Yandex Cloud
Поиск
Связаться с намиПодключиться
  • Истории успеха
  • Документация
  • Блог
  • Все сервисы
  • Статус работы сервисов
    • Доступны в регионе
    • Инфраструктура и сеть
    • Платформа данных
    • Контейнеры
    • Инструменты разработчика
    • Бессерверные вычисления
    • Безопасность
    • Мониторинг и управление ресурсами
    • ML Services
    • Бизнес-инструменты
  • Все решения
    • По отраслям
    • По типу задач
    • Экономика платформы
    • Безопасность
    • Техническая поддержка
    • Каталог партнёров
    • Обучение и сертификация
    • Облако для стартапов
    • Облако для крупного бизнеса
    • Центр технологий для общества
    • Партнёрская программа
    • Поддержка IT-бизнеса
    • Облако для фрилансеров
    • Обучение и сертификация
    • Блог
    • Документация
    • Мероприятия и вебинары
    • Контакты, чаты и сообщества
    • Идеи
    • Тарифы Yandex Cloud
    • Промоакции и free tier
    • Правила тарификации
  • Истории успеха
  • Документация
  • Блог
Проект Яндекса
© 2025 ТОО «Облачные Сервисы Казахстан»
Yandex Smart Web Security
  • Начало работы
    • Все инструкции
    • Списки адресов
    • Посмотреть операции
    • Настроить мониторинг
    • Настроить алерты
    • Настроить логи через Smart Web Security
    • Настроить логи через Application Load Balancer
    • Миграция на WAF с поддержкой правил Яндекс
    • Обзор
    • Профили безопасности
    • WAF
    • ARL (лимит на запросы)
    • Правила
    • Условия
    • Списки
    • Защита доменов
    • Логирование
    • Квоты и лимиты
  • Управление доступом
  • Правила тарификации
  • Справочник Terraform
  • Метрики Monitoring
  • Аудитные логи Audit Trails
  • История изменений

В этой статье:

  • Включить логирование
  • Просмотреть логи
  • Примеры готовых фильтров для логов
  • Фильтры для активных правил
  • Фильтры для правил в режиме логирования
  1. Пошаговые инструкции
  2. Настроить логи через Smart Web Security

Настроить логирование через Smart Web Security

Статья создана
Yandex Cloud
Обновлена 9 сентября 2025 г.
  • Включить логирование
  • Просмотреть логи
  • Примеры готовых фильтров для логов
    • Фильтры для активных правил
    • Фильтры для правил в режиме логирования

Примечание

Функциональность сбора логов через Smart Web Security находится на стадии Preview. Для получения доступа обратитесь в службу поддержки.

Доступно два варианта сбора логов: через Smart Web Security и через L7-балансировщик Application Load Balancer, к которому подключен профиль безопасности.

Информация в этом разделе относится к логированию через Smart Web Security. О сборе логов через L7-балансировщик см. в разделе Настроить логирование через Application Load Balancer.

Анализ логов Yandex Smart Web Security позволяет:

  • Тестировать работу правил безопасности, WAF и ARL в режиме Только логирование (dry run).

    В этом режиме запросы пользователей не блокируются, но в логи записывается информация о срабатывании правил.

  • Посмотреть количество заблокированных и пропущенных запросов, оценить и скорректировать работу правил.

  • Посмотреть подробную информацию о запросе, выявить ложноположительные срабатывания.

  • Расследовать инциденты безопасности.

Вы можете настроить логирование Yandex Smart Web Security с помощью двух сервисов: Yandex Cloud Logging и Yandex Audit Trails.

  • Cloud Logging — позволяет собирать подробные логи по HTTP-запросам и сработавшим правилам профилей безопасности, WAF и ARL.

  • Audit Trails — позволяет собирать аудитные логи (события) по правилам WAF и ARL и событиям безопасности.

    В Audit Trails есть два типа событий:

    • Уровня конфигурации — действия, связанные с конфигурированием ресурсов Yandex Cloud. Например, создание или удаление профиля безопасности.
    • Уровня сервисов — действия, которые происходят с ресурсами внутри сервисов Yandex Cloud. Например, срабатывание правила из профиля WAF.

