このページでは、Secure Web Proxy ログの概要、使用可能なログタイプ、ログにアクセスする方法について説明します。
概要
Secure Web Proxy のロギング機能を使用すると、次の主要分野で情報を取得し、重要なタスクを実行できます。
モニタリングとコンプライアンス
- 規制遵守の実施、ネットワーク セキュリティの向上、インターネット送信先へのトラフィックの可視化を実現します。
- ワークロード トラフィックに対する貴重な制御と可視性のレイヤを取得。
- セキュリティ オペレーション センター(SOC)のモニタリングを効果的に行うための重要な分析情報を取得します。
- ログを使用してセキュリティ イベントを検出して追跡し、予防的な脅威対応を支援します。
デプロイメントと構成
- インフラストラクチャの初期設定、ユーザー アカウントの作成、構成の変更を追跡します。
- 潜在的なエラーをモニタリングして、円滑で安全なデプロイを実現します。
- ポリシー調整の影響を把握し、保護を最適化します。
使用可能なログ
Secure Web Proxy では、次の種類のログを使用できます。
- Cloud Audit Logs
- プロキシ トランザクション ログ
Cloud Audit Logs
Cloud Audit Logs では、次の詳細情報が提供されます。
- インフラストラクチャとプロキシの設定、ポリシーの作成と変更、モニタリング チェックに対する API 呼び出しに関する情報。インタラクションをキャプチャするため、Cloud Audit Logs は Google Cloud CLI コマンドと Secure Web Proxy API を使用します。
- Secure Web Proxy インスタンスの作成と削除、設定の変更、更新の適用に関する情報。Google Cloud コンソールのログは、Secure Web Proxy の構成に関連するコンソール アクティビティをキャプチャします。
- Secure Web Proxy インフラストラクチャに加えられた変更に関する分析情報。
- Secure Web Proxy の動作を制御する Secure Web Proxy の設定、ルール、パラメータの調整。
- Secure Web Proxy 内のユーザー権限とアクセス制御の変更。
- ポリシーの変更を実装し、編集前と編集後の詳細をキャプチャします。
Secure Web Proxy の監査ログは、標準の監査ログ構造に従います。標準監査ログ形式については、AuditLog をご覧ください。
プロキシ トランザクション ログ
プロキシのトランザクション ログは、Secure Web Proxy によって処理された個々のリクエストの詳細をキャプチャします。ログには、Secure Web Proxy を介するユーザーとインターネット間のすべてのトランザクションの詳細なレコードが含まれます。
プロキシのトランザクション ログエントリは、次のタイプに分類できます。
HttpRequest
HttpRequest ログエントリには次の情報が含まれます。
| 名前 | タイプ | 説明 |
|---|---|---|
| requestMethod | String(文字列) | リクエスト メソッド。例: GET、HEAD、PUT、POST。
|
| requestUrl | String(文字列) | リクエストされた URL のスキーム(http、https)、ホスト名、パス、クエリ部分。例: "http://example.com/some/info?color=red". |
| requestSize |
文字列(int64 形式) |
リクエスト ヘッダーとリクエスト本文を含む HTTP リクエスト メッセージのサイズ(バイト単位)。 |
| status | 整数 | レスポンスを示す HTTP または HTTPS ステータス コード。例: 200、404。
|
| responseSize | 文字列(int64 形式) | クライアントに返される HTTP レスポンス メッセージのサイズ(バイト単位)。レスポンス ヘッダーとレスポンス本文が含まれます。 |
| userAgent | String(文字列) | クライアントが送信したユーザー エージェント。例: "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; Q312461; .NET CLR 1.0.3705)" |
| remoteIp | String(文字列) |
HTTP リクエストを発行したクライアントの IP アドレス(IPv4 または IPv6)。 このフィールドには、ポート情報を含めることができます。例: 192.168.1.1、10.0.0.1:80、FE80::0202:B3FF:FE1E:8329.
|
| serverIp | String(文字列) |
リクエストが送信された配信元サーバーの IP アドレス(IPv4 または IPv6)。 このフィールドには、ポート情報を含めることができます。例: 192.168.1.1、10.0.0.1:80、FE80::0202:B3FF:FE1E:8329.
