Логирование
Примечание
Функциональность сбора логов через Smart Web Security находится на стадии Preview. Для получения доступа обратитесь в службу поддержки
Smart Web Security позволяет собирать и просматривать логи сервиса, чтобы настраивать защиту и следить за событиями безопасности.
Доступно два варианта сбора логов: через Smart Web Security и через L7-балансировщик Application Load Balancer, к которому подключен профиль безопасности.
Информация в этом разделе относится к логированию через Smart Web Security. О сборе логов через L7-балансировщик см. в разделе Настроить логирование через Application Load Balancer.
В логах содержится информация обо всех HTTP-запросах, обработанных сервисом Smart Web Security. Можно настроить запись логов только по запросам, которые были заблокированы (вердикт DENY
) или отправлены на капчу (вердикт CAPTCHA
). Дополнительно можно собирать логи по легитимным запросам, которые были разрешены сервисом (вердикт ALLOW
). Чтобы избежать переполнения логов разрешенными запросами, укажите долю логов, которые будут собираться системой, от 1 до 100 процентов.
Smart Web Security передает логи в формате JSON. Каждая запись лога содержит следующие структурные блоки:
- Системные поля лога — служебная информация системы мониторинга. Для анализа значимо только одно поле
time
— время появления события в защищаемой системе с точностью до наносекунды. - Блок
labels
(метки) — набор пар<имя>=<значение>
для идентификации лога и быстрой фильтрации по различным срезам. Поля верхнего уровня также могут использоваться для фильтрации. - Блок
message
— краткое текстовое сообщение лога в формате Unicode . - Блок
meta
— метаинформация о запросе. Подробные параметры сработавших правил и параметры запроса.
Описание полей логов SWS приведено в таблице ниже.
Содержимое логов
Поле |
Описание |
|
IP-адрес клиента, от которого поступил HTTP-запрос. |
|
Время поступления запроса. |
|
Идентификатор балансировщика, через который пришел запрос. |
|
Значение HTTP-заголовка |
|
Внутренний идентификатор запроса. |
|
Версия протокола HTTP. |
|
Метод HTTP-запроса — |
|
Имя хоста, указанное в HTTP-запросе. |
|
Путь в HTTP-запросе. |
|
Параметры запроса, переданные в URL после знака вопроса. |
|
Заголовки HTTP-запроса. |
|
Идентификатор профиля безопасности. |
|
Имя профиля безопасности. |
|
Модуль SWS, который принял окончательное решение по запросу. Возможные значения: |
|
Действие, которое было применено к запросу: |
|
Имя сработавшего правила. |
|
Имя сработавшего правила, которое находится в режиме Только логирование (dry run). В этом режиме действие к запросу не применяется, но информация о срабатывании записывается в логи. |
|
Ожидаемое действие (вердикт), которое было применено правилом к запросу. Возможные значения: |
|
Ожидаемое действие, которое было бы применено правилом к запросу, но в режиме Только логирование (dry run) не применяется. Возможные значения: |
|
Идентификатор профиля WAF, если он используется в правиле. |
|
Идентификатор профиля WAF в режиме dry run. |
|
Имя профиля WAF, если он используется в правиле. |
|
Имя профиля WAF в режиме dry run. |
|
Идентификатор набора правил, который принял окончательное решение в профиле WAF. Возможные значения: идентификатор определенного набора или |
|
Идентификатор набора правил, который принял окончательное решение в профиле WAF в режиме dry run. |
|
Идентификаторы всех наборов правил, которые включены в профиль WAF. |
|
Идентификаторы всех наборов правил, которые включены в профиль WAF в режиме dry run. |
|
Сработавшие правила в профиле WAF. У этого поля есть вложенные поля. |
|
Уровень аномальности, полученный при проверке запроса профилем WAF. |
|
Идентификатор правила WAF, которое добавлено в профиль безопасности. |
|
Идентификатор набора правил этого правила WAF. |
|
Идентификатор группы этого правила WAF. |
|
Все значения из полей |
|
Имя правила из набора правил WAF |
|
Параметр запроса, в котором обнаружена аномалия (угроза) |
|
Название параметра запроса, в котором обнаружена аномалия |
|
Значение параметра запроса, в котором обнаружена аномалия |
|
Является ли правило блокирующим |
|
Сработавшие правила в профиле WAF в режиме dry run. Вложенные поля аналогичны |
|
Список правил-исключений, которые сработали в профиле WAF. |
|
Имя исключающего правила. |
|
Идентификаторы правил из наборов правил, которые добавлены в это правило-исключение. |
|
Список правил-исключений, которые сработали в профиле WAF в режиме dry_run. Вложенные поля аналогичны |
|
Идентификатор профиля ARL. |
|
Имя профиля ARL. |
|
Ожидаемое действие (вердикт), которое применено к запросу профилем ARL: |
|
Имя правила в профиле ARL, которое приняло окончательное решение по запросу. |
|
Список правил в профиле ARL, которые сработали для запроса. |
|
Имя правила ARL. |
|
Разрешаются ли запросы в этом правиле. |
|
Включен ли режим dry run в правиле. |
|
Приоритет правила. |
|
Состояние счетчика правил. |
|
Количество запросов, подходящих под условия правила. |
|
Период, за который считается количество запросов. |
|
Лимит запросов. |
|
Временной период, в течение которого считаются запросы для достижения лимита. |
|
Имена правил ARL, для которых зарегистрировано превышение количества запросов в режиме dry run. |
Чтобы анализировать логи Smart Web Security, составьте запросы, которые включают нужные поля и комбинации полей. Примеры готовых запросов см. в разделе Примеры готовых фильтров для логов.
Использование логов при настройке защиты
Чтобы работа Smart Web Security не повлияла на доступность вашего сервиса, но при этом обеспечивался достаточный уровень защиты:
- Включите логирование в профиле безопасности.
- Переведите все правила в режим Только логирование.
- Проверяйте по логам, что трафик фильтруется правильно.
- После проверки отключите режим Только логирование.
При каждом изменении или добавлении новых правил для профилей безопасности, WAF и ARL включайте режим Только логирование. Активируйте правило только после того, как логи подтвердят его корректную работу.