このページの情報の一部またはすべては、S3NS の Trusted Cloud には適用されない場合があります。

リクエストロギングの使用

Google Cloud Armor のリクエストごとのログには、セキュリティポリシー名、一致ルールの優先度、関連するアクション、関連情報が含まれ、外部アプリケーションロードバランサと外部プロキシネットワークロードバランサのロギングの一環として記録されます。新しいバックエンドサービスではロギングはデフォルトで無効になっているため、Cloud Armor の完全なロギング情報を記録するにはロギングを手動で有効にする必要があります。

Cloud Armor ログは、Cloud Load Balancing ログの一部です。つまり、Cloud Armor ログの生成には、ロードバランサに対して構成されたログサンプリングレートが適用されます。ロードバランサのサンプリングレートを下げると、Cloud Armor のリクエストログのサンプリングレートも下がります。さらに、プロジェクト間のサービス参照を使用する場合、ログはロードバランサのフロントエンドと URL マップを含むホストまたはサービスプロジェクト内に生成されます。したがって、フロントエンドプロジェクトの管理者が、ログと指標を読み取るための権限をバックエンドプロジェクトの管理者に付与することをおすすめします。

ロギングを使用すると、Cloud Armor のセキュリティポリシーによって評価されたすべてのリクエストとその結果（優先度が最も高い一致ルールに基づいて行われたアクション）を確認できます。たとえば、拒否されたリクエストを表示するには、jsonPayload.enforcedSecurityPolicy.outcome="DENY" や jsonPayload.statusDetails="denied_by_security_policy" などのフィルタを使用します。

外部アプリケーションロードバランサのロギングを有効にするには、リージョン外部アプリケーションロードバランサのロギングとモニタリングページのロギングをご覧ください。外部プロキシネットワークロードバランサのロギングを有効にする場合は、「外部アプリケーションロードバランサのロギングとモニタリング」のページに記載されている Google Cloud CLI コマンドを使用できます。 Trusted Cloud コンソールを使用して外部プロキシネットワークロードバランサのロギングを有効にすることはできません。

また、さまざまなロギングレベルを設定して、セキュリティポリシーとルールが意図したとおりに機能しているかどうか評価することもできます。詳細については、詳細ログをご覧ください。

セキュリティポリシーのログエントリ

次に示すログエクスプローラのログエントリは、Cloud Armor のセキュリティポリシーとルールのロギング用です。次の構造のエントリが jsonPayload に含まれます。HTTP リクエストの詳細は、httpRequest メッセージに表示されます。

statusDetails: レスポンスコードを説明するテキスト。
- redirected_by_security_policy: リクエストがリダイレクトルールによってリダイレクトされました。GOOGLE_RECAPTCHA または EXTERNAL_302 のいずれかになります。
- denied_by_security_policy: Cloud Armor セキュリティポリシーの理由で、リクエストがロードバランサによって拒否されました。
- body_denied_by_security_policy: Cloud Armor セキュリティポリシーの理由で、リクエスト本文がロードバランサによって拒否されました。
enforcedSecurityPolicy: 適用されたセキュリティポリシールール。
- name: セキュリティポリシーの名前
- priority: セキュリティポリシーの一致ルールの数値による優先度。
- configuredAction: 一致ルールで構成したアクションの名前 - 例: ALLOW、DENY、GOOGLE_RECAPTCHA、EXTERNAL_302、THROTTLE（スロットルルールの場合）、RATE_BASED_BAN（レートベースの禁止ルールの場合）
- rateLimitAction: スロットルルールまたはレートベースの禁止ルールが一致した際のレート制限アクションに関する情報。
  - key: レート制限のキー値（最大 36 バイト）。キータイプが ALL の場合、またはキータイプが HTTP-HEADER か HTTP-COOKIE であり、指定したヘッダーまたは Cookie がリクエストに含まれていない場合、このフィールドは省略されます。
  - outcome: 値は次のいずれかです。
    - "RATE_LIMIT_THRESHOLD_CONFORM" - 構成されたレート制限のしきい値を下回る場合。
    - "RATE_LIMIT_THRESHOLD_EXCEED" - 構成されたレート制限のしきい値を超えた場合。
    - "BAN_THRESHOLD_EXCEED" - 構成された禁止しきい値を超えた場合。
- outcome: 構成されたアクションの実行結果（ACCEPT、DENY、REDIRECT、EXEMPT など）。
- preconfiguredExprIds: ルールをトリガーしたすべての事前構成済み WAF ルール式の ID。
- threatIntelligence: Threat Intelligence から得られた、一致した IP アドレスリストに関する情報（該当する場合）。
  - categories: 一致した IP アドレスリストの名前。
previewSecurityPolicy: リクエストがプレビュー用に構成されたルールと一致した場合に入力されます（プレビュールールの優先度が実際に適用されるルールより高い場合のみ）。
- name: セキュリティポリシーの名前
- priority: セキュリティポリシーの一致ルールの数値による優先度。
- configuredAction: 一致ルールで構成したアクションの名前 - 例: ALLOW、DENY、GOOGLE_RECAPTCHA、EXTERNAL_302、THROTTLE（スロットルルールの場合）、RATE_BASED_BAN（レートベースの禁止ルールの場合）
- rateLimitAction: スロットルルールまたはレートベースの禁止ルールが一致した際のレート制限アクションに関する情報。
  - key: レート制限のキー値（最大 36 バイト）。キータイプが ALL の場合、またはキータイプが HTTP-HEADER か HTTP-COOKIE であり、指定したヘッダーまたは Cookie がリクエストに含まれていない場合、このフィールドは省略されます。
  - outcome: 値は次のいずれかです。
    - "RATE_LIMIT_THRESHOLD_CONFORM" - 構成されたレート制限のしきい値を下回る場合。
    - "RATE_LIMIT_THRESHOLD_EXCEED" - 構成されたレート制限のしきい値を超えた場合。
    - "BAN_THRESHOLD_EXCEED" - 構成された禁止しきい値を超えた場合。
- outcome: 構成されたアクションの実行結果（ACCEPT、DENY、REDIRECT、EXEMPT など）。
- preconfiguredExprIds: ルールをトリガーしたすべての事前構成済み WAF ルール式の ID。
- threatIntelligence: Threat Intelligence から得られた、一致した IP アドレスリストに関する情報（該当する場合）。
  - categories: 一致した IP アドレスリストの名前。
enforcedEdgeSecurityPolicy: 適用されたエッジセキュリティポリシールール。
- name: セキュリティポリシーの名前
- priority: セキュリティポリシーの一致ルールの数値による優先度。
- configuredAction: 一致ルールで構成したアクションの名前（ALLOW、DENY など）。
- outcome: 構成されたアクションの実行結果（ACCEPT、DENY など）。
previewEdgeSecurityPolicy: リクエストが、プレビュー用に構成されたエッジセキュリティポリシールールに一致する場合に入力されます（プレビュールールが適用済みのルールよりも優先される場合のみ）。
- name: セキュリティポリシーの名前
- priority: セキュリティポリシーの一致ルールの数値による優先度。
- configuredAction: 一致ルールで構成したアクションの名前（ALLOW、DENY など）。
- outcome: 構成されたアクションの実行結果（ACCEPT、DENY など）。

