
uriMatched string O domínio em que o endpoint de firewall detectou uma correspondência.
interceptVpc VpcDetails Os detalhes da rede de nuvem privada virtual (VPC) associada à instância de VM em que o tráfego é permitido ou negado com base em informações de domínio e SNI.
ruleIndex integer O índice ou o número de ordem do filtro de URL em que o endpoint do firewall detectou uma correspondência.
direction string A direção do tráfego (CLIENT_TO_SERVER ou SERVER_TO_CLIENT) para que o endpoint de firewall detectou uma correspondência.
securityProfileGroupDetails SecurityProfileGroupDetails Os detalhes do grupo de perfis de segurança aplicados ao tráfego interceptado.
denyType string O tipo de informação que o endpoint de firewall usa para negar um tráfego.
  • SNI: o endpoint de firewall negou o tráfego devido a uma correspondência detectada com um SNI.
  • HOST: o endpoint de firewall negou o tráfego devido a uma correspondência detectada com as informações de domínio presentes no campo de cabeçalho do host.
  • URI: o endpoint de firewall negou o tráfego devido a uma correspondência detectada em um URI.
action string A ação, allow ou deny, realizada no tráfego filtrado com base nas informações de domínio e SNI. O perfil de segurança define essa ação. Para saber mais sobre a ação configurada, consulte Perfil de segurança de filtragem de URL.
applicationLayerDetails ApplicationLayerDetails Os detalhes relacionados ao processamento da camada de aplicativo.
sessionLayerDetails SessionLayerDetails Os detalhes relacionados ao processamento da camada de sessão.

Formato do campo Connection

Confira na tabela a seguir o formato do campo Connection.

Campo Tipo Descrição
clientIp string O endereço IP do cliente. Se o cliente for uma VM do Compute Engine, clientIp será o endereço IP interno principal ou um endereço em um intervalo de IP de alias da interface de rede da VM. O endereço IP externo não é mostrado. Os registros mostram o endereço IP da instância de VM, conforme observado no cabeçalho IP, de maneira semelhante ao despejo de TCP da instância de VM.
clientPort integer O número da porta do cliente.
serverIp string O endereço IP do servidor. Se o servidor for uma VM do Compute Engine, serverIp será o endereço de IP interno principal ou um endereço em um intervalo de IP de alias da interface de rede da VM. O endereço IP externo não é exibido, mesmo que seja usado para fazer a conexão.
serverPort integer O número da porta do servidor.
protocol string O protocolo IP da conexão.

Formato do campo InterceptInstance

Confira na tabela a seguir o formato do campo InterceptInstance.

Campo Tipo Descrição
zone string O nome da zona em que a instância de VM associada ao tráfego interceptado está localizada.
vm string O nome da instância de VM associada ao tráfego interceptado.
projectId string O nome do projeto Google Cloud associado ao tráfego interceptado.

Formato do campo VpcDetails

Confira na tabela a seguir o formato do campo VpcDetails.

Campo Tipo Descrição
vpc string O nome da rede VPC associada ao tráfego interceptado.
projectId string O nome do projeto Google Cloud associado à rede VPC.

Formato do campo SecurityProfileGroupDetails

Confira na tabela a seguir o formato do campo SecurityProfileGroupDetails.

Campo Tipo Descrição
securityProfileGroupId string O nome do grupo de perfis de segurança aplicado ao tráfego.
organizationId string O ID da organização a que a instância de VM pertence.

Formato do campo ApplicationLayerDetails

Confira na tabela a seguir o formato do campo ApplicationLayerDetails.

Campo Tipo Descrição
protocol string A versão do protocolo que o endpoint de firewall usa na camada de aplicativo.
  • HTTP0: indica uma versão HTTP anterior a 1. O endpoint do firewall lê as informações do domínio no primeiro campo de cabeçalho do host.
  • HTTP1: indica a versão 1.x do HTTP. O endpoint do firewall lê as informações do domínio no primeiro campo de cabeçalho do host.
  • HTTP2: indica a versão 2.x do HTTP. Como o campo de cabeçalho do host é opcional para essa versão do protocolo, o endpoint do firewall lê as informações de domínio do pseudo-cabeçalho de autoridade ou dos blocos de cabeçalho dos tipos de frame de cabeçalho, continuação ou push_promise.
uri string As informações de domínio e subdomínio que o endpoint de firewall lê do tráfego.

Formato do campo SessionLayerDetails

Confira na tabela a seguir o formato do campo SessionLayerDetails.

Campo Tipo Descrição
sni string A indicação de nome do servidor (SNI) que o endpoint do firewall lê do tráfego.
protocolVersion string A versão do protocolo que o endpoint de firewall usa na camada de sessão.
  • TLS1_0: indica a versão 1.0 do TLS.
  • TLS1_1: indica o TLS versão 1.1.
  • TLS1_2: indica o TLS versão 1.2.
  • TLS1_3: indica o TLS versão 1.3.

Correlação de registros de filtragem de URL com um registro de firewall

Quando o tráfego é avaliado por uma regra de firewall, o Cloud NGFW registra uma entrada de Registro de regras de firewall. Essa entrada inclui campos como o endereço IP de origem e de destino e a hora da inspeção de tráfego. Para ver esses registros de regras de firewall, consulte Ver registros.

Se uma regra de política de firewall com inspeção da camada 7 tiver a geração de registros ativada, o Cloud NGFW primeiro registrará a entrada de geração de registros de regras de firewall para o tráfego avaliado. Em seguida, ele envia o tráfego para o endpoint do firewall para inspeção da camada 7.

O endpoint do firewall analisa o tráfego usando o domínio e o SNI e cria um registro de filtragem de URL separado para a conexão. Esse registro de filtragem de URL inclui campos como o nome de domínio, a origem e o destino do tráfego.

