Oracle Cloud Infrastructure - Dokumentation

Logs

In Logs werden die Logaktivität und die Details jedes protokollierten Ereignisses innerhalb eines bestimmten Zeitrahmens angezeigt. Logs enthalten Informationen dazu, welche Regeln und Gegenmaßnahmen von Anforderungen ausgelöst werden, und dienen als Basis für die Verarbeitung von Anforderungen im Blockmodus. Logs können aus der Zugriffskontrolle, aus Schutzregeln oder Botereignissen stammen.

Hinweis

Wenn Sie Bedenken hinsichtlich der Datenschutz-Grundverordnung haben, können Logs für den WAF-Service deaktiviert werden. Über My Oracle Support können Sie eine Serviceanfrage einreichen, um Logs zu deaktivieren.

Beachten Sie bei der Arbeit mit dem WAF-Service die folgenden Informationen:

  • Die Logaufbewahrungs-Policy für den WAF-Service beträgt sieben Tage. Sie können jedoch die Einrichtung eines S3-Buckets anfordern und weitere Logs dorthin übermitteln. Die Logs im Bucket können beliebig lange aufbewahrt werden.
  • Nur "Standard"-OCI-Buckets werden unterstützt. Die Storage Tier "Archiv" wird nicht unterstützt.
  • Die Logübermittlung an ELK Stack wird nur an OCI- und S3-Buckets unterstützt. Raw-Logs werden an die Buckets gesendet. Aus den Buckets können Sie diese in Elasticsearch implementieren.

Logs anzeigen

Beschreibt die verschiedenen Methoden zum Anzeigen von Logs für eine Edge Policy.

Sie können Logs nach den folgenden Logtypen filtern:

  • Zugriffsregeln

  • CAPTCHA-Challenge

  • JavaScript-Challenge

  • Schutzregeln

  • Challenge für menschliche Interaktion

  • Challenge für Gerätefingerprinting

  • Threat-Intelligence-Feeds

  • Adressratenbegrenzung

  • Zugriff

Mit einer der folgenden Methoden können Sie Logs für eine Edge Policy anzeigen.

    1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Web Application Firewall auf Policys.

      Öffnen Sie alternativ dazu die Seite "Web Application Firewall", und klicken Sie unter Ressourcen auf Policys.

      Die Seite "WAF-Policys" wird angezeigt.

    2. Wählen Sie in der Liste das Compartment aus.

      Alle WAF-Policys in diesem Compartment werden tabellarisch aufgelistet.

    3. (Optional) Wenden Sie einen oder mehrere der folgenden Filter an, um die angezeigten WAF-Policys einzugrenzen:

      • Name

      • Policentyp

      • Status

    4. Wählen Sie die Edge Policy aus, deren Logs Sie anzeigen möchten.
      Das Dialogfeld "Edge-Policy-Details" wird angezeigt.
    5. Klicken Sie unter Ressourcen auf Logs.

      Die Liste "Logs" wird angezeigt.

    6. (Optional) Geben Sie für einen oder mehrere der folgenden Filter Werte an, um die Loginformationen auf die eingegebenen Werte zu beschränken:

      • Startdatum

      • Startzeit

      • Enddatum

      • Endzeit

      • Anforderungs-URL

      • Client-IP-Adresse

      • Ländername

    7. (Optional) Aktivieren Sie unter Aktion mindestens einen der folgenden Filter, um die Loginformationen auf die ausgewählten Optionen zu beschränken:

      • Ermitteln

      • Blockieren

      • Umgehen

      • Protokoll

      • Umgeleitet

    8. (Optional) Aktivieren Sie unter Logtyp mindestens einen der folgenden Filter, um die Loginformationen auf die ausgewählten Optionen zu beschränken:

      • Zugriffsregeln

      • CAPTCHA-Challenge

      • JavaScript Herausforderung

      • Schutzregeln

      • Challenge für menschliche Interaktion

      • Challenge für Gerätefingerprinting

      • Threat-Intelligence-Feeds

      • Adressratenbegrenzung

      • Zugriff

      Nur Loginformationen mit den aktivierten Aktionen werden angezeigt.

    9. Klicken Sie auf das Pluszeichen neben dem Alerttyp, den Sie anzeigen möchten.
    Logeinträge werden basierend auf den gewählten Optionen angezeigt.

  • Diese Aufgabe kann nicht mit der CLI ausgeführt werden.

  • Führen Sie den Vorgang ListWafLogs aus, um die Logaktivität anzuzeigen.

