Diese Seite enthält Informationen zum Konfigurieren der ausführlichen Protokollierung, einer optionalen die Sie mit Ihren Google Cloud Armor-Sicherheitsrichtlinien verwenden können.
Sie können die in Ihren Logs aufgezeichnete Detailebene anpassen. Wir empfehlen, das ausführliche Logging nur zu aktivieren, wenn Sie eine Richtlinie erstellen, Änderungen an einer Richtlinie vornehmen oder Fehler in Richtlinien beheben. Wenn Sie das ausführliche Logging aktivieren, gilt es für Regeln im Vorschaumodus sowie aktive (nicht in der Vorschau angezeigte) Regeln während Standardvorgängen.
Beispiel: Sie können nicht feststellen, warum eine vorkonfigurierte WAF durch eine bestimmte Anfrage ausgelöst wurde. Standardereignis von Google Cloud Armor Protokolle enthalten die ausgelöste Regel sowie die Untersignatur. Sie können jedoch müssen Sie möglicherweise die Details aus der eingehenden Anfrage identifizieren, die Die Regel zur Fehlerbehebung, Regelvalidierung oder Regelabstimmung. Dies ist ein Beispiel, empfehlen wir, die ausführliche Protokollierung zu aktivieren.
Sie können die Logging-Ebene von Google Cloud Armor so konfigurieren, dass für jede Sicherheitsrichtlinie mit dem Flag --log-level im gcloud CLI ein detaillierteres Logging möglich ist.
Diese Option ist standardmäßig deaktiviert. Die Syntax für das Flag lautet:
--log-level=[NORMAL | VERBOSE]
Das Flag ist nur verfügbar, wenn Sie den gcloud compute security-policies update verwenden
. Sie können mit dieser Option nur dann eine neue Sicherheitsrichtlinie erstellen, wenn Sie
eine Sicherheitsrichtlinie in einer Datei erstellen
und diese Datei dann importieren. Weitere Informationen
finden Sie unter
Sicherheitsrichtlinien importieren
Beispiel:
gcloud compute security-policies update ca-policy-1 \
--log-level=VERBOSE
Wir empfehlen, das ausführliche Logging zu aktivieren, wenn Sie eine Richtlinie erstellen, Änderungen an einer Richtlinie vornehmen oder Fehler in einer Richtlinie beheben.
Werte, die protokolliert werden, wenn die ausführliche Protokollierung aktiviert ist
Wenn das ausführliche Logging aktiviert ist, werden zusätzliche Informationen im Anfragelog zum Load-Balancing protokolliert, das an Cloud Logging gesendet wird. Die folgenden zusätzlichen Felder werden im Anfragelog angezeigt, wenn das ausführliche Logging aktiviert ist:
matchedFieldType(String): Dies ist der Feldtyp, der die Übereinstimmung verursacht.ARG_NAMESARG_VALUESBODY- Wenn sich das Feld
BODYim Log befindet, bedeutet dies, dass der gesamte Post-Text mit einer Regel übereinstimmt.
- Wenn sich das Feld
COOKIE_VALUESCOOKIE_NAMESFILENAMEHEADER_VALUESRAW_URIREFERERREQUEST_LINEURIUSER_AGENTHEADER_NAMESARGS_GETX_FILENAMEARG_NAME_COUNTTRANSFER_ENCODINGREQUEST_METHOD
matchedFieldName(String): Wenn dies mit dem Wertteil eines Schlüssel/Wert-Paars übereinstimmt, wird der Schlüsselwert in diesem Feld gespeichert. Andernfalls ist das Feld leer.matchedFieldValue(String): Ein Präfix mit bis zu 16 Byte für den Teil des Felds, der die Übereinstimmung verursacht.matchedFieldLength(Ganzzahl): Die Gesamtlänge des Felds.matchedOffset(Ganzzahl): Der Start-Offset im Feld, der die Übereinstimmung verursacht.matchedLength(Ganzzahl): Die Länge der Übereinstimmung.
Sie können diese Anfrage beispielsweise an ein Projekt senden, in dem WAF-Regeln zum SQL-Einschleusen aktiviert sind:
curl http://IP_ADDR/?sql_table=abc%20pg_catalog%20xyz
Der Eintrag im Log-Explorer würde so aussehen:
enforcedSecurityPolicy: {
name: "user-staging-sec-policy"
priority: 100
configuredAction: "DENY"
outcome: "DENY
preconfiguredExprIds: [
0: "owasp-crs-v030001-id942140-sqli"
]
matchedFieldType: "ARG_VALUES"
matchedFieldName: "sql_table"
matchedFieldValue: "pg_catalog"
matchedFieldLength: 18
matchedOffset: 4
matchedLength: 10
}
Datenschutz beim Aktivieren des ausführlichen Loggings
Bei Verwendung des ausführlichen Loggings protokolliert Google Cloud Armor die Snippets der Elemente aus den eingehenden Anfragen, die eine bestimmte vorkonfigurierte WAF-Regel ausgelöst haben. Diese Snippets können Teile von Anfrageheadern, Anfrageparametern oder Elemente des POST-Texts enthalten. Es ist möglich, dass ein Snippet sensible Daten wie eine IP-Adresse oder andere vertrauliche Daten aus der eingehenden Anfrage enthält. Dies hängt davon ab, was in den Anfrageheadern oder im Hauptteil enthalten ist und was die WAF-Regel auslöst.
Beachten Sie beim Aktivieren des ausführlichen Loggings, dass die Gefahr der Speicherung potenziell vertraulicher Daten besteht. Wir empfehlen, das ausführliche Logging nur während der Erstellung und Validierung von Regeln oder zur Fehlerbehebung zu aktivieren. Während des normalen Betriebs empfehlen wir, das ausführliche Logging deaktiviert zu lassen.