Questa pagina contiene informazioni sulla configurazione del logging dettagliato, una funzionalità facoltativa che puoi utilizzare con i criteri di sicurezza di Google Cloud Armor.
Puoi regolare il livello di dettaglio registrato nei log. Ti consigliamo di attivare il logging dettagliato solo quando crei un criterio, apporti modifiche a un criterio o ne risolvi i problemi. Se abiliti il logging dettagliato, saranno valide sia per le regole in modalità di anteprima sia per le regole attive (non visualizzate in anteprima) durante le operazioni standard.
Considera un esempio in cui non sei in grado di spiegare perché una regola WAF preconfigurata è stata attivata da una determinata richiesta. I log eventi predefiniti di Google Cloud Armor contengono la regola che è stata attivata e la sottofirma. Tuttavia, potrebbe essere necessario identificare i dettagli della richiesta in entrata che ha attivato la regola per la risoluzione dei problemi, la convalida o l'ottimizzazione delle regole. Questo è un esempio. Ti consigliamo di abilitare il logging dettagliato.
Puoi configurare il livello di logging di Google Cloud Armor per abilitare il logging più dettagliato per ogni criterio di sicurezza utilizzando il flag --log-level nellgcloud CLI.
Per impostazione predefinita, questa opzione è disattivata. La sintassi del flag è la seguente:
--log-level=[NORMAL | VERBOSE]
Il flag è disponibile solo utilizzando il comando gcloud compute security-policies update. Non puoi creare un nuovo criterio di sicurezza con questa opzione, a meno che non crei un criterio di sicurezza in un file e poi lo importi. Per ulteriori informazioni, consulta Importare i criteri di sicurezza.
Ad esempio:
gcloud compute security-policies update ca-policy-1 \
--log-level=VERBOSE
Ti consigliamo di attivare il logging dettagliato quando crei un criterio, apporti modifiche a un criterio o ne risolvi i problemi.
Valori registrati quando è attivato il logging dettagliato
Se il logging dettagliato è abilitato, vengono registrate informazioni aggiuntive nel log delle richieste di bilanciamento del carico inviato a Cloud Logging. I seguenti campi aggiuntivi vengono visualizzati nel log delle richieste quando il logging dettagliato è abilitato:
matchedFieldType(stringa): è il tipo di campo che genera la corrispondenza.ARG_NAMESARG_VALUESBODY- Se il campo
BODYè nel log, significa che l'intero corpo del post corrisponde a una regola.
- Se il campo
COOKIE_VALUESCOOKIE_NAMESFILENAMEHEADER_VALUESRAW_URIREFERERREQUEST_LINEURIUSER_AGENTHEADER_NAMESARGS_GETX_FILENAMEARG_NAME_COUNTTRANSFER_ENCODINGREQUEST_METHOD
matchedFieldName(stringa): se corrisponde alla parte del valore in una coppia chiave-valore, la coppia chiave-valore viene memorizzata in questo campo. In caso contrario, è vuoto.matchedFieldValue(stringa): un prefisso di massimo 16 byte per la parte del campo che causa la corrispondenza.matchedFieldLength(numero intero): la lunghezza totale del campo.matchedOffset(numero intero): l'offset iniziale all'interno del campo che causa la corrispondenza.matchedLength(numero intero): la durata della corrispondenza.
Ad esempio, potresti inviare questa richiesta a un progetto in cui sono abilitate le regole WAF di SQL injection:
curl http://IP_ADDR/?sql_table=abc%20pg_catalog%20xyz
La voce in Esplora log sarà simile alla seguente:
enforcedSecurityPolicy: {
name: "user-staging-sec-policy"
priority: 100
configuredAction: "DENY"
outcome: "DENY
preconfiguredExprIds: [
0: "owasp-crs-v030001-id942140-sqli"
]
matchedFieldType: "ARG_VALUES"
matchedFieldName: "sql_table"
matchedFieldValue: "pg_catalog"
matchedFieldLength: 18
matchedOffset: 4
matchedLength: 10
}
Mantenimento della privacy quando il logging dettagliato è attivo
Quando utilizzi il logging dettagliato, Google Cloud Armor registra gli snippet degli elementi delle richieste in entrata che hanno attivato una determinata regola WAF preconfigurata. Questi snippet possono contenere parti di intestazioni della richiesta, parametri della richiesta o elementi del corpo del POST. È possibile che uno snippet contenga dati sensibili, come un indirizzo IP o altri dati sensibili della richiesta in entrata, a seconda di cosa è contenuto nelle intestazioni o nel corpo della richiesta e che attivi la regola WAF.
Se abiliti il logging dettagliato, tieni presente che esiste il rischio di accumulo di dati potenzialmente sensibili nei log in Logging. Ti consigliamo di abilitare il logging dettagliato solo durante la creazione e la convalida delle regole o per la risoluzione dei problemi. Durante le normali operazioni, ti consigliamo di lasciare disattivato il logging dettagliato.
Passaggi successivi
- Configurare i criteri di sicurezza di Google Cloud Armor
- Scopri di più sul logging delle richieste.