Questa pagina fornisce una panoramica dei log di Secure Web Proxy, dei tipi di log disponibili e di come accedervi.
Panoramica
Le funzionalità di registrazione di Secure Web Proxy ti consentono di acquisire informazioni ed eseguire attività fondamentali nelle seguenti aree chiave:
Monitoraggio e conformità
- Applicare la conformità alle normative, migliorare la sicurezza della rete e fornire visibilità sul traffico che arriva alle destinazioni internet.
- Acquisisci livelli importanti di controllo e visibilità sul traffico dei carichi di lavoro.
- Ottieni informazioni fondamentali per un monitoraggio efficace del Security Operations Center (SOC).
- Utilizza i log per rilevare e monitorare gli eventi di sicurezza al fine di garantire una risposta proattiva alle minacce.
Deployment e configurazione
- Monitora la configurazione iniziale dell'infrastruttura, la creazione degli account utente e le modifiche alla configurazione.
- Monitora la presenza di potenziali errori per garantire un deployment fluido e sicuro.
- Scopri l'impatto degli aggiustamenti di ottimizzazione delle norme e ottimizza la protezione.
Log disponibili
In Secure Web Proxy sono disponibili i seguenti tipi di log:
- Cloud Audit Logs
- Log delle transazioni proxy
Cloud Audit Logs
I log di controllo di Cloud forniscono i seguenti dettagli:
- Informazioni relative alle chiamate API effettuate per la configurazione dell'infrastruttura e del proxy, la creazione e la modifica dei criteri e i controlli di monitoraggio. Per acquisire le interazioni, Cloud Audit Logs utilizza i comandi Google Cloud CLI e l'API Secure Web Proxy.
- Informazioni relative alla creazione ed eliminazione di istanze di Secure Web Proxy, alla modifica delle impostazioni e all'applicazione degli aggiornamenti. I log della console Google Cloud acquisiscono l'attività della console relativa alla configurazione del proxy web sicuro.
- Approfondimenti sulle modifiche apportate all'infrastruttura di Secure Web Proxy.
- Modifiche alle impostazioni, alle regole e ai parametri di Secure Web Proxy che ne determinano il comportamento.
- Modifiche ai privilegi utente e ai controlli di accesso in Secure Web Proxy.
- Implementazione di modifiche ai criteri, acquisizione di dettagli pre-editing e post-editing.
I log di controllo di Secure Web Proxy seguono la struttura standard dei log di controllo. Per informazioni sul formato del log di controllo standard, consulta AuditLog.
Log delle transazioni proxy
I log delle transazioni del proxy acquisiscono i dettagli delle singole richieste elaborate da Secure Web Proxy. I log includono un record dettagliato di ogni transazione tra gli utenti e internet mediata da Secure Web Proxy.
Le voci del log delle transazioni proxy possono essere suddivise nei seguenti tipi:
HttpRequest
Le voci del log HttpRequest contengono le seguenti informazioni:
| Nome | Tipo | Descrizione |
|---|---|---|
| requestMethod | Stringa | Il metodo di richiesta. Esempi: GET, HEAD, PUT, POST.
|
| requestUrl | Stringa | Lo schema (http, https), il nome host, il percorso e la parte di query dell'URL richiesto. Esempio: "http://example.com/some/info?color=red". |
| requestSize |
Stringa (formato int64) |
Le dimensioni, in byte, del messaggio di richiesta HTTP, incluse le intestazioni e il corpo della richiesta. |
| stato | Numero intero | Il codice di stato HTTP o HTTPS che indica la risposta. Esempi: 200, 404.
|
| responseSize | Stringa (formato int64) | Le dimensioni, in byte, del messaggio di risposta HTTP inviato al client, incluse le intestazioni e il corpo della risposta. |
| userAgent | Stringa | Lo user agent inviato dal client. Esempio: "Mozilla/4.0 (compatibile; MSIE 6.0; Windows 98; Q312461; .NET CLR 1.0.3705)". |
| remoteIp | Stringa |
L'indirizzo IP (IPv4 o IPv6) del client che ha inviato la richiesta HTTP. Questo campo può includere informazioni sulla porta. Esempi: 192.168.1.1, 10.0.0.1:80, FE80::0202:B3FF:FE1E:8329.
|
| serverIp | Stringa |
L'indirizzo IP (IPv4 o IPv6) del server di origine a cui è stata inviata la richiesta. Questo campo può includere informazioni sulla porta. Esempi: 192.168.1.1, 10.0.0.1:80, FE80::0202:B3FF:FE1E:8329.
|
| referrer | Stringa |
L'URL referer della richiesta, come definito in Definizioni dei campi delle intestazioni HTTP/1.1. |
| latenza | Stringa (formato Durata) | La latenza di elaborazione della richiesta sul server, dal momento in cui la richiesta è stata ricevuta fino all'invio della risposta. Una durata in secondi con un massimo di nove cifre frazionarie e che termina con |
| cacheLookup | Booleano | Indica se è stata tentata una ricerca nella cache. |
| cacheHit | Booleano | Indica se un'entità è stata pubblicata o meno dalla cache (con o senza convalida). |
| cacheValidatedWithOriginServer | Booleano | Indica se la risposta è stata convalidata con il server di origine prima di essere pubblicata dalla cache. Questo campo è significativo solo se cacheHit è True. |
| cacheFillBytes | Stringa (formato int64) | Il numero di byte della risposta HTTP inseriti nella cache. Impostato solo quando viene tentato un riempimento della cache. |
| protocollo | Stringa | Protocollo utilizzato per la richiesta. Esempi: "HTTP/1.1", "HTTP/2", "websocket" |
LoadBalancerLogEntry
Le voci del log LoadBalancerLogEntry contengono le seguenti informazioni:
| Nome | Tipo | Descrizione |
|---|---|---|
| insertId | Stringa | L'ID log univoco. |
| jsonPayload.@type | Stringa | Il tipo di log.
