Documentation sur Oracle Cloud Infrastructure

Journaux

Les journaux affichent l'activité de journal et les détails de chaque événement journalisé dans une période spécifiée. Les journaux vous permettent de comprendre quelles règles et quelles contre-mesures sont déclenchées par des demandes et servent de base pour déplacer le traitement des demandes en mode de blocage. Les journaux peuvent provenir des événements de contrôle de l'accès, des règles de protection ou des robots.

Note

Si vous avez des préoccupations concernant les exigences du Règlement général sur la protection des données (RGPD), vous pouvez désactiver les journaux pour le service WAF. Vous pouvez utiliser My Oracle Support pour enregistrer une demande de service pour désactiver les journaux.

Lorsque vous utilisez le service WAF, tenez compte des informations suivantes :

  • La politique de conservation des journaux pour le service WAF est de sept jours. Toutefois, vous pouvez demander la configuration d'un seau S3 auquel transmettre d'autres journaux. Vous pouvez conserver les journaux de votre seau aussi longtemps que vous le souhaitez.
  • Seuls les seaux OCI "Standard" sont pris en charge. Le niveau de stockage "Archive" n'est pas pris en charge.
  • La transmission de journaux à la pile ELK n'est prise en charge que pour les seaux OCI et S3. Les journaux bruts sont envoyés aux seaux. À partir des seaux, vous pouvez mettre en oeuvre les journaux bruts dans une recherche élastique.

Consultation des journaux

Cette section décrit les différentes méthodes d'affichage des journaux pour une politique de périphérie de réseau.

Vous pouvez filtrer les journaux en fonction des types suivants :

  • Règles d'accès

  • Identification CAPTCHA

  • Identification JavaScript

  • Règles de protection

  • Identification d'interaction humaine

  • Identification de l'empreinte numérique d'un appareil

  • Flux d'informations sur les menaces

  • Limitation du débit par adresse

  • Accès

Utilisez l'une des méthodes suivantes pour afficher les journaux d'une politique de périphérie de réseau.

    1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Pare-feu d'application Web, cliquez sur Politiques.

      Vous pouvez également ouvrir la page Pare-feu d'application Web et cliquer sur Politiques sous Ressources.

      La page Politiques WAF s'affiche.

    2. Sélectionnez le compartiment dans la liste.

      Toutes les politiques WAF de ce compartiment sont présentés sous forme de tableau.

    3. (Facultatif) Appliquez un ou plusieurs des filtres suivants pour limiter les politiques WAF affichées :

      • Nom

      • Type de police

      • Statut

    4. Sélectionnez la politique de périphérie de réseau dont vous voulez afficher les journaux.
      La boîte de dialogue Détails de la politique de périphérie de réseau s'affiche.
    5. Cliquez sur Journaux sous Ressources.

      La liste Journaux s'affiche.

    6. (Facultatif) Appliquez un ou plusieurs des filtres suivants pour limiter les informations de journal aux valeurs entrées :

      • Date de début

      • Heure de début

      • Date de fin

      • Heure de fin

      • URL de demande

      • Adresse IP client

      • Nom du pays

    7. (Facultatif) Sélectionnez un ou plusieurs des filtres Action suivants pour limiter les informations de journal aux options sélectionnées :

      • Détecter

      • Bloc

      • Ignorer

      • Journal

      • Réacheminé

    8. (Facultatif) Sélectionnez un ou plusieurs des filtres Type de journal suivants pour limiter les informations de journal aux options sélectionnées :

      • Règles d'accès

      • Identification CAPTCHA

      • JavaScript d'identification

      • Règles de protection

      • Identification d'interaction humaine

      • Identification de l'empreinte numérique de l'appareil

      • Flux de renseignements sur les menaces

      • Limitation du débit par adresse

      • Accès

      Seules les informations de journal contenant les actions sélectionnées sont affichées.

    9. Cliquez sur le signe plus à côté du type d'alerte que vous voulez voir.
    Les entrées de journal affichées varient en fonction des options que vous avez sélectionnées.

  • Cette tâche ne peut pas être effectuée à l'aide de l'interface de ligne de commande.

  • Exécutez l'opération ListWafLogs pour voir l'activité du journal.

