本页面介绍了审核日志对受保护的专用应用的工作原理 使用 Chrome Enterprise Premium 客户端连接器。启用 Cloud Audit Logs 后,您可以查看用户对专用应用的访问权限请求,以及用户已达到和未达到的所有访问权限级别。
启用审核日志
这些日志被视为数据访问日志。因此,由于它们默认处于停用状态,因此必须在 beyondcorp.googleapis.com 服务名称下明确启用它们才能进行审核日志记录。
如需了解如何启用部分或全部数据访问审核日志,请参阅配置数据访问审核日志。
审核日志记录内容
每条审核日志记录都包含尝试 访问专用应用、哪些访问权限级别 以及是被拒绝还是被授予访问权限。
以下是一些重要的值:
| 字段 | 值 |
|---|---|
authenticationInfo |
尝试以 principalEmail 身份访问资源的用户的电子邮件。 |
requestMetadata.callerIp |
发出请求的 IP 地址。 |
requestMetadata.requestAttributes |
包含用于对用户访问权限强制执行政策的访问权限级别名称。 |
authorizationInfo.resource |
正在访问的客户端连接器服务资源。 |
authorizationInfo.granted |
表示是否允许用户请求访问的布尔值。 |
method.Name |
调用的政策执行方法。应始终为 AuthorizeUser |