Questa pagina fornisce una panoramica dei log di Secure Web Proxy, dei tipi di log disponibili e di come accedervi.
Panoramica
Le funzionalità di logging di Secure Web Proxy consentono di acquisire informazioni ed eseguire attività critiche nelle seguenti aree fondamentali:
Monitoraggio e conformità
- Applica la conformità ai regolamenti, migliora la sicurezza della rete e fornisci visibilità sul traffico verso destinazioni internet.
- Acquisisci livelli preziosi di controllo e visibilità sul traffico dei carichi di lavoro.
- Acquisisci insight critici per un efficace monitoraggio del Security Operations Center (SOC).
- Utilizza i log per rilevare e tracciare gli eventi di sicurezza e garantire una risposta proattiva alle minacce.
Deployment e configurazione
- Monitora la configurazione iniziale dell'infrastruttura, la creazione dell'account utente e le modifiche alla configurazione.
- Monitora potenziali errori per garantire un deployment semplice e sicuro.
- Comprendi l'impatto delle modifiche di ottimizzazione dei criteri e ottimizza la tua protezione.
Log disponibili
In Secure Web Proxy sono disponibili i seguenti tipi di log:
- Cloud Audit Logs
- Log delle transazioni proxy
Cloud Audit Logs
Cloud Audit Logs fornisce i seguenti dettagli:
- Informazioni relative alle chiamate API effettuate all'infrastruttura e alla configurazione del proxy, alla creazione e alla modifica dei criteri e ai controlli di monitoraggio. Per acquisire le interazioni, Cloud Audit Logs utilizza i comandi di Google Cloud CLI e l'API Secure Web Proxy.
- Informazioni relative alla creazione ed eliminazione di istanze Secure Web Proxy, alla modifica delle impostazioni e all'applicazione di aggiornamenti. I log della console Google Cloud acquisiscono l'attività della console correlata alla configurazione di Secure Web Proxy.
- Insight sulle modifiche apportate all'infrastruttura Secure Web Proxy.
- Modifiche a impostazioni, regole e parametri di Secure Web Proxy che influiscono sul comportamento di Secure Web Proxy.
- Modifiche ai privilegi utente e ai controlli di accesso all'interno di Secure Web Proxy.
- Implementazione di modifiche ai criteri, acquisendo i dettagli prima e dopo la modifica.
Gli audit log di Secure Web Proxy seguono la struttura standard degli audit log. Per informazioni sul formato standard degli audit log, consulta AuditLog.
Log delle transazioni proxy
I log delle transazioni proxy acquisiscono dettagli sulle singole richieste elaborate da Secure Web Proxy. I log includono un record dettagliato di ogni transazione tra gli utenti e internet mediata da Secure Web Proxy.
Le voci di log delle transazioni proxy possono essere suddivise nei seguenti tipi:
HttpRequest
Le voci di log HttpRequest contengono le seguenti informazioni:
Nome | Tipo | Description |
---|---|---|
requestMethod | Stringa | Il metodo di richiesta. Esempi: GET , HEAD , PUT , POST .
|
requestUrl | Stringa | Lo schema (http, https), il nome host, il percorso e la parte relativa alla query dell'URL che è stato richiesto. Esempio: "http://example.com/some/info?color=red". |
requestSize |
Stringa (formato int64) |
Le dimensioni, in byte, del messaggio di richiesta HTTP, incluse le intestazioni e il corpo della richiesta. |
stato | Numero intero | Il codice di stato HTTP o HTTPS che indica la risposta. Esempi: 200 , 404 .
|
responseSize | Stringa (formato int64) | Le dimensioni, in byte, del messaggio di risposta HTTP inviato al client, inclusi le intestazioni e il corpo della risposta. |
userAgent | Stringa | Lo user agent inviato dal client. Esempio: "Mozilla/4.0 (compatibile; MSIE 6.0; Windows 98; Q312461; .NET CLR 1.0.3705)". |
remoteIp | Stringa |
L'indirizzo IP (IPv4 o IPv6) del client che ha emesso la richiesta HTTP. Questo campo può includere informazioni sulla porta. Esempi: 192.168.1.1 , 10.0.0.1:80 , FE80::0202:B3FF:FE1E:8329 .
|
serverIp | Stringa |
L'indirizzo IP (IPv4 o IPv6) del server di origine a cui è stata inviata la richiesta. Questo campo può includere informazioni sulla porta. Esempi: 192.168.1.1 , 10.0.0.1:80 , FE80::0202:B3FF:FE1E:8329 .
|
referrer | Stringa |
L'URL del referer della richiesta, come definito nelle Definizioni dei campi di intestazione HTTP/1.1. |
latenza | Stringa (formato Durata) | La latenza di elaborazione della richiesta sul server, dal momento in cui la richiesta è stata ricevuta fino all'invio della risposta. Una durata in secondi con un massimo di nove cifre frazionarie e che termina con |
cacheLookup | Booleano | Indica se è stato tentato un tentativo di ricerca della cache. |
cacheHit | Booleano | Indica se un'entità è stata fornita dalla cache (con o senza convalida). |
cacheValidatedWithOriginServer | Booleano | Indica se la risposta è stata convalidata con il server di origine prima di essere fornita dalla cache. Questo campo è significativo solo se cacheHit è True. |
cacheFillBytes | Stringa (formato int64) | Il numero di byte della risposta HTTP inseriti nella cache. Impostato solo quando si tenta di riempire la cache. |
protocollo | Stringa | Protocollo utilizzato per la richiesta. Esempi: "HTTP/1.1", "HTTP/2", "websocket" |
LoadBalancerLogEntry
Le voci di log LoadBalancerLogEntry contengono le seguenti informazioni:
Nome | Tipo | Description |
---|---|---|
insertId | Stringa | L'ID log univoco. |
jsonPayload.@type | Stringa | Il tipo di log.
