Auf dieser Seite finden Sie eine Übersicht über Secure Web Proxy-Logs, die verfügbaren Protokolltypen und wie Sie darauf zugreifen.
Übersicht
Mit den Logging-Funktionen von Secure Web Proxy können Sie Informationen erfassen und wichtige Aufgaben in den folgenden Bereichen ausführen:
Monitoring und Compliance
- Sie können damit die Einhaltung von Vorschriften erzwingen, die Netzwerksicherheit verbessern und den Traffic zu Internetzielen im Blick behalten.
- Sie erhalten wertvolle Kontroll- und Sichtbarkeitsebenen für den Arbeitslast-Traffic.
- Sie erhalten wichtige Informationen für ein effektives Monitoring Ihres Security Operations Center (SOC).
- Verwenden Sie Protokolle, um Sicherheitsereignisse zu erkennen und zu verfolgen, um proaktiv auf Bedrohungen reagieren zu können.
Bereitstellung und Konfiguration
- Verfolgen Sie die Ersteinrichtung der Infrastruktur, die Erstellung von Nutzerkonten und Konfigurationsänderungen.
- Behalten Sie potenzielle Fehler im Blick, um eine reibungslose und sichere Bereitstellung zu ermöglichen.
- Informationen zu den Auswirkungen von Anpassungen der Richtlinienoptimierung und zur Optimierung des Schutzes
Verfügbare Logs
Im Secure Web Proxy sind die folgenden Arten von Protokollen verfügbar:
- Cloud-Audit-Logs
- Proxy-Transaktionsprotokolle
Cloud-Audit-Logs
Cloud-Audit-Logs enthalten die folgenden Details:
- Informationen zu API-Aufrufen an die Infrastruktur und Proxy-Einrichtung, zum Erstellen und Ändern von Richtlinien sowie zu Monitoring-Prüfungen. Für die Erfassung der Interaktionen werden in Cloud Audit Logs Google Cloud CLI-Befehle und die Secure Web Proxy API verwendet.
- Informationen zum Erstellen und Löschen von Secure Web Proxy-Instanzen, zum Ändern von Einstellungen und zum Anwenden von Updates. In den Google Cloud Console-Protokollen werden Console-Aktivitäten erfasst, die sich auf die Konfiguration des sicheren Web-Proxys beziehen.
- Informationen zu Änderungen an der Secure Web Proxy-Infrastruktur.
- Anpassungen an den Einstellungen, Regeln und Parametern des Secure Web Proxy, die das Verhalten des Secure Web Proxy beeinflussen.
- Änderungen an Nutzerberechtigungen und Zugriffssteuerungen im Secure Web Proxy
- Implementierung von Richtlinienänderungen, Erfassung von Details vor und nach der Bearbeitung
Secure Web Proxy-Audit-Logs folgen der Standardstruktur für Audit-Logs. Informationen zum Standardformat für Audit-Logs finden Sie unter AuditLog.
Proxy-Transaktionsprotokolle
Proxy-Transaktionsprotokolle enthalten Details zu einzelnen Anfragen, die vom Secure Web Proxy verarbeitet werden. Die Protokolle enthalten einen detaillierten Eintrag zu jeder Transaktion zwischen den Nutzern und dem Internet, die über den Secure Web Proxy vermittelt wird.
Proxy-Transaktionsprotokolleinträge können in die folgenden Typen unterteilt werden:
HttpRequest
HttpRequest-Logeinträge enthalten folgende Informationen:
| Name | Typ | Beschreibung |
|---|---|---|
| requestMethod | String | Die Anfragemethode. Beispiele: GET, HEAD, PUT, POST.
|
| requestUrl | String | Das Schema (http, https), der Hostname, der Pfad und der Abfrageteil der angeforderten URL. Beispiel: „http://beispiel.de/info/?farbe=rot“. |
| requestSize |
String (int64-Format) |
Die Größe der HTTP-Anfragenachricht in Byte, einschließlich der Anfrageheader und des Anfragetexts. |
| Status | Integer | Der HTTP- oder HTTPS-Statuscode, der die Antwort angibt. Beispiele: 200, 404.
