Auf dieser Seite wird beschrieben, wie Sie mit Cloud Logging VPC Service Controls-Fehler ermitteln.
VPC Service Controls mindert das Risiko der Daten-Exfiltration, indem mehrmandantenfähigen Google Cloud-Diensten. Weitere Informationen finden Sie unter VPC Service Controls.
Bestimmen, ob ein Fehler auf VPC Service Controls zurückzuführen ist
VPC Service Controls kann die Eigenschaften von Google Cloud ändern und sich auf mehrere Dienste auswirken. Das kann die Fehlerbehebung erschweren, insbesondere wenn Sie nicht wissen, worauf Sie achten müssen.
Es kann bis zu 30 Minuten dauern, bis die Änderungen am Dienstperimeter übernommen und wirksam werden. Wenn die Änderungen übernommen wurden, ist der Zugriff auf die Dienste, die im Perimeter eingeschränkt sind, nur noch zulässig, wenn er ausdrücklich autorisiert wurde.
Prüfen Sie, ob ein Fehler mit VPC Service Controls zusammenhängt. haben Sie VPC Service Controls aktiviert und auf die Projekte und die Sie verwenden möchten. Um zu prüfen, ob die Projekte und Dienste durch VPC Service Controls geschützt sind, sollten Sie VPC Service Controls auf dieser Ebene der Ressourcenhierarchie.
Stellen Sie sich ein Beispielszenario vor, in dem Sie einen Dienst indirekt nutzen, der in einem Projekt, das von VPC Service Controls als eingeschränkter Dienst gekennzeichnet wurde, sich innerhalb eines Dienstperimeters befindet. In diesem Fall wird der Zugriff möglicherweise durch VPC Service Controls verweigert.
Normalerweise geben Dienste Fehlermeldungen von ihren Abhängigkeiten weiter. Wenn Sie der folgende Fehler auftritt, weist dies auf ein Problem mit VPC Service Controls
Cloud Storage:
403: Request violates VPC Service Controls.BigQuery:
403: VPC Service Controls: Request is prohibited by organization's policy.Weitere Dienste:
403: Request is prohibited by organization's policy.
Eindeutige ID des Fehlers verwenden
Im Gegensatz zur Google Cloud Console gibt das gcloud-Befehlszeilentool eine eindeutige ID für
VPC Service Controls-Fehler. Um Log-Einträge für andere Fehler zu finden, filtern Sie die
Logs mit Metadaten.
Ein von VPC Service Controls generierter Fehler enthält eine eindeutige ID, mit der relevante Audit-Logs identifiziert werden.
So erhalten Sie mithilfe der eindeutigen ID Informationen zu einem Fehler:
Wechseln Sie in der Google Cloud Console zur Seite Cloud Logging für das Projekt innerhalb des Dienstperimeters, das den Fehler ausgelöst hat.
Geben Sie im Suchfilterfeld die eindeutige ID des Fehlers ein.
Sie sehen den entsprechenden Logeintrag.
Logs mit Metadaten filtern
Mit dem Log-Explorer können Sie Fehler im Zusammenhang mit VPC Service Controls ermitteln. Sie können die Logs mit der Logging-Abfragesprache abrufen. Informationen zum Erstellen von Abfragen finden Sie unter Erstellen von Abfragen mithilfe der Logging-Abfragesprache
Console
So können Sie die VPC Service Controls-Fehler der letzten 24 Stunden in Logging abrufen:
Wechseln Sie in der Google Cloud Console zur Seite Cloud Logging.
Sie müssen sich im Projekt befinden, das sich innerhalb des Dienstperimeters befindet.
Geben Sie folgenden Wert in das Suchfilterfeld ein:
protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"Wählen Sie im Menü Ressource die Option Geprüfte Ressource aus.
Wählen Sie im Menü für die Zeitraumauswahl die Option Letzte 24 Stunden aus.
Optional: So finden Sie die VPC Service Controls-Fehler, die in einem anderen Zeitraum aufgetreten sind, verwenden Sie den Zeitraum Auswahlmenü.
gcloud
Führen Sie den folgenden Befehl aus, um die VPC Service Controls-Fehler der letzten 24 Stunden abzurufen:
gcloud logging read 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"'Der Befehl
readist standardmäßig auf die letzten 24 Stunden beschränkt. Wenn Sie VPC Service Controls-Logs für einen anderen Zeitraum abrufen möchten, können Sie einen der folgenden Befehle verwenden:Wenn Sie Protokolle abrufen möchten, die innerhalb eines bestimmten Zeitraums nach dem aktuellen Datum generiert wurden, führen Sie den folgenden Befehl aus:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"' \ --freshness=DURATIONDURATION (Dauer) ist ein formatierter Zeitraum. Weitere Informationen zur Formatierung finden Sie unter Relative Datums-/Uhrzeitformate für die gcloud CLI.
So rufen Sie alle VPC Service Controls-Fehler ab, die in der der letzten Woche den folgenden Befehl aus:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"' \ --freshness=7dUm Protokolle abzurufen, die zwischen bestimmten Daten generiert wurden, führen Sie den folgenden Befehl:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" AND timestamp>="START_DATETIME" AND timestamp<="END_DATETIME"'START_DATETIME und END_DATETIME sind formatierte Datums- und Uhrzeitstrings. Weitere Informationen zur Formatierung finden Sie unter absolute Datums- und Uhrzeitformate für die gcloud CLI.
So rufen Sie beispielsweise alle VPC Service Controls-Fehler ab, die zwischen dem 22. März 2019 und dem 26. März 2019 aufgetreten sind:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" AND timestamp>="2019-03-22T23:59:59Z" AND timestamp<="2019-03-26T00:00:00Z"'
Nächste Schritte
- Probleme mit der VPC Service Controls-Fehlerbehebung diagnostizieren
- Häufige Probleme mit VPC Service Controls beheben
- Häufige Probleme mit anderen Google Cloud-Diensten beheben