Documentazione di Oracle Cloud Infrastructure

Log

Log visualizza l'attività di log e i dettagli di ciascun evento registrato in un intervallo di tempo specificato. I log consentono di comprendere quali regole e contromisure vengono attivate dalle richieste e vengono utilizzati come base per spostare la gestione delle richieste in modalità blocco. I log possono provenire da controlli dell'accesso, regole di protezione o eventi bot.

Nota

In caso di dubbi sui requisiti generali del GDPR (General Data Protection Regulation), è possibile disabilitare i log per il servizio WAF. Puoi inviare una richiesta di assistenza tramite My Oracle Support per disabilitare i log.

Quando si utilizza il servizio WAF, tenere presenti le informazioni riportate di seguito.

  • Il criterio di conservazione dei log per il servizio WAF dura sette giorni; tuttavia, puoi richiedere di impostare un bucket S3 e di ricevere più log. I log nel bucket possono essere conservati per tutto il tempo che si desidera.
  • Sono supportati solo i bucket OCI "Standard". Il livello di storage "Archivia" non è supportato.
  • La consegna dei log allo stack ELK è supportata solo per i bucket OCI e S3. I log non elaborati vengono inviati ai bucket. Dai bucket è possibile implementarli nella ricerca elastica.

Visualizzazione dei log

Descrive i diversi metodi per visualizzare i log per un criterio perimetrale.

È possibile filtrare i log in base ai tipi di log riportati di seguito.

  • Regole di accesso

  • Richiesta di verifica CAPTCHA

  • JavaScript Richiesta di verifica

  • Regole di protezione

  • Richiesta di verifica interazione umana

  • Richiesta di verifica impronta dispositivo

  • Feed intelligence sulle minacce

  • Limitazione di frequenza indirizzi

  • Accedi

Utilizzare uno dei metodi riportati di seguito per visualizzare i log per un criterio perimetrale.

    1. Aprire il menu di navigazione e fare clic su Identità e sicurezza. In Web Application Firewall, fare clic su Criteri.

      In alternativa, aprire la pagina Web Application Firewall e fare clic su Criteri in Risorse.

      Viene visualizzata la pagina Criteri WAF.

    2. Selezionare il compartimento dalla lista.

      Tutti i criteri WAF in tale compartimento sono elencati in formato tabella.

    3. (Facoltativo) Applicare uno o più dei filtri seguenti per limitare i criteri WAF visualizzati:

      • Nome

      • Tipo di criteri

      • Stato

    4. Selezionare il criterio perimetrale di cui si desidera visualizzare i log.
      Viene visualizzata la finestra di dialogo Dettagli criteri perimetrali.
    5. Fai clic su Log in Risorse.

      Viene visualizzata la lista Log.

    6. (Facoltativo) Completare uno o più dei seguenti filtri per limitare le informazioni di log ai valori immessi:

      • Data di inizio

      • Ora di inizio

      • Data di fine

      • Ora di fine

      • URL richiesta

      • Indirizzo IP client

      • Nome paese

    7. (Facoltativo) Selezionare uno o più dei seguenti filtri Azione per limitare le informazioni di log alle opzioni selezionate:

      • Rileva

      • Blocca

      • Ignora

      • Registro

      • Reindirizzato

    8. (Facoltativo) Selezionare uno o più dei seguenti filtri Tipo di log per limitare le informazioni di log alle opzioni selezionate:

      • Regole di accesso

      • Richiesta di verifica CAPTCHA

      • richiesta di verifica JavaScript

      • Regole di protezione

      • Richiesta di verifica interazione umana

      • Richiesta di verifica impronta dispositivo

      • Feed di Threat Intelligence

      • Limitazione di frequenza indirizzi

      • Accesso

      Vengono visualizzate solo le informazioni di log contenenti le azioni selezionate.

    9. Fare clic sul segno più accanto al Tipo di avviso che si desidera visualizzare.
    Le voci di log vengono visualizzate in base alle opzioni scelte.

  • Questo task non può essere eseguito utilizzando l'interfaccia CLI.

  • Eseguire l'operazione ListWafLogs per visualizzare l'attività di log.

