Web 应用程序防火墙(WAF 的)日志清理工具可帮助你从 WAF 日志中删除敏感数据。 它的工作原理是使用规则引擎来生成自定义规则来标识包含敏感数据的请求的特定部分。 标识后,该工具会从日志中清理该信息,并将其替换为 *******。
注释
日志清理功能仅在运行 最新 WAF 引擎的 Web 应用程序防火墙上受支持。 选择 OWASP CRS 3.2 或默认规则集 2.1 作为托管规则集。
注释
启用日志清理功能时,Microsoft仍保留内部日志中的 IP 地址以支持关键安全功能。
下表显示了日志清理规则的示例,这些规则可用于保护敏感数据:
| 匹配变量 | Operator | Selector | 被清理的内容 |
|---|---|---|---|
| 请求标头名称 | 等于 | X-Forwarded-For | REQUEST_HEADERS:x-forwarded-for.“,”data“:”******” |
| 请求 Cookie 名称 | 等于 | cookie1 | “匹配的数据:在 REQUEST_COOKIES:cookie1: ****** 中找到的******” |
| 请求参数名称 | 等于 | arg1 | “requestUri”:“/?arg1=******” |
| 请求 Post Arg 名称 | 等于 | Post1 | “data”:“Matched Data: ******在 ARGS:post1: ******中找到” |
| 请求 JSON Arg 名称 | 等于 | Jsonarg | “data”:“Matched Data: ******在 ARGS:jsonarg: ******中找到” |
| 请求 IP 地址* | 等于 Any | Null | “clientIp”:“******” |
* 请求 IP 地址规则仅支持 等于任何 运算符,并清理请求者 IP 地址的所有实例,这些实例显示在 WAF 日志中。
有关详细信息,请参阅 什么是 Azure Web 应用程序防火墙敏感数据保护?
启用敏感数据保护
使用以下信息启用和配置敏感数据保护。
若要启用敏感数据保护,请执行以下作:
- 打开现有的应用程序网关 WAF 策略。
- 在 “设置”下,选择 “敏感数据”。
- 在 “敏感数据 ”页上,选择“ 启用日志清理”。
若要为敏感数据保护配置日志清理规则,请执行以下作:
- 在 “日志清理规则”下,选择 一个 Match 变量。
- 选择 运算符 (如果适用)。
- 键入 选择器 (如果适用)。
- 选择“保存”。
重复添加更多规则。
验证敏感数据保护
若要验证敏感数据保护规则,请打开应用程序网关防火墙日志并搜索 ****** 以代替敏感字段。