本页介绍了使用 Chrome Enterprise 进阶版保护 Google Cloud 控制台和 API 时,审核日志的运作方式。 Google Cloud
默认情况下,Chrome Enterprise 进阶版会记录对 Google Cloud 控制台和 API 发出并且因违反 Cloud Logging 安全政策而被拒的所有访问请求。 Google Cloud 审核日志记录安全地存储在 Google 基础架构中,可供未来分析使用。 审核日志的内容在 Google Cloud 控制台中按组织提供。Chrome 企业进阶版审核日志会写入“已审核资源”日志记录流,并在 Cloud Logging 中提供。
审核日志记录内容
每个审核日志记录包含的信息主要可分为两大类:关于原始调用的信息以及关于违反安全政策的信息。其中填写的内容如下所示:
| 审核日志字段 | 含义 |
logName
|
组织标识和审核日志类型。 |
serviceName
|
负责处理导致创建此审核记录的 contextawareaccess.googleapis.com 调用的服务的名称。 |
authenticationInfo.principal_email
|
发出原始调用的用户的电子邮件地址。 |
timestamp
|
目标操作的时间。 |
resource
|
所审核操作的目标。 |
resourceName
|
接收此审核记录的组织。 |
requestMetadata.callerIp
|
发出调用的 IP 地址。 |
requestMetadata.requestAttributes.auth.accessLevels
|
请求所要求的有效访问权限级别。 |
status
|
此记录中描述的操作的总体处理状态。 |
metadata
|
google.cloud.audit.ContextAwareAccessAuditMetadata protobuf 类型的实例,序列化为 JSON Struct。其“unsatisfiedAccessLevels”字段列出了请求无法满足的访问权限级别。 |
访问审核日志
审核日志的内容在 Google Cloud 控制台中按组织提供。Chrome 企业进阶版审核日志会写入“已审核资源”日志记录流,并在 Cloud Logging 中提供。
后续步骤
- 详细了解 Cloud Audit Logs。
- 详细了解如何在 Identity-Aware Proxy 中启用 Cloud Audit Logs。
- 详细了解 VPC Service Controls 中的审核日志。