Google CloudOld PlanNew PlanLegacyUsage
設定時に発生する可能性のある問題と、その解決方法を記載します。
Security Policy Config は1つの Security Policy と1つのログ Sink の対応を登録するリソースとなっております。例えば1つの Security Policy と複数の Backend Service が紐づいていたとしても、そのログ Sink が1つであれば問題ありません。
ただし、複数の Backend Service がそれぞれ別のログ Sink に紐づいていた場合、WafCharm にすべてのログを送信して分析させることができません。
対象のSecurity PolicyにWafCharmルールが適用されていない場合は、以下の点についてご確認ください。
WAF Configに登録されているリソースの名前と、Google Cloud上のリソースの名前が一致しないなど、誤りがないかご確認ください。
WafCharm for GCPをご利用の場合、以下の権限/ロールが必要です。
必要な権限が付与されていること、また意図したロールが紐づいていることをご確認ください。
詳細については、必要な権限 (GCP) をご確認ください。
GCPでは、1つのプロジェクト内に20個まで詳細カスタムルールを保持できるという制限があります。
同じプロジェクト内に複数のSecurity Policyが存在していたり、既存のSecurity Policyにお客様作成の詳細カスタムルールが存在していたりなどの理由で、ルール枠が不足している場合にはWafCharmルールは投入されません。
対象のセキュリティポリシーにバックエンドサービスが紐づいていない場合、エラーとなりルールの投入ができません。
バックエンドサービスが紐づいていることをご確認ください。
Cloud Logging APIが無効になっている場合、WafCharmにてアクセスログの取得ができない状態となり、エラーになります。ルール適用を行う最初のバリデーションのタイミングでこちらの有無も確認するため、Cloud Logging APIが無効の場合はルールの適用もできない状態となります。
ご利用のプロジェクト内でCloud Logging APIを有効にしたことがない場合は、先に有効にしていただく必要があります。
権限が不足しているなどの影響で一度エラー状態になった場合、自動的に解消できずルールの適用もできない場合があります。
Google Cloudにて設定などを変更された後、引き続きエラー状態が続いている、ルールが適用されないといった場合はWafCharmサポートまで対象のWAF Config名を添えてお問い合わせください。
WafCharm for GCPでは、Security Policy Configに指定された Log Routing Sink Nameを用いてポリシーログを取得し、Webリクエスト数を集計しています。
ポリシーログが取得できない場合には、ログカウントも集計できません。
ポリシーログの出力がない場合、集計はされません。
ログ エクスプローラにて、対象のセキュリティポリシー名を使用してログが出力されているかご確認ください。
WafCharm for GCPをご利用の場合、以下の権限/ロールが必要です。
必要な権限が付与されていること、また意図したロールが紐づいていることをご確認ください。
詳細については、必要な権限 (GCP) をご確認ください。
対象のセキュリティポリシーにバックエンドサービスが紐づいていない場合、エラーとなりログの取得はできません。
バックエンドサービスが紐づいていることをご確認ください。
上記をご確認いただいても解消しない場合、以下の情報を添えてWafCharmサポートまでお問い合わせください。