Auf dieser Seite wird beschrieben, wie das Audit-Logging bei der Sicherung der Cloud Console und der Google Cloud APIs mit BeyondCorp Enterprise funktioniert.
BeyondCorp Enterprise protokolliert standardmäßig alle Zugriffsanfragen an die Cloud Console und die Google Cloud APIs, die aufgrund von Verstößen gegen die Sicherheitsrichtlinien aufgrund von Sicherheitsrichtlinien abgelehnt wurden. Die Audit-Log-Einträge werden sicher in der Google-Infrastruktur gespeichert und stehen für zukünftige Analysen zur Verfügung. Der Inhalt des Audit-Logs ist für einzelne Organisationen in der Google Cloud Console verfügbar. Das Audit-Log für BeyondCorp Enterprise wird in den Logging-Stream "Geprüfte Ressource" geschrieben und ist in Cloud Logging verfügbar.
Inhalt von Audit-Log-Einträgen
Jeder Audit-Log-Eintrag enthält Informationen, die in zwei Hauptkategorien unterteilt werden können: Informationen zum ursprünglichen Aufruf und Informationen zu Verstößen gegen die Sicherheitsrichtlinien. Er wird wie folgt ausgefüllt:
| Audit-Log-Feld | Bedeutung |
logName
|
Die Art der Organisation und das Audit-Log. |
serviceName
|
Der Name des Diensts, von dem der Aufruf contextawareaccess.googleapis.com verarbeitet wurde, der zur Erstellung dieses Audit-Eintrags geführt hat.
|
authenticationInfo.principal_email
|
E-Mail-Adresse des Nutzers, der den ursprünglichen Aufruf ausgeführt hat. |
timestamp
|
Der Zeitpunkt des Zielvorgangs. |
resource
|
Das Ziel des geprüften Vorgangs |
resourceName
|
Die Organisation, die diesen Audit-Eintrag erhalten soll. |
requestMetadata.callerIp
|
Die IP-Adresse, von der der Aufruf stammt. |
requestMetadata.requestAttributes.auth.accessLevels
|
Die aktiven Zugriffsebenen, die mit der Anfrage erfüllt wurden. |
status
|
Der allgemeine Status der Bearbeitung eines in diesem Eintrag beschriebenen Vorgangs. |
metadata
|
Eine Instanz des protobuf-Typs google.cloud.audit.ContextAwareAccessAuditMetadata, serialisiert als JSON-Struct. Das Feld "unzufriedenesAccessLevels" enthält eine Liste der Zugriffsebenen, die die Anfrage nicht erfüllen konnte.
|
Audit-Log aufrufen
Der Inhalt des Audit-Logs ist für einzelne Organisationen in der Google Cloud Console verfügbar. Das Audit-Log für BeyondCorp Enterprise wird in den Logging-Stream "Geprüfte Ressource" geschrieben und ist in Cloud Logging verfügbar.
Nächste Schritte
- Cloud-Audit-Logs
- Weitere Informationen zum Aktivieren von Cloud-Audit-Logs in Identity-Aware Proxy finden Sie hier.
- Weitere Informationen zu Audit-Logging in VPC Service Controls