このページでは、BeyondCorp Enterprise クライアント コネクタを使用した安全なプライベート アプリケーションに対する監査ロギングの仕組みについて説明します。Cloud 監査ログを有効にすると、限定公開アプリケーションへのユーザー アクセス リクエストを表示し、ユーザーに付与されているアクセスレベルと付与されていないアクセスレベルをすべて確認できます。
監査ログを有効にする
これらのログは、データアクセス ログとみなされます。したがって、デフォルトで無効となっているため、beyondcorp.googleapis.com サービス名では監査ロギングを明示的に有効にする必要があります。
データアクセス監査ログの一部またはすべてを有効にする方法については、データアクセス監査ログを構成するをご覧ください。
監査ログレコードの内容
各監査ログレコードには、限定公開アプリケーションにアクセスしようとするユーザー、適用されたアクセスレベル、アクセス権が拒否されたか付与されたかに関する情報が含まれています。
重要な値は次のとおりです。
| フィールド | 値 |
|---|---|
authenticationInfo |
principalEmail としてリソースにアクセスしようとしたユーザーのメールアドレス。 |
requestMetadata.callerIp |
リクエストの送信元 IP アドレス。 |
requestMetadata.requestAttributes |
ユーザー アクセスへのポリシーの適用に使用されるアクセスレベル名が含まれています。 |
authorizationInfo.resource |
アクセスされているクライアント コネクタ サービス リソース。 |
authorizationInfo.granted |
ユーザーがリクエストされたアクセスを許可されたかどうかを表すブール値。 |
method.Name |
呼び出されたポリシー適用メソッド。必ず AuthorizeUser と指定します。 |