Cette page présente les journaux du proxy Web sécurisé, les types de journaux disponibles et comment y accéder.
Présentation
Les fonctionnalités de journalisation du proxy Web sécurisé vous permettent de capturer des informations et d'effectuer des tâches critiques dans les domaines clés suivants:
Surveillance et conformité
- Respectez les réglementations, améliorez la sécurité du réseau et offrez une visibilité sur le trafic allant vers les destinations Internet.
- Acquérir de précieux niveaux de contrôle et de visibilité sur le trafic des charges de travail
- Obtenez des insights essentiels pour assurer une surveillance efficace du centre d'opérations de sécurité (SOC).
- Utilisez les journaux pour détecter et suivre les événements liés à la sécurité afin de garantir une réponse proactive aux menaces.
Déploiement et configuration
- Suivez la configuration initiale de l'infrastructure, la création des comptes utilisateur et les modifications de configuration.
- Surveillez les erreurs potentielles pour garantir un déploiement fluide et sécurisé.
- Comprenez l'impact des ajustements des règles et optimisez votre protection.
Journaux disponibles
Les types de journaux suivants sont disponibles dans le proxy Web sécurisé:
- Cloud Audit Logs
- Journaux de transactions proxy
Cloud Audit Logs
Cloud Audit Logs fournit les informations suivantes:
- Informations concernant les appels d'API effectués pour la configuration de l'infrastructure et du proxy, la création et la modification de stratégies, et les vérifications de surveillance. Pour capturer les interactions, Cloud Audit Logs utilise des commandes Google Cloud CLI et l'API Secure Web Proxy.
- Informations liées à la création et à la suppression d'instances de proxy Web sécurisé, à la modification des paramètres et à l'application de mises à jour. Les journaux de la console Google Cloud capturent l'activité de la console liée à la configuration du proxy Web sécurisé.
- Insights sur les modifications apportées à l'infrastructure du proxy Web sécurisé.
- Ajustements des paramètres, règles et paramètres du proxy Web sécurisé qui définissent le comportement du proxy Web sécurisé.
- Modifications des droits d'utilisateur et des contrôles d'accès dans le proxy Web sécurisé
- La mise en œuvre de modifications des règles, avec la capture d'informations avant et après modification.
Les journaux d'audit du proxy Web sécurisé suivent la structure de journal d'audit standard. Pour en savoir plus sur le format des journaux d'audit standards, consultez la page AuditLog.
Journaux de transactions proxy
Les journaux de transactions du proxy recueillent des informations sur les requêtes individuelles traitées par le proxy Web sécurisé. Les journaux incluent un enregistrement détaillé de chaque transaction entre les utilisateurs et Internet faisant l'objet d'une médiation par proxy Web sécurisé.
Les entrées du journal des transactions proxy peuvent être divisées comme suit:
HttpRequest
Les entrées de journal HttpRequest contiennent les informations suivantes:
| Nom | Type | Description |
|---|---|---|
| requestMethod | Chaîne | Méthode de requête. Exemples: GET, HEAD, PUT, POST.
|
| requestUrl | Chaîne | le schéma (http, https), le nom d'hôte, le chemin et la partie requête de l'URL demandée. Exemple: "http://example.com/some/info?color=red". |
| requestSize |
Chaîne (format int64) |
Taille, en octets, du message de requête HTTP, y compris les en-têtes et le corps de la requête. |
| état | Integer | Code d'état HTTP ou HTTPS indiquant la réponse. Exemples: 200, 404.
|
| responseSize | Chaîne (format int64) | Taille, en octets, du message de réponse HTTP renvoyé au client, y compris les en-têtes et le corps de la réponse. |
| userAgent | Chaîne | User-agent envoyé par le client. Exemple: "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; Q312461; .NET CLR 1.0.3705)". |
| remoteIp | Chaîne |
Adresse IP (IPv4 ou IPv6) du client qui a émis la requête HTTP. Ce champ peut inclure des informations sur le port. Exemples: 192.168.1.1, 10.0.0.1:80, FE80::0202:B3FF:FE1E:8329.
|
| serverIp | Chaîne |
Adresse IP (IPv4 ou IPv6) du serveur d'origine auquel la requête a été envoyée. Ce champ peut inclure des informations sur le port. Exemples: 192.168.1.1, 10.0.0.1:80, FE80::0202:B3FF:FE1E:8329.
|
| referrer | Chaîne |
URL de provenance de la requête, telle que définie dans les définitions des champs d'en-tête HTTP/1.1. |
| latence | Chaîne (format Duration) | Latence de traitement d'une requête sur le serveur, entre la réception de la requête et l'envoi de la réponse. Durée en secondes avec un maximum de neuf chiffres après la virgule et se terminant par |
| cacheLookup | Booléen | Indique si une tentative de recherche dans le cache a été effectuée. |
| cacheHit | Booléen | Indique si une entité a été diffusée à partir du cache (avec ou sans validation). |
| cacheValidatedWithOriginServer | Booléen | Indique si la réponse a été validée ou non auprès du serveur d'origine avant d'être diffusée à partir du cache. Ce champ n'est pertinent que si cacheHit est défini sur "True". |
| cacheFillBytes | Chaîne (format int64) | Nombre d'octets de réponse HTTP insérés dans le cache. Défini uniquement en cas de tentative de remplissage du cache. |
| protocol | Chaîne | Protocole utilisé pour la requête. Exemples: "HTTP/1.1", "HTTP/2", "websocket" |
LoadBalancerLogEntry
Les entrées de journal LoadBalancerLogEntry contiennent les informations suivantes:
| Nom | Type | Description |
|---|---|---|
| insertId | Chaîne | ID de journal unique. |
| jsonPayload.@type | Chaîne | Type de journal.
