Halaman ini berisi informasi tentang cara mengonfigurasi logging verbose, fitur opsional yang dapat Anda gunakan dengan kebijakan keamanan Google Cloud Armor.
Anda dapat menyesuaikan tingkat detail yang dicatat dalam log. Sebaiknya Anda mengaktifkan logging verbose hanya saat pertama kali membuat kebijakan, membuat perubahan pada kebijakan, atau memecahkan masalah kebijakan. Jika Anda mengaktifkan logging verbose, logging tersebut akan berlaku untuk aturan dalam mode pratinjau serta aturan aktif (non-pratinjau) selama operasi standar.
Pertimbangkan contoh saat Anda tidak dapat mengetahui alasan aturan WAF yang telah dikonfigurasi sebelumnya dipicu oleh permintaan tertentu. Log peristiwa default Google Cloud Armor berisi aturan yang dipicu, serta sub-tanda tangan. Namun, Anda mungkin perlu mengidentifikasi detail dari permintaan masuk yang memicu aturan untuk tujuan pemecahan masalah, validasi aturan, atau penyesuaian aturan. Untuk contoh ini, sebaiknya aktifkan logging verbose.
Anda dapat mengonfigurasi tingkat logging Google Cloud Armor untuk mengaktifkan logging yang lebih mendetail
untuk setiap kebijakan keamanan menggunakan tanda --log-level di
Google Cloud CLI.
Secara default, opsi ini dinonaktifkan. Sintaksis untuk tanda adalah sebagai berikut:
--log-level=[NORMAL | VERBOSE]
Flag hanya tersedia dengan menggunakan perintah gcloud compute security-policies update. Anda tidak dapat membuat kebijakan keamanan baru dengan opsi ini kecuali jika Anda
membuat kebijakan keamanan dalam file, lalu mengimpor file tersebut. Untuk mengetahui informasi selengkapnya, lihat Mengimpor kebijakan keamanan.
Contoh:
gcloud compute security-policies update ca-policy-1 \
--log-level=VERBOSE
Sebaiknya aktifkan logging verbose saat pertama kali membuat kebijakan, membuat perubahan pada kebijakan, atau memecahkan masalah kebijakan.
Nilai yang dicatat saat logging panjang diaktifkan
Jika logging verbose diaktifkan, informasi tambahan akan dicatat ke log permintaan load balancing yang dikirim ke Cloud Logging. Kolom tambahan berikut akan muncul di log permintaan saat logging verbose diaktifkan:
matchedFieldType(string): ini adalah jenis kolom yang menyebabkan kecocokan.ARG_NAMESARG_VALUESBODY- Jika kolom
BODYada dalam log, berarti seluruh isi postingan cocok dengan aturan.
- Jika kolom
COOKIE_VALUESCOOKIE_NAMESFILENAMEHEADER_VALUESRAW_URIREFERERREQUEST_LINEURIUSER_AGENTHEADER_NAMESARGS_GETX_FILENAMEARG_NAME_COUNTTRANSFER_ENCODINGREQUEST_METHOD
matchedFieldName(string): jika ini cocok dengan bagian nilai pasangan nilai kunci, nilai kunci disimpan di kolom ini. Jika tidak, kolom ini kosong.matchedFieldValue(string): awalan hingga 16 byte untuk bagian kolom yang menyebabkan kecocokan.matchedFieldLength(integer): total panjang kolom.matchedOffset(bilangan bulat): offset awal di dalam kolom yang menyebabkan kecocokan.matchedLength(integer): panjang kecocokan.inspectedBodySize(integer): batas pemeriksaan yang dikonfigurasi (jumlah byte) untuk isi permintaan yang Anda tetapkan menggunakan flag--request-body-inspection-size. Untuk mengetahui informasi selengkapnya tentang batas ini, lihat Batasan pemeriksaan isi POST dan PATCH.
Misalnya, Anda dapat mengirim permintaan berikut ke project tempat aturan WAF injeksi SQL diaktifkan:
curl http://IP_ADDR/?sql_table=abc%20pg_catalog%20xyz
Entri di Logs Explorer mirip dengan berikut ini:
enforcedSecurityPolicy: {
name: "user-staging-sec-policy"
priority: 100
configuredAction: "DENY"
outcome: "DENY
inspectedBodySize: 65536
preconfiguredExprIds: [
0: "owasp-crs-v030001-id942140-sqli"
]
matchedFieldType: "ARG_VALUES"
matchedFieldName: "sql_table"
matchedFieldValue: "pg_catalog"
matchedFieldLength: 18
matchedOffset: 4
matchedLength: 10
}
Menjaga privasi saat logging panjang diaktifkan
Saat Anda menggunakan logging verbose, Google Cloud Armor mencatat cuplikan elemen dari permintaan masuk yang memicu aturan WAF yang telah dikonfigurasi sebelumnya. Cuplikan ini dapat berisi bagian header permintaan, parameter permintaan, atau elemen isi POST. Cuplikan dapat berisi data sensitif seperti alamat IP atau data sensitif lainnya dari permintaan masuk, bergantung pada apa yang ada di header atau isi permintaan dan apa yang memicu aturan WAF.
Jika Anda mengaktifkan logging verbose, ada risiko pengumpulan data yang berpotensi sensitif dalam log Anda di Logging. Sebaiknya aktifkan logging verbose hanya selama pembuatan dan validasi aturan atau untuk pemecahan masalah. Selama operasi normal, sebaiknya nonaktifkan logging verbose.