Logging panjang

Halaman ini berisi informasi tentang cara mengonfigurasi logging panjang, fitur opsional yang dapat Anda gunakan dengan kebijakan keamanan Google Cloud Armor.

Anda dapat menyesuaikan tingkat detail yang tercatat di log Anda. Sebaiknya aktifkan logging panjang hanya saat Anda pertama kali membuat kebijakan, membuat perubahan pada kebijakan, atau memecahkan masalah kebijakan. Jika Anda mengaktifkan logging panjang, ini akan berlaku untuk aturan dalam mode pratinjau serta aturan aktif (tidak dipratinjau) selama operasi standar.

Pertimbangkan contoh saat Anda tidak dapat mengetahui alasan aturan WAF yang telah dikonfigurasi sebelumnya dipicu oleh permintaan tertentu. Log peristiwa default Google Cloud Armor berisi aturan yang dipicu, serta subtanda tangan. Namun, Anda mungkin perlu mengidentifikasi detail dari permintaan masuk yang memicu aturan untuk tujuan pemecahan masalah, validasi aturan, atau penyempurnaan aturan. Ini adalah contoh, sebaiknya aktifkan logging panjang.

Anda dapat mengonfigurasi level logging Google Cloud Armor untuk mengaktifkan logging yang lebih mendetail untuk setiap kebijakan keamanan menggunakan flag --log-level di gcloud CLI.

Secara default, opsi ini dinonaktifkan. Sintaksis untuk flag tersebut adalah sebagai berikut:

--log-level=[NORMAL | VERBOSE]

Tanda ini hanya tersedia dengan menggunakan perintah gcloud compute security-policies update. Anda tidak dapat membuat kebijakan keamanan baru dengan opsi ini kecuali jika Anda membuat kebijakan keamanan dalam file, lalu mengimpor file tersebut. Untuk mengetahui informasi selengkapnya, lihat Mengimpor kebijakan keamanan.

Contoh:

  gcloud compute security-policies update ca-policy-1 \
      --log-level=VERBOSE
  

Sebaiknya aktifkan logging panjang saat pertama kali membuat kebijakan, membuat perubahan pada kebijakan, atau memecahkan masalah kebijakan.

Nilai yang dicatat saat logging panjang diaktifkan

Saat logging panjang diaktifkan, informasi tambahan akan dicatat ke log permintaan load balancing yang dikirim ke Cloud Logging. Kolom tambahan berikut muncul di log permintaan saat logging panjang diaktifkan:

• matchedFieldType (string): Ini adalah jenis kolom yang menyebabkan kecocokan.

  • ARG_NAMES
  • ARG_VALUES

  • BODY

    • Jika kolom BODY ada di log, artinya seluruh isi postingan cocok dengan aturan.

  • COOKIE_VALUES

  • COOKIE_NAMES

  • FILENAME

  • HEADER_VALUES

  • RAW_URI

  • REFERER

  • REQUEST_LINE

  • URI

  • USER_AGENT

  • HEADER_NAMES

  • ARGS_GET

  • X_FILENAME

  • ARG_NAME_COUNT

  • TRANSFER_ENCODING

  • REQUEST_METHOD

• matchedFieldName (string): Jika cocok dengan bagian nilai dari pasangan nilai kunci, nilai kunci akan disimpan di kolom ini. Jika tidak, kolom tersebut akan kosong.

• matchedFieldValue (string): Awalan hingga 16 byte untuk bagian kolom yang menyebabkan kecocokan.

• matchedFieldLength (bilangan bulat): Total panjang kolom.

• matchedOffset (bilangan bulat): Offset awal di dalam kolom yang menyebabkan kecocokan.

• matchedLength (bilangan bulat): Panjang pencocokan.

Misalnya, Anda dapat mengirim permintaan ini ke project tempat aturan WAF injeksi SQL diaktifkan:

curl http://IP_ADDR/?sql_table=abc%20pg_catalog%20xyz

Entri di Logs Explorer akan terlihat seperti berikut:

enforcedSecurityPolicy: {
 name: "user-staging-sec-policy"
 priority: 100
 configuredAction: "DENY"
 outcome: "DENY
 preconfiguredExprIds: [
   0: "owasp-crs-v030001-id942140-sqli"
  ]
matchedFieldType: "ARG_VALUES"
matchedFieldName: "sql_table"
matchedFieldValue: "pg_catalog"
matchedFieldLength: 18
matchedOffset: 4
matchedLength: 10
}

Menjaga privasi saat logging panjang diaktifkan

Saat Anda menggunakan logging panjang, Google Cloud Armor akan mencatat cuplikan elemen dari permintaan masuk yang memicu aturan WAF tertentu yang telah dikonfigurasi sebelumnya. Cuplikan ini mungkin berisi bagian header permintaan, parameter permintaan, atau elemen isi POST. Cuplikan dapat berisi data sensitif seperti alamat IP atau data sensitif lainnya dari permintaan masuk, bergantung pada isi atau header permintaan dan faktor yang memicu aturan WAF.

Dengan mengaktifkan logging panjang, perhatikan bahwa ada risiko mengumpulkan data yang berpotensi sensitif di log Anda di Logging. Sebaiknya aktifkan logging panjang hanya selama pembuatan dan validasi aturan atau untuk pemecahan masalah. Selama pengoperasian normal, sebaiknya nonaktifkan logging panjang.

Langkah selanjutnya

• Mengonfigurasi kebijakan keamanan Google Cloud Armor
• Pelajari logging permintaan lebih lanjut.