Cette page décrit le fonctionnement des journaux d'audit pour les applications privées sécurisées utilisant un connecteur client BeyondCorp Enterprise. L'activation de Cloud Audit Logs vous permet d'afficher une demande d'accès d'un utilisateur à une application privée et de voir tous les niveaux d'accès qu'un utilisateur dispose ou non.
Activer les journaux d'audit
Ces journaux sont considérés comme des journaux d'accès aux données.
Par conséquent, ils doivent être explicitement activés pour la journalisation d'audit sous le nom de service beyondcorp.googleapis.com
, car ils sont désactivés par défaut.
Pour savoir comment activer tout ou partie des journaux d'audit d'accès aux données, consultez la page Configurer les journaux d'audit pour l'accès aux données.
Contenu des enregistrements du journal d'audit
Chaque enregistrement de journal d'audit contient des informations sur les utilisateurs qui ont tenté d'accéder à l'application privée, les niveaux d'accès appliqués et si l'accès leur a été refusé ou accordé.
Voici quelques valeurs importantes:
Champ | Valeur |
---|---|
authenticationInfo |
Adresse e-mail de l'utilisateur qui a tenté d'accéder à la ressource (principalEmail ). |
requestMetadata.callerIp |
Adresse IP d'origine de la requête. |
requestMetadata.requestAttributes |
Contient les noms des niveaux d'accès utilisés pour l'application des règles sur l'accès des utilisateurs. |
authorizationInfo.resource |
Ressource du service du connecteur client en cours d'accès. |
authorizationInfo.granted |
Booléen indiquant si l'utilisateur a obtenu l'accès demandé. |
method.Name |
C'est ce qu'on appelle la méthode d'application des stratégies. Doit toujours être AuthorizeUser |