Menggunakan logging permintaan

Log per permintaan Google Cloud Armor untuk nama kebijakan keamanan, prioritas aturan pencocokan, tindakan terkait, dan informasi terkait dicatat sebagai bagian dari logging untuk Load Balancer Aplikasi eksternal dan Load Balancer Jaringan proxy eksternal. Logging untuk layanan backend baru dinonaktifkan secara default, jadi Anda harus mengaktifkan logging untuk mencatat informasi logging lengkap untuk Cloud Armor.

Log Cloud Armor adalah bagian dari log Cloud Load Balancing. Artinya, pembuatan log Cloud Armor tunduk pada rasio pengambilan sampel log yang dikonfigurasi untuk load balancer Anda. Jika Anda mengurangi rasio pengambilan sampel untuk load balancer, log permintaan Cloud Armor Anda akan diambil sampelnya pada rasio yang lebih rendah tersebut. Selain itu, jika Anda menggunakan referensi layanan lintas project, log dibuat di project host atau layanan yang mencakup frontend dan peta URL load balancer Anda. Oleh karena itu, sebaiknya administrator di project frontend memberikan izin untuk membaca log dan metrik kepada administrator di project backend.

Dengan menggunakan logging, Anda dapat melihat setiap permintaan yang dievaluasi oleh kebijakan keamanan Cloud Armor dan hasil atau tindakan yang diambil berdasarkan aturan yang cocok dengan prioritas tertinggi. Misalnya, untuk melihat permintaan yang ditolak, Anda dapat menggunakan filter seperti jsonPayload.enforcedSecurityPolicy.outcome="DENY" atau jsonPayload.statusDetails="denied_by_security_policy".

Untuk mengaktifkan logging bagi Load Balancer Aplikasi eksternal, lihat Logging di halaman Logging dan pemantauan Load Balancer Aplikasi eksternal regional. Untuk Load Balancer Jaringan proxy eksternal, Anda dapat menggunakan perintah Google Cloud CLI seperti yang tercantum di halaman Logging dan pemantauan Load Balancer Aplikasi Eksternal sebelumnya. Anda tidak dapat mengaktifkan logging untuk Load Balancer Jaringan proxy eksternal menggunakan konsol Trusted Cloud .

Selain itu, Anda dapat menetapkan tingkat logging yang berbeda untuk membantu Anda mengevaluasi apakah kebijakan keamanan dan aturannya berfungsi sebagaimana mestinya. Untuk mengetahui informasi selengkapnya, lihat Logging verbose.

Entri log kebijakan keamanan

Entri log berikut di Logs Explorer adalah untuk logging aturan dan kebijakan keamanan Cloud Armor. Entri mencakup struktur berikut di jsonPayload. Detail permintaan HTTP muncul dalam pesan httpRequest.

