Cette page décrit le fonctionnement des journaux d'audit lors de la sécurisation de la console Google Cloud et des API Google Cloud avec BeyondCorp Enterprise.
Par défaut, BeyondCorp Enterprise consigne toutes les requêtes d'accès dans la console Google Cloud et aux API Google Cloud refusées en raison de violations des règles de sécurité dans Cloud Logging. Les enregistrements du journal d'audit sont stockés de manière sécurisée dans l'infrastructure Google et sont accessibles à des fins d'analyse ultérieure. Le contenu du journal d'audit est disponible par organisation dans la console Google Cloud. Le journal d'audit BeyondCorp Enterprise est écrit dans le flux de journalisation "Ressource auditée" et disponible dans Cloud Logging.
Contenu des enregistrements du journal d'audit
Chaque enregistrement du journal d'audit contient des informations qui peuvent être classées en deux grandes catégories : les informations sur l'appel initial et les informations sur les violations des règles de sécurité. Il est rempli comme suit :
| Champ du journal d'audit | Signification |
logName
|
Identification de l'organisation et type du journal d'audit. |
serviceName
|
Nom du service traitant l'appel, contextawareaccess.googleapis.com, ayant abouti à la création de l'enregistrement d'audit.
|
authenticationInfo.principal_email
|
Adresse e-mail de l'utilisateur ayant émis l'appel initial. |
timestamp
|
Heure de l'opération ciblée. |
resource
|
Cible de l'opération auditée. |
resourceName
|
Organisation devant recevoir cet enregistrement d'audit. |
requestMetadata.callerIp
|
Adresse IP d'origine de la requête. |
requestMetadata.requestAttributes.auth.accessLevels
|
Niveaux d'accès actifs satisfaits par la requête. |
status
|
État général du traitement d'une opération décrite dans l'enregistrement. |
metadata
|
Instance de type protobuf google.cloud.audit.ContextAwareAccessAuditMetadata, sérialisée en tant que structure JSON. Son champ "unsatisfiedAccessLevels" contient la liste des niveaux d'accès que la requête n'a pas réussi à remplir.
|
Accès au journal d'audit
Le contenu du journal d'audit est disponible par organisation dans la console Google Cloud. Le journal d'audit BeyondCorp Enterprise est écrit dans le flux de journalisation "Ressource auditée" et disponible dans Cloud Logging.
Étapes suivantes
- En savoir plus sur Cloud Audit Logging
- Découvrez comment Activer Cloud Audit Logging Cloud dans Identity-Aware Proxy.
- En savoir plus sur les journaux d'audit dans VPC Service Controls.