    Записывать события Audit Trails можно в бакет Object Storage, лог-группу Cloud Logging или поток данных Data Streams.

Чтобы начать работать с логами Smart Web Security:

  1. Включите и настройте запись логов.
  2. Посмотрите и отфильтруйте логи.

Включить логированиеВключить логирование

Включить логирование можно при создании профиля безопасности или позднее, при его редактировании:

Cloud Logging
Audit Trails
  1. В консоли управления выберите каталог, в котором находится профиль Smart Web Security.

  2. Выберите сервис Smart Web Security.

  3. На панели слева выберите Профили безопасности.

  4. В строке с нужным профилем безопасности нажмите и выберите Редактировать.

  5. Включите Запись логов.

  6. В поле Записывать логи в выберите Cloud Logging.

  7. Выберите или создайте лог-группу Cloud Logging, в которую будут записываться логи.

  8. Для записи в логи можно выбрать только те запросы, для которых сработали:

    • Базовые правила.

    • Правила Smart Protection.

    • Правила Web Application Firewall.

    • Правила Advanced Rate Limiter.

    • Все выбранные правила применили действие (вердикт) DENY и CAPTCHA.

    • Все выбранные правила применили действие ALLOW (легитимные запросы).

      В нормальной ситуации легитимных запросов гораздо больше, чем нелегитимных. Чтобы уменьшить объем логов, настройте параметр Доля обрабатываемых логов с вердиктом ALLOW — от 1 до 100 процентов. При первой настройке правил рекомендуется анализировать все легитимные запросы. Когда вы убедитесь, что правила работают корректно, можно изменить долю логов или отключить логирование запросов с вердиктом ALLOW.

  9. Нажмите Сохранить.

События Audit Trails можно записывать в бакет Object Storage, лог-группу Cloud Logging или поток данных Data Streams. В этой инструкции настроим запись событий в лог-группу.

  1. В консоли управления выберите каталог, в котором находится профиль Smart Web Security.

  2. Выберите сервис Audit Trails.

  3. Нажмите кнопку Создать трейл.

  4. Введите имя трейла, например trail-sws.

  5. В блоке Назначение выберите объект назначения — Cloud Logging.

  6. Выберите или создайте лог-группу Cloud Logging, в которую будут записываться события Smart Web Security.

  7. В блоке Сбор событий с уровня сервисов включите сбор событий и выберите сервис Smart Web Security.

    Остальные настройки в этом блоке оставьте по умолчанию. Будут записываться все события Smart Web Security уровня сервисов в текущем каталоге. События уровня конфигурации записываться не будут.

  8. В блоке Сервисный аккаунт создайте или выберите аккаунт с ролью logging.writer.

  9. Нажмите Создать.

Другие способы включения записи событий см. в разделе Создание трейла для загрузки аудитных логов.

Чтобы Yandex Smart Web Security передавал события в Audit Trails:

  1. В консоли управления выберите каталог, в котором находится профиль Smart Web Security.
  2. Выберите сервис Smart Web Security.
  3. На панели слева выберите Профили безопасности.
  4. В строке с нужным профилем безопасности нажмите и выберите Редактировать.
  5. Включите Запись логов.
  6. В поле Записывать логи в выберите Audit Trails.
  7. (Опционально) Выберите, по каким правилам или вердиктам передавать события:
    • Базовые правила.
    • Smart Protection.
    • Web Application Firewall.
    • Advanced Rate Limiter.
    • DENY и CAPTCHA.
    • ALLOW.
  8. Нажмите Создать.

Таким образом можно настроить передачу только событий из отдельных профилей безопасности или только по отдельным правилам и вердиктам.

Просмотреть логиПросмотреть логи

Cloud Logging
Audit Trails
  1. В консоли управления выберите каталог, в котором находится профиль Smart Web Security.

  2. Выберите сервис Smart Web Security.

  3. Выберите раздел Логи.

