Connecteur client : journaux d'audit d'application des règles

Cette page décrit le fonctionnement des journaux d'audit pour les applications privées sécurisées utilisant le connecteur client BeyondCorp Enterprise. L'activation de Cloud Audit Logs vous permet d'afficher une requête d'accès utilisateur à une application privée, ainsi que tous les niveaux d'accès d'un utilisateur.

Activer les journaux d'audit

Ces journaux sont considérés comme des journaux d'accès aux données. Elles doivent donc être explicitement activées sous le nom de service beyondcorp.googleapis.com, car elles sont désactivées par défaut.

Pour savoir comment activer tout ou partie des journaux d'audit d'accès aux données, consultez la page Configurer les journaux d'audit pour l'accès aux données.

Contenu des enregistrements du journal d'audit

Chaque enregistrement de journal d'audit contient des informations sur les utilisateurs qui ont tenté d'accéder à l'application privée, sur les niveaux d'accès appliqués, et sur le refus ou l'autorisation de l'accès.

Voici quelques valeurs importantes:

Champ Valeur
authenticationInfo Adresse e-mail de l'utilisateur qui a tenté d'accéder à la ressource (principalEmail).
requestMetadata.callerIp Adresse IP d'origine de la requête.
requestMetadata.requestAttributes Contient les noms des niveaux d'accès utilisés pour l'application des stratégies.
authorizationInfo.resource Ressource du service de connecteur client consultée.
authorizationInfo.granted Valeur booléenne indiquant si l'accès demandé a été accordé à l'utilisateur.
method.Name Méthode d'application des règles appelée. Doit toujours être AuthorizeUser