Documentação do Oracle Cloud Infrastructure

Logs

Logs exibe a atividade de log e os detalhes de cada evento registrado dentro de um período especificado. Os logs permitem que você compreenda quais regras e contramedidas são acionadas por solicitações e são usadas como base para mover o tratamento de solicitações para o modo de bloqueio. Os logs podem provir dos eventos Controle de Acesso, Regras de Proteção ou Bot.

Observação

Se você tiver dúvidas sobre os requisitos de GDPR (General Data Protection Regulation), os Logs poderão ser desativados para o serviço WAF. Você pode usar o My Oracle Support para registrar uma solicitação de serviço para desativar Logs.

Ao trabalhar com o serviço WAF, considere as seguintes informações:

  • A política de retenção de log do serviço WAF é de sete dias; no entanto, você pode solicitar a configuração de um bucket S3 e ter mais logs entregues a ele. Os logs do bucket podem ser mantidos pelo tempo que você desejar.
  • Só há suporte para buckets do OCI "Padrão". A camada de armazenamento "Archive" não é suportada.
  • A entrega de log na Pilha ELK só é suportada no OCI e nos buckets S3. Os logs brutos são enviados aos buckets. Nos buckets, você pode implementá-los em uma pesquisa elástica.

Exibindo Logs

Descreve os diferentes métodos para exibir logs de uma política de borda.

Você pode filtrar logs pelos seguintes tipos de log:

  • Regras de Acesso

  • Desafio de CAPTCHA

  • Desafio de JavaScript

  • Regras de Proteção

  • Desafio de Interação Humana

  • Desafio de Impressão Digital do Dispositivo

  • Feeds de Inteligência de Ameaças

  • Limitação de Taxa de Endereço

  • Acesso

Use um dos métodos a seguir para exibir logs de uma política de borda.

    1. Abra o menu de navegação e clique em Identidade e Segurança. Em Web Application Firewall, clique em Políticas.

      Como alternativa, abra a página Web Application Firewall e clique em Políticas em Recursos.

      A página Políticas de WAF é exibida.

    2. Selecione o Compartimento na lista.

      Todas as políticas de WAF desse compartimento são listadas em formato tabular.

    3. (Opcional) Aplique um ou mais dos seguintes Filtros para limitar as políticas de WAF exibidas:

      • Nome

      • Tipo de Política

      • Status

    4. Selecione a política de borda cujos logs você deseja exibir.
      A caixa de diálogo Detalhes da Política de Borda é exibida.
    5. Clique em Logs em Recursos.

      A lista Logs será exibida.

    6. (Opcional) Preencha um ou mais dos seguintes Filtros para limitar as informações de log aos valores informados:

      • Data inicial

      • Horário de início

      • Data final

      • Horário de término

      • URL da Solicitação

      • Endereço IP do cliente

      • Nome do país

    7. (Opcional) Verifique um ou mais dos seguintes filtros de Ação para limitar as informações de log às opções selecionadas:

      • Detectar

      • Bloco

      • Ignorar

      • Log

      • Redirecionado

    8. (Opcional) Verifique um ou mais dos seguintes filtros de Tipo de log para limitar as informações de log às opções selecionadas:

      • Regras de acesso

      • Desafio do CAPTCHA

      • Desafio JavaScript

      • Regras de proteção

      • Desafio de interação humana

      • Desafio de impressão digital do dispositivo

      • Feeds de inteligência de ameaças

      • Limitação de taxa de endereço

      • Acesso

      Somente as informações de log que contêm as ações verificadas são exibidas.

    9. Clique no sinal de adição ao lado do Tipo de Alerta que deseja exibir.
    As entradas de log são exibidas com base nas opções escolhidas.

  • Não é possível executar esta tarefa usando a CLI.

  • Execute a operação ListWafLogs para exibir a atividade de log.

