Cette page présente les journaux du proxy Web sécurisé, les types de journaux disponibles et la manière d'y accéder.
Présentation
Les fonctionnalités de journalisation du proxy Web sécurisé vous permettent de capturer des informations et d'effectuer des tâches critiques dans les domaines clés suivants:
Surveillance et conformité
- Assurer la conformité aux réglementations, améliorer la sécurité du réseau et fournir une visibilité sur le trafic vers les destinations Internet
- Obtenez des niveaux de contrôle et de visibilité précieux sur le trafic des charges de travail.
- Obtenez des insights essentiels pour une surveillance efficace du centre d'opérations de sécurité (SOC).
- Utilisez les journaux pour détecter et suivre les événements de sécurité afin de garantir une réponse proactive aux menaces.
Déploiement et configuration
- Suivez la configuration initiale de l'infrastructure, la création de comptes utilisateur et les modifications de configuration.
- Surveillez les erreurs potentielles pour assurer un déploiement fluide et sécurisé.
- Comprendre l'impact des ajustements de réglage des règles et optimiser votre protection
Journaux disponibles
Les types de journaux suivants sont disponibles dans le proxy Web sécurisé:
- Cloud Audit Logs
- Journaux des transactions du proxy
Cloud Audit Logs
Cloud Audit Logs fournit les informations suivantes:
- Informations sur les appels d'API effectués à l'infrastructure et à la configuration du proxy, la création et la modification de règles, ainsi que les vérifications de surveillance. Pour capturer les interactions, Cloud Audit Logs utilise les commandes Google Cloud CLI et l'API Secure Web Proxy.
- Informations sur la création et la suppression d'instances de proxy Web sécurisé, la modification des paramètres et l'application des mises à jour. Les journaux de la console Google Cloud enregistrent l'activité de la console liée à la configuration du proxy Web sécurisé.
- Informations sur les modifications apportées à l'infrastructure du proxy Web sécurisé.
- Ajustements des paramètres, des règles et des paramètres du proxy Web sécurisé qui façonnent son comportement.
- Modifications apportées aux droits d'accès des utilisateurs et aux contrôles d'accès dans Secure Web Proxy.
- Implémentation des modifications de règles, capture des détails avant et après la modification.
Les journaux d'audit du proxy Web sécurisé suivent la structure standard des journaux d'audit. Pour en savoir plus sur le format de journal d'audit standard, consultez la section AuditLog.
Journaux des transactions du proxy
Les journaux des transactions du proxy enregistrent les détails des requêtes individuelles traitées par le proxy Web sécurisé. Les journaux incluent un enregistrement détaillé de chaque transaction entre les utilisateurs et Internet, qui est assurée par le proxy Web sécurisé.
Les entrées de journal des transactions du proxy peuvent être divisées en plusieurs types:
HttpRequest
Les entrées de journal HttpRequest contiennent les informations suivantes:
| Nom | Type | Description |
|---|---|---|
| requestMethod | Chaîne | Méthode de la requête. Exemples: GET, HEAD, PUT, POST.
|
| requestUrl | Chaîne | Le schéma (http, https), le nom d'hôte, le chemin d'accès et la partie de la requête de l'URL demandée. Exemple: "http://example.com/some/info?color=red". |
| requestSize |
Chaîne (format int64) |
Taille, en octets, du message de requête HTTP, y compris les en-têtes et le corps de la requête. |
| état | Integer | Code d'état HTTP ou HTTPS indiquant la réponse. Exemples: 200, 404.
|
| responseSize | Chaîne (format int64) | Taille (en octets) du message de réponse HTTP renvoyé au client, y compris les en-têtes de réponse et le corps de la réponse. |
| userAgent | Chaîne | User-agent envoyé par le client. Exemple: "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; Q312461; .NET CLR 1.0.3705)". |
| remoteIp | Chaîne |
Adresse IP (IPv4 ou IPv6) du client qui a émis la requête HTTP. Ce champ peut inclure des informations sur le port. Exemples: 192.168.1.1, 10.0.0.1:80, FE80::0202:B3FF:FE1E:8329.
|
| serverIp | Chaîne |
Adresse IP (IPv4 ou IPv6) du serveur d'origine auquel la requête a été envoyée. Ce champ peut inclure des informations sur le port. Exemples: 192.168.1.1, 10.0.0.1:80, FE80::0202:B3FF:FE1E:8329.
|
| referrer | Chaîne |
URL de référence de la requête, comme défini dans les définitions des champs d'en-tête HTTP/1.1. |
| latence | Chaîne (format Duration) | Latence de traitement de la requête sur le serveur, du moment où la requête a été reçue jusqu'au moment où la réponse a été envoyée. Durée en secondes avec neuf chiffres au maximum après la virgule et se terminant par |
| cacheLookup | Booléen | Indique si une recherche dans le cache a été tentée. |
| cacheHit | Booléen | Indique si une entité a été diffusée à partir du cache (avec ou sans validation). |
| cacheValidatedWithOriginServer | Booléen | Indique si la réponse a été validée avec le serveur d'origine avant d'être diffusée à partir du cache. Ce champ n'a de sens que si cacheHit est défini sur "True". |
| cacheFillBytes | Chaîne (format int64) | Nombre d'octets de réponse HTTP insérés dans le cache. Défini uniquement lorsqu'une tentative de remplissage du cache est effectuée. |
| protocol | Chaîne | Protocole utilisé pour la requête. Exemples: "HTTP/1.1", "HTTP/2", "websocket" |
LoadBalancerLogEntry
Les entrées de journal LoadBalancerLogEntry contiennent les informations suivantes:
| Nom | Type | Description |
|---|---|---|
| insertId | Chaîne | Identifiant unique du journal. |
| jsonPayload.@type | Chaîne | Type de journal.
