Logging panjang

Halaman ini berisi informasi tentang cara mengonfigurasi logging panjang, yakni yang dapat digunakan dengan kebijakan keamanan Google Cloud Armor.

Anda dapat menyesuaikan tingkat detail yang dicatat di log. Sebaiknya Anda mengaktifkan {i>verbose logging<i} hanya ketika Anda pertama kali membuat kebijakan, perubahan pada kebijakan, atau memecahkan masalah kebijakan. Jika Anda mengaktifkan lapisan log in, hal ini berlaku untuk aturan dalam mode pratinjau serta (tidak dipratinjau) selama operasi standar.

Pertimbangkan sebuah contoh saat Anda tidak dapat mengetahui alasan WAF yang telah dikonfigurasi sebelumnya dipicu oleh permintaan tertentu. Peristiwa default Google Cloud Armor log berisi aturan yang dipicu, serta subtanda tangan. Namun, Anda mungkin perlu mengidentifikasi detail dari permintaan masuk yang memicu aturan untuk tujuan pemecahan masalah, validasi aturan, atau penyesuaian aturan. Ini adalah sebuah contoh, kami menyarankan Anda mengaktifkan {i>logging <i}panjang.

Anda dapat mengonfigurasi tingkat logging Google Cloud Armor untuk memberikan informasi logging untuk setiap kebijakan keamanan menggunakan tanda --log-level di dengan gcloud CLI

Opsi ini dinonaktifkan secara default. Sintaksis untuk tanda adalah sebagai berikut:

--log-level=[NORMAL | VERBOSE]

Flag ini hanya tersedia dengan menggunakan gcloud compute security-policies update perintah. Anda tidak dapat membuat kebijakan keamanan baru dengan opsi ini kecuali Anda membuat kebijakan keamanan dalam file dan kemudian mengimpor file itu. Untuk selengkapnya informasi, lihat Mengimpor kebijakan keamanan.

Contoh:

  gcloud compute security-policies update ca-policy-1 \
      --log-level=VERBOSE

Sebaiknya aktifkan logging panjang saat Anda pertama kali membuat mengubah kebijakan, atau memecahkan masalah kebijakan.

Nilai yang dicatat dalam log saat logging panjang diaktifkan

Jika logging panjang diaktifkan, informasi tambahan akan dicatat ke dalam log log permintaan load balancing yang dikirim ke Cloud Logging. Tujuan kolom tambahan berikut muncul di log permintaan saat logging panjang diaktifkan:

  • matchedFieldType (string): Ini adalah jenis kolom yang menyebabkan kecocokan.

    • ARG_NAMES
    • ARG_VALUES

    • BODY

      • Saat kolom BODY berada di log, artinya seluruh isi postingan cocok dengan aturan.

    • COOKIE_VALUES

    • COOKIE_NAMES

    • FILENAME

    • HEADER_VALUES

    • RAW_URI

    • REFERER

    • REQUEST_LINE

    • URI

    • USER_AGENT

    • HEADER_NAMES

    • ARGS_GET

    • X_FILENAME

    • ARG_NAME_COUNT

    • TRANSFER_ENCODING

    • REQUEST_METHOD

  • matchedFieldName (string): Jika ini cocok dengan bagian nilai dari pasangan nilai kunci, nilai kunci disimpan di {i>field<i} ini. Jika tidak, kolom ini kosong.

  • matchedFieldValue (string): Awalan hingga 16 byte untuk bagian kolom yang menghasilkan kecocokan.

  • matchedFieldLength (bilangan bulat): Panjang total kolom.

  • matchedOffset (bilangan bulat): Offset awal di dalam kolom yang menyebabkan kecocokan.

  • matchedLength (bilangan bulat): Panjang kecocokan.

Misalnya, Anda dapat mengirim permintaan ini ke proyek di mana injeksi SQL WAF aturan diaktifkan:

curl http://IP_ADDR/?sql_table=abc%20pg_catalog%20xyz

Entri di Logs Explorer akan terlihat seperti berikut:

enforcedSecurityPolicy: {
 name: "user-staging-sec-policy"
 priority: 100
 configuredAction: "DENY"
 outcome: "DENY
 preconfiguredExprIds: [
   0: "owasp-crs-v030001-id942140-sqli"
  ]
matchedFieldType: "ARG_VALUES"
matchedFieldName: "sql_table"
matchedFieldValue: "pg_catalog"
matchedFieldLength: 18
matchedOffset: 4
matchedLength: 10
}

Menjaga privasi saat logging panjang diaktifkan

Saat Anda menggunakan logging panjang, Google Cloud Armor akan mencatat cuplikan elemen ke dalam log dari permintaan masuk yang memicu aturan WAF tertentu yang telah dikonfigurasi sebelumnya. Cuplikan ini mungkin berisi bagian header permintaan, parameter permintaan, atau elemen isi POST. Mungkin saja cuplikan berisi data sensitif seperti alamat IP atau data sensitif lainnya dari permintaan yang masuk, tergantung pada apa yang ada di {i>header<i} atau isi permintaan dan apa yang memicu WAF aturan.

Dengan mengaktifkan logging panjang, perhatikan bahwa ada risiko akumulasi data yang berpotensi sensitif di log Anda di Logging. Saran dari kami Anda harus mengaktifkan logging panjang hanya selama pembuatan aturan dan validasi pemecahan masalah. Selama operasi normal, sebaiknya Anda membiarkan teks verbose logging dinonaktifkan.

Langkah selanjutnya