Esta página contém informações sobre a configuração do registo detalhado, uma funcionalidade opcional que pode usar com as suas políticas de segurança do Cloud Armor.
Pode ajustar o nível de detalhe registado nos seus registos. Recomendamos que ative o registo detalhado apenas quando criar uma política pela primeira vez, fizer alterações a uma política ou resolver problemas de uma política. Se ativar o registo detalhado, este entra em vigor para as regras no modo de pré-visualização, bem como para as regras ativas (não pré-visualizadas) durante as operações padrão.
Considere um exemplo em que não consegue saber por que motivo uma regra de WAF pré-configurada é acionada por um pedido específico. Os registos de eventos predefinidos do Cloud Armor contêm a regra que foi acionada, bem como a subassinatura. No entanto, pode ter de identificar os detalhes do pedido recebido que acionaram a regra para fins de resolução de problemas, validação ou otimização da regra. Para este exemplo, recomendamos que ative o registo detalhado.
Pode configurar o nível de registo do Cloud Armor para ativar o registo mais detalhado de cada política de segurança através da flag --log-level na Google Cloud CLI.
Por predefinição, esta opção está desativada. A sintaxe da flag é a seguinte:
--log-level=[NORMAL | VERBOSE]
A flag só está disponível através do comando gcloud compute security-policies update. Não pode criar uma nova política de segurança com esta opção, a menos que
crie uma política de segurança num ficheiro e, em seguida, importe esse ficheiro. Para mais
informações, consulte o artigo
Importe políticas de segurança.
Por exemplo:
gcloud compute security-policies update ca-policy-1 \
--log-level=VERBOSE
Recomendamos que ative o registo detalhado quando criar uma política pela primeira vez, fizer alterações a uma política ou resolver problemas de uma política.
Valores registados quando o registo verboso está ativado
Quando o registo detalhado está ativado, são registadas informações adicionais no registo de pedidos de balanceamento de carga que é enviado para o Cloud Logging. Os seguintes campos adicionais são apresentados no registo de pedidos quando o registo detalhado está ativado:
matchedFieldType(string): este é o tipo de campo que causa a correspondência.ARG_NAMESARG_VALUESBODY- Quando o campo
BODYestá no registo, significa que todo o corpo da publicação corresponde a uma regra.
- Quando o campo
COOKIE_VALUESCOOKIE_NAMESFILENAMEHEADER_VALUESRAW_URIREFERERREQUEST_LINEURIUSER_AGENTHEADER_NAMESARGS_GETX_FILENAMEARG_NAME_COUNTTRANSFER_ENCODINGREQUEST_METHOD
matchedFieldName(string): se isto corresponder à parte do valor de um par de chave-valor, o valor da chave é armazenado neste campo. Caso contrário, está vazio.matchedFieldValue(string): um prefixo de até 16 bytes para a parte do campo que causa a correspondência.matchedFieldLength(integer): o comprimento total do campo.matchedOffset(integer): o deslocamento de início no campo que causa a correspondência.matchedLength(integer): a duração da correspondência.inspectedBodySize(integer): o limite de inspeção configurado (número de bytes) para um corpo do pedido que define através da flag--request-body-inspection-size. Para mais informações sobre este limite, consulte o artigo Limitação da inspeção do corpo de POST e PATCH.
Por exemplo, pode enviar o seguinte pedido a um projeto onde as regras do WAF de injeção SQL estão ativadas:
curl http://IP_ADDR/?sql_table=abc%20pg_catalog%20xyz
A entrada no Explorador de registos é semelhante à seguinte:
enforcedSecurityPolicy: {
name: "user-staging-sec-policy"
priority: 100
configuredAction: "DENY"
outcome: "DENY
inspectedBodySize: 65536
preconfiguredExprIds: [
0: "owasp-crs-v030001-id942140-sqli"
]
matchedFieldType: "ARG_VALUES"
matchedFieldName: "sql_table"
matchedFieldValue: "pg_catalog"
matchedFieldLength: 18
matchedOffset: 4
matchedLength: 10
}
Manter a privacidade quando o registo verboso está ativado
Quando usa o registo detalhado, o Cloud Armor regista fragmentos dos elementos dos pedidos recebidos que acionaram uma regra de WAF pré-configurada específica. Estes fragmentos podem conter partes de cabeçalhos de pedidos, parâmetros de pedidos ou elementos do corpo POST. Um fragmento pode conter dados confidenciais, como um endereço IP ou outros dados confidenciais do pedido recebido, consoante o que estiver nos cabeçalhos ou no corpo do pedido e o que acionar a regra da WAF.
Quando ativa o registo detalhado, existe o risco de acumular dados potencialmente confidenciais nos seus registos no Logging. Recomendamos que ative o registo detalhado apenas durante a criação e a validação de regras ou para a resolução de problemas. Durante as operações normais, recomendamos que deixe o registo detalhado desativado.