Связаться с намиПодключиться

Настроить логирование через Smart Web Security

Статья создана
Обновлена 9 сентября 2025 г.

Примечание

Функциональность сбора логов через Smart Web Security находится на стадии Preview. Для получения доступа обратитесь в службу поддержки.

Доступно два варианта сбора логов: через Smart Web Security и через L7-балансировщик Application Load Balancer, к которому подключен профиль безопасности.

Информация в этом разделе относится к логированию через Smart Web Security. О сборе логов через L7-балансировщик см. в разделе Настроить логирование через Application Load Balancer.

Анализ логов Yandex Smart Web Security позволяет:

  • Тестировать работу правил безопасности, WAF и ARL в режиме Только логирование (dry run).

    В этом режиме запросы пользователей не блокируются, но в логи записывается информация о срабатывании правил.

  • Посмотреть количество заблокированных и пропущенных запросов, оценить и скорректировать работу правил.

  • Посмотреть подробную информацию о запросе, выявить ложноположительные срабатывания.

  • Расследовать инциденты безопасности.

Вы можете настроить логирование Yandex Smart Web Security с помощью двух сервисов: Yandex Cloud Logging и Yandex Audit Trails.

  • Cloud Logging — позволяет собирать подробные логи по HTTP-запросам и сработавшим правилам профилей безопасности, WAF и ARL.

  • Audit Trails — позволяет собирать аудитные логи (события) по правилам WAF и ARL и событиям безопасности.

    В Audit Trails есть два типа событий:

    • Уровня конфигурации — действия, связанные с конфигурированием ресурсов Yandex Cloud. Например, создание или удаление профиля безопасности.
    • Уровня сервисов — действия, которые происходят с ресурсами внутри сервисов Yandex Cloud. Например, срабатывание правила из профиля WAF.

    Записывать события Audit Trails можно в бакет Object Storage, лог-группу Cloud Logging или поток данных Data Streams.

Чтобы начать работать с логами Smart Web Security:

  1. Включите и настройте запись логов.
  2. Посмотрите и отфильтруйте логи.

Включить логирование

Включить логирование можно при создании профиля безопасности или позднее, при его редактировании:

  1. В консоли управления выберите каталог, в котором находится профиль Smart Web Security.

  2. Выберите сервис Smart Web Security.

  3. На панели слева выберите Профили безопасности.

  4. В строке с нужным профилем безопасности нажмите и выберите Редактировать.

  5. Включите Запись логов.

  6. В поле Записывать логи в выберите Cloud Logging.

  7. Выберите или создайте лог-группу Cloud Logging, в которую будут записываться логи.

  8. Для записи в логи можно выбрать только те запросы, для которых сработали:

    • Базовые правила.

    • Правила Smart Protection.

    • Правила Web Application Firewall.

    • Правила Advanced Rate Limiter.

    • Все выбранные правила применили действие (вердикт) DENY и CAPTCHA.

    • Все выбранные правила применили действие ALLOW (легитимные запросы).

      В нормальной ситуации легитимных запросов гораздо больше, чем нелегитимных. Чтобы уменьшить объем логов, настройте параметр Доля обрабатываемых логов с вердиктом ALLOW — от 1 до 100 процентов. При первой настройке правил рекомендуется анализировать все легитимные запросы. Когда вы убедитесь, что правила работают корректно, можно изменить долю логов или отключить логирование запросов с вердиктом ALLOW.

  9. Нажмите Сохранить.

События Audit Trails можно записывать в бакет Object Storage, лог-группу Cloud Logging или поток данных Data Streams. В этой инструкции настроим запись событий в лог-группу.

  1. В консоли управления выберите каталог, в котором находится профиль Smart Web Security.

  2. Выберите сервис Audit Trails.

  3. Нажмите кнопку Создать трейл.

  4. Введите имя трейла, например trail-sws.

  5. В блоке Назначение выберите объект назначения — Cloud Logging.

  6. Выберите или создайте лог-группу Cloud Logging, в которую будут записываться события Smart Web Security.

  7. В блоке Сбор событий с уровня сервисов включите сбор событий и выберите сервис Smart Web Security.

    Остальные настройки в этом блоке оставьте по умолчанию. Будут записываться все события Smart Web Security уровня сервисов в текущем каталоге. События уровня конфигурации записываться не будут.

  8. В блоке Сервисный аккаунт создайте или выберите аккаунт с ролью logging.writer.

  9. Нажмите Создать.

Другие способы включения записи событий см. в разделе Создание трейла для загрузки аудитных логов.

