公開憑證授權單位稽核記錄

本文說明 Public Certificate Authority 的稽核記錄。 Google Cloud 服務會產生稽核記錄,記錄您 Google Cloud 資源中的管理和存取活動。如要進一步瞭解 Cloud 稽核記錄,請參閱下列文章:

服務名稱

公開憑證授權單位稽核記錄會使用服務名稱 publicca.googleapis.com。篩選這項服務:

    protoPayload.serviceName="publicca.googleapis.com"

依權限類型劃分的方法

每個 IAM 權限都有 type 屬性,其值為列舉,可以是下列四個值之一:ADMIN_READADMIN_WRITEDATA_READDATA_WRITE。呼叫方法時,公開憑證授權單位會產生稽核記錄,記錄的類別取決於執行方法所需的權限的 type 屬性。如果方法需要 IAM 權限,且 type 屬性值為 DATA_READDATA_WRITEADMIN_READ,就會產生「資料存取」稽核記錄。需要 IAM 權限且 type 屬性值為 ADMIN_WRITE 的方法,會產生管理員活動稽核記錄。

下列清單中標示 (LRO) 的 API 方法,都是長時間執行的作業 (LRO)。這些方法通常會產生兩筆稽核記錄項目:一筆是在作業開始時產生,另一筆則是在作業結束時產生。詳情請參閱長時間執行的作業的稽核記錄
權限類型 方法
DATA_WRITE google.cloud.security.publicca.v1.PublicCertificateAuthorityService.CreateExternalAccountKey
google.cloud.security.publicca.v1alpha1.PublicCertificateAuthorityService.CreateExternalAccountKey
google.cloud.security.publicca.v1beta1.PublicCertificateAuthorityService.CreateExternalAccountKey

API 介面稽核記錄

如要瞭解如何評估每種方法的權限,請參閱 Public Certificate Authority 的身分與存取權管理說明文件。

google.cloud.security.publicca.v1.PublicCertificateAuthorityService

下列稽核記錄與屬於 google.cloud.security.publicca.v1.PublicCertificateAuthorityService 的方法相關聯。

CreateExternalAccountKey

  • 方法google.cloud.security.publicca.v1.PublicCertificateAuthorityService.CreateExternalAccountKey
  • 稽核記錄類型資料存取
  • 權限
    • publicca.externalAccountKeys.create - DATA_WRITE
  • 方法是長時間執行的作業或串流作業: 否。
  • 篩選這個方法 protoPayload.methodName="google.cloud.security.publicca.v1.PublicCertificateAuthorityService.CreateExternalAccountKey"

google.cloud.security.publicca.v1alpha1.PublicCertificateAuthorityService

下列稽核記錄與屬於 google.cloud.security.publicca.v1alpha1.PublicCertificateAuthorityService 的方法相關聯。

CreateExternalAccountKey

  • 方法google.cloud.security.publicca.v1alpha1.PublicCertificateAuthorityService.CreateExternalAccountKey
  • 稽核記錄類型資料存取
  • 權限
    • publicca.externalAccountKeys.create - DATA_WRITE
  • 方法是長時間執行的作業或串流作業: 否。
  • 篩選這個方法 protoPayload.methodName="google.cloud.security.publicca.v1alpha1.PublicCertificateAuthorityService.CreateExternalAccountKey"

google.cloud.security.publicca.v1beta1.PublicCertificateAuthorityService

下列稽核記錄與屬於 google.cloud.security.publicca.v1beta1.PublicCertificateAuthorityService 的方法相關聯。

CreateExternalAccountKey

  • 方法google.cloud.security.publicca.v1beta1.PublicCertificateAuthorityService.CreateExternalAccountKey
  • 稽核記錄類型資料存取
  • 權限
    • publicca.externalAccountKeys.create - DATA_WRITE
  • 方法是長時間執行的作業或串流作業: 否。
  • 篩選這個方法 protoPayload.methodName="google.cloud.security.publicca.v1beta1.PublicCertificateAuthorityService.CreateExternalAccountKey"

可用的稽核記錄

公開憑證授權單位提供下列類型的稽核記錄:

  • 資料存取稽核記錄

    包括寫入使用者提供資料的「資料寫入」。

    如要接收資料存取稽核記錄,您必須 明確啟用這類記錄。

如需稽核記錄類型的完整說明,請參閱「稽核記錄類型」。

稽核記錄格式

稽核記錄項目包含下列物件:

  • 記錄項目本身,屬於 LogEntry 類型的物件。實用的欄位包括:

