감사 로깅

이 페이지에서는 BeyondCorp Enterprise에서 Cloud Console과 Google Cloud API를 보호할 때 감사 로깅이 작동하는 방식을 설명합니다.

BeyondCorp Enterprise는 기본적으로 보안 정책 위반으로 인해 거부된 Cloud Console 및 Google Cloud API에 대한 모든 액세스 요청을 Cloud Logging에 로깅합니다. 감사 로그 레코드는 Google 인프라에 안전하게 저장되며 추후 분석에 사용할 수 있습니다. 감사 로그의 콘텐츠는 Google Cloud Console에서 조직별로 사용할 수 있습니다. BeyondCorp Enterprise 감사 로그는 '감사를 받은 리소스' 로깅 스트림에 기록되며 Cloud Logging에서 사용될 수 있습니다.

로그 레코드 콘텐츠 감사

각 감사 로그 레코드에 포함된 정보는 원래 호출에 대한 정보와 보안 정책 위반에 대한 정보라는 두 가지 범주로 크게 나눌 수 있습니다. 이는 다음과 같이 채워집니다.

감사 로그 필드 의미
logName 조직 식별 및 감사 로그 유형
serviceName 이 감사 레코드를 생성한 호출 contextawareaccess.googleapis.com을 처리한 서비스의 이름
authenticationInfo.principal_email 원래 호출을 실행한 사용자의 이메일 주소
timestamp 타겟팅된 작업의 시간
resource 감사 작업의 대상
resourceName 이 감사 레코드를 수신하려는 조직
requestMetadata.callerIp 호출이 시작된 IP 주소
requestMetadata.requestAttributes.auth.accessLevels 요청에 따라 충족된 활성 액세스 수준
status 이 레코드에 설명된 작업의 전반적인 처리 상태
metadata google.cloud.audit.ContextAwareAccessAuditMetadata protobuf 유형의 인스턴스로, JSON 구조체로 직렬화됩니다. 'unsatalAccessLevels' 필드에는 요청이 이행하지 못한 액세스 수준 목록이 포함됩니다.

감사 로그 액세스

감사 로그의 콘텐츠는 Google Cloud Console에서 조직별로 사용할 수 있습니다. BeyondCorp Enterprise 감사 로그는 '감사를 받은 리소스' 로깅 스트림에 기록되며 Cloud Logging에서 사용될 수 있습니다.

다음 단계