如何找到 Google 云平台虚拟机日志?
How to locate Google Cloud Platform VM Logs?
我正在尝试查找访问我的 GCP VM 的 IP 的过去日志(如果可能,按日期)。我在哪里可以找到这个?
我熟悉日志资源管理器功能,但无法找到尝试访问 VM 但被 firewall/security 阻止的 IP。
我的目标是跟踪这些 IP 以用于某种黑名单。
我是否需要进行一些设置才能跟踪这些 IP?
编辑 1:日志记录和访问控制对我来说比较陌生(请耐心等待),这是我到目前为止所发现的。
- 现在为阻止外部访问的主要规则启用了防火墙规则日志记录。
- Web 服务器日志已启用,我目前是日志管理员。
- 一些背景:我在一个实例上使用 Jupyter Notebook,我注意到一个可疑的 IP 在 Jupyter 日志中发出一个奇怪的 GET 调用(带有 404 响应)。据我所知,我立即吓坏了并加强了安全措施,但我确实想找到问题的根源。
- 现在这是我发现的有关该访问尝试的信息。
4.a - 日志浏览器中的防火墙 'Resource Type' 没有 catch/record 以任何方式进行奇怪的访问尝试(但它确实记录了我那天的成功访问尝试,很奇怪)
4.b - 在我注意到 IP 的前后,VM 实例中记录了两个 IntegrityEvents 'Resource Type'。屏蔽虚拟机完整性?这可能与此有关吗?虽然它没有告诉我 IP 地址。 (在此期间,我将尝试更好地了解受防护的 VM。)
4.c - 当发出奇怪的 API 调用时我正在查看日志感觉很幸运,将加倍学习 GCP 安全课程。
还有,你们是怎么知道这些东西的?
编辑 2 :
好的,现在我可以跟踪尝试通过该防火墙规则访问的 IP。我看到很多来自俄罗斯、中国等地的国际 IP。这正常吗?
你不需要像密钥一样访问 SSH 端口吗,这些 IP 是如何通过我的防火墙的?
当我看到图片中的交通时,Sorta 有点害怕。请注意,流量(图像)是在我没有为 SSH 端口设置任何 IP 过滤器时记录的。这些获得访问权限的 IP 是什么意思?我的密钥被泄露了吗?
你能帮我找到可以找到如何正确创建防火墙的资源吗?我尝试仅将入口设置为我的 IP,但这似乎不起作用。
我还尝试通过限制访问以获得“拒绝”来复制@Jose 的防火墙规则,但我也无法做到这一点。对不起,如果我看起来像个初学者。
感谢任何帮助。
谢谢!
如果您启用了 Firewall Rules Logging,您将能够看到正在访问您的 GCP VM 的 IP。如果没有,您可以启用您的防火墙规则日志记录,正如@jabbson 提到的那样。
当您为防火墙规则启用日志记录时,Google Cloud 会在每次规则允许或拒绝流量时创建一个称为连接记录的条目。您可以在 Cloud Logging 中查看这些记录,并且可以将日志导出到 Cloud Logging 导出支持的任何目的地。
每个连接记录都包含源和目标 IP 地址、协议和端口、日期和时间,以及对应用于流量的防火墙规则的引用。
请考虑到它会创建大量日志,并且由于它是在防火墙上定义的,因此您可以按端口过滤它以避免收到数千条日志。
要enabling firewall rules logging,您可以使用以下命令:
gcloud compute firewall-rules update NAME \
--enable-logging
--logging-metadata=LOGGING_METADATA
其中 NAME 是防火墙规则的名称,LOGGING_METADATA 指定防火墙规则日志记录是否包括防火墙规则日志中的元数据字段。
编辑 1
激活防火墙规则日志记录后,您可以看到以这种方式收集的信息:
转到 Google 云控制台中的 Firewall page。
然后单击要查看日志的规则名称,查找日志部分并单击 view in Logs Explorer:
然后您可以根据需要调整查询。
在我的示例中,我为我的端口 22 (ssh) 创建了一个防火墙规则,然后我过滤了
jsonPayload.disposition="DENIED"
然后就可以看到连接区下的IP了
添加到上面@Jose 的回答中,这里有一些有用的提示
这是我如何弄清楚日志记录和访问控制的方法
-
据我了解,有些自动化软件(我认为是 IP 轮换)会不断尝试访问您的 VM。这些是我在日志中注意到的 IP。
- 确保删除不必要的防火墙规则。
- 如果您对尝试访问您的 VM 的 IP 类型感到好奇,为 [=25= 创建 DENY(NOT ALLOW) 规则可能是一个很好的练习]all ports and all IPs 高于所有其他规则,然后打开日志记录,您将在日志记录控制台上看到这些 IP。由于除了允许的 IP 之外的所有 IP 都会被 GCP 默认防火墙自动踢掉,所以您通常看不到它们。请确保在执行此操作之前完成您的 DD。
- 请启用安全启动和完整性监控等 VM 功能,因为它们将充当另一层保护。
为了安全访问虚拟机实例,请参考这些官方资源
如果您有任何问题,请告诉我。
我正在尝试查找访问我的 GCP VM 的 IP 的过去日志(如果可能,按日期)。我在哪里可以找到这个?
