本页面介绍了如何使用 BeyondCorp Enterprise 客户端连接器对受保护的专用应用进行审核日志记录。通过启用 Cloud Audit Logs,您可以查看用户对专用应用的访问权限请求,以及用户已拥有和未满足的所有访问权限级别。
启用审核日志
这些日志被视为数据访问日志。因此,必须为 beyondcorp.googleapis.com
服务名称下的审核日志记录明确启用这些功能,因为它们默认处于停用状态。
如需了解如何启用部分或全部数据访问审核日志,请参阅配置数据访问审核日志。
审核日志记录内容
每条审核日志记录都包含与以下用户相关的信息:尝试访问专用应用的用户、强制执行的访问权限级别,以及他们是被拒绝还是被授予了访问权限。
以下是一些重要的值:
字段 | 值 |
---|---|
authenticationInfo |
尝试以 principalEmail 身份访问资源的用户的电子邮件。 |
requestMetadata.callerIp |
发出请求的 IP 地址。 |
requestMetadata.requestAttributes |
包含用于对用户访问权限强制执行政策的访问权限级别名称。 |
authorizationInfo.resource |
所访问的客户端连接器服务资源。 |
authorizationInfo.granted |
一个布尔值,表示是否允许用户获得所请求的访问权限。 |
method.Name |
调用的政策执行方法。应始终为 AuthorizeUser |