Il valore del tipo di log è sempre |
jsonPayload.enforcedGatewaySecurityPolicy.hostname | Stringa | Il nome host associato alla richiesta. |
jsonPayload.enforcedGatewaySecurityPolicy.matchedRules.action | Stringa | L'azione intrapresa in merito alla richiesta. |
jsonPayload.enforcedGatewaySecurityPolicy.matchedRules.rule | Stringa | Il nome della regola applicata alla richiesta. |
Risorsa monitorata del gateway
Le voci di log risorsa monitorata del gateway contengono le seguenti informazioni:
Nome | Tipo | Description |
---|---|---|
resource_container | Stringa | Il contenitore associato al gateway. |
località | Stringa | Il nome della regione in cui è definito il gateway. |
network_name | Stringa | Il nome della rete Virtual Private Cloud (VPC) in cui è stato creato il gateway. |
gateway_type | Stringa | L'enum del tipo del gateway. |
gateway_name | Stringa | Il nome della risorsa gateway. |
Esempi di logging
Secure Web Proxy genera voci di log dettagliate ogni volta che elabora una richiesta, tenendo traccia delle sue azioni e dei criteri applicati. Gli esempi riportati di seguito mostrano come funzionano i log di Secure Web Proxy.
Esempio di voce di autorizzazione
La seguente voce di log mostra che Secure Web Proxy ha intercettato e ispezionato il traffico HTTPS per [www.example.com](https://www.example.com/)
e gli ha consentito di raggiungere il sito web di destinazione. I nomi dei criteri e delle regole sono rispettivamente swp-policy
e allow-port-443
.
Campo | Valori |
---|---|
enforcedGatewaySecurityPolicy | "requestWasTlsIntercepted": true, "hostname": "www.example.com", "matchRules": [ { "action": "ALLOWED", "name": "projects/76537/locations/us-central1/gatewaySecurityPolicies/swp-policy/rules/allow-port-443" } ] |
httpRequest | "requestMethod": "GET", "requestUrl": "https://www.example.com/", "requestSize": "41", "status": 200, "responseSize": "1446", "userAgent": "curl/7.74.0", "remoteIp": "10.1283.0", "10.1283.0", |
risorsa | "type": "networkservices.googleapis.com/Gateway", "labels": { "gateway_name": "multi-level-tlds", "network_name": "projects/76537/global/networks/default", "location": "us-central1", "resource_container": "", "gateway_type": "GATECUREY" |
timestamp | "2024-02-15T16:56:19.570534Z" |
gravità | "INFO" |
logName | "projects/76537/logs/networkservices.googleapis.com%2Fgateway_requests" |
receiveTimestamp | "2024-02-15T16:56:20.714988329Z" |
Esempio di immissione del testo non consentita
Questa voce di log mostra che Secure Web Proxy ha esaminato il traffico per www.example.com:443 e ha rifiutato la richiesta HTTPS a causa della regola default_denied
nel criterio Secure Web Proxy.
Campo | Valori |
---|---|
enforcedGatewaySecurityPolicy | "hostname": "www.example.com:443", "matchedRules": [ { "name": "default_denied", "action": "DENIED" } ] |
httpRequest |
"requestMethod": "CONNECT", "requestSize": "122", "status": 403, "responseSize": "141", "userAgent": "curl/7.74.0", "remoteIp": "10.128.0.12:36338", "HTTPs/latency": "0" "HTTPs/latency": "0" |
risorsa | "type": "networkservices.googleapis.com/Gateway", "labels": { "gateway_type": "SECURE_WEB_GATEWAY", "resource_container": "", "location": "us-central1", "network_name": "projects/gcp-1768/global/networks/default", "gate-late_name": |
timestamp | "2024-02-15T16:55:00.089727Z" |
gravità | "AVVISO" |
logName | "projects/gcp-1768/logs/networkservices.googleapis.com%2Fgateway_requests" |
receiveTimestamp | "2024-02-15T16:55:04.456901833Z" |
Visualizza i log in Cloud Logging
Per visualizzare i log di Secure Web Proxy in Esplora log, segui questi passaggi:
Nella console Google Cloud, vai alla pagina Esplora log.
Seleziona un progetto Google Cloud esistente nella parte superiore della pagina o creane uno nuovo.
Utilizza i menu a discesa, seleziona la risorsa
networkservices.googleapis.com/Gateway
o il nome dell'istanza di Secure Web Proxy.
Per ulteriori informazioni, consulta Utilizzo di Esplora log.