当规则设置为 "Preview only" 时,Cloud Armor 日志不是很清楚

Cloud Armor logs aren't very clear when rule is set as "Preview only"

我正在使用 Cloud Armor 部署 WAF,我意识到可以在“仅预览”模式下创建规则,并且 Cloud Logging 中有 Cloud Armor 条目。

问题是,当我创建“仅预览”规则并且该规则与某些请求匹配时,我无法在日志中区分与某些特定规则匹配的请求 and/or 正常,普通请求。他们看起来都差不多。

在这些情况下,是否有仅当请求匹配特定规则时才存在(或具有特定值)的日志记录属性?因为我发现明确检查某些请求匹配的规则的唯一方法是取消选中“Preview only”标志,并且在测试时不利于生产。

当您在 Cloud Armor 中将规则配置为“预览”时,Cloud Logging 将记录启用后规则会执行的操作。

此 Cloud Logging 过滤器将向您显示被 Cloud Armor 拒绝的条目:

resource.type="http_load_balancer"
jsonPayload.statusDetails="denied_by_security_policy"

此 Cloud Logging 过滤器将向您显示 Cloud Armor 拒绝的条目:

resource.type="http_load_balancer"
jsonPayload.previewSecurityPolicy.outcome="DENY"

在 Cloud Logging 中,将 resource.type 设置为“http_load_balancer”并删除第二个过滤行以查看所有条目。

展开其中一项:

寻找“jsonPayload.enforcedSecurityPolicy”。这是 Cloud Armor 政策。

寻找“jsonPayload.previewSecurityPolicy”。这提供了有关规则优先级的详细信息,它会告诉您规则以及规则未处于预览状态时的结果。

示例截图: