Halaman ini berisi informasi tentang cara mengonfigurasi logging panjang, yakni yang dapat digunakan dengan kebijakan keamanan Google Cloud Armor.
Anda dapat menyesuaikan tingkat detail yang dicatat di log. Sebaiknya Anda mengaktifkan {i>verbose logging<i} hanya ketika Anda pertama kali membuat kebijakan, perubahan pada kebijakan, atau memecahkan masalah kebijakan. Jika Anda mengaktifkan lapisan log in, hal ini berlaku untuk aturan dalam mode pratinjau serta (tidak dipratinjau) selama operasi standar.
Pertimbangkan sebuah contoh saat Anda tidak dapat mengetahui alasan WAF yang telah dikonfigurasi sebelumnya dipicu oleh permintaan tertentu. Peristiwa default Google Cloud Armor log berisi aturan yang dipicu, serta subtanda tangan. Namun, Anda mungkin perlu mengidentifikasi detail dari permintaan masuk yang memicu aturan untuk tujuan pemecahan masalah, validasi aturan, atau penyesuaian aturan. Ini adalah sebuah contoh, kami menyarankan Anda mengaktifkan {i>logging <i}panjang.
Anda dapat mengonfigurasi tingkat logging Google Cloud Armor untuk memberikan informasi
logging untuk setiap kebijakan keamanan
menggunakan tanda --log-level
di
dengan gcloud CLI
Opsi ini dinonaktifkan secara default. Sintaksis untuk tanda adalah sebagai berikut:
--log-level=[NORMAL | VERBOSE]
Flag ini hanya tersedia dengan menggunakan gcloud compute security-policies update
perintah. Anda tidak dapat membuat kebijakan keamanan baru dengan opsi ini kecuali Anda
membuat kebijakan keamanan dalam
file dan kemudian mengimpor file itu. Untuk selengkapnya
informasi, lihat
Mengimpor kebijakan keamanan.
Contoh:
gcloud compute security-policies update ca-policy-1 \ --log-level=VERBOSE
Sebaiknya aktifkan logging panjang saat Anda pertama kali membuat mengubah kebijakan, atau memecahkan masalah kebijakan.
Nilai yang dicatat dalam log saat logging panjang diaktifkan
Jika logging panjang diaktifkan, informasi tambahan akan dicatat ke dalam log log permintaan load balancing yang dikirim ke Cloud Logging. Tujuan kolom tambahan berikut muncul di log permintaan saat logging panjang diaktifkan:
matchedFieldType
(string): Ini adalah jenis kolom yang menyebabkan kecocokan.ARG_NAMES
ARG_VALUES
BODY
- Saat kolom
BODY
berada di log, artinya seluruh isi postingan cocok dengan aturan.
- Saat kolom
COOKIE_VALUES
COOKIE_NAMES
FILENAME
HEADER_VALUES
RAW_URI
REFERER
REQUEST_LINE
URI
USER_AGENT
HEADER_NAMES
ARGS_GET
X_FILENAME
ARG_NAME_COUNT
TRANSFER_ENCODING
REQUEST_METHOD
matchedFieldName
(string): Jika ini cocok dengan bagian nilai dari pasangan nilai kunci, nilai kunci disimpan di {i>field<i} ini. Jika tidak, kolom ini kosong.matchedFieldValue
(string): Awalan hingga 16 byte untuk bagian kolom yang menghasilkan kecocokan.matchedFieldLength
(bilangan bulat): Panjang total kolom.matchedOffset
(bilangan bulat): Offset awal di dalam kolom yang menyebabkan kecocokan.matchedLength
(bilangan bulat): Panjang kecocokan.
Misalnya, Anda dapat mengirim permintaan ini ke proyek di mana injeksi SQL WAF aturan diaktifkan:
curl http://IP_ADDR/?sql_table=abc%20pg_catalog%20xyz
Entri di Logs Explorer akan terlihat seperti berikut:
enforcedSecurityPolicy: { name: "user-staging-sec-policy" priority: 100 configuredAction: "DENY" outcome: "DENY preconfiguredExprIds: [ 0: "owasp-crs-v030001-id942140-sqli" ] matchedFieldType: "ARG_VALUES" matchedFieldName: "sql_table" matchedFieldValue: "pg_catalog" matchedFieldLength: 18 matchedOffset: 4 matchedLength: 10 }
Menjaga privasi saat logging panjang diaktifkan
Saat Anda menggunakan logging panjang, Google Cloud Armor akan mencatat cuplikan elemen ke dalam log dari permintaan masuk yang memicu aturan WAF tertentu yang telah dikonfigurasi sebelumnya. Cuplikan ini mungkin berisi bagian header permintaan, parameter permintaan, atau elemen isi POST. Mungkin saja cuplikan berisi data sensitif seperti alamat IP atau data sensitif lainnya dari permintaan yang masuk, tergantung pada apa yang ada di {i>header<i} atau isi permintaan dan apa yang memicu WAF aturan.
Dengan mengaktifkan logging panjang, perhatikan bahwa ada risiko akumulasi data yang berpotensi sensitif di log Anda di Logging. Saran dari kami Anda harus mengaktifkan logging panjang hanya selama pembuatan aturan dan validasi pemecahan masalah. Selama operasi normal, sebaiknya Anda membiarkan teks verbose logging dinonaktifkan.
Langkah selanjutnya
- Mengonfigurasi kebijakan keamanan Google Cloud Armor
- Pelajari logging permintaan lebih lanjut.