Auf dieser Seite wird beschrieben, wie Audit-Logging für geschützte private Anwendungen funktioniert mit dem Chrome Enterprise Premium-Client-Connector. Wenn Sie Cloud-Audit-Logs aktivieren, können Sie eine Nutzeranfrage auf Zugriff auf eine private Anwendung prüfen und alle Zugriffsebenen sehen, die ein Nutzer erfüllt oder nicht erfüllt hat.
Audit-Logs aktivieren
Diese Logs werden als Datenzugriffslogs bezeichnet.
Daher müssen sie für das Audit-Logging unter dem Dienstnamen beyondcorp.googleapis.com explizit aktiviert werden, da sie standardmäßig deaktiviert sind.
Informationen zum Aktivieren einiger oder aller Audit-Logs zum Datenzugriff finden Sie unter Audit-Logs zum Datenzugriff konfigurieren.
Inhalt von Audit-Log-Einträgen
Jeder Audit-Logeintrag enthält Informationen zu Nutzern, die versucht haben, auf die private Anwendung zugreifen, welche Zugriffsebenen durchgesetzt wurden und ob ihnen der Zugriff verweigert oder gewährt wurde.
Im Folgenden sind einige wichtige Werte aufgeführt:
| Feld | Wert |
|---|---|
authenticationInfo |
Die E-Mail-Adresse des Nutzers, der versucht hat, als principalEmail auf die Ressource zuzugreifen. |
requestMetadata.callerIp |
Die IP-Adresse, von der die Anfrage stammt. |
requestMetadata.requestAttributes |
Enthält Namen von Zugriffsebenen, die für die Durchsetzung von Richtlinien für den Nutzerzugriff verwendet werden. |
authorizationInfo.resource |
Die Ressource des Client-Connector-Dienstes, auf die zugegriffen wird. |
authorizationInfo.granted |
Ein boolescher Wert, der angibt, ob dem Nutzer der angeforderte Zugriff gewährt wurde. |
method.Name |
Die aufgerufene Methode zur Richtlinienerzwingung. Sollte immer AuthorizeUser sein |