監査ロギング

このページでは、BeyondCorp Enterprise を使用して Google Cloud コンソールと Google Cloud API を保護する場合の監査ロギングの仕組みについて説明します。

BeyondCorp Enterprise はデフォルトで、セキュリティ ポリシー違反で拒否された Google Cloud コンソールと Google Cloud API へのすべてのアクセス リクエストを Cloud Logging に記録します。監査ログレコードは、Google のインフラストラクチャに安全に保存され、分析に利用されます。 Google Cloud コンソールでは、監査ログの内容が組織単位で確認できます。BeyondCorp Enterprise の監査ログは「監査対象リソース」のロギング ストリームに書き込まれ、Cloud Logging で利用できます。

監査ログレコードの内容

監査ログレコードには 2 種類の情報が含まれます。1 つは元の呼び出しに関する情報、もう 1 つはセキュリティ ポリシー違反に関する情報です。これは次のように入力されます。

監査ログのフィールド 意味
logName 組織 ID と監査ログタイプ。
serviceName この監査レコードを作成した呼び出し contextawareaccess.googleapis.com を処理したサービスの名前。
authenticationInfo.principal_email 元の呼び出しを開始したユーザーのメールアドレス。
timestamp 対象のオペレーションの時刻。
resource 監査対象オペレーションのターゲット。
resourceName この監査レコードを受信する組織。
requestMetadata.callerIp 呼び出しを開始した IP アドレス。
requestMetadata.requestAttributes.auth.accessLevels リクエストによって満たされているアクティブなアクセスレベル。
status このレコードに記録されているオペレーションの全体的な処理ステータス。
metadata google.cloud.audit.ContextAwareAccessAuditMetadata protobuf タイプのインスタンス。JSON 構造体としてシリアル化されています。「unsatisfiedAccessLevels」フィールドには、リクエストが満たされなかったアクセスレベルのリストが含まれます。

監査ログへのアクセス

監査ログの内容は、Google Cloud Console で組織単位で利用できます。BeyondCorp Enterprise の監査ログは「監査対象リソース」のロギング ストリームに書き込まれ、Cloud Logging で利用できます。

次のステップ