Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log WAF Cloudflare

Didukung di:

Google SecOps SIEM

Parser ini mengekstrak kolom dari log JSON Cloudflare Web Application Firewall (WAF), mengubah, dan memetakannya ke Model Data Terpadu (UDM). Fungsi ini menangani berbagai tindakan Cloudflare, memperkaya data dengan metadata dan informasi jaringan sebelum menyusun output ke dalam format UDM.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

Instance Google SecOps.
Akses istimewa ke Google Cloud.
Paket Cloudflare Enterprise.
Akses istimewa ke Cloudflare. Untuk mengetahui detailnya, lihat Cloudflare.

Membuat Google Cloud Bucket Storage

Login ke konsol Google Cloud .
Buka halaman Cloud Storage Buckets.

Buka Buckets
Klik Buat.
Konfigurasi bucket:
- Name: masukkan nama unik yang memenuhi persyaratan nama bucket (misalnya, cloudflare-waf).
- Pilih tempat untuk menyimpan data Anda: pilih lokasi.
- Pilih kelas penyimpanan untuk data Anda: pilih kelas penyimpanan default untuk bucket, atau pilih Autoclass untuk pengelolaan kelas penyimpanan otomatis.
- Pilih cara mengontrol akses ke objek: pilih tidak untuk menerapkan pencegahan akses publik, dan pilih model kontrol akses untuk objek bucket Anda.
Catatan: Jika pencegahan akses publik sudah diterapkan oleh kebijakan organisasi project Anda, kotak centang Prevent public access akan dikunci.
- Kelas penyimpanan: Pilih berdasarkan kebutuhan Anda (misalnya, Standard).
Klik Buat.

Memberikan izin bucket kepada pengguna IAM Cloudflare

Di Google Cloud, buka Storage > Browser > Bucket > Permissions.
Tambahkan akun logpush@cloudflare-data. dengan izin Storage Object Admin.

Membuat Tugas Logpush untuk Log WAF menggunakan UI Cloudflare

Login ke Cloudflare.
Buka Analytics & Logs > Logpush.
Pilih Buat tugas Logpush.
Di Pilih tujuan, pilih Google Cloud Penyimpanan.
Masukkan detail tujuan berikut:
- Bucket: Google Cloud Nama bucket penyimpanan
- Jalur: Lokasi bucket dalam penampung penyimpanan
- Pilih Atur log ke dalam subfolder harian
Klik Lanjutkan.

Pilih set data Security (WAF) untuk dikirim ke penyimpanan.
Konfigurasi tugas logpush:
- Masukkan Nama tugas.
- Di bagian Jika log cocok, Anda dapat memilih peristiwa yang akan disertakan atau dihapus dari log. Lihat Filter untuk mengetahui informasi selengkapnya. Tidak semua set data memiliki opsi ini.
- Di kolom Kirim item berikut, Anda dapat memilih untuk mengirim semua log ke tujuan penyimpanan atau memilih secara selektif log yang ingin Anda kirim.
Klik Kirim.

Menyiapkan feed

Untuk mengonfigurasi feed, ikuti langkah-langkah berikut:

