本页面简要介绍了安全 Web 代理日志、可用日志类型以及如何访问这些日志。
概览
借助安全 Web 代理日志记录功能,您可以在以下关键领域捕获信息并执行关键任务:
监控和合规性
- 强制执行法规合规性、提高网络安全性,并可查看流向互联网目的地的流量。
- 获得对工作负载流量的重要控制层和可见性。
- 获取关键数据分析,以便有效监控安全运营中心 (SOC)。
- 使用日志检测和跟踪安全事件,以帮助确保主动响应威胁。
部署和配置
- 跟踪初始基础架构设置、用户账号创建和配置变更。
- 监控潜在错误,以确保顺利安全地进行部署。
- 了解政策调整的影响,并优化您的保护措施。
可用日志
安全 Web 代理提供以下类型的日志:
- Cloud Audit Logs
- 代理事务日志
Cloud Audit Logs
Cloud Audit Logs 会提供以下详细信息:
- 与对基础架构和代理设置进行的 API 调用、政策的创建和修改以及监控检查相关的信息。为了捕获互动,Cloud 审核日志使用 Google Cloud CLI 命令和安全 Web 代理 API。
- 与创建和删除安全 Web 代理实例、修改设置和应用更新相关的信息。Google Cloud 控制台日志会捕获与安全 Web 代理配置相关的控制台活动。
- 深入了解对安全 Web 代理基础架构所做的更改。
- 对安全 Web 代理设置、规则和参数的调整,这些调整会影响安全 Web 代理的行为。
- 对安全 Web 代理中的用户权限和访问权限控制进行了修改。
- 实现政策修改,捕获编辑前和编辑后详细信息。
安全 Web 代理审核日志遵循标准审核日志结构。如需了解标准审核日志格式,请参阅 AuditLog。
代理事务日志
代理事务日志会捕获有关安全 Web 代理处理的各个请求的详细信息。日志包含由安全 Web 代理中介的用户与互联网之间的每笔交易的详细记录。
代理事务日志条目可分为以下类型:
HttpRequest
HttpRequest 日志条目包含以下信息:
| 名称 | 类型 | 说明 |
|---|---|---|
| requestMethod | 字符串 | 请求方法。示例:GET、HEAD、PUT、POST。
|
| requestUrl | 字符串 | 所请求网址的 scheme(http、https)、主机名、路径和查询部分。示例:“http://example.com/some/info?color=red”。 |
| requestSize |
字符串(int64 格式) |
HTTP 请求消息的大小(以字节为单位),包括请求标头和请求正文。 |
| 状态 | 整数 | 用于指示响应的 HTTP 或 HTTPS 状态代码。示例:200、404。
|
| responseSize | 字符串(int64 格式) | 发送回客户端的 HTTP 响应消息的大小(以字节为单位),包括响应标头和响应正文。 |
| userAgent | 字符串 | 客户端发送的用户代理。示例:“Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; Q312461; .NET CLR 1.0.3705)”。 |
| remoteIp | 字符串 |
发出 HTTP 请求的客户端的 IP 地址(IPv4 或 IPv6)。此字段可以包含端口信息。示例:192.168.1.1、10.0.0.1:80、FE80::0202:B3FF:FE1E:8329。
|
| serverIp | 字符串 |
发送请求到的源服务器的 IP 地址(IPv4 或 IPv6)。此字段可以包含端口信息。示例:192.168.1.1、10.0.0.1:80、FE80::0202:B3FF:FE1E:8329。
|
| 引荐来源网址 | 字符串 |
请求的引荐来源网址,如 HTTP/1.1 标头字段定义中所定义。 |
| 延迟时间 | 字符串(时长格式) | 服务器上的请求处理延迟时间,从收到请求到发送响应的时间。 时长以秒为单位,最多包含九个小数位,并以 |
| cacheLookup | 布尔值 | 是否尝试过缓存查找。 |
| cacheHit | 布尔值 | 实体是否由缓存提供(是否进行验证)。 |
| cacheValidatedWithOriginServer | 布尔值 | 响应是否在从缓存传送之前通过源服务器验证。只有当 cacheHit 为 True 时,此字段才有意义。 |
| cacheFillBytes | 字符串(int64 格式) | 插入缓存的 HTTP 响应字节数。仅在尝试填充缓存时设置。 |
| protocol | 字符串 | 用于请求的协议。示例:“HTTP/1.1”“HTTP/2”“websocket” |
LoadBalancerLogEntry
LoadBalancerLogEntry 日志条目包含以下信息:
| 名称 | 类型 | 说明 |
|---|---|---|
| insertId | 字符串 | 唯一日志 ID。 |
| jsonPayload.@type | 字符串 | 日志类型。
日志类型值始终为 |
| jsonPayload.enforcedGatewaySecurityPolicy.hostname | 字符串 | 与请求关联的主机名。 |
| jsonPayload.enforcedGatewaySecurityPolicy.matchedRules.action | 字符串 | 对请求采取的操作。 |
| jsonPayload.enforcedGatewaySecurityPolicy.matchedRules.rule | 字符串 | 应用于请求的规则的名称。 |
| jsonPayload.enforcedGatewaySecurityPolicy.clientServiceAccount | 字符串 | 与请求关联的服务账号。 |
| jsonPayload.enforcedGatewaySecurityPolicy.clientSecureTags | 字符串 | 与请求关联的安全代码。 |
Gateway 受监控资源