Para ver os registros de filtragem de URL, no Explorador de registros, pesquise o registro networksecurity.googleapis.com/firewall_url_filter.

Compare os campos no registro de regras de firewall e no registro de filtragem de URL para identificar a conexão que acionou a filtragem de URL e tome as medidas adequadas para resolver o problema.

Por exemplo, você tem uma regra de política de firewall configurada com as seguintes configurações:

  • Endereço IP de origem: 192.0.2.0
  • Porta de origem: 47644
  • Endereço IP de destino: 192.0.2.1
  • Porta de destino: 80
  • Registro em registros: Enabled

Para conferir os registros de filtragem de URL associados a essa regra, acesse a página Análise de registros. No painel Consulta, cole a consulta a seguir no campo do editor de consultas.

  resource.type="networksecurity.googleapis.com/FirewallEndpoint"
  jsonPayload.source_ip_address="192.0.2.0"
  jsonPayload.source_port="47644"
  jsonPayload.destination_ip_address="192.0.2.1"
  jsonPayload.destination_port="80"

A seção Resultados da consulta mostra o seguinte registro de filtragem de URL:

    {
      "insertId": "akxp8uf5f0fuv",
      "jsonPayload": {
      "connection": {
      "serverPort": 80,
      "clientPort": 47644,
      "protocol": "TCP",
      "clientIp": "192.0.2.0",
      "serverIp": "192.0.2.1"
    },
      "interceptInstance": {
      "zone": "us-central1-c",
      "vm": "aied-test-dont-delete",
      "projectId": "project_001"
    },
      "detectionTime": "2025-06-02T19:09:27.802711668Z",
      "uriMatched": "",
      "interceptVpc": {
      "projectId": "project_001",
      "vpc": "default"
    },
      "ruleIndex": 0,
      "direction": "CLIENT_TO_SERVER",
      "@type": "type.googleapis.com/google.cloud.networksecurity.logging.v1.URLFilterLog",
      "securityProfileGroupDetails": {
      "securityProfileGroupId": "project_001/spg/my-spg-id",
      "organizationId": "organization_001"
    },
      "denyType": "HOST",
      "action": "DENY",
      "applicationLayerDetails": {
      "protocol": "HTTP1",
      "uri": "server.fwp.com"
    },
      "sessionLayerDetails": {
      "sni": "",
      "protocolVersion": "PROTOCOL_VERSION_UNSPECIFIED"
    }
  },
    "resource": {
    "type": "networksecurity.googleapis.com/FirewallEndpoint",
    "labels": {
      "location": "us-central1-c",
      "resource_container": "organizations/organization_001",
      "id": "pg-ni-latencyayzl8peq"
    }
  },
  "timestamp": "2025-06-02T19:09:35.452299517Z",
  "logName": "projects/project_001/logs/networksecurity.googleapis.com%2Ffirewall_url_filter",
  "receiveTimestamp": "2025-06-02T19:09:35.452299517Z"
}

Da mesma forma, para ver os registros de firewall associados a essa regra, acesse a página Análise de registros. No painel Consulta, cole a consulta a seguir no campo do editor de consultas.

    jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP"
    jsonPayload.connection.src_ip="192.0.2.0"
    jsonPayload.connection.src_port="47644"
    jsonPayload.connection.dest_ip="192.0.2.1"
    jsonPayload.connection.dest_port="80"

A seção Resultados da consulta mostra o seguinte registro de firewall:

    {
      insertId: "qn82vdg109q3r9"
      jsonPayload: {
      connection: {
      }
      dest_ip: "192.0.2.1"
      dest_port: 80
      protocol: 6
      src_ip: "192.0.2.0"
      src_port: 47644
      disposition: "INTERCEPTED"
      ►instance: {4}
      ▸ remote_instance: {4}
      ▸ remote_vpc: {3}
      rule_details: {
      action: "APPLY_SECURITY_PROFILE_GROUP"
      apply_security_profile_fallback_action: "UNSPECIFIED"
      direction: "INGRESS"
      ▸ ip_port_info: [1]
      ▼
      priority: 6000
      reference: "network: fwplus-vpc/firewallPolicy: fwplus-fwpolicy"
      source_range: [
      1
      0: "192.0.2.0/24"
      target_secure_tag: [
      0: "tagValues/281479199099651"
      ]
      }
      vpc: {
      project_id: "project_001"
      subnetwork_name: "fwplus-us-central1-subnet"
      vpc_name: "fwplus-vpc"
      }
      }
      logName: "projects/project_001/logs/compute.googleapis.com%2Ffirewall",
      receiveTimestamp: "2023-11-28T19:08:46.749244092Z"
      resource: {2}
      timestamp: "2023-11-28T19:08:40.207465099Z"
    }

Com as consultas de registro de filtragem de URL e de firewall, é possível conferir a correlação entre elas. A tabela a seguir mapeia os campos de registro do firewall para os campos de registro de filtragem de URL correspondentes.

Campo de registro de firewall Campo de registro de filtragem de URL Descrição
src_ip clientIp O endereço IP de origem no registro do firewall é correlacionado com o endereço IP do cliente no registro de filtragem de URL para identificar a origem do tráfego filtrado.
src_port clientPort A porta de origem no registro de firewall é correlacionada com a porta do cliente no registro de filtragem de URL para identificar a porta de origem usada pelo tráfego filtrado.
dest_ip serverIp O endereço IP de destino no registro do firewall é correlacionado com o endereço IP do servidor no registro de filtragem de URL para identificar o destino do tráfego filtrado.
dest_port serverPort A porta de destino no registro de firewall é correlacionada com a porta do servidor no registro de filtragem de URL para identificar a porta de destino usada pelo tráfego filtrado.

A seguir