Чтобы Yandex Smart Web Security передавал события в Audit Trails:

  1. В консоли управления выберите каталог, в котором находится профиль Smart Web Security.
  2. Выберите сервис Smart Web Security.
  3. На панели слева выберите Профили безопасности.
  4. В строке с нужным профилем безопасности нажмите и выберите Редактировать.
  5. Включите Запись логов.
  6. В поле Записывать логи в выберите Audit Trails.
  7. (Опционально) Выберите, по каким правилам или вердиктам передавать события:
    • Базовые правила.
    • Smart Protection.
    • Web Application Firewall.
    • Advanced Rate Limiter.
    • DENY и CAPTCHA.
    • ALLOW.
  8. Нажмите Создать.

Таким образом можно настроить передачу только событий из отдельных профилей безопасности или только по отдельным правилам и вердиктам.

Просмотреть логи

  1. В консоли управления выберите каталог, в котором находится профиль Smart Web Security.

  2. Выберите сервис Smart Web Security.

  3. Выберите раздел Логи.

  4. Выберите лог-группу, если их несколько.

  5. Выберите период показа логов одним из способов:

    • Нажмите кнопку с обозначением интервала, например Последний час, и выберите один из вариантов: Последние 5 минут, Последние 30 минут... Последний день.
      Также в полях От и До можно выбрать нужные даты в календаре и указать время.
    • Выберите предустановленный период: Сейчас, 5m, 30m, 1h, 1d, 2d или укажите свой.
    • На временной шкале переместите индикаторы начала и конца периода.

  6. В строке Запрос укажите параметры выбора:

    • Выберите поля логов в выпадающем списке или начните вводить первые буквы названия поля.

      Поля для фильтрации описаны в разделе Логирование.

    • Справа от строки запроса нажмите </> и введите запрос в текстовом режиме на языке фильтрующих выражений.

      Примеры запросов приведены ниже.

    Примечание

    По умолчанию в строке запроса выбраны внутренние поля: project, cluster, service и message = *SWS. Не изменяйте эти значения.

  7. Нажмите кнопку Выполнить запрос. Чтобы посмотреть содержимое лога, разверните его.

Примеры готовых фильтров для логов

Логи поставляются в формате JSON. Одна запись в логах соответствует одному запросу клиента, обработанному Smart Web Security.

Запросы для фильтрации логов составляются, исходя из взаимосвязи профилей и правил Smart Web Security. Вы можете посмотреть логи активных, работающих правил или правил в режиме Только логирование (dry run).

Фильтры для активных правил

  • Показать запросы, заблокированные базовыми правилами с определенными условиями. Например, по списку или региону IP:

    module_type = "RULE_CONDITION", meta.matched_rule_verdict = "DENY"

  • Показать запросы, для которых сработали правила Smart Protection с отправкой на капчу:

    module_type = "SMART_PROTECTION", meta.matched_rule_verdict = "CAPTCHA"

  • Показать запросы, заблокированные по профилю WAF — правилами WAF из профиля безопасности:

    module_type = "WAF", meta.matched_rule_verdict = "DENY"

  • Показать запросы, заблокированные правилами профиля ARL:

    meta.arl_verdict = "DENY"

  • Показать запросы, для которых сработало конкретное правило ARL — arl-rule-1:

    meta.arl_verdict = "DENY", meta.arl_applied_quota_name = "arl-rule-1"

Фильтры для правил в режиме логирования

  • Показать запросы, для которых сработали правила Smart Protection с отправкой на капчу:

    module_type = "SMART_PROTECTION", meta.dry_run_matched_rule_verdict = "CAPTCHA"

  • Показать запросы, для которых было превышение по конкретному правилу ARL — arl-rule-1:

    meta.arl_verdict = "DENY", meta.arl_dry_run_exceeded_quota_names = "arl-rule-1"

Таким же образом вы можете добавить в фильтры другие условия и изменять их с учетом особенностей вашего потока трафика.

  1. В консоли управления выберите каталог, в котором находится профиль Smart Web Security.

  2. Выберите сервис Cloud Logging.

  3. Выберите лог-группу, в которую передаются события Audit Trails.

  4. Выберите количество сообщений на одной странице и период: 1 час, 3 часа, 1 день, 1 неделя, 2 недели.

  5. В строке Запрос укажите запрос на языке фильтрующих выражений и нажмите кнопку Выполнить.

    Логи Audit Trails записываются в формате JSON. Чтобы найти определенное событие, укажите его имя в формате:

    yandex.cloud.audit.smartwebsecurity.<имя_события>

    Примеры составления запросов см. в разделе Примеры запросов для поиска событий в аудитных логах.

  6. Чтобы посмотреть содержимое лога, разверните его.

Предыдущая
Настроить алерты
Следующая
Настроить логи через Application Load Balancer