本页面简要介绍了安全 Web 代理日志、可用的日志类型,以及如何访问这些日志。
概览
通过安全 Web 代理的日志记录功能,您可以捕获信息并在以下关键领域执行关键任务:
监控和合规性
- 遵守法规、提高网络安全性,并清楚了解流向互联网目的地的流量。
- 获得对工作负载流量的宝贵控制层和可见性。
- 获取重要的数据洞见,进行有效的安全运营中心 (SOC) 监控。
- 使用日志检测和跟踪安全性事件,以帮助确保主动响应威胁。
部署和配置
- 跟踪您的初始基础架构设置、用户帐号创建和配置更改。
- 监控潜在的错误,帮助确保部署平稳、安全。
- 了解政策调整调整的影响并优化保护。
可用日志
安全 Web 代理提供以下类型的日志:
- Cloud Audit Logs
- 代理事务日志
Cloud Audit Logs
Cloud Audit Logs 提供了以下详细信息:
- 与对基础架构和代理设置、创建和修改政策以及监控检查进行的 API 调用相关的信息。为了捕获交互,Cloud Audit Logs 使用 Google Cloud CLI 命令和 Secure Web Proxy API。
- 与创建和删除安全 Web 代理实例、修改设置以及应用更新相关的信息。Google Cloud 控制台日志可捕获与安全 Web 代理配置相关的控制台活动。
- 深入了解对安全 Web 代理基础架构所做的更改。
- 对影响安全 Web 代理行为的安全 Web 代理设置、规则和参数进行了调整。
- 安全 Web 代理中用户权限和访问权限控制的修改。
- 实施政策修改,捕获修改前和修改后的详细信息。
安全 Web 代理审核日志遵循标准审核日志结构。如需了解标准审核日志格式,请参阅 AuditLog。
代理事务日志
代理事务日志可捕获有关安全 Web 代理处理的各个请求的详细信息。这些日志包含用户与互联网之间由安全 Web 代理通过中介进行的每项事务的详细记录。
代理事务日志条目可分为以下类型:
HttpRequest
HttpRequest 日志条目包含以下信息:
| 名称 | 类型 | 说明 |
|---|---|---|
| requestMethod | 字符串 | 请求方法。示例:GET、HEAD、PUT、POST。
|
| requestUrl | 字符串 | 所请求网址的架构(http、https)、主机名、路径和查询部分。例如:“http://example.com/some/info?color=red”。 |
| requestSize |
字符串(int64 格式) |
HTTP 请求消息的大小(以字节为单位),包括请求标头和请求正文。 |
| 状态 | 整数 | 指示响应的 HTTP 或 HTTPS 状态代码。示例:200、404。
|
| responseSize | 字符串(int64 格式) | 发送回客户端的 HTTP 响应消息的大小(以字节为单位),包括响应标头和响应正文。 |
| userAgent | 字符串 | 客户端发送的用户代理。示例:“Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; Q312461; .NET CLR 1.0.3705)”。 |
| remoteIp | 字符串 |
发出 HTTP 请求的客户端的 IP 地址(IPv4 或 IPv6)。此字段可以包含端口信息。示例:192.168.1.1、10.0.0.1:80、FE80::0202:B3FF:FE1E:8329。
|
| serverIp | 字符串 |
请求所发送到的源服务器的 IP 地址(IPv4 或 IPv6)。此字段可以包含端口信息。示例:192.168.1.1、10.0.0.1:80、FE80::0202:B3FF:FE1E:8329。
|
| referrer | 字符串 |
请求的引荐来源网址,如 HTTP/1.1 标头字段定义中所定义。 |
| 延迟时间 | 字符串(Duration 格式) | 服务器上从收到请求到响应发送的请求处理延迟时间。 此时长以秒为单位,最多包含九个小数位,并以 |
| cacheLookup | 布尔值 | 是否尝试了缓存查询。 |
| cacheHit | 布尔值 | 是否从缓存中提供了实体(无论是否经过验证)。 |
| cacheValidatedWithOriginServer | 布尔值 | 在从缓存传送响应之前,是否通过源服务器验证了响应。只有当 cacheHit 为 True 时,此字段才有意义。 |
| cacheFillBytes | 字符串(int64 格式) | 插入到缓存中的 HTTP 响应字节数。仅在尝试缓存填充时设置。 |
| protocol | 字符串 | 用于请求的协议。示例:“HTTP/1.1”“HTTP/2”“websocket” |
LoadBalancerLogEntry
LoadBalancerLogEntry 日志条目包含以下信息:
| 名称 | 类型 | 说明 |
|---|---|---|
| insertId | 字符串 | 唯一日志 ID。 |
| jsonPayload.@type | 字符串 | 日志类型。
日志类型值始终为 |
| jsonPayload.enforcedGatewaySecurityPolicy.hostname | 字符串 | 与请求关联的主机名。 |
| jsonPayload.enforcedGatewaySecurityPolicy.matchedRules.action | 字符串 | 针对请求执行的操作。 |
| jsonPayload.enforcedGatewaySecurityPolicy.matchedRules.rule | 字符串 | 应用于请求的规则的名称。 |