|
| referrer | String(文字列) |
リクエストのリファラー URL(HTTP/1.1 Header Field Definitions で規定されている)。 |
| レイテンシ | 文字列(Duration 形式) | サーバー上でのリクエスト処理のレイテンシ。サーバーがリクエストを受信してからレスポンスを送信するまでの時間です。 小数 9 桁まで、 |
| cacheLookup | ブール値 | キャッシュ ルックアップが試行されたかどうか。 |
| cacheHit | ブール値 | キャッシュ内のエンティティを利用したかどうか(検証あり / 検証なし)。 |
| cacheValidatedWithOriginServer | ブール値 | キャッシュを利用する前に配信元サーバーでレスポンスを検証したかどうか。このフィールドは cacheHit が True の場合にのみ意味を持ちます。 |
| cacheFillBytes | 文字列(int64 形式) | キャッシュに挿入された HTTP レスポンスのバイト数。キャッシュ フィルが試行された場合にのみ設定されます。 |
| protocol | String(文字列) | リクエストに使用されるプロトコル。 たとえば、"HTTP/1.1"、"HTTP/2"、"websocket" です。 |
LoadBalancerLogEntry
LoadBalancerLogEntry のログエントリには、次の情報が含まれています。
| 名前 | タイプ | 説明 |
|---|---|---|
| insertId | String(文字列) | 一意のログ ID。 |
| jsonPayload.@type | String(文字列) | ログの種類。
ログタイプ値は常に |
| jsonPayload.enforcedGatewaySecurityPolicy.hostname | String(文字列) | リクエストに関連付けられているホスト名。 |
| jsonPayload.enforcedGatewaySecurityPolicy.matchedRules.action | String(文字列) | リクエストに対して行われた操作。 |
| jsonPayload.enforcedGatewaySecurityPolicy.matchedRules.rule | String(文字列) | リクエストに適用されるルールの名前。 |
Gateway のモニタリング対象リソース
ゲートウェイのモニタリング対象リソースのログエントリには、次の情報が含まれます。
| 名前 | タイプ | 説明 |
|---|---|---|
| resource_container | String(文字列) | ゲートウェイに関連付けられているコンテナ。 |
| 場所 | String(文字列) | ゲートウェイが定義されているリージョンの名前。 |
| network_name | String(文字列) | ゲートウェイが作成された Virtual Private Cloud(VPC)ネットワークの名前。 |
| gateway_type | String(文字列) | ゲートウェイの列挙型。 |
| gateway_name | String(文字列) | ゲートウェイ リソースの名前。 |
ロギングの例
Secure Web Proxy は、リクエストを処理するたびに詳細なログエントリを生成し、アクションと適用されたポリシーを追跡します。次の例は、Secure Web Proxy ログの仕組みを示しています。
許可エントリの例
次のログエントリは、Secure Web Proxy が [www.example.com](https://www.example.com/) の HTTPS トラフィックをインターセプトして検査し、宛先のウェブサイトに進むことを許可したことを示しています。ポリシーとルール名はそれぞれ swp-policy と allow-port-443 です。
| フィールド | 値 |
|---|---|
| enforcedGatewaySecurityPolicy | "requestWasTlsIntercepted": true, "hostname": "www.example.com", "matchedRules": [ { "action": "ALLOWED", "name": "projects/76537/locations/us-central1/gatewaySecurityPolicies/swp-policy/rules/allow-port-443" } ] |
| httpRequest | "requestMethod": "GET", "requestUrl": "https://www.example.com/", "requestSize": "41", "status": 200, "responseSize": "1446", "userAgent": "curl/7.74.0", "remoteIp": "10.128.0.12:35418", "serverIp": "93.184.216.34:443", "latency": "0.051800s", "protocol": "HTTP/2" |
| resource | "type": "networkservices.googleapis.com/Gateway", "labels": { "gateway_name": "multi-level-tlds", "network_name": "projects/76537/global/networks/default", "location": "us-central1", "resource_container": "", "gateway_type": "SECURE_WEB_GATEWAY" } |
| タイムスタンプ | "2024-02-15T16:56:19.570534Z" |
| 重要度 | "INFO" |
| logName | "projects/76537/logs/networkservices.googleapis.com%2Fgateway_requests" |
| receiveTimestamp | "2024-02-15T16:56:20.714988329Z" |
拒否エントリの例
このログエントリは、Secure Web Proxy ポリシーの default_denied ルールにより、Secure Web Proxy が www.example.com:443 のトラフィックを検査し、HTTPS リクエストを拒否されたことを示しています。
| フィールド | 値 |
|---|---|
| enforcedGatewaySecurityPolicy | "hostname": "www.example.com:443", "matchedRules": [ { "name": "default_denied", "action": "DENIED" } ] |
| httpRequest |
"requestMethod": "CONNECT", "requestSize": "122", "status": 403, "responseSize": "141", "userAgent": "curl/7.74.0", "remoteIp": "10.128.0.12:36338", "latency": "0.000133s", "protocol": "HTTP/1.1" |
| resource | "type": "networkservices.googleapis.com/Gateway", "labels": { "gateway_type": "SECURE_WEB_GATEWAY", "resource_container": "", "location": "us-central1", "network_name": "projects/gcp-1768/global/networks/default", "gateway_name": "high-latency-repro" } |
| タイムスタンプ | "2024-02-15T16:55:00.089727Z" |
| 重要度 | 「Warning」 |
| logName | "projects/gcp-1768/logs/networkservices.googleapis.com%2Fgateway_requests" |
| receiveTimestamp | "2024-02-15T16:55:04.456901833Z" |
Cloud Logging でログを確認する
ログ エクスプローラで Secure Web Proxy のログを表示するには、次の手順を行います。
Google Cloud コンソールで、[ログ エクスプローラ] ページに移動します。
ページの上部で既存の Google Cloud プロジェクトを選択するか、新しいプロジェクトを作成します。
プルダウン メニューを使用して、リソース
networkservices.googleapis.com/Gatewayまたは Secure Web Proxy インスタンス名を選択します。
詳細については、ログ エクスプローラの使用をご覧ください。