Audit-Logging

Auf dieser Seite werden die Audit-Logs erläutert, die von Cloud Build erstellt werden.

Übersicht über das Audit-Logging

Google Cloud-Dienste schreiben Audit-Logs, um Ihnen Antworten auf Fragen wie "Wer hat was wo und wann getan?" innerhalb Ihrer Google Cloud-Projekte und -Organisationen zu liefern.

Die Informationen, die bei der Überprüfung erfasst werden, sind in verschiedene Kategorien aufgeteilt:

• Administratoraktivität: Vorgänge, bei denen die Konfiguration oder Metadaten einer Cloud Build-Ressource geändert werden. Jeder API-Aufruf, der einen Build erstellt oder beendet und einen Trigger erstellt, löscht, aktiviert, deaktiviert oder aktualisiert, fällt in diese Kategorie. Diese Überprüfungsinformationen werden standardmäßig bereitgestellt.

• Datenzugriff (ADMIN_READ): Vorgänge, bei denen die Konfiguration oder die Metadaten eines Projekts, Builds oder Triggers gelesen werden. Diese Überprüfungsinformationen werden nicht standardmäßig bereitgestellt.

• Datenzugriff (DATA_READ): Vorgänge, bei denen die vom Nutzer bereitgestellten Daten aus einer Ressource gelesen werden. Diese Überprüfungsinformationen werden nicht standardmäßig bereitgestellt.

• Datenzugriff (DATA_WRITE): Vorgänge, bei denen die vom Nutzer bereitgestellten Daten in eine Ressource geschrieben werden. Diese Überprüfungsinformationen werden nicht standardmäßig bereitgestellt.

Weitere Informationen finden Sie unter Cloud-Audit-Logging.

Geprüfte Vorgänge

In der folgenden Tabelle wird zusammengefasst, welche Cloud Build API-Vorgänge in den einzelnen Audit-Log-Kategorien aufgeführt sind:

Audit-Log-Kategorie	Cloud Build-Vorgänge
Administratoraktivität	projects.builds.create projects.builds.cancel projects.builds.approve projects.triggers.create projects.triggers.delete projects.triggers.update Trigger mithilfe der Schaltfläche Trigger ausführen in der Google Cloud Console ausführen IAM-Richtlinien erstellen/aktualisieren
Datenzugriff (ADMIN_READ)	projects.builds.get projects.builds.list projects.triggers.list projects.triggers.get IAM-Richtlinien abrufen
Datenzugriff (DATA_READ)	Keine
Datenzugriff (DATA_WRITE)	Keine

Im Gegensatz zu Audit-Logs bei anderen Diensten erstellt Cloud Build nur ADMIN_READ-Datenzugriffs-Logs und keine DATA_READ- und DATA_WRITE-Logs. Das liegt daran, dass DATA_READ- und DATA_WRITE-Logs nur für Dienste verwendet werden, die Nutzerdaten speichern und verwalten. Cloud Build behandelt aber Builds und Trigger als administrative Konfigurationsinformationen.

Berechtigungen für den Zugriff auf die Logs

Die folgenden Nutzer können Logs für Administratoraktivitäten ansehen:

• Projektinhaber, -bearbeiter und -betrachter
• Nutzer mit der IAM-Rolle Log-Betrachter
• Nutzer mit der IAM-Berechtigung logging.logEntries.list.

Folgende Nutzer können Datenzugriffslogs ansehen:

• Projektinhaber
• Nutzer mit der IAM-Rolle Betrachter privater Logs
• Nutzer mit der IAM-Berechtigung logging.privateLogEntries.list

Anleitungen zum Erteilen von IAM-Berechtigungen finden Sie unter Zugriffssteuerung konfigurieren.

Audit-Logformat

Audit-Logeinträge haben folgende Struktur:

• Ein Objekt vom Typ LogEntry, das den gesamten Logeintrag enthält.
• Ein Objekt vom Typ AuditLog, das im Feld protoPayload des Objekts LogEntry enthalten ist.

Wenn Sie wissen, welche Informationen in diesen Objekten enthalten sind, können Sie Ihre Audit-Logeinträge mit dem Log-Explorer und der Stackdriver Logging API besser verstehen und abrufen.