我熟悉日志资源管理器功能,但无法找到尝试访问 VM 但被 firewall/security 阻止的 IP。
我的目标是跟踪这些 IP 以用于某种黑名单。
我是否需要进行一些设置才能跟踪这些 IP?
编辑 1:日志记录和访问控制对我来说比较陌生(请耐心等待),这是我到目前为止所发现的。
- 现在为阻止外部访问的主要规则启用了防火墙规则日志记录。
- Web 服务器日志已启用,我目前是日志管理员。
- 一些背景:我在一个实例上使用 Jupyter Notebook,我注意到一个可疑的 IP 在 Jupyter 日志中发出一个奇怪的 GET 调用(带有 404 响应)。据我所知,我立即吓坏了并加强了安全措施,但我确实想找到问题的根源。
- 现在这是我发现的有关该访问尝试的信息。
4.a - 日志浏览器中的防火墙 'Resource Type' 没有 catch/record 以任何方式进行奇怪的访问尝试(但它确实记录了我那天的成功访问尝试,很奇怪)
4.b - 在我注意到 IP 的前后,VM 实例中记录了两个 IntegrityEvents 'Resource Type'。屏蔽虚拟机完整性?这可能与此有关吗?虽然它没有告诉我 IP 地址。 (在此期间,我将尝试更好地了解受防护的 VM。)
4.c - 当发出奇怪的 API 调用时我正在查看日志感觉很幸运,将加倍学习 GCP 安全课程。
还有,你们是怎么知道这些东西的?
编辑 2 :
好的,现在我可以跟踪尝试通过该防火墙规则访问的 IP。我看到很多来自俄罗斯、中国等地的国际 IP。这正常吗?
你不需要像密钥一样访问 SSH 端口吗,这些 IP 是如何通过我的防火墙的?
当我看到图片中的交通时,Sorta 有点害怕。请注意,流量(图像)是在我没有为 SSH 端口设置任何 IP 过滤器时记录的。这些获得访问权限的 IP 是什么意思?我的密钥被泄露了吗?
你能帮我找到可以找到如何正确创建防火墙的资源吗?我尝试仅将入口设置为我的 IP,但这似乎不起作用。
我还尝试通过限制访问以获得“拒绝”来复制@Jose 的防火墙规则,但我也无法做到这一点。对不起,如果我看起来像个初学者。
感谢任何帮助。
谢谢!
如果您启用了 Firewall Rules Logging,您将能够看到正在访问您的 GCP VM 的 IP。如果没有,您可以启用您的防火墙规则日志记录,正如@jabbson 提到的那样。
当您为防火墙规则启用日志记录时,Google Cloud 会在每次规则允许或拒绝流量时创建一个称为连接记录的条目。您可以在 Cloud Logging 中查看这些记录,并且可以将日志导出到 Cloud Logging 导出支持的任何目的地。
每个连接记录都包含源和目标 IP 地址、协议和端口、日期和时间,以及对应用于流量的防火墙规则的引用。
请考虑到它会创建大量日志,并且由于它是在防火墙上定义的,因此您可以按端口过滤它以避免收到数千条日志。
要enabling firewall rules logging,您可以使用以下命令:
gcloud compute firewall-rules update NAME \
--enable-logging
--logging-metadata=LOGGING_METADATA
其中 NAME 是防火墙规则的名称,LOGGING_METADATA 指定防火墙规则日志记录是否包括防火墙规则日志中的元数据字段。
编辑 1
激活防火墙规则日志记录后,您可以看到以这种方式收集的信息:
转到 Google 云控制台中的 Firewall page。
然后单击要查看日志的规则名称,查找日志部分并单击 view in Logs Explorer:
然后您可以根据需要调整查询。
在我的示例中,我为我的端口 22 (ssh) 创建了一个防火墙规则,然后我过滤了
jsonPayload.disposition="DENIED"
然后就可以看到连接区下的IP了
添加到上面@Jose 的回答中,这里有一些有用的提示
这是我如何弄清楚日志记录和访问控制的方法
据我了解,有些自动化软件(我认为是 IP 轮换)会不断尝试访问您的 VM。这些是我在日志中注意到的 IP。
- 确保删除不必要的防火墙规则。
- 如果您对尝试访问您的 VM 的 IP 类型感到好奇,为 [=25= 创建 DENY(NOT ALLOW) 规则可能是一个很好的练习]all ports and all IPs 高于所有其他规则,然后打开日志记录,您将在日志记录控制台上看到这些 IP。由于除了允许的 IP 之外的所有 IP 都会被 GCP 默认防火墙自动踢掉,所以您通常看不到它们。请确保在执行此操作之前完成您的 DD。
- 请启用安全启动和完整性监控等 VM 功能,因为它们将充当另一层保护。
为了安全访问虚拟机实例,请参考这些官方资源
如果您有任何问题,请告诉我。