Auf dieser Seite wird erläutert, wie Secure Web Proxy verschiedene Arten von Informationen zu seinen Vorgängen protokolliert und wie Sie Cloud Monitoring API-Messwerte verwenden können, um die Leistung des Proxys zu analysieren.
Logs
Secure Web Proxy verwendet Cloud Logging, um Informationen zu erfassen und verschiedene Aufgaben in den folgenden Schlüsselbereichen auszuführen:
Monitoring und Compliance
- Compliance mit Vorschriften erzwingen, Netzwerksicherheit verbessern und Einblick in den ausgehenden Web-Traffic geben, der an zulässige externe Ziele gesendet wird.
- Wertvolle Kontroll- und Transparenzebenen für den Workload-Traffic erhalten.
- Wichtige Informationen für ein effektives Security Operations Center (SOC)-Monitoring erhalten.
- Logs verwenden, um Sicherheitsereignisse zu erkennen und zu verfolgen und proaktiv auf Bedrohungen zu reagieren.
Bereitstellung und Konfiguration
- Erste Infrastruktureinrichtung, Erstellung von Nutzerkonten und Konfigurationsänderungen verfolgen.
- Auf potenzielle Fehler prüfen, um eine reibungslose und sichere Bereitstellung zu gewährleisten.
- Auswirkungen von Anpassungen der Richtlinienabstimmung verstehen und Schutz optimieren.
Protokolltypen
Secure Web Proxy verwendet Logging, um die folgenden Arten von Logs zu erfassen und zu speichern:
Cloud-Audit-Logs: Erfassen administrativer Änderungen und des Datenzugriffs auf Ihre Secure Web Proxy-Ressourcen. Diese Logs enthalten Folgendes:
Audit-Logs zu Administratoraktivitäten für API-Aufrufe und andere Aktionen, mit denen Ihre Secure Web Proxy-Ressourcen wie Gateways und Richtlinien geändert werden. Logs zu Administrator aktivitäten sind immer aktiviert.
Audit-Logs zum Datenzugriff, falls aktiviert.
Proxy-Transaktionslogs: Erfassen Details zu bestimmten Webanfragen, die von Ihrem Secure Web Proxy verarbeitet werden. Diese Logs bieten Einblicke in den Trafficfluss, die Richtlinienerzwingung und die Leistung Ihrer Secure Web Proxy-Instanz.
Logbenachrichtigungen konfigurieren
Sie können Benachrichtigungen für Ereignisse konfigurieren, die von Secure Web Proxy in Logging geschrieben werden, z. B. Trafficverweigerungen oder bestimmte Regelübereinstimmungen. Eine allgemeine Anleitung zum Einrichten dieser Benachrichtigungen finden Sie unter Logbasierte Benachrichtigungen konfigurieren.
Hier sind einige Beispiele für Abfragen, mit denen Sie logbasierte Benachrichtigungen für Secure Web Proxy konfigurieren können:
Benachrichtigung für Traffic, der von einer Secure Web Proxy-Richtlinie verweigert wurde
Verwenden Sie die folgende Abfrage, um eine Benachrichtigung auszulösen, wenn eine Anfrage von Ihrer Secure Web Proxy-Richtlinie verweigert wird:
logName="projects/PROJECT_ID/logs/networkservices.googleapis.com%2Fgateway_requests" resource.type="networkservices.googleapis.com/Gateway" jsonPayload.enforcedGatewaySecurityPolicy.matchedRules.action="DENIED"
Ersetzen Sie PROJECT_ID durch die ID Ihres Ziel
Google Cloud projekts.
