Logs
Logs exibe a atividade de log e os detalhes de cada evento registrado dentro de um período especificado. Os logs permitem que você compreenda quais regras e contramedidas são acionadas por solicitações e são usadas como base para mover o tratamento de solicitações para o modo de bloqueio. Os logs podem provir dos eventos Controle de Acesso, Regras de Proteção ou Bot.
Se você tiver dúvidas sobre os requisitos de GDPR (General Data Protection Regulation), os Logs poderão ser desativados para o serviço WAF. Você pode usar o My Oracle Support para registrar uma solicitação de serviço para desativar Logs.
Ao trabalhar com o serviço WAF, considere as seguintes informações:
- A política de retenção de log do serviço WAF é de sete dias; no entanto, você pode solicitar a configuração de um bucket S3 e ter mais logs entregues a ele. Os logs do bucket podem ser mantidos pelo tempo que você desejar.
- Só há suporte para buckets do OCI "Padrão". A camada de armazenamento "Archive" não é suportada.
- A entrega de log na Pilha ELK só é suportada no OCI e nos buckets S3. Os logs brutos são enviados aos buckets. Nos buckets, você pode implementá-los em uma pesquisa elástica.
Exibindo Logs
Descreve os diferentes métodos para exibir logs de uma política de borda.
Você pode filtrar logs pelos seguintes tipos de log:
-
Regras de Acesso
-
Desafio de CAPTCHA
-
Desafio de JavaScript
-
Regras de Proteção
-
Desafio de Interação Humana
-
Desafio de Impressão Digital do Dispositivo
-
Feeds de Inteligência de Ameaças
-
Limitação de Taxa de Endereço
-
Acesso
Use um dos métodos a seguir para exibir logs de uma política de borda.
As entradas de log são exibidas com base nas opções escolhidas. Não é possível executar esta tarefa usando a CLI.
Execute a operação ListWafLogs para exibir a atividade de log.
Você pode filtrar logs pelas seguintes opções logType:
-
ACCESS_RULES
-
CAPTCHA_CHALLENGE
-
JAVASCRIPT_CHALLENGE
-
PROTECTION_RULES
-
HUMAN_INTERACTION_CHALLENGE
-
DEVICE_FINGERPRINT_CHALLENGE
-
THREAT_INTELLIGENCE_FEEDS
-
ADDRESS_RATE_LIMITING
-
ACCESS
Os logs podem ser filtrados por logType fazendo a seguinte solicitação:
GET /20181116/waasPolicies/unique_ID/wafLogs?logType=logType&timeObservedGreaterThanOrEqualTo=timestamp&timeObservedLessThan=timestamp&compartmentId=unique_ID
Por exemplo:
GET /20181116/waasPolicies/ocid1.waaspolicy.oc1../wafLogs?logType=PROTECTION_RULES&timeObservedGreaterThanOrEqualTo=2019-10-24T13:00:00+00:00&timeObservedLessThan=2019-10-24T13:47:00+00:00&compartmentId=ocid1.compartment.oc1..
A seguinte saída de resposta para os logs filtrados é retornada:
[ { "action": "BLOCK", "clientAddress": "192.0.2.0", "countryCode": "US", "countryName": "United States", "domain": "example.com", "httpHeaders": { "Accept": "*/*", "Host": "example.com", "Referer": "", "Request-Id": "2019-10-24T13:46:25Z|fa68cab479|192.0.2.0|uwDPcqR0Qt", "User-Agent": "curl/7.54.0", "X-Client-Ip": "192.0.2.0", "X-Country-Code": "US", "X-Forwarded-For": "192.0.2.0, 192.0.2.0" }, "httpMethod": "GET", "httpVersion": "HTTP/1.1", "incidentKey": "2019-10-24T13:46:25Z|fa68cab479|192.0.2.0|uwDPcqR0Qt", "logType": "PROTECTION_RULES", "protectionRuleDetections": { "950002": { "Message": "System Command Access. Matched Data: cmd.exe found within ARGS:abc: cmd.exe", "Message details": "Access denied with code 403 (phase 2). Pattern match \"\\\\b(?:(?:n(?:map|et|c)|w(?:guest|sh)|telnet|rcmd|ftp)\\\\.exe\\\\b|cmd(?:(?:32)?\\\\.exe\\\\b|\\\\b\\\\W*?\\\\/c))\" at ARGS:abc." } }, "requestUrl": "/?abc=cmd.exe", "timestamp": "Thu, 24 Oct 2019 13:46:25 GMT", "userAgent": "curl/7.54.0" }, { "action": "BLOCK", "clientAddress": "192.0.2.0", "countryCode": "US", "countryName": "United States", "domain": "example.com", "httpHeaders": { "Accept": "*/*", "Host": "example.com", "Referer": "", "Request-Id": "2019-10-24T13:46:25Z|43bd96b710|192.0.2.0|E04WECJbcY", "User-Agent": "curl/7.54.0", "X-Client-Ip": "192.0.2.0", "X-Country-Code": "US", "X-Forwarded-For": "192.0.2.0, 192.0.2.0" }, "httpMethod": "GET", "httpVersion": "HTTP/1.1", "incidentKey": "2019-10-24T13:46:25Z|43bd96b710|192.0.2.0|E04WECJbcY", "logType": "PROTECTION_RULES", "protectionRuleDetections": { "950002": { "Message": "System Command Access. Matched Data: cmd.exe found within ARGS:abc: cmd.exe", "Message details": "Access denied with code 403 (phase 2). Pattern match \"\\\\b(?:(?:n(?:map|et|c)|w(?:guest|sh)|telnet|rcmd|ftp)\\\\.exe\\\\b|cmd(?:(?:32)?\\\\.exe\\\\b|\\\\b\\\\W*?\\\\/c))\" at ARGS:abc." } }, "requestUrl": "/?abc=cmd.exe", "timestamp": "Thu, 24 Oct 2019 13:46:25 GMT", "userAgent": "curl/7.54.0" } ]
-
Entregando Logs do WAF para o Serviço Object Storage
Descreve como entregar logs de WAF a um bucket de armazenamento de objetos para armazenamento e acesso de longo prazo.
Esta tarefa requer a criação de um bucket de armazenamento de objetos ou o uso de um bucket existente. Familiarize-se com buckets de armazenamento de objetos e como criá-los e gerenciá-los antes de prosseguir com a entrega de dados de log do WAF. Consulte Buckets do Serviço Object Storage.
Os logs do WAF têm uma taxa de retenção limitada. Você pode salvá-los indefinidamente entregando seus dados de log do WAF a um bucket de armazenamento de objetos na sua tenancy. Crie e configure seu bucket de armazenamento de objetos primeiro e, em seguida, envie uma solicitação de suporte à Oracle com as informações necessárias para que seus logs do WAF sejam entregues ao bucket.