    Vous pouvez filtrer les journaux en fonction des options de type de journal suivantes :

    • ACCESS_RULES

    • CAPTCHA_CHALLENGE

    • JAVASCRIPT_CHALLENGE

    • PROTECTION_RULES

    • HUMAN_INTERACTION_CHALLENGE

    • DEVICE_FINGERPRINT_CHALLENGE

    • THREAT_INTELLIGENCE_FEEDS

    • ADDRESS_RATE_LIMITING

    • ACCESS

    Les journaux peuvent être filtrés par type à l'aide de la demande suivante :

    GET /20181116/waasPolicies/unique_ID/wafLogs?logType=logType&timeObservedGreaterThanOrEqualTo=timestamp&timeObservedLessThan=timestamp&compartmentId=unique_ID

    Par exemple :

    GET /20181116/waasPolicies/ocid1.waaspolicy.oc1../wafLogs?logType=PROTECTION_RULES&timeObservedGreaterThanOrEqualTo=2019-10-24T13:00:00+00:00&timeObservedLessThan=2019-10-24T13:47:00+00:00&compartmentId=ocid1.compartment.oc1..

    La sortie de réponse suivante pour les journaux filtrés est retournée :

    [
    {
        "action": "BLOCK",
        "clientAddress": "192.0.2.0",
        "countryCode": "US",
        "countryName": "United States",
        "domain": "example.com",
        "httpHeaders": {
            "Accept": "*/*",
            "Host": "example.com",
            "Referer": "",
            "Request-Id": "2019-10-24T13:46:25Z|fa68cab479|192.0.2.0|uwDPcqR0Qt",
            "User-Agent": "curl/7.54.0",
            "X-Client-Ip": "192.0.2.0",
            "X-Country-Code": "US",
            "X-Forwarded-For": "192.0.2.0, 192.0.2.0"
        },
        "httpMethod": "GET",
        "httpVersion": "HTTP/1.1",
        "incidentKey": "2019-10-24T13:46:25Z|fa68cab479|192.0.2.0|uwDPcqR0Qt",
        "logType": "PROTECTION_RULES",
        "protectionRuleDetections": {
            "950002": {
                "Message": "System Command Access. Matched Data: cmd.exe found within ARGS:abc: cmd.exe",
                "Message details": "Access denied with code 403 (phase 2). Pattern match \"\\\\b(?:(?:n(?:map|et|c)|w(?:guest|sh)|telnet|rcmd|ftp)\\\\.exe\\\\b|cmd(?:(?:32)?\\\\.exe\\\\b|\\\\b\\\\W*?\\\\/c))\" at ARGS:abc."
            }
        },
        "requestUrl": "/?abc=cmd.exe",
        "timestamp": "Thu, 24 Oct 2019 13:46:25 GMT",
        "userAgent": "curl/7.54.0"
    },
    {
        "action": "BLOCK",
        "clientAddress": "192.0.2.0",
        "countryCode": "US",
        "countryName": "United States",
        "domain": "example.com",
        "httpHeaders": {
            "Accept": "*/*",
            "Host": "example.com",
            "Referer": "",
            "Request-Id": "2019-10-24T13:46:25Z|43bd96b710|192.0.2.0|E04WECJbcY",
            "User-Agent": "curl/7.54.0",
            "X-Client-Ip": "192.0.2.0",
            "X-Country-Code": "US",
            "X-Forwarded-For": "192.0.2.0, 192.0.2.0"
        },
        "httpMethod": "GET",
        "httpVersion": "HTTP/1.1",
        "incidentKey": "2019-10-24T13:46:25Z|43bd96b710|192.0.2.0|E04WECJbcY",
        "logType": "PROTECTION_RULES",
        "protectionRuleDetections": {
            "950002": {
                "Message": "System Command Access. Matched Data: cmd.exe found within ARGS:abc: cmd.exe",
                "Message details": "Access denied with code 403 (phase 2). Pattern match \"\\\\b(?:(?:n(?:map|et|c)|w(?:guest|sh)|telnet|rcmd|ftp)\\\\.exe\\\\b|cmd(?:(?:32)?\\\\.exe\\\\b|\\\\b\\\\W*?\\\\/c))\" at ARGS:abc."
            }
        },
        "requestUrl": "/?abc=cmd.exe",
        "timestamp": "Thu, 24 Oct 2019 13:46:25 GMT",
        "userAgent": "curl/7.54.0"
    }
]

Transmission des journaux WAF au service de stockage d'objets

Cette section décrit comment transmettre les journaux WAF à un seau de stockage d'objets pour un stockage et un accès à plus long terme.