    Você pode filtrar logs pelas seguintes opções logType:

    • ACCESS_RULES

    • CAPTCHA_CHALLENGE

    • JAVASCRIPT_CHALLENGE

    • PROTECTION_RULES

    • HUMAN_INTERACTION_CHALLENGE

    • DEVICE_FINGERPRINT_CHALLENGE

    • THREAT_INTELLIGENCE_FEEDS

    • ADDRESS_RATE_LIMITING

    • ACCESS

    Os logs podem ser filtrados por logType fazendo a seguinte solicitação:

    GET /20181116/waasPolicies/unique_ID/wafLogs?logType=logType&timeObservedGreaterThanOrEqualTo=timestamp&timeObservedLessThan=timestamp&compartmentId=unique_ID

    Por exemplo:

    GET /20181116/waasPolicies/ocid1.waaspolicy.oc1../wafLogs?logType=PROTECTION_RULES&timeObservedGreaterThanOrEqualTo=2019-10-24T13:00:00+00:00&timeObservedLessThan=2019-10-24T13:47:00+00:00&compartmentId=ocid1.compartment.oc1..

    A seguinte saída de resposta para os logs filtrados é retornada:

    [
    {
        "action": "BLOCK",
        "clientAddress": "192.0.2.0",
        "countryCode": "US",
        "countryName": "United States",
        "domain": "example.com",
        "httpHeaders": {
            "Accept": "*/*",
            "Host": "example.com",
            "Referer": "",
            "Request-Id": "2019-10-24T13:46:25Z|fa68cab479|192.0.2.0|uwDPcqR0Qt",
            "User-Agent": "curl/7.54.0",
            "X-Client-Ip": "192.0.2.0",
            "X-Country-Code": "US",
            "X-Forwarded-For": "192.0.2.0, 192.0.2.0"
        },
        "httpMethod": "GET",
        "httpVersion": "HTTP/1.1",
        "incidentKey": "2019-10-24T13:46:25Z|fa68cab479|192.0.2.0|uwDPcqR0Qt",
        "logType": "PROTECTION_RULES",
        "protectionRuleDetections": {
            "950002": {
                "Message": "System Command Access. Matched Data: cmd.exe found within ARGS:abc: cmd.exe",
                "Message details": "Access denied with code 403 (phase 2). Pattern match \"\\\\b(?:(?:n(?:map|et|c)|w(?:guest|sh)|telnet|rcmd|ftp)\\\\.exe\\\\b|cmd(?:(?:32)?\\\\.exe\\\\b|\\\\b\\\\W*?\\\\/c))\" at ARGS:abc."
            }
        },
        "requestUrl": "/?abc=cmd.exe",
        "timestamp": "Thu, 24 Oct 2019 13:46:25 GMT",
        "userAgent": "curl/7.54.0"
    },
    {
        "action": "BLOCK",
        "clientAddress": "192.0.2.0",
        "countryCode": "US",
        "countryName": "United States",
        "domain": "example.com",
        "httpHeaders": {
            "Accept": "*/*",
            "Host": "example.com",
            "Referer": "",
            "Request-Id": "2019-10-24T13:46:25Z|43bd96b710|192.0.2.0|E04WECJbcY",
            "User-Agent": "curl/7.54.0",
            "X-Client-Ip": "192.0.2.0",
            "X-Country-Code": "US",
            "X-Forwarded-For": "192.0.2.0, 192.0.2.0"
        },
        "httpMethod": "GET",
        "httpVersion": "HTTP/1.1",
        "incidentKey": "2019-10-24T13:46:25Z|43bd96b710|192.0.2.0|E04WECJbcY",
        "logType": "PROTECTION_RULES",
        "protectionRuleDetections": {
            "950002": {
                "Message": "System Command Access. Matched Data: cmd.exe found within ARGS:abc: cmd.exe",
                "Message details": "Access denied with code 403 (phase 2). Pattern match \"\\\\b(?:(?:n(?:map|et|c)|w(?:guest|sh)|telnet|rcmd|ftp)\\\\.exe\\\\b|cmd(?:(?:32)?\\\\.exe\\\\b|\\\\b\\\\W*?\\\\/c))\" at ARGS:abc."
            }
        },
        "requestUrl": "/?abc=cmd.exe",
        "timestamp": "Thu, 24 Oct 2019 13:46:25 GMT",
        "userAgent": "curl/7.54.0"
    }
]

Entregando Logs do WAF para o Serviço Object Storage

Descreve como entregar logs de WAF a um bucket de armazenamento de objetos para armazenamento e acesso de longo prazo.

