本页面介绍了审核日志在保护 通过 Chrome Enterprise Premium 使用 Google Cloud 控制台和 Google Cloud API。
默认情况下,Chrome Enterprise Premium 会将所有访问请求记录到 Google Cloud 控制台和因以下原因而遭拒的 Google Cloud API: Cloud Logging 违反了安全政策。审核日志记录安全地存储在 Google 基础架构中,可供未来分析使用。 通过 审核日志的内容在各组织中公开, Google Cloud 控制台。Chrome Enterprise 进阶版审核日志会写入“已审核资源”日志记录流,并在 Cloud Logging 中提供。
审核日志记录内容
每个审核日志记录包含的信息主要可分为两大类:关于原始调用的信息以及关于违反安全政策的信息。其中填写的内容如下所示:
| 审核日志字段 | 含义 |
logName
|
组织标识和审核日志类型。 |
serviceName
|
负责处理导致创建此审核记录的 contextawareaccess.googleapis.com 调用的服务的名称。 |
authenticationInfo.principal_email
|
发出原始调用的用户的电子邮件地址。 |
timestamp
|
目标操作的时间。 |
resource
|
所审核操作的目标。 |
resourceName
|
接收此审核记录的组织。 |
requestMetadata.callerIp
|
发出调用的 IP 地址。 |
requestMetadata.requestAttributes.auth.accessLevels
|
请求所要求的有效访问权限级别。 |
status
|
此记录中描述的操作的总体处理状态。 |
metadata
|
google.cloud.audit.ContextAwareAccessAuditMetadata protobuf 类型的实例,序列化为 JSON Struct。其“unsatisfiedAccessLevels”字段列出了请求无法满足的访问权限级别。 |
访问审核日志
审核日志的内容在 Google Cloud 控制台中按组织提供。Chrome Enterprise 进阶版审核日志会写入“已审核资源”日志记录流,并在 Cloud Logging 中提供。
后续步骤
- 详细了解 Cloud Audit Logs。
- 详细了解如何在 Identity-Aware Proxy 中启用 Cloud Audit Logs。
- 详细了解 VPC Service Controls 中的审核日志。