  4. Выберите лог-группу, если их несколько.

  5. Выберите период показа логов одним из способов:

    • Нажмите кнопку с обозначением интервала, например Последний час, и выберите один из вариантов: Последние 5 минут, Последние 30 минут... Последний день.
      Также в полях От и До можно выбрать нужные даты в календаре и указать время.
    • Выберите предустановленный период: Сейчас, 5m, 30m, 1h, 1d, 2d или укажите свой.
    • На временной шкале переместите индикаторы начала и конца периода.
  6. В строке Запрос укажите параметры выбора:

    • Выберите поля логов в выпадающем списке или начните вводить первые буквы названия поля.

      Поля для фильтрации описаны в разделе Логирование.

    • Справа от строки запроса нажмите </> и введите запрос в текстовом режиме на языке фильтрующих выражений.

      Примеры запросов приведены ниже.

    Примечание

    По умолчанию в строке запроса выбраны внутренние поля: project, cluster, service и message = *SWS. Не изменяйте эти значения.

  7. Нажмите кнопку Выполнить запрос. Чтобы посмотреть содержимое лога, разверните его.

Примеры готовых фильтров для логовПримеры готовых фильтров для логов

Логи поставляются в формате JSON. Одна запись в логах соответствует одному запросу клиента, обработанному Smart Web Security.

Запросы для фильтрации логов составляются, исходя из взаимосвязи профилей и правил Smart Web Security. Вы можете посмотреть логи активных, работающих правил или правил в режиме Только логирование (dry run).

Фильтры для активных правилФильтры для активных правил

  • Показать запросы, заблокированные базовыми правилами с определенными условиями. Например, по списку или региону IP:

    module_type = "RULE_CONDITION", meta.matched_rule_verdict = "DENY"
    
  • Показать запросы, для которых сработали правила Smart Protection с отправкой на капчу:

    module_type = "SMART_PROTECTION", meta.matched_rule_verdict = "CAPTCHA"
    
  • Показать запросы, заблокированные по профилю WAF — правилами WAF из профиля безопасности:

    module_type = "WAF", meta.matched_rule_verdict = "DENY"
    
  • Показать запросы, заблокированные правилами профиля ARL:

    meta.arl_verdict = "DENY"
    
  • Показать запросы, для которых сработало конкретное правило ARL — arl-rule-1:

    meta.arl_verdict = "DENY", meta.arl_applied_quota_name = "arl-rule-1"
    

Фильтры для правил в режиме логированияФильтры для правил в режиме логирования

  • Показать запросы, для которых сработали правила Smart Protection с отправкой на капчу:

    module_type = "SMART_PROTECTION", meta.dry_run_matched_rule_verdict = "CAPTCHA"
    
  • Показать запросы, для которых было превышение по конкретному правилу ARL — arl-rule-1:

    meta.arl_verdict = "DENY", meta.arl_dry_run_exceeded_quota_names = "arl-rule-1"
    

Таким же образом вы можете добавить в фильтры другие условия и изменять их с учетом особенностей вашего потока трафика.

  1. В консоли управления выберите каталог, в котором находится профиль Smart Web Security.

  2. Выберите сервис Cloud Logging.

  3. Выберите лог-группу, в которую передаются события Audit Trails.

  4. Выберите количество сообщений на одной странице и период: 1 час, 3 часа, 1 день, 1 неделя, 2 недели.

  5. В строке Запрос укажите запрос на языке фильтрующих выражений и нажмите кнопку Выполнить.

    Логи Audit Trails записываются в формате JSON. Чтобы найти определенное событие, укажите его имя в формате:

    yandex.cloud.audit.smartwebsecurity.<имя_события>
    

    Примеры составления запросов см. в разделе Примеры запросов для поиска событий в аудитных логах.

  6. Чтобы посмотреть содержимое лога, разверните его.

Была ли статья полезна?

Предыдущая
Настроить алерты
Следующая
Настроить логи через Application Load Balancer
Проект Яндекса
© 2025 ТОО «Облачные Сервисы Казахстан»