|
| responseSize | String (int64-Format) | Die Größe der HTTP-Antwortnachricht in Byte, die an den Client zurückgesendet wird, einschließlich der Antwortheader und des Antworttexts. |
| userAgent | String | Der vom Client gesendete User-Agent. Beispiel: „Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; Q312461; .NET CLR 1.0.3705)“ |
| remoteIp | String |
Die IP-Adresse (IPv4 oder IPv6) des Clients, der die HTTP-Anfrage gesendet hat. Dieses Feld kann Informationen zum Anschluss enthalten. Beispiele: 192.168.1.1, 10.0.0.1:80, FE80::0202:B3FF:FE1E:8329.
|
| serverIp | String |
Die IP-Adresse (IPv4 oder IPv6) des Ursprungsservers, an den die Anfrage gesendet wurde. Dieses Feld kann Informationen zum Anschluss enthalten. Beispiele: 192.168.1.1, 10.0.0.1:80, FE80::0202:B3FF:FE1E:8329.
|
| referrer | String |
Die Referrer-URL der Anfrage, wie in den HTTP/1.1-Headerfelddefinitionen definiert. |
| Latenz | String (Duration format) | Die Latenz bei der Anfrageverarbeitung auf dem Server, vom Zeitpunkt des Empfangs der Anfrage bis zum Senden der Antwort. Die Dauer in Sekunden mit bis zu neun Nachkommastellen und am Ende mit |
| cacheLookup | Boolesch | Gibt an, ob eine Cache-Suche versucht wurde. |
| cacheHit | Boolesch | Ob eine Entität aus dem Cache bereitgestellt wurde (mit oder ohne Validierung). |
| cacheValidatedWithOriginServer | Boolesch | Gibt an, ob die Antwort vor dem Bereitstellen aus dem Cache mit dem Ursprungsserver validiert wurde. Dieses Feld ist nur sinnvoll, wenn „cacheHit“ auf „True“ gesetzt ist. |
| cacheFillBytes | String (int64-Format) | Die Anzahl der HTTP-Antwort-Byte, die in den Cache eingefügt wurden. Wird nur festgelegt, wenn ein Cache-Auffüllen versucht wird. |
| Protokoll | String | Für die Anfrage verwendetes Protokoll. Beispiele: „HTTP/1.1“, „HTTP/2“, „websocket“ |
LoadBalancerLogEntry
Die LoadBalancerLogEntry-Logeinträge enthalten die folgenden Informationen:
| Name | Typ | Beschreibung |
|---|---|---|
| insertId | String | Die eindeutige Log-ID. |
| jsonPayload.@type | String | Der Logtyp.
Der Wert für den Logtyp ist immer |
| jsonPayload.enforcedGatewaySecurityPolicy.hostname | String | Der Hostname, der mit der Anfrage verknüpft ist. |
| jsonPayload.enforcedGatewaySecurityPolicy.matchedRules.action | String | Die ergriffene Maßnahme. |
| jsonPayload.enforcedGatewaySecurityPolicy.matchedRules.rule | String | Der Name der Regel, die auf die Anfrage angewendet wurde. |
| jsonPayload.enforcedGatewaySecurityPolicy.clientServiceAccount | String | Das mit der Anfrage verknüpfte Dienstkonto. |
| jsonPayload.enforcedGatewaySecurityPolicy.clientSecureTags | String | Die sicheren Tags, die mit der Anfrage verknüpft sind. |
Überwachte Gateway-Ressource
Logeinträge für vom Gateway überwachte Ressourcen enthalten die folgenden Informationen:
| Name | Typ | Beschreibung |
|---|---|---|
| resource_container | String | Der mit dem Gateway verknüpfte Container. |
| Standort | String | Der Name der Region, in der das Gateway definiert ist. |
| network_name | String | Der Name des VPC-Netzwerks (Virtual Private Cloud), in dem das Gateway erstellt wurde. |
| gateway_type | String | Die Typenumerierung des Gateways. |
| gateway_name | String | Der Name der Gateway-Ressource. |
Logging-Beispiele
Secure Web Proxy generiert detaillierte Logeinträge, wenn eine Anfrage verarbeitet wird, und überwacht die Aktionen und angewendeten Richtlinien. Die folgenden Beispiele zeigen die Funktionsweise von Secure Web Proxy-Logs.
