Auf dieser Seite wird beschrieben, wie Audit-Logging für sichere private Anwendungen mit dem BeyondCorp Enterprise-Client-Connector funktioniert. Wenn Sie Cloud-Audit-Logs aktivieren, können Sie eine Nutzerzugriffsanfrage auf eine private Anwendung sowie alle Zugriffsebenen eines Nutzers ansehen und erfüllen.
Audit-Logs aktivieren
Diese Logs werden als Datenzugriffslogs betrachtet.
Sie müssen daher explizit für das Audit-Logging unter dem Dienstnamen beyondcorp.googleapis.com aktiviert sein, da sie standardmäßig deaktiviert sind.
Informationen zum Aktivieren einiger oder aller Audit-Logs zum Datenzugriff finden Sie unter Audit-Logs zum Datenzugriff konfigurieren.
Inhalt von Audit-Log-Einträgen
Jeder Audit-Log-Eintrag enthält Informationen zu Nutzern, die versucht haben, auf die private Anwendung zuzugreifen, welche Zugriffsebenen erzwungen wurden und ob ihnen Zugriff gewährt oder gewährt wurde.
Hier einige wichtige Werte:
| Feld | Wert |
|---|---|
authenticationInfo |
Die E-Mail-Adresse des Nutzers, der versucht hat, als principalEmail auf die Ressource zuzugreifen. |
requestMetadata.callerIp |
Die IP-Adresse, von der die Anfrage stammt. |
requestMetadata.requestAttributes |
Enthält Namen von Zugriffsebenen, die für die Durchsetzung der Richtlinien beim Nutzerzugriff verwendet werden. |
authorizationInfo.resource |
Die Dienstressource des Client-Connectors, auf die zugegriffen wird. |
authorizationInfo.granted |
Ein boolescher Wert, der angibt, ob dem Nutzer der angeforderte Zugriff gewährt wurde. |
method.Name |
Die aufgerufene Methode zur Durchsetzung der Richtlinien. Sollte immer AuthorizeUser sein |