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Di halaman berikutnya, klik Konfigurasi satu feed.
Di kolom Feed name, masukkan nama feed (misalnya, Cloudflare WAF Logs).
Pilih Google Cloud Storage V2 sebagai Source type.
Pilih Cloudflare WAF sebagai Jenis log.
Klik Get Service Account.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- URI Bucket Penyimpanan: URL Cloud Storage.
- Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.
Catatan: Jika Anda memilih opsi Delete transferred files atau Delete transferred files and empty directories, pastikan Anda memberikan izin yang sesuai ke akun layanan. * Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir. Defaultnya adalah 180 hari.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`Action`	`security_result.action_details`	Nilai `Action` dari log mentah ditetapkan langsung ke kolom UDM ini.
`Action`	`security_result.action`	Nilai kolom ini berasal dari kolom `Action` dalam log mentah. Jika `Action` adalah "izinkan", kolom UDM akan disetel ke `ALLOW`. Jika `Action` adalah "challengeSolved", "jschallengeSolved", "managedchallengenoninteractivesolved", atau "managedchallengeinteractivesolved", kolom UDM akan disetel ke `ALLOW_WITH_MODIFICATION`. Jika `Action` adalah "drop", "block", atau "connectionclose", kolom UDM akan disetel ke `BLOCK`. Jika `Action` adalah "challengefailed" atau "jschallengefailed", kolom UDM akan disetel ke `FAIL`. Jika tidak, nilai ini akan ditetapkan ke `UNKNOWN_ACTION`.
`ClientASN`	`network.asn`	Nilai `ClientASN` dari log mentah langsung ditetapkan ke kolom UDM ini setelah dikonversi menjadi string.
`ClientASNDescription`	`additional.fields.key`	Kuncinya ditetapkan secara statis ke "ClientASNDescription".
`ClientASNDescription`	`additional.fields.value.string_value`	Nilai `ClientASNDescription` dari log mentah ditetapkan langsung ke kolom UDM ini.
`ClientCountry`	`principal.location.country_or_region`	Nilai `ClientCountry` dari log mentah ditetapkan langsung ke kolom UDM ini.
`ClientIP`	`principal.ip`	Nilai `ClientIP` dari log mentah ditetapkan langsung ke kolom UDM ini.
`ClientRefererHost`	`intermediary.hostname`	Nilai `ClientRefererHost` dari log mentah ditetapkan langsung ke kolom UDM ini.
`ClientRefererPath`	`network.http.referral_url`	Nilai `ClientRefererPath` dari log mentah ditetapkan langsung ke kolom UDM ini.
`ClientRequestHost`	`target.hostname`	Nilai `ClientRequestHost` dari log mentah ditetapkan langsung ke kolom UDM ini.
`ClientRequestMethod`	`network.http.method`	Nilai `ClientRequestMethod` dari log mentah ditetapkan langsung ke kolom UDM ini.
`ClientRequestPath`	`target.file.full_path`	Nilai `ClientRequestPath` dari log mentah ditetapkan langsung ke kolom UDM ini.
`ClientRequestProtocol`	`network.application_protocol`	Bagian protokol `ClientRequestProtocol` (misalnya, "HTTP" dari "HTTP/1.1") diekstrak menggunakan grok, dikonversi menjadi huruf besar, dan ditetapkan ke kolom UDM ini.
`ClientRequestUserAgent`	`network.http.user_agent`	Nilai `ClientRequestUserAgent` dari log mentah ditetapkan langsung ke kolom UDM ini.
`Datetime`	`metadata.event_timestamp`	Nilai `Datetime` dari log mentah diuraikan sebagai stempel waktu RFC 3339 dan ditetapkan ke kolom UDM ini.
`EdgeColoCode`	`additional.fields.key`	Kuncinya ditetapkan secara statis ke "EdgeColoCode".
`EdgeColoCode`	`additional.fields.value.string_value`	Nilai `EdgeColoCode` dari log mentah ditetapkan langsung ke kolom UDM ini.
`EdgeResponseStatus`	`network.http.response_code`	Nilai `EdgeResponseStatus` dari log mentah ditetapkan langsung ke kolom UDM ini dan dikonversi menjadi bilangan bulat.
`Kind`	`metadata.product_event_type`	Nilai `Kind` dari log mentah ditetapkan langsung ke kolom UDM ini.
`Metadata.filter`	`target.resource.attribute.labels.value`	Nilai `Metadata.filter` dari log mentah ditetapkan ke kolom `value` label dalam `target.resource.attribute.labels`. `key` untuk label ini ditetapkan secara statis ke "Filter metadata".
`Metadata.type`	`target.resource.attribute.labels.value`	Nilai `Metadata.type` dari log mentah ditetapkan ke kolom `value` label dalam `target.resource.attribute.labels`. `key` untuk label ini ditetapkan secara statis ke "Jenis metadata". Nilai kolom ini berasal dari keberadaan dan nilai `ClientIP`, `ClientRequestHost`, dan `app_protocol`. Lihat kode parser untuk logika tertentu. Secara statis ditetapkan ke "Cloudflare". Secara statis ditetapkan ke "Cloudflare log Aggregator". Secara statis disetel ke "CLOUDFLARE_WAF".
`RayID`	`metadata.product_log_id`	Nilai `RayID` dari log mentah ditetapkan langsung ke kolom UDM ini.
`RuleID`	`security_result.rule_id`	Nilai `RuleID` dari log mentah ditetapkan langsung ke kolom UDM ini.
`Source`	`security_result.rule_name`	Nilai `Source` dari log mentah ditetapkan langsung ke kolom UDM ini.
`timestamp`	`metadata.event_timestamp`, `events.timestamp`	Nilai `timestamp` dari log mentah ditetapkan langsung ke kolom UDM ini.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.