Beispiel für einen Zulassungseintrag
Der folgende Protokolleintrag zeigt, dass der Secure Web Proxy den HTTPS-Traffic für [www.example.com](https://www.example.com/) abgefangen und geprüft und ihn zur Zielwebsite weitergeleitet hat. Die Namen der Richtlinie und der Regel lauten swp-policy bzw. allow-port-443.
| Feld | Werte |
|---|---|
| enforcedGatewaySecurityPolicy | "requestWasTlsIntercepted": true, "hostname": "www.beispiel.de", "matchedRules": [ { "action": "ALLOWED", "name": "projects/76537/locations/us-central1/gatewaySecurityPolicies/swp-policy/rules/allow-port-443" } ] |
| httpRequest | "requestMethod": "GET", "requestUrl": "https://www.beispiel.de/", "requestSize": "41", "status": 200, "responseSize": "1446", "userAgent": "curl/7.74.0", "remoteIp": "10.128.0.12:35418", "serverIp": "93.184.216.34:443", "latency": "0.051800s", "protocol": "HTTP/2" |
| Ressource | "type": "networkservices.googleapis.com/Gateway", "labels": { "gateway_name": "multi-level-tlds", "network_name": "projects/76537/global/networks/default", "location": "us-central1", "resource_container": "", "gateway_type": "SECURE_WEB_GATEWAY" } |
| timestamp | „2024-02-15T16:56:19.570534Z“ |
| die Ausprägung | „INFO“ |
| logName | "projects/76537/logs/networkservices.googleapis.com%2Fgateway_requests" |
| receiveTimestamp | „2024-02-15T16:56:20.714988329Z“ |
Beispiel für einen Eintrag vom Typ „Deny“
Dieser Protokolleintrag zeigt, dass der Secure Web Proxy den Traffic für www.beispiel.de:443 geprüft und die HTTPS-Anfrage aufgrund der default_denied-Regel in der Secure Web Proxy-Richtlinie abgelehnt hat.
| Feld | Werte |
|---|---|
| enforcedGatewaySecurityPolicy | "hostname": "www.beispiel.de:443", "matchedRules": [ { "name": "default_denied", "action": "DENIED" } ] |
| httpRequest |
"requestMethod": "CONNECT", "requestSize": "122", "status": 403, "responseSize": "141", "userAgent": "curl/7.74.0", "remoteIp": "10.128.0.12:36338", "latency": "0.000133s", "protocol": "HTTP/1.1" |
| Ressource | "type": "networkservices.googleapis.com/Gateway", "labels": { "gateway_type": "SECURE_WEB_GATEWAY", "resource_container": "", "location": "us-central1", "network_name": "projects/gcp-1768/global/networks/default", "gateway_name": "high-latency-repro" } |
| timestamp | „2024-02-15T16:55:00.089727Z“ |
| die Ausprägung | „WARNUNG“ |
| logName | "projects/gcp-1768/logs/networkservices.googleapis.com%2Fgateway_requests" |
| receiveTimestamp | „2024-02-15T16:55:04.456901833Z“ |
Logs in Cloud Logging ansehen
So rufen Sie die Logs des sicheren Web-Proxys im Log-Explorer auf:
Rufen Sie in der Google Cloud Console die Seite Log-Explorer auf.
Wählen Sie oben auf der Seite ein vorhandenes Google Cloud Projekt aus oder erstellen Sie ein neues Projekt.
Wählen Sie in den Drop-down-Menüs die Ressource
networkservices.googleapis.com/Gatewayoder den Namen der Secure Web Proxy-Instanz aus.
Weitere Informationen finden Sie unter Log-Explorer verwenden.