  • statusDetails: deskripsi tekstual kode respons.
    • redirected_by_security_policy: permintaan dialihkan oleh aturan pengalihan, GOOGLE_RECAPTCHA atau EXTERNAL_302.
    • denied_by_security_policy: permintaan ditolak oleh load balancer karena kebijakan keamanan Cloud Armor.
    • body_denied_by_security_policy: isi permintaan ditolak oleh load balancer karena kebijakan keamanan Cloud Armor.
  • enforcedSecurityPolicy: aturan kebijakan keamanan yang diterapkan.
    • name: nama kebijakan keamanan.
    • priority: prioritas numerik aturan yang cocok dalam kebijakan keamanan.
    • configuredAction: nama tindakan yang dikonfigurasi dalam aturan pencocokan—misalnya, ALLOW, DENY, GOOGLE_RECAPTCHA, EXTERNAL_302, THROTTLE (untuk aturan pembatasan), RATE_BASED_BAN (untuk aturan pelarangan berbasis tarif).
    • rateLimitAction: informasi tentang tindakan pembatasan kecepatan saat aturan pembatasan atau aturan pelarangan berbasis kecepatan cocok.
      • key: nilai kunci batas laju (hingga 36 byte). Kolom ini dihapus jika jenis kunci adalah ALL, atau jika jenis kunci adalah HTTP-HEADER atau HTTP-COOKIE dan header atau cookie yang ditentukan tidak ada dalam permintaan.
      • outcome: kemungkinan nilainya adalah sebagai berikut:
        • "RATE_LIMIT_THRESHOLD_CONFORM" jika di bawah nilai minimum pembatasan kapasitas yang dikonfigurasi.
        • "RATE_LIMIT_THRESHOLD_EXCEED" jika melebihi batas laju yang dikonfigurasi.
        • "BAN_THRESHOLD_EXCEED" jika melebihi batas larangan yang dikonfigurasi.
    • outcome: hasil dari menjalankan tindakan yang dikonfigurasi—misalnya, ACCEPT, DENY, REDIRECT, EXEMPT.
    • preconfiguredExprIds: ID semua ekspresi aturan WAF pra-konfigurasi yang memicu aturan.
    • threatIntelligence: informasi tentang daftar alamat IP yang cocok dari Threat Intelligence, jika berlaku.
      • categories: nama daftar alamat IP yang cocok.
  • previewSecurityPolicy: diisi jika permintaan cocok dengan aturan yang dikonfigurasi untuk pratinjau (hanya ada jika aturan pratinjau akan diprioritaskan daripada aturan yang diterapkan).
    • name: nama kebijakan keamanan
    • priority: prioritas numerik aturan yang cocok dalam kebijakan keamanan.
    • configuredAction: nama tindakan yang dikonfigurasi dalam aturan pencocokan—misalnya, ALLOW, DENY, GOOGLE_RECAPTCHA, EXTERNAL_302, THROTTLE (untuk aturan pembatasan), RATE_BASED_BAN (untuk aturan pelarangan berbasis tarif).
    • rateLimitAction: informasi tentang tindakan pembatasan kecepatan saat aturan pembatasan atau aturan pelarangan berbasis kecepatan cocok.
      • key: nilai kunci batas laju (hingga 36 byte). Kolom ini dihilangkan jika jenis kunci adalah ALL, atau jika jenis kunci adalah HTTP-HEADER atau HTTP-COOKIE dan header atau cookie yang ditentukan tidak ada dalam permintaan.
      • outcome: kemungkinan nilainya adalah sebagai berikut:
        • "RATE_LIMIT_THRESHOLD_CONFORM" jika di bawah nilai minimum pembatasan kapasitas yang dikonfigurasi.
        • "RATE_LIMIT_THRESHOLD_EXCEED" jika melebihi batas laju yang dikonfigurasi.
        • "BAN_THRESHOLD_EXCEED" jika melebihi batas larangan yang dikonfigurasi.
    • outcome: hasil dari menjalankan tindakan yang dikonfigurasi—misalnya, ACCEPT, DENY, REDIRECT, EXEMPT.
    • preconfiguredExprIds: ID semua ekspresi aturan WAF pra-konfigurasi yang memicu aturan.
    • threatIntelligence: informasi tentang daftar alamat IP yang cocok dari Threat Intelligence, jika berlaku.
      • categories: nama daftar alamat IP yang cocok.
  • enforcedEdgeSecurityPolicy: aturan kebijakan keamanan edge yang diterapkan.
    • name: nama kebijakan keamanan.
    • priority: prioritas numerik aturan yang cocok dalam kebijakan keamanan.
    • configuredAction: nama tindakan yang dikonfigurasi dalam aturan pencocokan—misalnya, ALLOW, DENY.
    • outcome: hasil dari menjalankan tindakan yang dikonfigurasi—misalnya, ACCEPT, DENY.
  • previewEdgeSecurityPolicy: diisi jika permintaan cocok dengan aturan kebijakan keamanan edge yang dikonfigurasi untuk pratinjau (hanya ada jika aturan pratinjau akan diprioritaskan daripada aturan yang diterapkan).
    • name: nama kebijakan keamanan.
    • priority: prioritas numerik aturan yang cocok dalam kebijakan keamanan.
    • configuredAction: nama tindakan yang dikonfigurasi dalam aturan pencocokan—misalnya, ALLOW, DENY.
    • outcome: hasil dari menjalankan tindakan yang dikonfigurasi—misalnya, ACCEPT, DENY.