Esta tarefa requer a criação de um bucket de armazenamento de objetos ou o uso de um bucket existente. Familiarize-se com buckets de armazenamento de objetos e como criá-los e gerenciá-los antes de prosseguir com a entrega de dados de log do WAF. Consulte Buckets do Serviço Object Storage.

Os logs do WAF têm uma taxa de retenção limitada. Você pode salvá-los indefinidamente entregando seus dados de log do WAF a um bucket de armazenamento de objetos na sua tenancy. Crie e configure seu bucket de armazenamento de objetos primeiro e, em seguida, envie uma solicitação de suporte à Oracle com as informações necessárias para que seus logs do WAF sejam entregues ao bucket.

  1. Acesse o serviço Object Storage e crie um bucket com permissões manage-object-family.

    Somente buckets de armazenamento de objetos Padrão são suportados. A camada de armazenamento Arquivo Compactado não é suportada. Decida sobre chaves gerenciadas pelo usuário ou pela Oracle. As chaves gerenciadas pelo usuário devem estar no KMS. Consulte Buckets do Object Storage para obter mais informações.

  2. Defina a Visibilidade do bucket como Pública.
  3. Crie ou configure um usuário com uma chave secreta do cliente.

    O WAF precisa de uma chave e um segredo para autenticar no bucket do OCI para gravação. Essa chave é anexada a um usuário. Esse usuário deve ter permissão de gravação no bucket para logs do WAF. Registre a chave de acesso e o segredo do usuário e do armazenamento em um local de salvamento.

  4. Adicione um usuário a um grupo e crie uma política de identidade para conceder permissão para que esse grupo possa gravar no bucket.

    Por exemplo, se o bucket estiver no compartimento MSSpoc e o nome do grupo for wafBucketLogGroup, a instrução de identidade será:

    allow group wafBucketLogGroup to manage object-family in compartment MSSpoc

    A política é criada no compartimento MSSpoc.

  5. Crie um arquivo no bucket que inclua as seguintes credenciais:

    • Aplicativo Web (nome do domínio para a política de WAF):

    • SecretKey:

    • AccessKey:

    • bucket_region do armazenamento de objetos:

    • bucket_name do armazenamento de objetos:

    • Namespace:

    • URL do Ponto Final: https://namespace.compat.objectstorage.region.oraclecloud.com

    • Prefixo de upload (formato de arquivo para os logs. O padrão é %{[webapp_domain]}_/%{+YYYY}/%{+MM}/%{+dd}):

    Observação

    Todos os logs do aplicativo web (incluindo outros domínios) vão para uma única pasta nomeada com base no domínio principal. Você não pode definir a entrega de log somente para o domínio principal ou apenas para o domínio adicional.

  6. Crie uma solicitação pré-autenticada para um objeto específico da seguinte forma:
    1. Abra o menu de navegação e clique em Armazenamento. Em Object Storage e Archive Storage, clique em Buckets.
    2. Escolha o compartimento em que está o bucket.
    3. Clique no nome do bucket.
    4. Clique em Objetos em Recursos para exibir a lista de objetos.
    5. Selecione o arquivo que contém credenciais de bucket e clique em Solicitações Pré-Autenticadas em Recursos.
    6. Clique em Criar Solicitação Pré-autenticada.
  7. Crie uma solicitação do Suporte Técnico da Oracle (My Oracle Support) para que os logs do WAF sejam entregues ao bucket de armazenamento de objetos. Sua solicitação de suporte deve conter o URL da Solicitação Pré-autenticada com o arquivo que você criou que contém as credenciais do bucket.

    Somente buckets do OCI "Padrão" são suportados. A camada de armazenamento "Arquivo Compactado" não é suportada.