Benachrichtigung für Traffic, der von einer Secure Web Proxy-Regel verweigert wurde
Verwenden Sie die folgende Abfrage, um eine Benachrichtigung auszulösen, wenn eine bestimmte Secure Web Proxy-Regel (z. B. my-specific-deny-rule) eine Anfrage verweigert:
logName="projects/PROJECT_ID/logs/networkservices.googleapis.com%2Fgateway_requests" resource.type="networkservices.googleapis.com/Gateway" jsonPayload.enforcedGatewaySecurityPolicy.matchedRules.action="DENIED" AND jsonPayload.enforcedGatewaySecurityPolicy.matchedRules.name=~"projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/my-specific-deny-rule$"
Ersetzen Sie Folgendes:
PROJECT_ID: ID Ihres Ziel Google Cloud projektsREGION: Region Ihrer Secure Web Proxy-InstanzPOLICY_NAME: Name Ihrer Secure Web Proxy-Richtlinie
Benachrichtigung für Anfragen mit hoher Latenz
Verwenden Sie die folgende Abfrage, um benachrichtigt zu werden, wenn Anfragen eine bestimmte Latenz überschreiten, z. B. fünf Sekunden:
logName="projects/'PROJECT_ID'/logs/networkservices.googleapis.com%2Fgateway_requests" resource.type="networkservices.googleapis.com/Gateway" latency >= "5s"
Ersetzen Sie PROJECT_ID durch die ID Ihres Ziel
Google Cloud projekts.
Logs in Cloud Logging ansehen
Rufen Sie in der Google Cloud Console die Seite Log-Explorer auf.
Wählen Sie Ihr Google Cloud Projekt aus.
Wählen Sie in den Drop-down-Menüs entweder die Ressource
networkservices.googleapis.com/Gatewayoder Ihre Secure Web Proxy-Instanz aus.
Weitere Informationen finden Sie unter Log-Explorer verwenden.
Beispiele für Logeinträge
Secure Web Proxy generiert jedes Mal detaillierte Logeinträge, wenn eine Anfrage verarbeitet wird. Dabei werden die Aktionen und angewendeten Richtlinien erfasst. Die folgenden Beispiele zeigen die Funktionsweise von Secure Web Proxy-Logs.
Beispiel für einen Logeintrag für „Zulassen“
Der folgende Logeintrag zeigt, dass die Secure Web Proxy-Instanz den HTTPS-Traffic für
www.example.comabgefangen
und geprüft hat
und ihn dann zur Zielwebsite weitergeleitet hat. Die Richtlinien- und Regelnamen sind swp-policy bzw. allow-port-443.
| Feld | Werte |
|---|---|
enforcedGatewaySecurityPolicy |
{
"requestWasTlsIntercepted": true,
"hostname": "www.example.com",
"matchedRules": [
{
"action": "ALLOWED",
"name": "projects/76537/locations/us-central1/gatewaySecurityPolicies/swp-policy/rules/allow-port-443"
}
]
} |
httpRequest |
{
"requestMethod": "GET",
"requestUrl": "https://www.example.com/",
"requestSize": "41",
"status": 200,
"responseSize": "1446",
"userAgent": "curl/7.74.0",
"remoteIp": "10.128.0.12:35418",
"serverIp": "93.184.216.34:443",
"latency": "0.051800s",
"protocol": "HTTP/2"
} |
resource |
{
"type": "networkservices.googleapis.com/Gateway",
"labels": {
"gateway_name": "multi-level-tlds",
"network_name": "projects/76537/global/networks/default",
"location": "us-central1",
"resource_container": "",
"gateway_type": "SECURE_WEB_GATEWAY"
}
} |
timestamp |
"2024-02-15T16:56:19.570534Z" |
severity |
"INFO" |
logName |
"projects/76537/logs/networkservices.googleapis.com%2Fgateway_requests" |
receiveTimestamp |
"2024-02-15T16:56:20.714988329Z" |
Beispiel für einen Logeintrag für „Verweigern“
Dieser Logeintrag zeigt, dass die Secure Web Proxy-Instanz den Traffic
für www.example.com:443 geprüft und die HTTPS
Anfrage aufgrund der Regel default_denied in der Secure Web Proxy-Richtlinie verweigert hat.
