このページでは、BeyondCorp Enterprise を使用して Google Cloud コンソールと Google Cloud API を保護する場合の監査ロギングの仕組みについて説明します。
BeyondCorp Enterprise はデフォルトで、セキュリティ ポリシー違反で拒否された Google Cloud コンソールと Google Cloud API へのすべてのアクセス リクエストを Cloud Logging に記録します。監査ログレコードは、Google のインフラストラクチャに安全に保存され、分析に利用されます。 Google Cloud コンソールでは、監査ログの内容が組織単位で確認できます。BeyondCorp Enterprise の監査ログは「監査対象リソース」のロギング ストリームに書き込まれ、Cloud Logging で利用できます。
監査ログレコードの内容
監査ログレコードには 2 種類の情報が含まれます。1 つは元の呼び出しに関する情報、もう 1 つはセキュリティ ポリシー違反に関する情報です。これは次のように入力されます。
| 監査ログのフィールド | 意味 |
logName
|
組織 ID と監査ログタイプ。 |
serviceName
|
この監査レコードを作成した呼び出し contextawareaccess.googleapis.com を処理したサービスの名前。 |
authenticationInfo.principal_email
|
元の呼び出しを開始したユーザーのメールアドレス。 |
timestamp
|
対象のオペレーションの時刻。 |
resource
|
監査対象オペレーションのターゲット。 |
resourceName
|
この監査レコードを受信する組織。 |
requestMetadata.callerIp
|
呼び出しを開始した IP アドレス。 |
requestMetadata.requestAttributes.auth.accessLevels
|
リクエストによって満たされているアクティブなアクセスレベル。 |
status
|
このレコードに記録されているオペレーションの全体的な処理ステータス。 |
metadata
|
google.cloud.audit.ContextAwareAccessAuditMetadata protobuf タイプのインスタンス。JSON 構造体としてシリアル化されています。「unsatisfiedAccessLevels」フィールドには、リクエストが満たされなかったアクセスレベルのリストが含まれます。 |
監査ログへのアクセス
監査ログの内容は、Google Cloud Console で組織単位で利用できます。BeyondCorp Enterprise の監査ログは「監査対象リソース」のロギング ストリームに書き込まれ、Cloud Logging で利用できます。
次のステップ
- Cloud 監査ログの詳細を確認する。
- Identity-Aware Proxy の Cloud Audit Logs の有効化について学習する。
- VPC Service Controls の監査ロギングの詳細を確認する。