Il valore del tipo di log è sempre |
| jsonPayload.enforcedGatewaySecurityPolicy.hostname | Stringa | Il nome host associato alla richiesta. |
| jsonPayload.enforcedGatewaySecurityPolicy.matchedRules.action | Stringa | L'azione intrapresa in merito alla richiesta. |
| jsonPayload.enforcedGatewaySecurityPolicy.matchedRules.rule | Stringa | Il nome della regola applicata alla richiesta. |
| jsonPayload.enforcedGatewaySecurityPolicy.clientServiceAccount | Stringa | L'account di servizio associato alla richiesta. |
| jsonPayload.enforcedGatewaySecurityPolicy.clientSecureTags | Stringa | I tag sicuri associati alla richiesta. |
Risorsa monitorata del gateway
Le voci dei log delle risorse monitorate dal gateway contengono le seguenti informazioni:
| Nome | Tipo | Descrizione |
|---|---|---|
| resource_container | Stringa | Il contenitore associato al gateway. |
| località | Stringa | Il nome della regione in cui è definito il gateway. |
| network_name | Stringa | Il nome della rete Virtual Private Cloud (VPC) in cui è stato creato il gateway. |
| gateway_type | Stringa | L'enum del tipo di gateway. |
| gateway_name | Stringa | Il nome della risorsa gateway. |
Esempi di logging
Secure Web Proxy genera voci di log dettagliate ogni volta che elabora una richiesta, monitorando le sue azioni e i criteri applicati. Gli esempi riportati di seguito mostrano come funzionano i log di Secure Web Proxy.
Esempio di voce consentita
La seguente voce di log mostra che Secure Web Proxy ha intercettato e controllato il traffico HTTPS per [www.example.com](https://www.example.com/) e gli ha consentito di procedere al sito web di destinazione. I nomi del criterio e della regola sono rispettivamente swp-policy e allow-port-443.
| Campo | Valori |
|---|---|
| enforcedGatewaySecurityPolicy | "requestWasTlsIntercepted": true, "hostname": "www.example.com", "matchedRules": [ { "action": "ALLOWED", "name": "projects/76537/locations/us-central1/gatewaySecurityPolicies/swp-policy/rules/allow-port-443" } ] |
| httpRequest | "requestMethod": "GET", "requestUrl": "https://www.example.com/", "requestSize": "41", "status": 200, "responseSize": "1446", "userAgent": "curl/7.74.0", "remoteIp": "10.128.0.12:35418", "serverIp": "93.184.216.34:443", "latency": "0.051800s", "protocol": "HTTP/2" |
| risorsa | "type": "networkservices.googleapis.com/Gateway", "labels": { "gateway_name": "multi-level-tlds", "network_name": "projects/76537/global/networks/default", "location": "us-central1", "resource_container": "", "gateway_type": "SECURE_WEB_GATEWAY" } |
| timestamp | "2024-02-15T16:56:19.570534Z" |
| gravità | "INFO" |
| logName | "projects/76537/logs/networkservices.googleapis.com%2Fgateway_requests" |
| receiveTimestamp | "2024-02-15T16:56:20.714988329Z" |
Esempio di voce di blocco
Questa voce di log mostra che Secure Web Proxy ha ispezionato il traffico per www.example.com:443 e ha negato la richiesta HTTPS a causa della regola default_denied nel criterio Secure Web Proxy.
| Campo | Valori |
|---|---|
| enforcedGatewaySecurityPolicy | "hostname": "www.example.com:443", "matchedRules": [ { "name": "default_denied", "action": "DENIED" } ] |
| httpRequest |
"requestMethod": "CONNECT", "requestSize": "122", "status": 403, "responseSize": "141", "userAgent": "curl/7.74.0", "remoteIp": "10.128.0.12:36338", "latency": "0.000133s", "protocol": "HTTP/1.1" |
| risorsa | "type": "networkservices.googleapis.com/Gateway", "labels": { "gateway_type": "SECURE_WEB_GATEWAY", "resource_container": "", "location": "us-central1", "network_name": "projects/gcp-1768/global/networks/default", "gateway_name": "high-latency-repro" } |
| timestamp | "2024-02-15T16:55:00.089727Z" |
| gravità | "AVVERTENZA" |
| logName | "projects/gcp-1768/logs/networkservices.googleapis.com%2Fgateway_requests" |
| receiveTimestamp | "2024-02-15T16:55:04.456901833Z" |
Visualizza i log in Cloud Logging
Per visualizzare i log di Secure Web Proxy in Esplora log:
Nella console Google Cloud, vai alla pagina Esplora log.
Seleziona un progetto Google Cloud esistente nella parte superiore della pagina o creane uno nuovo.
Utilizzando i menu a discesa, seleziona la risorsa
networkservices.googleapis.com/Gatewayo il nome dell'istanza di Secure Web Proxy.
Per ulteriori informazioni, consulta Utilizzare Esplora log.