    È possibile filtrare i log in base alle seguenti opzioni logType:

    • ACCESS_RULES

    • CAPTCHA_CHALLENGE

    • JAVASCRIPT_CHALLENGE

    • PROTECTION_RULES

    • HUMAN_INTERACTION_CHALLENGE

    • DEVICE_FINGERPRINT_CHALLENGE

    • THREAT_INTELLIGENCE_FEEDS

    • ADDRESS_RATE_LIMITING

    • ACCESS

    È possibile filtrare i log in base a logType effettuando la seguente richiesta:

    GET /20181116/waasPolicies/unique_ID/wafLogs?logType=logType&timeObservedGreaterThanOrEqualTo=timestamp&timeObservedLessThan=timestamp&compartmentId=unique_ID

    Ad esempio:

    GET /20181116/waasPolicies/ocid1.waaspolicy.oc1../wafLogs?logType=PROTECTION_RULES&timeObservedGreaterThanOrEqualTo=2019-10-24T13:00:00+00:00&timeObservedLessThan=2019-10-24T13:47:00+00:00&compartmentId=ocid1.compartment.oc1..

    Viene restituito il seguente output di risposta per i log filtrati:

    [
    {
        "action": "BLOCK",
        "clientAddress": "192.0.2.0",
        "countryCode": "US",
        "countryName": "United States",
        "domain": "example.com",
        "httpHeaders": {
            "Accept": "*/*",
            "Host": "example.com",
            "Referer": "",
            "Request-Id": "2019-10-24T13:46:25Z|fa68cab479|192.0.2.0|uwDPcqR0Qt",
            "User-Agent": "curl/7.54.0",
            "X-Client-Ip": "192.0.2.0",
            "X-Country-Code": "US",
            "X-Forwarded-For": "192.0.2.0, 192.0.2.0"
        },
        "httpMethod": "GET",
        "httpVersion": "HTTP/1.1",
        "incidentKey": "2019-10-24T13:46:25Z|fa68cab479|192.0.2.0|uwDPcqR0Qt",
        "logType": "PROTECTION_RULES",
        "protectionRuleDetections": {
            "950002": {
                "Message": "System Command Access. Matched Data: cmd.exe found within ARGS:abc: cmd.exe",
                "Message details": "Access denied with code 403 (phase 2). Pattern match \"\\\\b(?:(?:n(?:map|et|c)|w(?:guest|sh)|telnet|rcmd|ftp)\\\\.exe\\\\b|cmd(?:(?:32)?\\\\.exe\\\\b|\\\\b\\\\W*?\\\\/c))\" at ARGS:abc."
            }
        },
        "requestUrl": "/?abc=cmd.exe",
        "timestamp": "Thu, 24 Oct 2019 13:46:25 GMT",
        "userAgent": "curl/7.54.0"
    },
    {
        "action": "BLOCK",
        "clientAddress": "192.0.2.0",
        "countryCode": "US",
        "countryName": "United States",
        "domain": "example.com",
        "httpHeaders": {
            "Accept": "*/*",
            "Host": "example.com",
            "Referer": "",
            "Request-Id": "2019-10-24T13:46:25Z|43bd96b710|192.0.2.0|E04WECJbcY",
            "User-Agent": "curl/7.54.0",
            "X-Client-Ip": "192.0.2.0",
            "X-Country-Code": "US",
            "X-Forwarded-For": "192.0.2.0, 192.0.2.0"
        },
        "httpMethod": "GET",
        "httpVersion": "HTTP/1.1",
        "incidentKey": "2019-10-24T13:46:25Z|43bd96b710|192.0.2.0|E04WECJbcY",
        "logType": "PROTECTION_RULES",
        "protectionRuleDetections": {
            "950002": {
                "Message": "System Command Access. Matched Data: cmd.exe found within ARGS:abc: cmd.exe",
                "Message details": "Access denied with code 403 (phase 2). Pattern match \"\\\\b(?:(?:n(?:map|et|c)|w(?:guest|sh)|telnet|rcmd|ftp)\\\\.exe\\\\b|cmd(?:(?:32)?\\\\.exe\\\\b|\\\\b\\\\W*?\\\\/c))\" at ARGS:abc."
            }
        },
        "requestUrl": "/?abc=cmd.exe",
        "timestamp": "Thu, 24 Oct 2019 13:46:25 GMT",
        "userAgent": "curl/7.54.0"
    }
]

Distribuzione dei log WAF nello storage degli oggetti

Descrive come distribuire i log WAF a un bucket di storage degli oggetti per garantire storage e accesso a lungo termine.

