GCP 日志记录 - 识别异常流量
GCP Logging - Identify Unusual Traffic
我最近注意到我的 Google 云 SQL 实例上有一些异常流量。
你能帮我确定一下这个流量的来源吗?(附上图片)
有趣的是,我每天在 15 分钟内获得大约 40 次点击(全部 'password authentication failed'),然后什么都没有。确切的日志不包含任何 IP 或其他来源信息,所以我很好奇是否有其他方法可以找到有关来源的信息。
P.S这不是因为我有什么scheduled/automated。
您是否已将 Cloud SQL 实例配置为具有 public IPv4 地址?如果是这样,连接可以使用:
- public IP 并且来自您在
Cloud SQL Instances > Overview > Connections > Authorized networks 中配置的地址或范围
- Cloud SQL Auth Proxy 但它必须至少具有
cloudsql.instances.connect 权限
如果您的实例只配置了私有 IP,则您只能从与您的实例相同的网络内连接(所以不用担心)。
不幸的是,“cloudsql.instances.connect”的审核日志可以显示调用者的 ip 地址,仅在 Cloud SQL Auth Proxy
时显示
- 有上述权限并成功认证
- 没有权限并显示
Not authorized to access resource 日志消息
这不是你的情况
我最近注意到我的 Google 云 SQL 实例上有一些异常流量。
你能帮我确定一下这个流量的来源吗?(附上图片)
有趣的是,我每天在 15 分钟内获得大约 40 次点击(全部 'password authentication failed'),然后什么都没有。确切的日志不包含任何 IP 或其他来源信息,所以我很好奇是否有其他方法可以找到有关来源的信息。
P.S这不是因为我有什么scheduled/automated。
您是否已将 Cloud SQL 实例配置为具有 public IPv4 地址?如果是这样,连接可以使用:
- public IP 并且来自您在
Cloud SQL Instances > Overview > Connections > Authorized networks 中配置的地址或范围
- Cloud SQL Auth Proxy 但它必须至少具有
cloudsql.instances.connect权限
如果您的实例只配置了私有 IP,则您只能从与您的实例相同的网络内连接(所以不用担心)。
不幸的是,“cloudsql.instances.connect”的审核日志可以显示调用者的 ip 地址,仅在 Cloud SQL Auth Proxy
时显示- 有上述权限并成功认证
- 没有权限并显示
Not authorized to access resource日志消息 这不是你的情况