Registro detallado

En esta página, se proporciona información para configurar el registro detallado, una función opcional que puedes usar con tus políticas de seguridad de Google Cloud Armor.

Puedes ajustar el nivel de detalle que se ingresa en tus registros. Te recomendamos habilitar el registro detallado solo cuando creas una política, realizas cambios en ella o solucionas sus problemas. Si habilitas el registro detallado, este estará activo para las reglas en modo de vista previa y para las reglas activas (sin vista previa) durante las operaciones estándar.

Considera un ejemplo en el que no puedes saber por qué una solicitud en particular activó una regla de WAF preconfigurada. Los registros de eventos predeterminados de Google Cloud Armor contienen la regla que se activó, además de la firma secundaria. Sin embargo, es posible que debas identificar los detalles de la solicitud entrante que activó la regla para solucionar problemas, validar o realizar ajustes. Este es un ejemplo. Te recomendamos que habilites el registro detallado.

Puedes configurar el nivel de registro de Google Cloud Armor para habilitar registros más detallados de cada política de seguridad mediante la marca --log-level en la CLI de gcloud.

De forma predeterminada, esta opción está inhabilitada. La sintaxis de la marca es la siguiente:

--log-level=[NORMAL | VERBOSE]

La marca solo está disponible con el comando gcloud compute security-policies update. No puedes crear una política de seguridad nueva con esta opción, a menos que crees una política de seguridad en un archivo y, luego, importes ese archivo. Para obtener más información, consulta Importa políticas de seguridad.

Por ejemplo:

  gcloud compute security-policies update ca-policy-1 \
      --log-level=VERBOSE
  

Te recomendamos habilitar el registro detallado cuando crees una política, realices cambios en ella o soluciones sus problemas.

Valores que se registran cuando se habilita el registro detallado

Cuando el registro detallado está habilitado, se registra información adicional en el registro de solicitud de balanceo de cargas HTTP(S) que se envía a Cloud Logging. Los siguientes campos adicionales aparecen en el registro de solicitud cuando el registro detallado está habilitado:

  • matchedFieldType (string): este es el tipo de campo que causa la coincidencia.

    • ARG_NAMES
    • ARG_VALUES
    • BODY

      • Cuando el campo BODY está en el registro, significa que todo el cuerpo de POST coincide con una regla.
    • COOKIE_VALUES

    • COOKIE_NAMES

    • FILENAME

    • HEADER_VALUES

    • RAW_URI

    • REFERER

    • REQUEST_LINE

    • URI

    • USER_AGENT

    • HEADER_NAMES

    • ARGS_GET

    • X_FILENAME

    • ARG_NAME_COUNT

    • TRANSFER_ENCODING

    • REQUEST_METHOD

  • matchedFieldName (string): si esto coincide con la parte del valor de un par clave-valor, el par clave-valor se almacena en este campo. De lo contrario, está vacío.

  • matchedFieldValue (string): un prefijo de hasta 16 bytes para la parte del campo que causa la coincidencia.

  • matchedFieldLength (número entero): la longitud total del campo.

  • matchedOffset (número entero): el desplazamiento de inicio dentro del campo que causa la coincidencia.

  • matchedLength (número entero): la longitud de la coincidencia.

Por ejemplo, puedes enviar esta solicitud a un proyecto en el que las reglas de WAF de inserción de SQL estén habilitadas:

curl http://IP_ADDR/?sql_table=abc%20pg_catalog%20xyz

La entrada en el Explorador de registros se vería como la siguiente:

enforcedSecurityPolicy: {
 name: "user-staging-sec-policy"
 priority: 100
 configuredAction: "DENY"
 outcome: "DENY
 preconfiguredExprIds: [
   0: "owasp-crs-v030001-id942140-sqli"
  ]
matchedFieldType: "ARG_VALUES"
matchedFieldName: "sql_table"
matchedFieldValue: "pg_catalog"
matchedFieldLength: 18
matchedOffset: 4
matchedLength: 10
}

Mantén la privacidad cuando el registro detallado esté activado

Cuando usas el registro detallado, Google Cloud Armor registra los fragmentos de los elementos de las solicitudes entrantes que activaron una regla de WAF preconfigurada específica. Estos fragmentos pueden contener partes de encabezados de la solicitud, parámetros de solicitud o elementos del cuerpo de POST. Es posible que un fragmento contenga datos sensibles, como una dirección IP o cualquier otro dato sensible de la solicitud entrante, según lo que haya en el encabezado o el cuerpo de la solicitud y lo que active la regla de WAF.

Si habilitas el registro detallado, ten en cuenta que existe el riesgo de acumular datos potencialmente sensibles en los registros en Logging. Te recomendamos que habilites el registro detallado solo durante la creación y validación de la regla o para la solución de problemas. Durante las operaciones normales, te recomendamos que dejes el registro detallado inhabilitado.

¿Qué sigue?