Auf dieser Seite wird beschrieben, wie das Audit-Logging für gesicherte private Anwendungen mit dem Chrome Enterprise Premium-Client-Connector funktioniert. Wenn Sie Cloud-Audit-Logs aktivieren, können Sie eine Nutzeranfrage auf Zugriff auf eine private Anwendung prüfen und alle Zugriffsebenen sehen, die ein Nutzer erfüllt oder nicht erfüllt hat.
Audit-Logs aktivieren
Diese Logs werden als Datenzugriffslogs bezeichnet.
Daher müssen sie für das Audit-Logging unter dem Dienstnamen beyondcorp.googleapis.com explizit aktiviert werden, da sie standardmäßig deaktiviert sind.
Informationen zum Aktivieren einiger oder aller Audit-Logs zum Datenzugriff finden Sie unter Audit-Logs zum Datenzugriff konfigurieren.
Inhalt von Audit-Log-Einträgen
Jeder Audit-Log-Eintrag enthält Informationen zu Nutzern, die versucht haben, auf die private Anwendung zuzugreifen, welche Zugriffsebenen erzwungen wurden und ob ihnen der Zugriff verweigert oder gewährt wurde.
Hier sind einige wichtige Werte:
| Feld | Wert |
|---|---|
authenticationInfo |
Die E-Mail-Adresse des Nutzers, der versucht hat, als principalEmail auf die Ressource zuzugreifen. |
requestMetadata.callerIp |
Die IP-Adresse, von der die Anfrage stammt. |
requestMetadata.requestAttributes |
Enthält Namen von Zugriffsebenen, die für die Durchsetzung von Richtlinien für den Nutzerzugriff verwendet werden. |
authorizationInfo.resource |
Die Ressource des Client-Connector-Dienstes, auf die zugegriffen wird. |
authorizationInfo.granted |
Ein boolescher Wert, der angibt, ob dem Nutzer der angeforderte Zugriff gewährt wurde. |
method.Name |
Die aufgerufene Methode zur Richtlinienerzwingung. Sollte immer AuthorizeUser sein |