La valeur du type de journal est toujours |
| jsonPayload.enforcedGatewaySecurityPolicy.hostname | Chaîne | Nom d'hôte associé à la requête. |
| jsonPayload.enforcedGatewaySecurityPolicy.matchedRules.action | Chaîne | Action entreprise par rapport à la requête. |
| jsonPayload.enforcedGatewaySecurityPolicy.matchedRules.rule | Chaîne | Nom de la règle appliquée à la requête. |
Ressource surveillée de la passerelle
Les entrées de journal des ressources surveillées de passerelle contiennent les informations suivantes:
| Nom | Type | Description |
|---|---|---|
| resource_container | Chaîne | Conteneur associé à la passerelle. |
| emplacement | Chaîne | Nom de la région dans laquelle la passerelle est définie. |
| network_name | Chaîne | Nom du réseau cloud privé virtuel (VPC) dans lequel la passerelle a été créée. |
| gateway_type | Chaîne | Énumération du type de la passerelle. |
| gateway_name | Chaîne | Nom de la ressource de passerelle. |
Exemples de journalisation
Le proxy Web sécurisé génère des entrées de journal détaillées chaque fois qu'il traite une requête, ce qui permet d'assurer le suivi de ses actions et des règles appliquées. Les exemples suivants montrent le fonctionnement des journaux du proxy Web sécurisé.
Exemple d'entrée "allow"
L'entrée de journal suivante montre que le proxy Web sécurisé a intercepté et inspecté le trafic HTTPS pour [www.example.com](https://www.example.com/) et l'a autorisé à accéder au site Web de destination. Les noms des stratégies et des règles sont respectivement swp-policy et allow-port-443.
| Champ | Valeurs |
|---|---|
| enforcedGatewaySecurityPolicy | "requestWasTlsIntercepted": true, "hostname": "www.example.com", "matchRules": [ { "action": "ALLOWED", "name": "projects/76537/locations/us-central1/gatewaySecurityPolicies/swp-policy/rules/allow-port-443" } ] |
| httpRequest | "request": "GET", "requestUrl": "https://www.example.com/", "requestSize": "41", "status": 200, "responseSize": "1446", "userAgent": "curl/7.74.0", "remoteIp": "10.128.0.12" |
| ressource | "type": "networkservices.googleapis.com/Gateway", "labels": { "gateway_name": "multi-level-tlds", "network_name": "projects/76537/global/networks/default", "location": "us-central1", "resource_container": "", "gateway_WAY_GA" URE" URE |
| timestamp | "2024-02-15T16:56:19.570534Z" |
| de gravité, | "INFO" |
| logName | "projects/76537/logs/networkservices.googleapis.com%2Fgateway_requests" |
| receiveTimestamp | "2024-02-15T16:56:20.714988329Z" |
Exemple de refus
Cette entrée de journal montre que le proxy Web sécurisé a inspecté le trafic pour www.example.com:443 et a refusé la requête HTTPS en raison de la règle default_denied dans la stratégie "proxy Web sécurisé".
| Champ | Valeurs |
|---|---|
| enforcedGatewaySecurityPolicy | "nom d'hôte": "www.example.com:443", "matchRules": [ { "name": "default_denied", "action": "DENIED" } ] |
| httpRequest |
"requestMethod": "CONNECT", "requestSize": "122", "status": 403, "responseSize": "141", "userAgent": "curl/7.74.0", "remoteIp": "10.128.0.12:36338", "Latence": "30.0" |
| ressource | "type": "networkservices.googleapis.com/Gateway", "labels": { "gateway_type": "SECURE_WEB_GATEWAY", "resource_container": "", "location": "us-central1", "network_name": "projects/gcp-1768/global/networks/default", " gateway_name" } "pro" |
| timestamp | "2024-02-15T16:55:00.089727Z" |
| de gravité, | "AVERTISSEMENT" |
| logName | "projects/gcp-1768/logs/networkservices.googleapis.com%2Fgateway_requests" |
| receiveTimestamp | "2024-02-15T16:55:04.456901833Z" |
Afficher les journaux dans Cloud Logging
Pour afficher les journaux de votre proxy Web sécurisé dans l'explorateur de journaux, procédez comme suit:
Dans la console Google Cloud, accédez à la page Explorateur de journaux.
Sélectionnez un projet Google Cloud existant en haut de la page ou créez-en un.
À l'aide des menus déroulants, sélectionnez la ressource
networkservices.googleapis.com/Gatewayou le nom d'instance du proxy Web sécurisé.
Pour en savoir plus, consultez la page Utiliser l'explorateur de journaux.