Questa pagina contiene informazioni sulla configurazione del logging dettagliato, un'istanza che puoi utilizzare con i criteri di sicurezza di Google Cloud Armor.
Puoi regolare il livello di dettaglio registrato nei log. Ti consigliamo di attivare il logging dettagliato solo quando crei un criterio, modifiche a un criterio o risolvere i problemi relativi a un criterio. Se attivi il livello di dettaglio log, è attivo sia per le regole in modalità di anteprima che per (non visualizzate in anteprima) durante le operazioni standard.
Considera un esempio in cui non sei in grado di spiegare perché un WAF preconfigurato sia stata attivata da una determinata richiesta. Evento predefinito di Google Cloud Armor log contengono la regola che è stata attivata, nonché la sottofirma. Tuttavia, potresti dover identificare i dettagli della richiesta in entrata che ha attivato la regola per la risoluzione dei problemi, la convalida o l'ottimizzazione delle regole. Questo è ad esempio, ti consigliamo di abilitare il logging dettagliato.
Puoi configurare il livello di logging di Google Cloud Armor per abilitare dati
il logging per ogni criterio di sicurezza utilizzando il flag --log-level
con gcloud CLI.
Per impostazione predefinita, questa opzione è disattivata. La sintassi del flag è la seguente:
--log-level=[NORMAL | VERBOSE]
Il flag è disponibile soltanto utilizzando l'elemento gcloud compute security-policies update
. Non puoi creare un nuovo criterio di sicurezza con questa opzione a meno che tu
creare un criterio di sicurezza in un file e quindi importare tale file. Per ulteriori informazioni
le informazioni, vedi
Importare i criteri di sicurezza.
Ad esempio:
gcloud compute security-policies update ca-policy-1 \
--log-level=VERBOSE
Ti consigliamo di abilitare il logging dettagliato quando crei un criterio, apportare modifiche a un criterio o risolvere i problemi relativi a un criterio.
Valori registrati quando il logging dettagliato è abilitato
Quando il logging dettagliato è abilitato, ulteriori informazioni vengono registrate nella log delle richieste di bilanciamento del carico inviato a Cloud Logging. La i seguenti campi aggiuntivi vengono visualizzati nel log delle richieste se il logging dettagliato è attivato:
matchedFieldType(stringa): è il tipo di campo che genera la corrispondenza.ARG_NAMESARG_VALUESBODY- Se il campo
BODYè nel log, significa che l'intero corpo del post corrisponde a una regola.
- Se il campo
COOKIE_VALUESCOOKIE_NAMESFILENAMEHEADER_VALUESRAW_URIREFERERREQUEST_LINEURIUSER_AGENTHEADER_NAMESARGS_GETX_FILENAMEARG_NAME_COUNTTRANSFER_ENCODINGREQUEST_METHOD
matchedFieldName(stringa): se corrisponde alla parte del valore di una coppia chiave-valore, il valore della chiave è memorizzato in questo campo. In caso contrario, è vuoto.matchedFieldValue(stringa): un prefisso di massimo 16 byte per la parte del campo che determina la corrispondenza.matchedFieldLength(numero intero): la lunghezza totale del campo.matchedOffset(numero intero): l'offset iniziale all'interno del campo che causa la corrispondenza.matchedLength(numero intero): la durata della corrispondenza.
Ad esempio, potresti inviare questa richiesta a un progetto in cui WAF SQL injection sono abilitate:
curl http://IP_ADDR/?sql_table=abc%20pg_catalog%20xyz
La voce in Esplora log sarà simile alla seguente:
enforcedSecurityPolicy: {
name: "user-staging-sec-policy"
priority: 100
configuredAction: "DENY"
outcome: "DENY
preconfiguredExprIds: [
0: "owasp-crs-v030001-id942140-sqli"
]
matchedFieldType: "ARG_VALUES"
matchedFieldName: "sql_table"
matchedFieldValue: "pg_catalog"
matchedFieldLength: 18
matchedOffset: 4
matchedLength: 10
}
Garantire la privacy quando il logging dettagliato è attivo
Quando utilizzi il logging dettagliato, Google Cloud Armor registra gli snippet degli elementi. dalle richieste in entrata che hanno attivato una determinata regola WAF preconfigurata. Questi snippet possono contenere intestazioni delle richieste, parametri delle richieste del corpo del POST. È possibile che uno snippet contenga dati sensibili come un indirizzo IP o altri dati sensibili dalla richiesta in entrata, a seconda di ciò che si trova nelle intestazioni o nel corpo della richiesta e da ciò che attiva la regola WAF personalizzata.
Attivando la registrazione dettagliata, tieni presente il rischio di accumulo dati potenzialmente sensibili nei log di Logging. I nostri suggerimenti di abilitare il logging dettagliato solo durante la creazione e la convalida delle regole o per risoluzione dei problemi. Durante il normale funzionamento, ti consigliamo di lasciare logging disabilitato.
Passaggi successivi
- Configura i criteri di sicurezza di Google Cloud Armor
- Scopri di più sulla richiesta di logging.