本页面介绍使用 BeyondCorp Enterprise 保护 Google Cloud 控制台和 Google Cloud API 时审核日志记录的运作方式。
默认情况下,BeyondCorp Enterprise 会将所有因违反安全政策而被拒绝的 Google Cloud 控制台和 Google Cloud API 的访问请求记录到 Cloud Logging。审核日志记录安全地存储在 Google 基础架构中,可供未来分析使用。 在 Google Cloud 控制台中,审核日志的内容按组织提供。BeyondCorp Enterprise 审核日志会写入“已审核资源”日志记录流,并在 Cloud Logging 中提供。
审核日志记录内容
每个审核日志记录包含的信息主要可分为两大类:关于原始调用的信息以及关于违反安全政策的信息。其中填写的内容如下所示:
| 审核日志字段 | 含义 |
logName
|
组织标识和审核日志类型。 |
serviceName
|
负责处理导致创建此审核记录的 contextawareaccess.googleapis.com 调用的服务的名称。 |
authenticationInfo.principal_email
|
发出原始调用的用户的电子邮件地址。 |
timestamp
|
目标操作的时间。 |
resource
|
所审核操作的目标。 |
resourceName
|
接收此审核记录的组织。 |
requestMetadata.callerIp
|
发出调用的 IP 地址。 |
requestMetadata.requestAttributes.auth.accessLevels
|
请求所要求的有效访问权限级别。 |
status
|
此记录中描述的操作的总体处理状态。 |
metadata
|
google.cloud.audit.ContextAwareAccessAuditMetadata protobuf 类型的实例,序列化为 JSON Struct。其“unsatisfiedAccessLevels”字段列出了请求无法满足的访问权限级别。 |
访问审核日志
在 Google Cloud 控制台中,审核日志的内容按组织提供。BeyondCorp Enterprise 审核日志会写入“已审核资源”日志记录流,并在 Cloud Logging 中提供。
后续步骤
- 详细了解 Cloud Audit Logs。
- 详细了解如何在 Identity-Aware Proxy 中启用 Cloud Audit Logs。
- 详细了解 VPC Service Controls 中的审核日志。