ログ
「ログ」には、指定した時間枠におけるログ・アクティビティおよび記録された各イベントの詳細が表示されます。ログを使用すると、リクエストによってどのルールおよび対応策がトリガーされるかを理解できます。また、リクエスト処理をブロック・モードに移行するための基盤として使用できます。ログは、アクセス制御、保護ルールまたはボット・イベントから生成されます。
一般データ保護規制(GDPR)の要件について懸念がある場合、WAFサービスのログを無効化できます。My Oracle Supportを使用して、ログを無効化するためのサービス・リクエストを申請できます。
WAFサービスを操作する場合は、次の情報を考慮してください。
- WAFサービスのログ保持ポリシーは7日間です。ただし、S3バケットを設定し、それに配信するログを増やすようにリクエストできます。バケット内のログは、必要な期間保持できます。
- 標準のOCIバケットのみがサポートされています。アーカイブ・ストレージ層はサポートされていません。
- ELKスタックへのログ配信は、OCIおよびS3バケットでのみサポートされています。RAWログはバケットに送信されます。バケットから、エラスティック・サーチに実装できます。
ログの表示
エッジ・ポリシーのログを表示する様々な方法を説明します。
次のログ・タイプでログをフィルタできます:
-
アクセス・ルール
-
CAPTCHAチャレンジ
-
JavaScriptチャレンジ
-
保護ルール
-
ヒューマン・インタラクション・チャレンジ
-
デバイスのフィンガープリント・チャレンジ
-
脅威インテリジェンス・フィード
-
アドレス・レート制限
-
アクセス
次のいずれかの方法で、エッジ・ポリシーのログを表示します。
ログ・エントリは、選択したオプションに基づいて表示されます。 このタスクはCLIを使用して実行できません。
ListWafLogs操作を実行して、ログ・アクティビティを表示します。
次のlogTypeオプションでログをフィルタできます:
-
ACCESS_RULES
-
CAPTCHA_CHALLENGE
-
JAVASCRIPT_CHALLENGE
-
PROTECTION_RULES
-
HUMAN_INTERACTION_CHALLENGE
-
DEVICE_FINGERPRINT_CHALLENGE
-
THREAT_INTELLIGENCE_FEEDS
-
ADDRESS_RATE_LIMITING
-
ACCESS
次のリクエストを行って、ログをlogTypeでフィルタできます:
GET /20181116/waasPolicies/unique_ID/wafLogs?logType=logType&timeObservedGreaterThanOrEqualTo=timestamp&timeObservedLessThan=timestamp&compartmentId=unique_ID例:
GET /20181116/waasPolicies/ocid1.waaspolicy.oc1../wafLogs?logType=PROTECTION_RULES&timeObservedGreaterThanOrEqualTo=2019-10-24T13:00:00+00:00&timeObservedLessThan=2019-10-24T13:47:00+00:00&compartmentId=ocid1.compartment.oc1..フィルタされたログに対する次のレスポンス出力が返されます:
[ { "action": "BLOCK", "clientAddress": "192.0.2.0", "countryCode": "US", "countryName": "United States", "domain": "example.com", "httpHeaders": { "Accept": "*/*", "Host": "example.com", "Referer": "", "Request-Id": "2019-10-24T13:46:25Z|fa68cab479|192.0.2.0|uwDPcqR0Qt", "User-Agent": "curl/7.54.0", "X-Client-Ip": "192.0.2.0", "X-Country-Code": "US", "X-Forwarded-For": "192.0.2.0, 192.0.2.0" }, "httpMethod": "GET", "httpVersion": "HTTP/1.1", "incidentKey": "2019-10-24T13:46:25Z|fa68cab479|192.0.2.0|uwDPcqR0Qt", "logType": "PROTECTION_RULES", "protectionRuleDetections": { "950002": { "Message": "System Command Access. Matched Data: cmd.exe found within ARGS:abc: cmd.exe", "Message details": "Access denied with code 403 (phase 2). Pattern match \"\\\\b(?:(?:n(?:map|et|c)|w(?:guest|sh)|telnet|rcmd|ftp)\\\\.exe\\\\b|cmd(?:(?:32)?\\\\.exe\\\\b|\\\\b\\\\W*?\\\\/c))\" at ARGS:abc." } }, "requestUrl": "/?abc=cmd.exe", "timestamp": "Thu, 24 Oct 2019 13:46:25 GMT", "userAgent": "curl/7.54.0" }, { "action": "BLOCK", "clientAddress": "192.0.2.0", "countryCode": "US", "countryName": "United States", "domain": "example.com", "httpHeaders": { "Accept": "*/*", "Host": "example.com", "Referer": "", "Request-Id": "2019-10-24T13:46:25Z|43bd96b710|192.0.2.0|E04WECJbcY", "User-Agent": "curl/7.54.0", "X-Client-Ip": "192.0.2.0", "X-Country-Code": "US", "X-Forwarded-For": "192.0.2.0, 192.0.2.0" }, "httpMethod": "GET", "httpVersion": "HTTP/1.1", "incidentKey": "2019-10-24T13:46:25Z|43bd96b710|192.0.2.0|E04WECJbcY", "logType": "PROTECTION_RULES", "protectionRuleDetections": { "950002": { "Message": "System Command Access. Matched Data: cmd.exe found within ARGS:abc: cmd.exe", "Message details": "Access denied with code 403 (phase 2). Pattern match \"\\\\b(?:(?:n(?:map|et|c)|w(?:guest|sh)|telnet|rcmd|ftp)\\\\.exe\\\\b|cmd(?:(?:32)?\\\\.exe\\\\b|\\\\b\\\\W*?\\\\/c))\" at ARGS:abc." } }, "requestUrl": "/?abc=cmd.exe", "timestamp": "Thu, 24 Oct 2019 13:46:25 GMT", "userAgent": "curl/7.54.0" } ]-
オブジェクト・ストレージへのWAFログの配信
長期保管とアクセスを目的として、WAFログをオブジェクト・ストレージ・バケットに配信する方法を説明します。
このタスクでは、オブジェクト・ストレージ・バケットを作成するか、既存のバケットを使用する必要があります。WAFログ・データの配信を行う前に、オブジェクト・ストレージ・バケットと、その作成および管理方法について知識を深めてください。オブジェクト・ストレージ・バケットを参照してください。
WAFログの保有率には制限があります。WAFログ・データをテナンシ内のオブジェクト・ストレージ・バケットに配信すると、制限なく保存できます。まず、オブジェクト・ストレージ・バケットを作成および構成してから、WAFログをバケットに配信するために必要な情報を入力して、オラクル社にサポート・リクエストを送信します。