敏感操作始终会写入 Sensitive Actions Service 平台日志。此外, Google Cloud 还会通过建议通知提供敏感操作摘要。
通知中提供了用于在平台日志中查看每种类型的前三项具体操作的链接。您需要具有适当的 Identity and Access Management 角色(例如 roles/logs.viewer),才能查看 Cloud Logging 日志。
如果特定类型的敏感操作超过 3 项,通知中可能还会提供一个链接,以便您在“日志记录”中查看所有操作。不过,并非在所有情况下都会提供此链接。某些敏感操作(例如添加项目级 SSH 密钥)可能会在贵组织中的多个不同项目中执行。在这种情况下,Google 无法为您提供单个 Logging 链接来查看所有敏感操作,因为 Logging 的范围始终限定为特定资源(项目、文件夹或组织)。
查看组织中的所有敏感操作日志
如果您想查看贵组织中的所有敏感操作日志,可以设置 Logging 存储分区来汇总这些日志。
使用以下查询可将所有敏感操作日志包含在存储分区中:
logName:sensitiveaction.googleapis.com%2Faction
如果您只想查看某些类型的敏感操作日志(例如 AND "add_ssh_key"),可以添加其他字词。
为敏感操作日志设置提醒
如果您想更频繁地收到有关敏感操作的提醒,可以配置基于日志的提醒。例如,使用以下查询可匹配所有敏感操作日志:
logName:sensitiveaction.googleapis.com%2Faction
后续步骤
- 了解审核日志记录。