Questo task richiede la creazione di un bucket di storage degli oggetti o l'utilizzo di un bucket esistente. Acquisisci familiarità con i bucket di storage degli oggetti e come crearli e gestirli prima di procedere con la distribuzione dei dati di log WAF. Vedere Bucket di storage degli oggetti.

I log WAF hanno una frequenza di conservazione limitata. Puoi salvarli a tempo indeterminato distribuendo i dati di log WAF in un bucket di storage degli oggetti all'interno della tua tenancy. Crea e configura prima il bucket di storage degli oggetti, quindi invia una richiesta di supporto a Oracle con le informazioni necessarie per fare in modo che i log WAF vengano consegnati al bucket.

  1. Accedere al servizio di storage degli oggetti e creare un bucket con autorizzazioni manage-object-family.

    Sono supportati solo i bucket di storage degli oggetti standard. Il livello di storage di archivio non è supportato. Decidere su chiavi Oracle o gestite dall'utente. Le chiavi gestite dall'utente devono trovarsi in KMS. Per ulteriori informazioni, vedere Bucket di storage degli oggetti.

  2. Impostare la visibilità del bucket su Pubblico.
  3. Crea o configura un utente con una chiave segreta cliente.

    WAF richiede una chiave e un segreto per l'autenticazione nel bucket OCI per la scrittura. Questa chiave è collegata a un utente. Questo utente deve disporre dell'autorizzazione di scrittura nel bucket per i log WAF. Registrare la chiave di accesso e il segreto per l'utente e memorizzarlo in una posizione di salvataggio.

  4. Aggiungere un utente a un gruppo e creare un criterio di identità per concedere l'autorizzazione affinché tale gruppo possa scrivere nel bucket.

    Ad esempio, se il bucket si trova nel compartimento MSSpoc e il nome del gruppo è wafBucketLogGroup, l'istruzione Identity sarà:

    allow group wafBucketLogGroup to manage object-family in compartment MSSpoc

    Il criterio viene creato nel compartimento MSSpoc.

  5. Creare un file nel bucket che includa le credenziali seguenti:

    • Applicazione Web (nome del dominio per il criterio WAF):

    • SecretKey:

    • AccessKey:

    • Storage degli oggetti bucket_region:

    • Storage degli oggetti bucket_name:

    • Area di nomi:

    • URL endpoint: https://namespace.compat.objectstorage.region.oraclecloud.com

    • Carica prefisso (formato file per i log). L'impostazione predefinita è %{[webapp_domain]}_/%{+YYYY}/%{+MM}/%{+dd}):

    Nota

    Tutti i log per l'applicazione Web (inclusi altri domini) vanno in una singola cartella denominata in base al dominio principale. Non è possibile impostare la consegna del log solo per il dominio principale o solo per il dominio aggiuntivo.

  6. Creare una richiesta preautenticazione per un oggetto specifico come indicato di seguito.
    1. Aprire il menu di navigazione e fare clic su Memorizzazione. In Storage degli oggetti e storage di archivio fare clic su Bucket.
    2. Scegliere il compartimento in cui si trova il bucket.
    3. Fare clic sul nome del bucket.
    4. Fare clic su Oggetti in Risorse per visualizzare la lista degli oggetti.
    5. Selezionare il file che contiene le credenziali del bucket, quindi fare clic su Richieste pre-autenticate in Risorse.
    6. Fare clic su Create Pre-Authenticated Request.
  7. Creare una richiesta del Supporto Oracle (My Oracle Support) per inviare i log WAF al bucket di storage degli oggetti. La richiesta di supporto deve contenere l'URL della richiesta preautenticata con il file creato che contiene le credenziali del bucket.

    Sono supportati solo i bucket OCI "Standard". Il livello di storage "Archivia" non è supportato.