网关监控的资源日志条目包含以下信息:
| 名称 | 类型 | 说明 |
|---|---|---|
| resource_container | 字符串 | 与网关关联的容器。 |
| 位置信息 | 字符串 | 在其中定义网关的区域的名称。 |
| network_name | 字符串 | 用于创建网关的虚拟私有云 (VPC) 网络的名称。 |
| gateway_type | 字符串 | 网关的类型枚举。 |
| gateway_name | 字符串 | 网关资源的名称。 |
日志记录示例
安全 Web 代理每次处理请求时都会生成详细的日志条目,以跟踪其操作和应用的政策。以下示例展示了安全 Web 代理日志的运作方式。
“允许”条目示例
以下日志条目显示,安全 Web 代理拦截并检查了 [www.example.com](https://www.example.com/) 的 HTTPS 流量,并允许其继续前往目标网站。政策和规则名称分别为 swp-policy 和 allow-port-443。
| 字段 | 值 |
|---|---|
| enforcedGatewaySecurityPolicy | "requestWasTlsIntercepted": true, "hostname": "www.example.com", "matchedRules": [ { "action": "ALLOWED", "name": "projects/76537/locations/us-central1/gatewaySecurityPolicies/swp-policy/rules/allow-port-443" } ] |
| httpRequest | "requestMethod": "GET", "requestUrl": "https://www.example.com/", "requestSize": "41", "status": 200, "responseSize": "1446", "userAgent": "curl/7.74.0", "remoteIp": "10.128.0.12:35418", "serverIp": "93.184.216.34:443", "latency": "0.051800s", "protocol": "HTTP/2" |
| 资源 | "type": "networkservices.googleapis.com/Gateway", "labels": { "gateway_name": "multi-level-tlds", "network_name": "projects/76537/global/networks/default", "location": "us-central1", "resource_container": "", "gateway_type": "SECURE_WEB_GATEWAY" } |
| timestamp | "2024-02-15T16:56:19.570534Z" |
| 严重程度 | “INFO” |
| logName | "projects/76537/logs/networkservices.googleapis.com%2Fgateway_requests" |
| receiveTimestamp | “2024-02-15T16:56:20.714988329Z” |
拒绝条目示例
此日志条目显示,安全网站代理检查了 www.example.com:443 的流量,并因安全网站代理政策中的 default_denied 规则而拒绝了 HTTPS 请求。
| 字段 | 值 |
|---|---|
| enforcedGatewaySecurityPolicy | "hostname": "www.example.com:443", "matchedRules": [ { "name": "default_denied", "action": "DENIED" } ] |
| httpRequest |
"requestMethod": "CONNECT", "requestSize": "122", "status": 403, "responseSize": "141", "userAgent": "curl/7.74.0", "remoteIp": "10.128.0.12:36338", "latency": "0.000133s", "protocol": "HTTP/1.1" |
| 资源 | "type": "networkservices.googleapis.com/Gateway", "labels": { "gateway_type": "SECURE_WEB_GATEWAY", "resource_container": "", "location": "us-central1", "network_name": "projects/gcp-1768/global/networks/default", "gateway_name": "high-latency-repro" } |
| timestamp | “2024-02-15T16:55:00.089727Z” |
| 严重程度 | “WARNING” |
| logName | "projects/gcp-1768/logs/networkservices.googleapis.com%2Fgateway_requests" |
| receiveTimestamp | “2024-02-15T16:55:04.456901833Z” |
在 Cloud Logging 中查看日志
如需在日志浏览器中查看安全 Web 代理日志,请执行以下操作:
在 Google Cloud 控制台中,转到日志浏览器页面。
在页面顶部选择一个现有 Google Cloud 项目,或者创建一个新项目。
使用下拉菜单选择资源
networkservices.googleapis.com/Gateway或安全 Web 代理实例名称。
如需了解详情,请参阅使用日志浏览器。