收集 Cloudflare WAF 日志

此解析器可从 Cloudflare Web 应用防火墙 (WAF) JSON 日志中提取字段，并将其转换和映射到统一数据模型 (UDM)。它会处理各种 Cloudflare 操作，在将输出结构化为 UDM 格式之前，使用元数据和网络信息丰富数据。

准备工作

确保您满足以下前提条件：

• Google SecOps 实例。
• 对 Google Cloud的特权访问权限。
• Cloudflare 企业版方案。
• 对 Cloudflare 的特权访问权限。

创建 Google Cloud 存储分区

1. 登录 Google Cloud 控制台。

2. 前往 Cloud Storage 存储分区页面。

   进入“存储桶”

3. 点击创建。

4. 配置存储桶：

   • 名称：输入符合存储桶名称要求的唯一名称（例如 cloudflare-waf）。
   • 选择数据存储位置：选择一个位置。
   • 为数据选择一个存储类别：为存储桶选择默认存储类别，或者选择 Autoclass 以进行自动存储类别管理。
   • 选择如何控制对对象的访问权限：选择不强制执行禁止公开访问，然后为存储桶对象选择访问权限控制模型。
   • 存储类别：根据您的需求进行选择（例如，标准）。

5. 点击创建。

向 Cloudflare IAM 用户授予存储桶权限

1. 在 Google Cloud中，依次前往存储 > 浏览器 > 存储分区 > 权限。
2. 添加具有 Storage Object Admin 权限的账号 logpush@cloudflare-data.iam.gserviceaccount.com 。

使用 Cloudflare 界面为 WAF 日志创建 Logpush 作业

1. 登录 Cloudflare。
2. 依次前往分析和日志 > 日志推送。
3. 选择创建 Logpush 作业。
4. 在选择目标位置中，选择Google Cloud 存储空间。
5. 输入以下目的地详细信息：
   • 存储桶： Google Cloud 存储桶名称
   • 路径：存储容器内的存储分区位置
   • 选择将日志整理到每日子文件夹中
6. 点击继续。

1. 选择要推送到存储空间的 Security (WAF) 数据集。
2. 配置 logpush 作业：
   • 输入作业名称。
   • 在“如果日志匹配”下方，您可以选择要在日志中包含和/或移除的事件。如需了解详情，请参阅过滤条件。并非所有数据集都提供此选项。
   • 在发送以下内容字段中，您可以选择将所有日志推送到存储目标位置，也可以选择性地选择要推送的日志。
3. 点击提交。

设置 Feed

如需配置 Feed，请按以下步骤操作：

1. 依次前往 SIEM 设置 > Feed。
2. 点击添加新 Feed。
3. 在下一页上，点击配置单个 Feed。
4. 在 Feed 名称字段中，输入 Feed 的名称（例如 Cloudflare WAF 日志）。
5. 选择 Google Cloud Storage V2 作为来源类型。
6. 选择 Cloudflare WAF 作为日志类型。
7. 点击获取服务账号。
8. 点击下一步。

9. 为以下输入参数指定值：

   • 存储分区 URI：Cloud Storage 网址。
   • 来源删除选项：根据您的偏好设置选择删除选项。

10. 点击下一步。

11. 在最终确定界面中查看新的 Feed 配置，然后点击提交。

UDM 映射表

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。