    Sie können Logs nach den folgenden logType-Optionen filtern:

    • ACCESS_RULES

    • CAPTCHA_CHALLENGE

    • JAVASCRIPT_CHALLENGE

    • PROTECTION_RULES

    • HUMAN_INTERACTION_CHALLENGE

    • DEVICE_FINGERPRINT_CHALLENGE

    • THREAT_INTELLIGENCE_FEEDS

    • ADDRESS_RATE_LIMITING

    • ACCESS

    Logs können mit der folgenden Anforderung nach logType gefiltert werden:

    GET /20181116/waasPolicies/unique_ID/wafLogs?logType=logType&timeObservedGreaterThanOrEqualTo=timestamp&timeObservedLessThan=timestamp&compartmentId=unique_ID

    Beispiel:

    GET /20181116/waasPolicies/ocid1.waaspolicy.oc1../wafLogs?logType=PROTECTION_RULES&timeObservedGreaterThanOrEqualTo=2019-10-24T13:00:00+00:00&timeObservedLessThan=2019-10-24T13:47:00+00:00&compartmentId=ocid1.compartment.oc1..

    Die folgende Antwortausgabe wird für die gefilterten Logs zurückgegeben:

    [
    {
        "action": "BLOCK",
        "clientAddress": "192.0.2.0",
        "countryCode": "US",
        "countryName": "United States",
        "domain": "example.com",
        "httpHeaders": {
            "Accept": "*/*",
            "Host": "example.com",
            "Referer": "",
            "Request-Id": "2019-10-24T13:46:25Z|fa68cab479|192.0.2.0|uwDPcqR0Qt",
            "User-Agent": "curl/7.54.0",
            "X-Client-Ip": "192.0.2.0",
            "X-Country-Code": "US",
            "X-Forwarded-For": "192.0.2.0, 192.0.2.0"
        },
        "httpMethod": "GET",
        "httpVersion": "HTTP/1.1",
        "incidentKey": "2019-10-24T13:46:25Z|fa68cab479|192.0.2.0|uwDPcqR0Qt",
        "logType": "PROTECTION_RULES",
        "protectionRuleDetections": {
            "950002": {
                "Message": "System Command Access. Matched Data: cmd.exe found within ARGS:abc: cmd.exe",
                "Message details": "Access denied with code 403 (phase 2). Pattern match \"\\\\b(?:(?:n(?:map|et|c)|w(?:guest|sh)|telnet|rcmd|ftp)\\\\.exe\\\\b|cmd(?:(?:32)?\\\\.exe\\\\b|\\\\b\\\\W*?\\\\/c))\" at ARGS:abc."
            }
        },
        "requestUrl": "/?abc=cmd.exe",
        "timestamp": "Thu, 24 Oct 2019 13:46:25 GMT",
        "userAgent": "curl/7.54.0"
    },
    {
        "action": "BLOCK",
        "clientAddress": "192.0.2.0",
        "countryCode": "US",
        "countryName": "United States",
        "domain": "example.com",
        "httpHeaders": {
            "Accept": "*/*",
            "Host": "example.com",
            "Referer": "",
            "Request-Id": "2019-10-24T13:46:25Z|43bd96b710|192.0.2.0|E04WECJbcY",
            "User-Agent": "curl/7.54.0",
            "X-Client-Ip": "192.0.2.0",
            "X-Country-Code": "US",
            "X-Forwarded-For": "192.0.2.0, 192.0.2.0"
        },
        "httpMethod": "GET",
        "httpVersion": "HTTP/1.1",
        "incidentKey": "2019-10-24T13:46:25Z|43bd96b710|192.0.2.0|E04WECJbcY",
        "logType": "PROTECTION_RULES",
        "protectionRuleDetections": {
            "950002": {
                "Message": "System Command Access. Matched Data: cmd.exe found within ARGS:abc: cmd.exe",
                "Message details": "Access denied with code 403 (phase 2). Pattern match \"\\\\b(?:(?:n(?:map|et|c)|w(?:guest|sh)|telnet|rcmd|ftp)\\\\.exe\\\\b|cmd(?:(?:32)?\\\\.exe\\\\b|\\\\b\\\\W*?\\\\/c))\" at ARGS:abc."
            }
        },
        "requestUrl": "/?abc=cmd.exe",
        "timestamp": "Thu, 24 Oct 2019 13:46:25 GMT",
        "userAgent": "curl/7.54.0"
    }
]

WAF-Logs an Objektspeicher übermitteln

Beschreibt, wie Sie WAF-Logs für längerfristigen Speicher und Zugriff an einen Objektspeicher-Bucket übermitteln.

