In questa pagina viene descritto come funziona l'audit logging per le applicazioni private protette che utilizzano il connettore client BeyondCorp Enterprise. L'abilitazione di Cloud Audit Logs consente di visualizzare una richiesta di accesso di un utente a un'applicazione privata e di vedere tutti i livelli di accesso che un utente ha o non ha soddisfatto.
Abilita gli audit log
Questi log vengono considerati log di accesso ai dati.
Di conseguenza, devono essere esplicitamente abilitati per l'audit logging nel nome del servizio beyondcorp.googleapis.com
, poiché sono disabilitati per impostazione predefinita.
Per informazioni sull'abilitazione di alcuni o tutti gli audit log di accesso ai dati, consulta Configurare gli audit log di accesso ai dati.
Contenuti dei record del log di controllo
Ogni record di audit log contiene informazioni sugli utenti che hanno tentato di accedere all'applicazione privata, su quali livelli di accesso sono stati applicati e se è stato negato loro o se è stato concesso l'accesso.
Di seguito sono riportati alcuni valori importanti:
Campo | Valore |
---|---|
authenticationInfo |
L'indirizzo email dell'utente che ha tentato di accedere alla risorsa come principalEmail . |
requestMetadata.callerIp |
L'indirizzo IP da cui ha avuto origine la richiesta. |
requestMetadata.requestAttributes |
Contiene i nomi dei livelli di accesso utilizzati per l'applicazione dei criteri relativi all'accesso degli utenti. |
authorizationInfo.resource |
La risorsa di servizio del connettore client a cui si sta accedendo. |
authorizationInfo.granted |
Un valore booleano che indica se all'utente è stato consentito l'accesso richiesto. |
method.Name |
Il metodo di applicazione dei criteri chiamato. Deve sempre essere AuthorizeUser |