Auf dieser Seite wird beschrieben, wie Audit-Logging für gesicherte private Anwendungen mit dem BeyondCorp Enterprise-Client-Connector funktioniert. Wenn Sie Cloud-Audit-Logs aktivieren, können Sie eine Nutzerzugriffsanfrage für eine private Anwendung aufrufen und alle Zugriffsebenen sehen, die ein Nutzer hat und welche nicht.
Audit-Logs aktivieren
Sie werden als Datenzugriffslogs betrachtet.
Daher müssen sie explizit für das Audit-Logging unter dem Dienstnamen beyondcorp.googleapis.com aktiviert werden, da sie standardmäßig deaktiviert sind.
Informationen zum Aktivieren einiger oder aller Audit-Logs zum Datenzugriff finden Sie unter Audit-Logs zum Datenzugriff konfigurieren.
Inhalt von Audit-Log-Einträgen
Jeder Audit-Logeintrag enthält Informationen über Nutzer, die versucht haben, auf die private Anwendung zuzugreifen, welche Zugriffsebenen erzwungen wurden und ob ihnen der Zugriff verweigert oder gewährt wurde.
Im Folgenden sind einige wichtige Werte aufgeführt:
| Feld | Wert |
|---|---|
authenticationInfo |
Die E-Mail-Adresse des Nutzers, der versucht hat, als principalEmail auf die Ressource zuzugreifen. |
requestMetadata.callerIp |
Die IP-Adresse, von der die Anfrage stammt. |
requestMetadata.requestAttributes |
Enthält Namen von Zugriffsebenen, die für die Richtlinienerzwingung für den Nutzerzugriff verwendet werden. |
authorizationInfo.resource |
Die Client-Connector-Dienstressource, auf die zugegriffen wird. |
authorizationInfo.granted |
Ein boolescher Wert, der angibt, ob dem Nutzer der angeforderte Zugriff gewährt wurde. |
method.Name |
Die aufgerufene Methode für die Richtlinienerzwingung. Sollte immer AuthorizeUser sein |