Alle Audit-Log-Einträge enthalten den Namen des Audit-Logs, der Ressource und des Dienstes.

• logName: In diesem Feld wird angegeben, ob es sich bei dem Log um ein Audit-Log für die Administratoraktivität oder für den Datenzugriff handelt. Beispiel:

  projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity
  projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
  organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Factivity
  organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
  

  Innerhalb eines Projekts oder einer Organisation haben diese Lognamen das Kurzsuffix activity oder data_access.

• Typ der überwachten Ressource:

  • build: Enthält das Projekt, den Build und den Build-Trigger für den geprüften Vorgang.

• serviceName Bei Cloud Build enthält das Feld den Wert cloudbuild.googleapis.com.

  Ressourcentypen gehören jeweils zu einem Dienst, wobei ein Dienst mehrere Ressourcentypen haben kann. Unter Dienste zu Ressourcen zuordnen finden Sie eine Liste der Dienste und Ressourcen.

Weitere Informationen erhalten Sie unter Audit-Log-Datentypen.

Logs aktivieren

Logs für Administratoraktivitäten werden standardmäßig aktiviert und erfasst. Diese Logs werden nicht auf Ihr Log-Aufnahmekontingent angerechnet.

Datenzugriffs-Logs für Cloud Build-Vorgänge werden nicht standardmäßig erfasst. Sie können aber die Verwendung von Datenzugriffs-Logs in Ihrem Projekt oder in Ihrer Organisation konfigurieren. Informationen zum Aktivieren von Logs für Datenzugriffsvorgänge finden Sie unter Datenzugriffs-Logs konfigurieren.

Kontingente und Limits

Logs der Administratoraktivität werden nicht auf Ihr Log-Aufnahmekontingent angerechnet.

Datenzugriffsvorgänge erreichen ein hohes Volumen und werden Ihrem Log-Aufnahmekontingent angerechnet.

Weitere Informationen finden Sie unter Kontingente und Beschränkungen.

Logs ansehen

So zeigen Sie eine Zusammenfassung Ihrer Administratoraktivität an:

• Öffnen Sie Google Cloud Platform Activity:

  Zu „Aktivität“

So wählen Sie Ihre Logs aus, filtern diese und zeigen sie im Detail an:

1. Öffnen Sie die Seite Log-Explorer:

   Zur Seite „Log-Explorer“

2. Wählen Sie im ersten Drop-down-Menü die Ressource aus, deren Audit-Logs angezeigt werden sollen. Wählen Sie ein bestimmtes Projekt oder "Alle Projekte" aus.

3. Wählen Sie im zweiten Menü den Lognamen aus, den Sie sehen möchten: activity für Audit-Logs der Administratoraktivität und data_access für Audit-Logs des Datenzugriffs (sofern die Logs verfügbar sind).

Die Audit-Logs werden im Log-Explorer angezeigt.

Sie können auch die erweiterte Filteroberfläche des Log-Explorers verwenden, um den Ressourcentyp und den Lognamen anzugeben. Weitere Informationen finden Sie unter Audit-Logs abrufen.

Audit-Logs exportieren

Sie können Kopien einiger oder aller Logs in andere Anwendungen, andere Repositories oder für Dritte exportieren. Informationen zum Exportieren von Logs finden Sie unter Logs exportieren.

Eine Organisation kann eine zusammengefasste Senke erstellen, um Logeinträge aus allen Projekten, Ordnern und Rechnungskonten der Organisation zu exportieren. Wie alle anderen Senken enthält auch die zusammengefasste Senke einen Filter für die Auswahl einzelner Logeinträge. Informationen zum Aggregieren und Exportieren Ihrer Audit-Logs finden Sie unter Aggregierte Senken.

Informationen zum Lesen der Logeinträge über die API finden Sie unter entries.list. Informationen zum Lesen der Logeinträge mit dem SDK erhalten Sie unter Logeinträge lesen.

Nächste Schritte

• Anleitung zum Filtern von Logs auf der Seite Log-Explorer
• Anleitung zum Exportieren von Logs auf der Seite Senken konfigurieren und verwalten
• Build-Logs speichern und ansehen