网关受监控的资源
网关受受监控的资源日志条目包含以下信息:
| 名称 | 类型 | 说明 |
|---|---|---|
| resource_container | 字符串 | 与网关关联的容器。 |
| 位置 | 字符串 | 定义了网关的区域的名称。 |
| network_name | 字符串 | 创建网关的 Virtual Private Cloud (VPC) 网络的名称。 |
| gateway_type | 字符串 | 网关的类型枚举。 |
| gateway_name | 字符串 | 网关资源的名称。 |
日志记录示例
安全 Web 代理会在处理请求时生成详细的日志条目,并跟踪其操作和应用政策。以下示例展示了安全 Web 代理日志的工作原理。
允许条目示例
以下日志条目显示,安全 Web 代理拦截并检查了 [www.example.com](https://www.example.com/) 的 HTTPS 流量,并允许其继续访问目标网站。政策和规则名称分别为 swp-policy 和 allow-port-443。
| 字段 | 值 |
|---|---|
| enforcedGatewaySecurityPolicy | "requestWasTlsIntercepted": true, "hostname": "www.example.com", "matchedRules": [ { "action": "ALLOWED", "name": "projects/76537/locations/us-central1/gatewaySecurityPolicies/swp-policy/4/rules-port-4 |
| httpRequest | "requestMethod": "GET", "requestUrl": "https://www.example.com/", "requestSize": "41", "status": 200, "responseSize": "1446", "userAgent": "curl/7.74.01", 1" 3. |
| 资源 | "type": "networkservices.googleapis.com/Gateway", "labels": { "gateway_name": "multi-level-tlds", "network_name": "projects/76537/global/networks/default", "location": "us-central1", "WEB"_container" |
| 时间戳 | "2024-02-15T16:56:19.570534Z" |
| 严重程度 | “INFO” |
| logName | “projects/76537/logs/networkservices.googleapis.com%2Fgateway_requests” |
| receiveTimestamp | "2024-02-15T16:56:20.714988329Z" |
拒绝条目示例
此日志条目显示,安全 Web 代理检查了 www.example.com:443 的流量,并根据安全 Web 代理政策中的 default_denied 规则拒绝了 HTTPS 请求。
| 字段 | 值 |
|---|---|
| enforcedGatewaySecurityPolicy | "hostname": "www.example.com:443", "matchedRules": [ { "name": "default_denied", "action": "DENIED" } ] |
| httpRequest |
"requestMethod": "CONNECT", "requestSize": "122", "status": 403, "responseSize": "141", "userAgent": "curl/7.74.0", "remoteIp": "10.128.0.18""10.128.0.18" "10.128.0.18" |
| 资源 | "type": "networkservices.googleapis.com/Gateway", "labels": { "gateway_type": "SECURE_WEB_GATEWAY", "resource_container": "", "location": "us-central1", "network_name": "projects/global_gcp-1768" |
| 时间戳 | "2024-02-15T16:55:00.089727Z" |
| 严重程度 | “警告” |
| logName | “projects/gcp-1768/logs/networkservices.googleapis.com%2Fgateway_requests” |
| receiveTimestamp | "2024-02-15T16:55:04.456901833Z" |
在 Cloud Logging 中查看日志
如需在日志浏览器中查看安全 Web 代理日志,请执行以下操作:
在 Google Cloud 控制台中,转到 Logs Explorer 页面。
在页面顶部选择一个现有 Google Cloud 项目,或者创建一个新项目。
使用下拉菜单,选择资源
networkservices.googleapis.com/Gateway或安全 Web 代理实例名称。
如需了解详情,请参阅使用日志浏览器。