Auf dieser Seite wird beschrieben, wie Sie mit Cloud Logging VPC Service Controls-Fehler ermitteln.
Mit VPC Service Controls können Sie das Risiko einer Daten-Exfiltration verringern, indem Sie mehrmandantenfähige Google Cloud-Dienste isolieren. Weitere Informationen finden Sie unter VPC Service Controls.
Bestimmen, ob ein Fehler auf VPC Service Controls zurückzuführen ist
VPC Service Controls kann die Eigenschaften von Google Cloud ändern und sich auf mehrere Dienste auswirken. Das kann die Fehlerbehebung erschweren, insbesondere wenn Sie nicht wissen, worauf Sie achten müssen.
Es kann bis zu 30 Minuten dauern, bis die Änderungen am Dienstperimeter übernommen und wirksam werden. Wenn die Änderungen übernommen wurden, ist der Zugriff auf die Dienste, die im Perimeter eingeschränkt sind, nur dann zulässig, wenn er ausdrücklich autorisiert wurde.
Damit Sie ermitteln können, ob ein Fehler mit VPC Service Controls zusammenhängt, müssen Sie prüfen, ob Sie VPC Service Controls aktiviert und auf die Projekte und Dienste angewendet haben, die Sie verwenden möchten. Ob die Projekte und Dienste durch VPC Service Controls geschützt sind, sehen Sie in der VPC Service Controls-Richtlinie auf dieser Ebene der Ressourcenhierarchie.
Angenommen, Sie verwenden indirekt einen Dienst, der von VPC Service Controls in einem Projekt innerhalb eines Dienstperimeters als eingeschränkter Dienst markiert wurde. In diesem Fall wird der Zugriff möglicherweise durch VPC Service Controls verweigert.
Normalerweise geben Dienste Fehlermeldungen von ihren Abhängigkeiten weiter. Wenn einer der folgenden Fehler auftritt, weist dies auf ein Problem mit VPC Service Controls hin.
Cloud Storage:
403: Request violates VPC Service Controls.
BigQuery:
403: VPC Service Controls: Request is prohibited by organization's policy.
Weitere Dienste:
403: Request is prohibited by organization's policy.
Eindeutige ID des Fehlers verwenden
Im Gegensatz zur Google Cloud Console gibt das gcloud
-Befehlszeilentool eine eindeutige ID für VPC Service Controls-Fehler zurück. Damit Sie Logeinträge für andere Fehler finden, filtern Sie die Logs mithilfe von Metadaten.
Ein von VPC Service Controls generierter Fehler enthält eine eindeutige ID, mit der relevante Audit-Logs identifiziert werden.
So erhalten Sie Informationen zu einem Fehler anhand der eindeutigen ID:
Wechseln Sie in der Google Cloud Console zur Seite Cloud Logging für das Projekt innerhalb des Dienstperimeters, das den Fehler ausgelöst hat.
Geben Sie im Suchfilterfeld die eindeutige ID des Fehlers ein.
Sie sehen den entsprechenden Logeintrag.
Logs mit Metadaten filtern
Mit dem Log-Explorer können Sie Fehler im Zusammenhang mit VPC Service Controls ermitteln. Sie können die Logs mit der Logging-Abfragesprache abrufen. Informationen zum Erstellen von Abfragen finden Sie unter Abfragen mit der Logging-Abfragesprache erstellen.
Console
So können Sie die VPC Service Controls-Fehler der letzten 24 Stunden in Logging abrufen:
Wechseln Sie in der Google Cloud Console zur Seite Cloud Logging.
Sie müssen sich im Projekt befinden, das sich innerhalb des Dienstperimeters befindet.
Geben Sie folgenden Wert in das Suchfilterfeld ein:
protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"
Wählen Sie im Menü Ressource die Option Geprüfte Ressource aus.
Wählen Sie im Menü für die Zeitraumauswahl die Option Letzte 24 Stunden aus.
Optional: Wenn Sie die VPC Service Controls-Fehler aus einem anderen Zeitraum ermitteln möchten, verwenden Sie das Menü Zeitraumauswahl.
gcloud
Führen Sie den folgenden Befehl aus, um die VPC Service Controls-Fehler der letzten 24 Stunden abzurufen:
gcloud logging read 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"'
Der Befehl
read
ist standardmäßig auf die letzten 24 Stunden beschränkt. Wenn Sie VPC Service Controls-Logs für einen anderen Zeitraum abrufen möchten, können Sie einen der folgenden Befehle verwenden:Wenn Sie Protokolle abrufen möchten, die innerhalb eines bestimmten Zeitraums nach dem aktuellen Datum generiert wurden, führen Sie den folgenden Befehl aus:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"' \ --freshness=DURATION
DURATION (Dauer) ist ein formatierter Zeitraum. Weitere Informationen zur Formatierung finden Sie unter Relative Datums-/Uhrzeitformate für die gcloud CLI.
Führen Sie den folgenden Befehl aus, um alle VPC Service Controls-Fehler abzurufen, die in der letzten Woche aufgetreten sind:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"' \ --freshness=7d
Führen Sie den folgenden Befehl aus, um Protokolle abzurufen, die zwischen bestimmten Datumsangaben generiert wurden:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" AND timestamp>="START_DATETIME" AND timestamp<="END_DATETIME"'
START_DATETIME und END_DATETIME sind formatierte Datums- und Uhrzeitstrings. Weitere Informationen zur Formatierung finden Sie unter Absolute Datums- und Uhrzeitformate für die gcloud CLI.
So rufen Sie beispielsweise alle VPC Service Controls-Fehler ab, die zwischen dem 22. März 2019 und dem 26. März 2019 aufgetreten sind:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" AND timestamp>="2019-03-22T23:59:59Z" AND timestamp<="2019-03-26T00:00:00Z"'
Nächste Schritte
- Probleme mithilfe der VPC Service Controls-Fehlerbehebung diagnostizieren
- Häufige Probleme mit VPC Service Controls beheben
- Häufige Probleme mit anderen Google Cloud-Diensten beheben