Questa pagina descrive come funziona l'audit logging quando proteggi la console Google Cloud e le API Google Cloud con BeyondCorp Enterprise.
Per impostazione predefinita, BeyondCorp Enterprise registra tutte le richieste di accesso alla console Google Cloud e alle API Google Cloud rifiutate a causa di violazioni dei criteri di sicurezza di Cloud Logging. I record degli audit log sono archiviati in modo sicuro nell'infrastruttura Google e sono disponibili per analisi future. I contenuti dell'audit log sono disponibili in base all'organizzazione nella console Google Cloud. L'audit log di BeyondCorp Enterprise è scritto nel flusso di logging "Risorsa controllata" ed è disponibile in Cloud Logging.
Contenuti dei record del log di controllo
Ogni record del log di controllo contiene informazioni che possono essere suddivise in due categorie principali: informazioni sulla chiamata originale e informazioni sulle violazioni dei criteri di sicurezza. Il campo viene compilato nel seguente modo:
| Campo log di controllo | Significato |
logName
|
Il tipo di identificazione dell'organizzazione e di audit log. |
serviceName
|
Il nome del servizio che gestisce la chiamata, contextawareaccess.googleapis.com, che ha comportato la creazione di questo record di controllo.
|
authenticationInfo.principal_email
|
Indirizzo email dell'utente che ha effettuato la chiamata originale. |
timestamp
|
L'ora dell'operazione scelta come target. |
resource
|
Il target dell'operazione sottoposta ad audit. |
resourceName
|
L'organizzazione prevista a ricevere questo record di controllo. |
requestMetadata.callerIp
|
L'indirizzo IP da cui ha avuto origine la chiamata. |
requestMetadata.requestAttributes.auth.accessLevels
|
I livelli di accesso attivi soddisfatti dalla richiesta. |
status
|
Lo stato generale della gestione di un'operazione descritta in questo record. |
metadata
|
Un'istanza di tipo protobuf google.cloud.audit.ContextAwareAccessAuditMetadata, serializzata come struct JSON. Il campo "unSoddisfadAccessLevels" contiene un elenco dei livelli di accesso che la richiesta non è riuscita a soddisfare.
|
Accedere al log di controllo
I contenuti dell'audit log sono disponibili in base all'organizzazione nella console Google Cloud. L'audit log di BeyondCorp Enterprise è scritto nel flusso di logging "Risorsa controllata" ed è disponibile in Cloud Logging.
Passaggi successivi
- Scopri di più su Cloud Audit Logs.
- Scopri di più su come abilitare Cloud Audit Logs in Identity-Aware Proxy.
- Scopri di più sull'audit logging in Controlli di servizio VPC.