【发布时间】:2021-04-05 22:17:46
【问题描述】:
我正在尝试查找访问我的 GCP 虚拟机的 IP 的过去日志(如果可能,按日期)。我在哪里可以找到这个?
我熟悉日志浏览器功能,但无法找到尝试访问 VM 但被防火墙/安全阻止的 IP。
我的目标是跟踪这些 IP 以将其列入黑名单。
我是否需要进行一些设置才能跟踪这些 IP?
编辑 1:日志记录和访问控制对我来说相对较新(请耐心等待),这是我目前发现的。
- 现已为阻止外部访问的主要规则启用防火墙规则日志记录。
- Web 服务器日志记录已启用,我目前是日志记录管理员。
- 一些背景:我在一个实例上使用 Jupyter Notebook,我注意到一个可疑的 IP 在 Jupyter 日志中发出了一个奇怪的 GET 调用(带有 404 响应)。据我所知,我立刻吓坏了并加强了安全措施,但我确实想找到问题的根源。
- 现在,我发现了有关该访问尝试的信息。
4.a - 日志浏览器中的防火墙“资源类型”没有以任何方式捕获/记录奇怪的访问尝试(但它确实记录了我那天的成功访问尝试,很奇怪)
4.b - 大约在我注意到 IP 的时候,VM 实例“资源类型”中记录了两个 IntegrityEvent。 ShieldedVM完整性?这可能与此有关吗?它没有告诉我IP地址。 (在此期间,我会尝试更好地了解受防护的虚拟机。)
4.c - 在进行奇怪的 API 调用时,我正在查看日志,感觉就像运气一样,我会在 GCP 安全课程上加倍努力。
另外,你们是怎么知道这样的东西的?
编辑 2:
好的,现在我可以跟踪试图通过该防火墙规则访问的 IP。我看到很多来自俄罗斯、中国等的国际 IP。这正常吗?
您不需要像密钥一样访问 SSH 端口,这些 IP 是如何通过我的防火墙的?
当我看到图片中的人流时,我有点小毛病。请注意,当我没有针对 SSH 端口的任何 IP 过滤器时,会记录流量(图像)。这些 IP 获得访问权限是什么意思?我的密钥被泄露了吗?
您能帮我找到可以找到如何正确创建防火墙的资源吗?我尝试仅将入口设置为我的 IP,但这似乎不起作用。
我还尝试通过限制访问来复制 @Jose 的防火墙规则以获得“拒绝”,但我也无法做到这一点。对不起,如果我看起来像个初学者。
感谢任何帮助。
谢谢!
【问题讨论】:
-
只是为了确保您确实为阻止访问的规则启用了firewall rule logging,对吧?
-
您需要启用两个功能。 1) Web 服务器日志记录。 2) 具有正确 IAM 权限的 Google Cloud Logging 设置。使用系统的详细信息编辑您的问题。
-
@Pramod Anantha,我已经编辑了我的答案,请看一下。
-
@JoseLuisDelgadillo 非常感谢您的回复。我现在也添加了一个编辑。
标签: logging google-cloud-platform virtual-machine