Halaman ini berisi informasi tentang cara mengonfigurasi logging panjang, fitur opsional yang dapat Anda gunakan dengan kebijakan keamanan Google Cloud Armor.
Anda dapat menyesuaikan tingkat detail yang tercatat di log Anda. Sebaiknya aktifkan logging panjang hanya saat Anda pertama kali membuat kebijakan, membuat perubahan pada kebijakan, atau memecahkan masalah kebijakan. Jika Anda mengaktifkan logging panjang, ini akan berlaku untuk aturan dalam mode pratinjau serta aturan aktif (tidak dipratinjau) selama operasi standar.
Pertimbangkan contoh saat Anda tidak dapat mengetahui alasan aturan WAF yang telah dikonfigurasi sebelumnya dipicu oleh permintaan tertentu. Log peristiwa default Google Cloud Armor berisi aturan yang dipicu, serta subtanda tangan. Namun, Anda mungkin perlu mengidentifikasi detail dari permintaan masuk yang memicu aturan untuk tujuan pemecahan masalah, validasi aturan, atau penyempurnaan aturan. Ini adalah contoh, sebaiknya aktifkan logging panjang.
Anda dapat mengonfigurasi level logging Google Cloud Armor untuk mengaktifkan logging yang lebih mendetail untuk setiap kebijakan keamanan menggunakan flag --log-level
di gcloud CLI.
Secara default, opsi ini dinonaktifkan. Sintaksis untuk flag tersebut adalah sebagai berikut:
--log-level=[NORMAL | VERBOSE]
Tanda ini hanya tersedia dengan menggunakan perintah gcloud compute security-policies update
. Anda tidak dapat membuat kebijakan keamanan baru dengan opsi ini kecuali jika Anda membuat kebijakan keamanan dalam file, lalu mengimpor file tersebut. Untuk mengetahui informasi
selengkapnya, lihat
Mengimpor kebijakan keamanan.
Contoh:
gcloud compute security-policies update ca-policy-1 \ --log-level=VERBOSE
Sebaiknya aktifkan logging panjang saat pertama kali membuat kebijakan, membuat perubahan pada kebijakan, atau memecahkan masalah kebijakan.
Nilai yang dicatat saat logging panjang diaktifkan
Saat logging panjang diaktifkan, informasi tambahan akan dicatat ke log permintaan load balancing yang dikirim ke Cloud Logging. Kolom tambahan berikut muncul di log permintaan saat logging panjang diaktifkan:
matchedFieldType
(string): Ini adalah jenis kolom yang menyebabkan kecocokan.ARG_NAMES
ARG_VALUES
BODY
- Jika kolom
BODY
ada di log, artinya seluruh isi postingan cocok dengan aturan.
- Jika kolom
COOKIE_VALUES
COOKIE_NAMES
FILENAME
HEADER_VALUES
RAW_URI
REFERER
REQUEST_LINE
URI
USER_AGENT
HEADER_NAMES
ARGS_GET
X_FILENAME
ARG_NAME_COUNT
TRANSFER_ENCODING
REQUEST_METHOD
matchedFieldName
(string): Jika cocok dengan bagian nilai dari pasangan nilai kunci, nilai kunci akan disimpan di kolom ini. Jika tidak, kolom tersebut akan kosong.matchedFieldValue
(string): Awalan hingga 16 byte untuk bagian kolom yang menyebabkan kecocokan.matchedFieldLength
(bilangan bulat): Total panjang kolom.matchedOffset
(bilangan bulat): Offset awal di dalam kolom yang menyebabkan kecocokan.matchedLength
(bilangan bulat): Panjang pencocokan.
Misalnya, Anda dapat mengirim permintaan ini ke project tempat aturan WAF injeksi SQL diaktifkan:
curl http://IP_ADDR/?sql_table=abc%20pg_catalog%20xyz
Entri di Logs Explorer akan terlihat seperti berikut:
enforcedSecurityPolicy: { name: "user-staging-sec-policy" priority: 100 configuredAction: "DENY" outcome: "DENY preconfiguredExprIds: [ 0: "owasp-crs-v030001-id942140-sqli" ] matchedFieldType: "ARG_VALUES" matchedFieldName: "sql_table" matchedFieldValue: "pg_catalog" matchedFieldLength: 18 matchedOffset: 4 matchedLength: 10 }
Menjaga privasi saat logging panjang diaktifkan
Saat Anda menggunakan logging panjang, Google Cloud Armor akan mencatat cuplikan elemen dari permintaan masuk yang memicu aturan WAF tertentu yang telah dikonfigurasi sebelumnya. Cuplikan ini mungkin berisi bagian header permintaan, parameter permintaan, atau elemen isi POST. Cuplikan dapat berisi data sensitif seperti alamat IP atau data sensitif lainnya dari permintaan masuk, bergantung pada isi atau header permintaan dan faktor yang memicu aturan WAF.
Dengan mengaktifkan logging panjang, perhatikan bahwa ada risiko mengumpulkan data yang berpotensi sensitif di log Anda di Logging. Sebaiknya aktifkan logging panjang hanya selama pembuatan dan validasi aturan atau untuk pemecahan masalah. Selama pengoperasian normal, sebaiknya nonaktifkan logging panjang.
Langkah selanjutnya
- Mengonfigurasi kebijakan keamanan Google Cloud Armor
- Pelajari logging permintaan lebih lanjut.