ログの表示

Cloud Armor セキュリティポリシーのログは、Trusted Cloud コンソールでのみ表示できます。

コンソール

Trusted Cloud コンソールで、[Cloud Armor ポリシー] に移動します。

[Cloud Armor ポリシー] に移動
[アクション] をクリックします。
[ログを表示] を選択します。

データロギングをリクエストする

Cloud Armor で使用する場合、jsonPayload には次の追加フィールドがあります。

securityPolicyRequestData: セキュリティポリシーによって処理中のリクエストに関するデータ。最終的にどのルールが一致するかは関係ありません。
- recaptchaActionToken: reCAPTCHA アクショントークンに関連するデータ。
  - score: reCAPTCHA アクショントークンに埋め込まれたユーザー正当性スコア。reCAPTCHA アクショントークンがリクエストに追加され、セキュリティポリシールールに基づいて正常にデコードされた場合にのみ存在します。詳細については、reCAPTCHA 評価の適用をご覧ください。
- recaptchaSessionToken: reCAPTCHA セッショントークンに関連するデータ。
  - score: reCAPTCHA セッショントークンに埋め込まれたユーザー正当性スコア。reCAPTCHA セッショントークンがリクエストに追加され、セキュリティポリシールールに基づいて正常にデコードされた場合にのみ存在します。
- tlsJa4Fingerprint: JA4 TTL / SSL フィンガープリント（クライアントが HTTPS、HTTP/2、HTTP/3のいずれかを使用して接続している場合）。フィンガープリントが利用可能で、リクエストを評価するセキュリティポリシーがある場合にのみ存在します（ポリシー内の式がリクエストと一致するかどうかは無関係です）。
- tlsJa3Fingerprint: JA3 TTL / SSL フィンガープリント（クライアントが HTTPS、HTTP/2、HTTP/3のいずれかを使用して接続している場合）。フィンガープリントが利用可能で、リクエストを評価するセキュリティポリシーがある場合にのみ存在します（ポリシー内の式がリクエストと一致するかどうかは無関係です）。

ログの例

以下に、リクエストをブロックするスロットルルールのログ詳細の例を示します。

jsonPayload: {
 enforcedSecurityPolicy: {
  priority: 100
  name: "sample-prod-policy"
  configuredAction: "THROTTLE"
  outcome: "DENY"
  rateLimitAction: {
    key:"sample-key"
    outcome:"RATE_LIMIT_THRESHOLD_EXCEED"
  }
 }
 @type: "type.googleapis.com/google.cloud.loadbalancing.type.LoadBalancerLogEntry"
 statusDetails: "denied_by_security_policy"
}
httpRequest: {8}
resource: {2}
timestamp: "2021-03-17T19:16:48.185763Z"

以下に、リクエストをブロックするレートベースの禁止ルールのログ詳細の例を示します。

jsonPayload: {
 @type: "type.googleapis.com/google.cloud.loadbalancing.type.LoadBalancerLogEntry"
 enforcedSecurityPolicy: {
  priority: 150
  name: "sample-prod-policy"
  outcome: "DENY"
  configuredAction: "RATE_BASED_BAN"
  rateLimitAction: {
    key:"sample-key"
    outcome:"BAN_THRESHOLD_EXCEED"
  }
 }
 statusDetails: "denied_by_security_policy"
}
httpRequest: {8}
resource: {2}
timestamp: "2021-03-17T19:27:17.393244Z"

次のステップ

Cloud Armor に関する問題のトラブルシューティングについて学習する。