このページでは、BeyondCorp Enterprise クライアント コネクタを使用した、保護されたプライベート アプリケーションでの監査ロギングの仕組みについて説明します。Cloud Audit Logs を有効にすると、限定公開アプリケーションへのユーザー アクセス リクエストを表示し、ユーザーが持つすべてのアクセスレベルと満たされていないアクセスレベルを確認できます。
監査ログを有効にする
これらのログは、データアクセス ログとみなされます。したがって、デフォルトでは無効にされているため、beyondcorp.googleapis.com サービス名でロギングを明示的に有効にする必要があります。
データアクセス監査ログの一部またはすべてを有効にする方法については、データアクセス監査ログを構成するをご覧ください。
監査ログレコードの内容
各監査ログレコードには、限定公開アプリケーションにアクセスしようとするユーザー、適用されたアクセスレベル、アクセス権が拒否されたか付与されたかに関する情報が含まれています。
重要な値は次のとおりです。
| フィールド | 値 |
|---|---|
authenticationInfo |
principalEmail としてリソースにアクセスしようとしたユーザーのメールアドレス。 |
requestMetadata.callerIp |
リクエストの送信元 IP アドレス。 |
requestMetadata.requestAttributes |
ユーザー アクセスに対するポリシーの適用に使用されるアクセスレベル名が含まれます。 |
authorizationInfo.resource |
アクセスしているクライアント コネクタ サービス リソース。 |
authorizationInfo.granted |
リクエストされたアクセスがユーザーに許可されたかどうかを表すブール値。 |
method.Name |
呼び出されるポリシーの適用方法。必ず AuthorizeUser と指定します。 |