Связаться с намиПодключиться

Настроить логирование

Статья создана
Обновлена 31 марта 2025 г.

Анализ логов Yandex Smart Web Security позволяет:

  • Тестировать работу правил безопасности, WAF и ARL в режиме Только логирование (dry run).

    В этом режиме запросы пользователей не блокируются, но в логи записывается информация о срабатывании правил.

  • Посмотреть количество заблокированных и пропущенных запросов, оценить и скорректировать работу правил.

  • Посмотреть подробную информацию о запросе, выявить ложноположительные срабатывания.

  • Расследовать инциденты безопасности.

Вы можете настроить логирование Yandex Smart Web Security с помощью двух сервисов: Yandex Cloud Logging и Yandex Audit Trails.

  • Cloud Logging — позволяет собирать базовые логи по трафику и сработавшим правилам профилей безопасности, WAF и ARL.

    Логи Smart Web Security передаются через L7-балансировщик, к которому подключен профиль безопасности, и записываются в лог-группу.

  • Audit Trails — позволяет собирать более детальные аудитные логи (события) по правилам WAF и ARL.

    В Audit Trails события передаются не через L7-балансировщик, а напрямую от сервиса Smart Web Security. В Audit Trails есть два типа событий:

    • Уровня конфигурации — действия, связанные с конфигурированием ресурсов Yandex Cloud. Например, создание или удаление профиля безопасности.
    • Уровня сервисов — действия, которые происходят с ресурсами внутри сервисов Yandex Cloud. Например, срабатывание правила из профиля WAF.

    Записывать события Audit Trails можно в бакет Object Storage, лог-группу Cloud Logging или поток данных Data Streams.

Чтобы начать работать с логами Smart Web Security:

  1. Включите и настройте запись логов.
  2. Посмотрите и отфильтруйте логи.

Включить логирование

  1. В консоли управления выберите каталог, в котором находится профиль Smart Web Security.
  2. Выберите сервис Application Load Balancer.
  3. В списке выберите балансировщик, к которому привязан профиль безопасности.
  4. Нажмите и выберите Редактировать.
  5. В блоке Настройки логов:
    1. Включите опцию Запись логов.
    2. Выберите или создайте лог-группу Cloud Logging, в которую будут записываться логи балансировщика.
    3. Нажмите кнопку Добавить правило отбрасывания логов и настройте его параметры.
  6. Нажмите Сохранить.

Другие способы включения логов см. в разделе Настроить запись логов L7-балансировщика.

События Audit Trails можно записывать в бакет Object Storage, лог-группу Cloud Logging или поток данных Data Streams. В этом руководстве настроим запись событий в лог-группу.

  1. В консоли управления выберите каталог, в котором находится профиль Smart Web Security.

  2. Выберите сервис Audit Trails.

  3. Нажмите кнопку Создать трейл.

  4. Введите имя трейла, например trail-sws.

  5. В блоке Назначение выберите объект назначения — Cloud Logging.

  6. Выберите или создайте лог-группу Cloud Logging, в которую будут записываться события Smart Web Security.

  7. В блоке Сбор событий с уровня сервисов включите сбор событий и выберите сервис Smart Web Security.

    Остальные настройки в этом блоке оставьте по умолчанию. Будут записываться все события Smart Web Security уровня сервисов в текущем каталоге. События уровня конфигурации записываться не будут.

  8. В блоке Сервисный аккаунт создайте или выберите аккаунт с ролью logging.writer.

  9. Нажмите Создать.

Другие способы включения записи событий см. в разделе Создание трейла для загрузки аудитных логов.

Просмотреть логи

  1. В консоли управления выберите каталог, в котором находится профиль Smart Web Security.

  2. Выберите сервис Application Load Balancer.

  3. Выберите раздел Логи.

  4. Выберите количество сообщений на одной странице и период: 1 час, 3 часа, 1 день, 1 неделя, 2 недели.

  5. В строке Запрос укажите запрос на языке фильтрующих выражений и нажмите кнопку Выполнить.

    Примеры запросов приведены ниже.

  6. Чтобы посмотреть содержимое лога, разверните его.

Другие способы просмотра логов см. в разделах Посмотреть логи L7-балансировщика и Чтение записей.

Примеры готовых фильтров для логов

Логи поставляются в формате JSON. Одна запись в логах соответствует одному запросу клиента к L7-балансировщику.

Запросы для фильтрации логов составляются, исходя из взаимосвязи профилей и правил Smart Web Security. Вы можете посмотреть логи активных, работающих правил или правил в режиме Только логирование (dry run).

Фильтры для активных правил

  • Показать запросы, заблокированные базовыми правилами с определенными условиями. Например, по списку или региону IP: 
    json_payload.smartwebsecurity.matched_rule.rule_type = RULE_CONDITION and json_payload.smartwebsecurity.matched_rule.verdict = DENY
  • Показать запросы, для которых сработали правила Smart Protection с отправкой на капчу: 
    json_payload.smartwebsecurity.matched_rule.rule_type = SMART_PROTECTION and json_payload.smartwebsecurity.matched_rule.verdict = CAPTCHA
  • Показать запросы, заблокированные по профилю WAF – правилами WAF из профиля безопасности: 
    json_payload.smartwebsecurity.matched_rule.rule_type = WAF and json_payload.smartwebsecurity.matched_rule.verdict = DENY
  • Показать запросы, заблокированные правилами профиля ARL: 
    json_payload.smartwebsecurity.advanced_rate_limiter.verdict = DENY

Фильтры для правил в режиме логирования

  • Показать запросы, для которых сработали правила [Smart Protection] с отправкой на капчу:

    json_payload.smartwebsecurity.dry_run_matched_rule.rule_type = SMART_PROTECTION and json_payload.smartwebsecurity.dry_run_matched_rule.verdict = CAPTCHA

  • Показать запросы, для которых сработало конкретное правило ARL — arl-rule-1:

    json_payload.smartwebsecurity.advanced_rate_limiter.verdict = DENY and json_payload.smartwebsecurity.advanced_rate_limiter.applied_quota_name = "arl-rule-1"

Таким же образом вы можете добавить в фильтры другие условия и изменять их с учетом особенностей вашего потока трафика.

  1. В консоли управления выберите каталог, в котором находится профиль Smart Web Security..

  2. Выберите сервис Cloud Logging.

  3. Выберите лог-группу, в которую передаются события Audit Trails.

  4. Выберите количество сообщений на одной странице и период: 1 час, 3 часа, 1 день, 1 неделя, 2 недели.

  5. В строке Запрос укажите запрос на языке фильтрующих выражений и нажмите кнопку Выполнить.

    Логи Audit Trails записываются в формате JSON. Чтобы найти определенное событие, укажите его имя в формате:

    yandex.cloud.audit.smartwebsecurity.<имя_события>

    Примеры составления запросов см. в разделе Примеры запросов для поиска событий в аудитных логах.

  6. Чтобы посмотреть содержимое лога, разверните его.

Предыдущая
Настроить алерты
Следующая
Создание L7-балансировщика с профилем безопасности