Logging panjang

Halaman ini berisi informasi tentang cara mengonfigurasi logging panjang, fitur opsional yang dapat Anda gunakan dengan kebijakan keamanan Google Cloud Armor.

Anda dapat menyesuaikan tingkat detail yang dicatat dalam log. Sebaiknya Anda mengaktifkan logging panjang hanya saat pertama kali membuat kebijakan, membuat perubahan pada kebijakan, atau memecahkan masalah kebijakan. Jika Anda mengaktifkan logging verbose, logging tersebut akan berlaku untuk aturan dalam mode pratinjau serta aturan aktif (tanpa pratinjau) selama operasi standar.

Pertimbangkan contoh saat Anda tidak dapat mengetahui alasan aturan WAF yang telah dikonfigurasi sebelumnya dipicu oleh permintaan tertentu. Log peristiwa default Google Cloud Armor berisi aturan yang dipicu, serta subtanda tangan. Namun, Anda mungkin perlu mengidentifikasi detail dari permintaan masuk yang memicu aturan untuk tujuan pemecahan masalah, validasi aturan, atau penyesuaian aturan. Ini adalah contoh, sebaiknya Anda mengaktifkan logging panjang.

Anda dapat mengonfigurasi tingkat logging Google Cloud Armor untuk mengaktifkan logging yang lebih mendetail untuk setiap kebijakan keamanan menggunakan flag --log-level di gcloud CLI.

Secara default, opsi ini dinonaktifkan. Sintaksis untuk flag adalah sebagai berikut:

--log-level=[NORMAL | VERBOSE]

Flag ini hanya tersedia dengan menggunakan perintah gcloud compute security-policies update. Anda tidak dapat membuat kebijakan keamanan baru dengan opsi ini kecuali jika Anda membuat kebijakan keamanan dalam file, lalu mengimpor file tersebut. Untuk informasi selengkapnya, lihat Mengimpor kebijakan keamanan.

Contoh:

  gcloud compute security-policies update ca-policy-1 \
      --log-level=VERBOSE
  

Sebaiknya aktifkan logging panjang saat pertama kali membuat kebijakan, membuat perubahan pada kebijakan, atau memecahkan masalah kebijakan.

Nilai yang dicatat saat logging panjang diaktifkan

Jika logging panjang diaktifkan, informasi tambahan akan dicatat ke log permintaan load balancing yang dikirim ke Cloud Logging. Kolom tambahan berikut akan muncul di log permintaan saat logging panjang diaktifkan:

• matchedFieldType (string): Ini adalah jenis kolom yang menyebabkan kecocokan.

  • ARG_NAMES
  • ARG_VALUES

  • BODY

    • Jika kolom BODY ada dalam log, artinya seluruh isi postingan cocok dengan aturan.

  • COOKIE_VALUES

  • COOKIE_NAMES

  • FILENAME

  • HEADER_VALUES

  • RAW_URI

  • REFERER

  • REQUEST_LINE

  • URI

  • USER_AGENT

  • HEADER_NAMES

  • ARGS_GET

  • X_FILENAME

  • ARG_NAME_COUNT

  • TRANSFER_ENCODING

  • REQUEST_METHOD

• matchedFieldName (string): Jika cocok dengan bagian nilai dari pasangan nilai kunci, nilai kunci akan disimpan di kolom ini. Jika tidak, kolom ini akan kosong.

• matchedFieldValue (string): Awalan hingga 16 byte untuk bagian kolom yang menyebabkan kecocokan.

• matchedFieldLength (bilangan bulat): Panjang total kolom.

• matchedOffset (bilangan bulat): Offset awal di dalam kolom yang menyebabkan kecocokan.

• matchedLength (bilangan bulat): Durasi kecocokan.

Misalnya, Anda dapat mengirim permintaan ini ke project tempat aturan WAF injeksi SQL diaktifkan:

curl http://IP_ADDR/?sql_table=abc%20pg_catalog%20xyz

Entri di Logs Explorer akan terlihat seperti berikut:

enforcedSecurityPolicy: {
 name: "user-staging-sec-policy"
 priority: 100
 configuredAction: "DENY"
 outcome: "DENY
 preconfiguredExprIds: [
   0: "owasp-crs-v030001-id942140-sqli"
  ]
matchedFieldType: "ARG_VALUES"
matchedFieldName: "sql_table"
matchedFieldValue: "pg_catalog"
matchedFieldLength: 18
matchedOffset: 4
matchedLength: 10
}

Mempertahankan privasi saat logging panjang diaktifkan

Saat Anda menggunakan logging panjang, Google Cloud Armor akan mencatat cuplikan elemen dari permintaan masuk yang memicu aturan WAF tertentu yang telah dikonfigurasi sebelumnya. Cuplikan ini mungkin berisi bagian header permintaan, parameter permintaan, atau elemen isi POST. Mungkin saja cuplikan berisi data sensitif seperti alamat IP atau data sensitif lainnya dari permintaan yang masuk, bergantung pada apa yang ada di header atau isi permintaan dan apa yang memicu aturan WAF.

Dengan mengaktifkan logging panjang, perhatikan bahwa ada risiko akumulasi data yang berpotensi sensitif dalam log Anda di Logging. Sebaiknya aktifkan logging panjang hanya selama pembuatan dan validasi aturan atau untuk pemecahan masalah. Selama operasi normal, sebaiknya Anda menonaktifkan logging yang panjang.

Langkah selanjutnya

• Mengonfigurasi kebijakan keamanan Google Cloud Armor
• Pelajari lebih lanjut logging permintaan.