Melihat log

Anda dapat melihat log untuk kebijakan keamanan Cloud Armor hanya di konsolTrusted Cloud .

Konsol

  1. Di konsol Trusted Cloud , buka Cloud Armor policies.

    Buka kebijakan Cloud Armor

  2. Klik Tindakan.

  3. Pilih Lihat log.

Meminta logging data

Jika digunakan dengan Cloud Armor, jsonPayload memiliki kolom tambahan berikut:

  • securityPolicyRequestData: data yang berkaitan dengan permintaan saat diproses oleh kebijakan keamanan, terlepas dari aturan mana yang akhirnya cocok.
    • recaptchaActionToken: data yang terkait dengan token tindakan reCAPTCHA.
      • score: skor legitimasi pengguna yang disematkan dalam token tindakan reCAPTCHA. Hanya ada jika token tindakan reCAPTCHA dilampirkan dengan permintaan dan berhasil didekode berdasarkan aturan kebijakan keamanan. Untuk mengetahui informasi selengkapnya, lihat Menerapkan penilaian reCAPTCHA.
    • recaptchaSessionToken: data yang terkait dengan token sesi reCAPTCHA.
      • score: skor legitimasi pengguna yang disematkan dalam token sesi reCAPTCHA. Hanya ada jika token sesi reCAPTCHA dilampirkan dengan permintaan dan berhasil didekode berdasarkan aturan kebijakan keamanan.
    • tlsJa4Fingerprint: sidik jari TTL/SSL JA4 jika klien terhubung menggunakan HTTPS, HTTP/2, atau HTTP/3. Hanya ada jika sidik jari tersedia dan ada kebijakan keamanan yang mengevaluasi permintaan (terlepas dari apakah ekspresi dalam kebijakan cocok dengan permintaan).
    • tlsJa3Fingerprint: sidik jari TTL/SSL JA3 jika klien terhubung menggunakan HTTPS, HTTP/2, atau HTTP/3. Hanya ada jika sidik jari tersedia dan ada kebijakan keamanan yang mengevaluasi permintaan (terlepas dari apakah ekspresi dalam kebijakan cocok dengan permintaan).

Contoh log

Berikut adalah contoh detail log untuk aturan pembatasan yang memblokir permintaan:

jsonPayload: {
 enforcedSecurityPolicy: {
  priority: 100
  name: "sample-prod-policy"
  configuredAction: "THROTTLE"
  outcome: "DENY"
  rateLimitAction: {
    key:"sample-key"
    outcome:"RATE_LIMIT_THRESHOLD_EXCEED"
  }
 }
 @type: "type.googleapis.com/google.cloud.loadbalancing.type.LoadBalancerLogEntry"
 statusDetails: "denied_by_security_policy"
}
httpRequest: {8}
resource: {2}
timestamp: "2021-03-17T19:16:48.185763Z"

Berikut adalah contoh detail log untuk aturan pelarangan berbasis rasio yang memblokir permintaan:

jsonPayload: {
 @type: "type.googleapis.com/google.cloud.loadbalancing.type.LoadBalancerLogEntry"
 enforcedSecurityPolicy: {
  priority: 150
  name: "sample-prod-policy"
  outcome: "DENY"
  configuredAction: "RATE_BASED_BAN"
  rateLimitAction: {
    key:"sample-key"
    outcome:"BAN_THRESHOLD_EXCEED"
  }
 }
 statusDetails: "denied_by_security_policy"
}
httpRequest: {8}
resource: {2}
timestamp: "2021-03-17T19:27:17.393244Z"

Langkah berikutnya