Für diese Aufgabe muss ein Objektspeicher-Bucket erstellt oder ein vorhandener Bucket verwendet werden. Machen Sie sich mit Objektspeicher-Buckets vertraut, und erfahren Sie, wie Sie diese erstellen und verwalten, bevor Sie mit der Übermittlung von WAF-Logdaten fortfahren. Siehe Object Storage-Buckets.

WAF-Logs weisen eine begrenzte Aufbewahrungsrate auf. Sie können sie unbegrenzt speichern, indem Sie Ihre WAF-Logdaten an einen Objektspeicher-Bucket in Ihrem Mandanten übermitteln. Erstellen und konfigurieren Sie zunächst den Objektspeicher-Bucket, und reichen Sie dann eine Supportanfrage bei Oracle mit den erforderlichen Informationen ein, damit die WAF-Logs an den Bucket zugestellt werden.

  1. Rufen Sie den Object Storage-Service auf, und erstellen Sie einen Bucket mit manage-object-family-Berechtigungen.

    Es werden nur Object Storage-Buckets vom Typ "Standard" unterstützt. Die Archive Storage-Tier wird nicht unterstützt. Legen Sie fest, ob die Schlüssel von Oracle oder vom Benutzer verwaltet werden sollen. Vom Benutzer verwaltete Schlüssel müssen in KMS vorhanden sein. Weitere Informationen finden Sie unter Object Storage-Buckets.

  2. Setzen Sie die Sichtbarkeit des Buckets auf "Öffentlich".
  3. Erstellen oder konfigurieren Sie einen Benutzer mit einem Kunden-Secret-Key.

    WAF benötigt einen Schlüssel und ein Secret, um sich für Schreibvorgänge beim OCI-Bucket zu authentifizieren. Dieser Schlüssel ist einem Benutzer zugeordnet. Dieser Benutzer muss über Schreibberechtigungen für den Bucket für WAF-Logs verfügen. Notieren Sie sich den Zugriffsschlüssel und das Secret für den Benutzer, und bewahren Sie die Angaben an einem sicheren Ort auf.

  4. Fügen Sie einen Benutzer zu einer Gruppe hinzu, und erstellen Sie eine Identitäts-Policy, um dieser Gruppe die Berechtigung zum Schreiben in den Bucket zu erteilen.

    Beispiel: Wenn sich der Bucket in Compartment MSSpoc befindet und der Gruppenname wafBucketLogGroup lautet, lautet die Identitätsanweisung wie folgt:

    allow group wafBucketLogGroup to manage object-family in compartment MSSpoc

    Die Policy wird im Compartment MSSpoc erstellt.

  5. Erstellen Sie eine Datei im Bucket, die folgende Zugangsdaten enthält:

    • Webanwendung (Domainname für WAF-Policy):

    • SecretKey:

    • AccessKey:

    • Objektspeicher-bucket_region:

    • Objektspeicher-bucket_name:

    • Namespace:

    • Endpunkt-URL: https://namespace.compat.objectstorage.region.oraclecloud.com

    • Uploadpräfix (Dateiformat für die Logs. Der Standardwert lautet %{[webapp_domain]}_/%{+YYYY}/%{+MM}/%{+dd}):

    Hinweis

    Alle Logs für die Webanwendung (einschließlich anderer Domains) werden in einem einzigen Ordner gespeichert, dessen Name auf der Hauptdomain basiert. Sie können die Logübermittlung nicht nur für die Hauptdomain oder nur für die zusätzliche Domain festlegen.

  6. So erstellen Sie eine vorab authentifizierte Anforderung für ein bestimmtes Objekt:
    1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Speicher. Klicken Sie unter Object Storage und Archive Storage auf Buckets.
    2. Wählen Sie das Compartment aus, das den Bucket enthält.
    3. Klicken Sie auf den Bucket-Namen.
    4. Klicken Sie unter Ressourcen auf Objekte, um die Liste der Objekte anzuzeigen.
    5. Select the file that contains bucket credentials, and then click Pre-Authenticated Requests under Resources.
    6. Klicken Sie auf Vorab authentifizierte Anforderung erstellen.
  7. Erstellen Sie eine Oracle Support-Anfrage (My Oracle Support), damit die WAF-Logs an den Objektspeicher-Bucket zugestellt werden. Ihre Supportanfrage muss die URL der vorab authentifizierten Anforderung mit der von Ihnen erstellten Datei mit den Bucket-Zugangsdaten enthalten.

    Nur "Standard"-OCI-Buckets werden unterstützt. Die Storage Tier "Archiv" wird nicht unterstützt.