La valeur du type de journal est toujours |
| jsonPayload.enforcedGatewaySecurityPolicy.hostname | Chaîne | Nom d'hôte associé à la requête. |
| jsonPayload.enforcedGatewaySecurityPolicy.matchedRules.action | Chaîne | Action effectuée sur la requête. |
| jsonPayload.enforcedGatewaySecurityPolicy.matchedRules.rule | Chaîne | Nom de la règle appliquée à la requête. |
| jsonPayload.enforcedGatewaySecurityPolicy.clientServiceAccount | Chaîne | Compte de service associé à la requête. |
| jsonPayload.enforcedGatewaySecurityPolicy.clientSecureTags | Chaîne | Les balises sécurisées associées à la requête. |
Ressource surveillée de la passerelle
Les entrées de journal des ressources surveillées par la passerelle contiennent les informations suivantes:
| Nom | Type | Description |
|---|---|---|
| resource_container | Chaîne | Conteneur associé à la passerelle. |
| emplacement | Chaîne | Nom de la région dans laquelle la passerelle est définie. |
| network_name | Chaîne | Nom du réseau cloud privé virtuel (VPC) dans lequel la passerelle a été créée. |
| gateway_type | Chaîne | Énumération du type de la passerelle. |
| gateway_name | Chaîne | Nom de la ressource de passerelle. |
Exemples de journalisation
Le proxy Web sécurisé génère des entrées de journal détaillées chaque fois qu'il traite une requête, en gardant une trace de ses actions et des règles appliquées. Les exemples suivants montrent comment fonctionnent les journaux du proxy Web sécurisé.
Exemple d'entrée d'autorisation
L'entrée de journal suivante montre que le proxy Web sécurisé a intercepté et inspecté le trafic HTTPS pour [www.example.com](https://www.example.com/), puis l'a autorisé à accéder au site Web de destination. Les noms de la stratégie et de la règle sont respectivement swp-policy et allow-port-443.
| Champ | Valeurs |
|---|---|
| enforcedGatewaySecurityPolicy | "requestWasTlsIntercepted": true, "hostname": "www.example.com", "matchedRules": [ { "action": "ALLOWED", "name": "projects/76537/locations/us-central1/gatewaySecurityPolicies/swp-policy/rules/allow-port-443" } ] |
| httpRequest | "requestMethod": "GET", "requestUrl": "https://www.example.com/", "requestSize": "41", "status": 200, "responseSize": "1446", "userAgent": "curl/7.74.0", "remoteIp": "10.128.0.12:35418", "serverIp": "93.184.216.34:443", "latency": "0.051800s", "protocol": "HTTP/2" |
| ressource | "type": "networkservices.googleapis.com/Gateway", "labels": { "gateway_name": "multi-level-tlds", "network_name": "projects/76537/global/networks/default", "location": "us-central1", "resource_container": "", "gateway_type": "SECURE_WEB_GATEWAY" } |
| timestamp | "2024-02-15T16:56:19.570534Z" |
| de gravité, | "INFO" |
| logName | "projects/76537/logs/networkservices.googleapis.com%2Fgateway_requests" |
| receiveTimestamp | "2024-02-15T16:56:20.714988329Z" |
Exemple d'entrée de refus
Cette entrée de journal indique que le proxy Web sécurisé a inspecté le trafic pour www.example.com:443 et a refusé la requête HTTPS en raison de la règle default_denied dans la stratégie du proxy Web sécurisé.
| Champ | Valeurs |
|---|---|
| enforcedGatewaySecurityPolicy | "hostname": "www.example.com:443", "matchedRules": [ { "name": "default_denied", "action": "DENIED" } ] |
| httpRequest |
"requestMethod": "CONNECT", "requestSize": "122", "status": 403, "responseSize": "141", "userAgent": "curl/7.74.0", "remoteIp": "10.128.0.12:36338", "latency": "0.000133s", "protocol": "HTTP/1.1" |
| ressource | "type": "networkservices.googleapis.com/Gateway", "labels": { "gateway_type": "SECURE_WEB_GATEWAY", "resource_container": "", "location": "us-central1", "network_name": "projects/gcp-1768/global/networks/default", "gateway_name": "high-latency-repro" } |
| timestamp | "2024-02-15T16:55:00.089727Z" |
| de gravité, | "AVERTISSEMENT" |
| logName | "projects/gcp-1768/logs/networkservices.googleapis.com%2Fgateway_requests" |
| receiveTimestamp | "2024-02-15T16:55:04.456901833Z" |
Afficher les journaux dans Cloud Logging
Pour afficher les journaux de votre proxy Web sécurisé dans l'explorateur de journaux, procédez comme suit:
Dans Google Cloud Console, accédez à la page Explorateur de journaux.
Sélectionnez un projet Google Cloud existant en haut de la page ou créez-en un.
À l'aide des menus déroulants, sélectionnez la ressource
networkservices.googleapis.com/Gatewayou le nom de l'instance du proxy Web sécurisé.
Pour en savoir plus, consultez la page Utiliser l'explorateur de journaux.