| Feld | Werte |
|---|---|
enforcedGatewaySecurityPolicy |
{
"hostname": "www.example.com:443",
"matchedRules": [
{
"name": "default_denied",
"action": "DENIED"
}
]
} |
httpRequest |
{
"requestMethod": "CONNECT",
"requestSize": "122",
"status": 403,
"responseSize": "141",
"userAgent": "curl/7.74.0",
"remoteIp": "10.128.0.12:36338",
"latency": "0.000133s",
"protocol": "HTTP/1.1"
} |
resource |
{
"type": "networkservices.googleapis.com/Gateway",
"labels": {
"gateway_type": "SECURE_WEB_GATEWAY",
"resource_container": "",
"location": "us-central1",
"network_name": "projects/gcp-1768/global/networks/default",
"gateway_name": "high-latency-repro"
}
} |
timestamp |
"2024-02-15T16:55:00.089727Z" |
severity |
"WARNING" |
logName |
"projects/gcp-1768/logs/networkservices.googleapis.com%2Fgateway_requests" |
receiveTimestamp |
"2024-02-15T16:55:04.456901833Z" |
Messwerte
Mit Cloud Monitoring API-Messwerten können Sie die Leistung, den Zustand und die Nutzung Ihrer Secure Web Proxy-Instanzen beobachten.
Überwachte Ressource
Messwerte für Secure Web Proxy werden unter der folgenden überwachten Ressource exportiert:
networkservices.googleapis.com/Gateway: Stellt eine Secure Web Proxy-Gateway-Instanz dar.
In der folgenden Tabelle werden die verfügbaren Ressourcen für networkservices.googleapis.com/Gateway beschrieben. Mit diesen Ressourcen können Sie Ihre Monitoring-Daten filtern und aggregieren.
| Label | Beschreibung |
|---|---|
resource_container |
ID des Projekts, das mit der Secure Web Proxy-Gateway-Instanz verknüpft ist. |
location |
Google Cloud Region, in der das Gateway bereitgestellt wird. |
gateway_id |
Eindeutiger Name der Secure Web Proxy-Gateway-Instanz. |
gateway_type |
Typ des Gateways, der auf SECURE_WEB_GATEWAY festgelegt ist. |
network_name |
Name des Virtual Private Cloud-Netzwerks (VPC), das mit dem Gateway verknüpft ist. |
Verfügbare Messwerte
Die folgenden Messwerte sind für die Ressource Gateway verfügbar. Alle Messwerte haben das Präfix networkservices.googleapis.com/https/.
| Messwerttyp | Anzeigename | Art, Typ, Einheit | Beschreibung |
|---|---|---|---|
networkservices.googleapis.com/https/request_count |
Anzahl der Anfragen | DELTA, INT64, 1 |
Gesamtzahl der vom Proxy verarbeiteten Anfragen. |
networkservices.googleapis.com/https/request_bytes_count |
Anfragebyte | DELTA, INT64, By |
Gesamtzahl der in Anfragen empfangenen Byte. |
networkservices.googleapis.com/https/response_bytes_count |
Antwortbyte | DELTA, INT64, By |
Gesamtzahl der in Antworten gesendeten Byte. |
networkservices.googleapis.com/https/total_latencies |
Gesamtlatenzen | DELTA, DIST, ms |
Zeit vom Empfang des ersten Byte einer Anfrage bis zum Senden des letzten Byte der Antwort. |
networkservices.googleapis.com/https/backend_latencies |
Back-End-Latenzen | DELTA, DIST, ms |
Zeit vom Senden der Anfrage an das Back-End bis zum Empfang des ersten Byte der Antwort. |
Benutzerdefiniertes Dashboard erstellen
So erstellen Sie ein benutzerdefiniertes Dashboard, um die Leistungs- und Traffictrends Ihrer Secure Web Proxy-Instanzen zu visualisieren:
Rufen Sie in der Google Cloud Console die Seite Dashboards auf.
Klicken Sie auf Benutzerdefiniertes Dashboard erstellen.
Klicken Sie auf Widget hinzufügen und wählen Sie dann die Option Liniendiagramm aus.
Suchen Sie im Feld Messwert nach
networkservices.googleapis.com/https/request_count.Im Feld Filter können Sie nach
gateway_idfiltern, wenn Sie mehrere Secure Web Proxy-Instanzen konfiguriert haben.Legen Sie im Bereich Aggregation den Abstimmungszeitraum auf
1 minutefest und wählen Sieratefür Aligner aus.Dadurch werden die Rohdaten der Anfragen in eine Rate für Anfragen pro Sekunde umgewandelt, sodass konsistente Traffictrends im Zeitverlauf leichter angezeigt und analysiert werden können.
Klicken Sie auf Anwenden, um das Widget zu speichern.