Cette tâche nécessite de créer un seau de stockage d'objets ou d'en utiliser un qui existe déjà. Familiarisez-vous avec les seaux de stockage d'objets et voyez comment les créer et les gérer avant de transmettre des données de journal WAF. Voir Seaux de stockage d'objets.

Les journaux WAF ont un taux de conservation limité. Vous pouvez les enregistrer indéfiniment en transmettant vos données de journal WAF à un seau de stockage d'objets de votre location. Créez et configurez d'abord votre seau de stockage d'objets, puis soumettez une demande de soutien à Oracle avec les informations requises pour que vos journaux WAF soient transmis au seau.

  1. Accédez au service de stockage d'objets et créez un seau avec les autorisations manage-object-family.

    Seuls les seaux de stockage d'objets standard sont pris en charge. Le niveau de stockage d'archives n'est pas pris en charge. Identifiez les clés gérées par Oracle ou par l'utilisateur. Les clés gérées par l'utilisateur doivent être dans KMS. Pour plus d'informations, voir Seaux de stockage d'objets.

  2. Réglez la visibilité du seau à Public.
  3. Créez ou configurez un utilisateur avec une clé secrète de client.

    Le service WAF a besoin d'une clé et d'une clé secrète pour s'authentifier auprès du seau OCI aux fins d'écriture. Cette clé est associée à un utilisateur. Cet utilisateur doit disposer d'une autorisation d'écriture sur le seau pour les journaux WAF. Enregistrez la clé d'accès et la clé secrète pour l'utilisateur et stockez-les dans un emplacement où enregistrer.

  4. Ajoutez un utilisateur à un groupe et créez une politique d'identité pour accorder à ce groupe l'autorisation d'écrire dans le seau.

    Par exemple, si le seau se trouve dans le compartiment MSSpoc et que le nom du groupe est wafBucketLogGroup, l'énoncé d'identité est le suivant :

    allow group wafBucketLogGroup to manage object-family in compartment MSSpoc

    La politique est créée dans le compartiment MSSpoc.

  5. Créez dans le seau un fichier qui inclut les données d'identification suivantes :

    • Application Web (nom de domaine pour la politique WAF) :

    • SecretKey:

    • AccessKey:

    • Région du seau de stockage d'objets :

    • Nom du seau de stockage d'objets :

    • Espace de noms :

    • URL du point d'extrémité : https://namespace.compat.objectstorage.region.oraclecloud.com

    • Préfixe de chargement (format de fichier pour les journaux. La valeur par défaut est %{[webapp_domain]}_/%{+YYYY}/%{+MM}/%{+dd}) :

    Note

    Tous les journaux de l'application Web (y compris les autres domaines) sont placés dans un dossier unique nommé en fonction du domaine principal. Vous ne pouvez pas définir la transmission des journaux uniquement pour le domaine principal ou uniquement pour le domaine supplémentaire.

  6. Créez une demande préauthentifiée pour un objet spécifique en procédant de la façon suivante :
    1. Ouvrez le menu de navigation et cliquez sur Stockage. Sous Stockage d'objets et stockage d'archives, cliquez sur Seaux.
    2. Sélectionnez le compartiment dans lequel se trouve le seau.
    3. Cliquez sur le nom du seau.
    4. Cliquez sur Objets sous Ressources pour afficher la liste des objets.
    5. Sélectionnez le fichier contenant les données d'identification du seau, puis cliquez sur Demandes préauthentifiées sous ressources.
    6. Cliquez sur Créer une demande préauthentifiée.
  7. Créez une demande auprès d'Oracle Support (My Oracle Support) pour que vos journaux WAF soient transmis au seau de stockage d'objets. Votre demande de soutien doit contenir l'URL de la demande préauthentifiée avec le fichier contenant les données d'identification de seau que vous avez créé.

    Seuls les seaux OCI "Standard" sont pris en charge. Le niveau de stockage "Archive" n'est pas pris en charge.