VPC Service Controls-Fehler aus Prüfprotokollen abrufen

Auf dieser Seite wird beschrieben, wie Sie VPC Service Controls-Fehler mit Cloud Logging finden können.

VPC Service Controls hilft, das Risiko einer Daten-Exfiltration zu verringern, indem Multi-Tenant-Dienste isoliert werden. Google Cloud Weitere Informationen finden Sie unter VPC Service Controls.

Bestimmen, ob ein Fehler auf VPC Service Controls zurückzuführen ist

VPC Service Controls kann die Attribute von Google Cloud ändern und Auswirkungen auf mehrere Dienste haben. Das kann die Fehlersuche erschweren, insbesondere wenn Sie nicht wissen, worauf Sie achten müssen.

Es kann bis zu 30 Minuten dauern, bis die Änderungen am Dienstperimeter übernommen werden und wirksam werden. Wenn die Änderungen übernommen wurden, darf der Zugriff auf die im Perimeter eingeschränkten Dienste die Perimetergrenze nur überschreiten, wenn dies ausdrücklich autorisiert ist.

Damit Sie ermitteln können, ob ein Fehler mit VPC Service Controls zusammenhängt, müssen Sie prüfen, ob Sie VPC Service Controls aktiviert und auf die Projekte und Dienste angewendet haben, die Sie verwenden möchten. Wenn Sie prüfen möchten, ob die Projekte und Dienste durch VPC Service Controls geschützt sind, sehen Sie sich die VPC Service Controls-Richtlinie auf dieser Ebene der Ressourcenhierarchie an.

Betrachten Sie ein Beispiel, in dem Sie indirekt einen Dienst verwenden, der von VPC Service Controls in einem Projekt innerhalb eines Dienstperimeters als eingeschränkter Dienst markiert wurde. In diesem Fall kann es sein, dass VPC Service Controls den Zugriff verweigern.

Normalerweise geben Dienste Fehlermeldungen von ihren Abhängigkeiten weiter. Wenn einer der folgenden Fehler auftritt, weist dies auf ein Problem mit VPC Service Controls hin.

  • Cloud Storage: 403: Request violates VPC Service Controls.

  • BigQuery: 403: VPC Service Controls: Request is prohibited by organization's policy.

  • Weitere Dienste: 403: Request is prohibited by organization's policy.

Eindeutige ID des Fehlers verwenden

Im Gegensatz zur Google Cloud -Konsole gibt das gcloud-Befehlszeilentool eine eindeutige ID für VPC Service Controls-Fehler zurück. Damit Sie Logeinträge für andere Fehler finden, filtern Sie die Logs mithilfe von Metadaten.

Ein von VPC Service Controls generierter Fehler enthält eine eindeutige ID, mit der relevante Audit-Logs identifiziert werden.

So erhalten Sie Informationen zu einem Fehler anhand der eindeutigen ID:

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud Logging für das Projekt innerhalb des Dienstperimeters, das den Fehler ausgelöst hat.

    Zu Cloud Logging

  2. Geben Sie im Suchfilterfeld die eindeutige ID des Fehlers ein.

Sie sehen den entsprechenden Logeintrag.

Logs mit Metadaten filtern

Mit dem Log-Explorer können Sie Fehler im Zusammenhang mit VPC Service Controls finden. Sie können die Logging-Abfragesprache verwenden, um die Logs abzurufen. Informationen zum Erstellen von Abfragen finden Sie unter Abfragen mit der Logging-Abfragesprache erstellen.

Console

So können Sie die VPC Service Controls-Fehler der letzten 24 Stunden in Logging abrufen:

  1. Rufen Sie in der Google Cloud Console die Seite Cloud Logging auf.

    Zu Cloud Logging

  2. Achten Sie darauf, dass Sie sich in dem Projekt befinden, das sich innerhalb des Dienstperimeters befindet.

  3. Geben Sie Folgendes in das Suchfilterfeld ein:

    protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"
    
  4. Wählen Sie im Menü Ressource die Option Geprüfte Ressource aus.

  5. Wählen Sie im Menü für die Zeitraumauswahl die Option Letzte 24 Stunden aus.

  6. Optional: Wenn Sie die VPC Service Controls-Fehler aus einem anderen Zeitraum ermitteln möchten, verwenden Sie das Menü Zeitraumauswahl.

gcloud

  • Führen Sie den folgenden Befehl aus, um die VPC Service Controls-Fehler der letzten 24 Stunden abzurufen:

    gcloud logging read 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"'
    

    Der Befehl read ist standardmäßig auf die letzten 24 Stunden beschränkt. Wenn Sie VPC Service Controls-Logs für einen anderen Zeitraum abrufen möchten, können Sie einen der folgenden Befehle verwenden:

  • Führen Sie den folgenden Befehl aus, um Logs abzurufen, die innerhalb eines bestimmten Zeitraums ab dem aktuellen Datum generiert wurden:

    gcloud logging read \
    'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"' \
      --freshness=DURATION
    

    DURATION (Dauer) ist ein formatierter Zeitraum. Weitere Informationen zur Formatierung finden Sie unter Relative Datums-/Uhrzeitformate für die gcloud CLI.

  • Führen Sie den folgenden Befehl aus, um alle VPC Service Controls-Fehler abzurufen, die in der letzten Woche aufgetreten sind:

    gcloud logging read \
    'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"' \
      --freshness=7d
    
  • Führen Sie den folgenden Befehl aus, um Logs abzurufen, die zwischen bestimmten Datumsangaben generiert wurden:

    gcloud logging read \
    'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" AND
    timestamp>="START_DATETIME" AND
    timestamp<="END_DATETIME"'
    

    START_DATETIME und END_DATETIME sind formatierte Datums- und Uhrzeitstrings. Weitere Informationen zur Formatierung finden Sie unter Absolute Datums- und Uhrzeitformate für die gcloud CLI.

    So rufen Sie beispielsweise alle VPC Service Controls-Fehler ab, die zwischen dem 22. März 2019 und dem 26. März 2019 aufgetreten sind:

    gcloud logging read \
    'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" AND
      timestamp>="2019-03-22T23:59:59Z" AND
      timestamp<="2019-03-26T00:00:00Z"'
    

Nächste Schritte