    • logName 包含資源 ID 和稽核記錄類型。
    • resource 包含稽核作業的目標。
    • timeStamp 包含稽核作業的時間。
    • protoPayload 包含稽核的資訊。

  • 稽核記錄資料,這是儲存在記錄項目 protoPayload 欄位中的 AuditLog 物件。

  • 選用的服務專屬稽核資訊,這是服務專屬物件。如果是較早的整合,這個物件會保留在 AuditLog 物件的 serviceData 欄位中;較新的整合則使用 metadata 欄位。

如要瞭解這些物件中的其他欄位,以及如何解讀這些資料,請參閱「瞭解稽核記錄」一文。

記錄檔名稱

Cloud 稽核記錄的記錄名稱包含資源 ID,指出擁有稽核記錄的Google Cloud 專案或其他 Google Cloud 實體,以及記錄中包含的是管理員活動、資料存取、政策遭拒或系統事件稽核記錄資料。

以下是稽核記錄名稱,包括資源 ID 的變數:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Factivity
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

啟用稽核記錄

系統一律會啟用管理員活動稽核記錄,且該記錄無法停用。

資料存取稽核記錄預設為停用,且除非明確啟用,否則系統不會寫入這類記錄。唯一的例外是 BigQuery 的資料存取稽核記錄,該記錄無法停用。

如要瞭解如何啟用部分或所有資料存取稽核記錄,請參閱「啟用資料存取稽核記錄」一文。

查看稽核記錄

您可以查詢所有稽核記錄,也可以依稽核記錄名稱查詢記錄。稽核記錄名稱包含您要查看稽核記錄資訊的 Google Cloud 專案、資料夾、帳單帳戶或機構的資源 ID。查詢可以指定已建立索引的 LogEntry 欄位,如果您使用支援 SQL 查詢的「記錄檔分析」頁面,則可以將查詢結果顯示為圖表

如要進一步瞭解如何查詢記錄,請參閱下列頁面:

您可以使用Google Cloud 控制台、Google Cloud CLI 或 Logging API,在 Cloud Logging 中查看稽核記錄。

控制台

在 Google Cloud 控制台中,您可以使用「記錄檔探索工具」擷取 Google Cloud 專案、資料夾或機構的稽核記錄項目:

  1. 前往 Google Cloud 控制台的「Logs Explorer」頁面:

    前往「Logs Explorer」(記錄檔探索工具)

    如果您是使用搜尋列尋找這個頁面,請選取子標題為「Logging」的結果

  2. 選取現有的 Google Cloud 專案、資料夾或組織。

  3. 如要顯示所有稽核記錄,請在查詢編輯器欄位中輸入下列任一查詢,然後按一下「執行查詢」

    logName:"cloudaudit.googleapis.com"

    protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog"

  4. 如要顯示特定資源和稽核記錄類型的稽核記錄,請在「查詢建立工具」窗格中執行下列操作:

    • 在「資源類型」中,選取要查看稽核記錄的 Google Cloud 資源。

    • 在「記錄名稱」中,選取要查看的稽核記錄類型:

      • 如要查看管理員活動稽核記錄,請選取「activity」
      • 如要查看「資料存取」稽核記錄,請選取「data_access」data_access
      • 如要查看系統事件稽核記錄,請選取「system_event」system_event
      • 如要查看「政策遭拒」稽核記錄,請選取「policy」

    • 點選「執行查詢」

    如果沒有看到這些選項,表示 Google Cloud 專案、資料夾或機構中沒有這類型的稽核記錄。

    如果無法在記錄檔探索工具中查看記錄,請參閱疑難排解資訊。

    如要進一步瞭解如何使用記錄檔探索工具查詢,請參閱「在記錄檔探索工具中建構查詢」。如要瞭解如何使用 Gemini 總結記錄檔探索工具中的記錄項目,請參閱「藉助 Gemini 總結記錄項目重點」。

gcloud

Google Cloud CLI 提供 Logging API 的指令列介面。並在每個記錄名稱中提供有效的資源 ID。舉例來說,如果查詢包含 PROJECT_ID,則您提供的專案 ID 必須參照目前選取的Google Cloud 專案。

如要讀取 Google Cloud 專案層級的稽核記錄項目,請執行下列指令:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

如要讀取資料夾層級的稽核記錄項目,請執行下列指令:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

如要讀取機構層級的稽核記錄項目,請執行下列指令:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

如要讀取 Cloud Billing 帳戶層級的稽核記錄項目,請執行下列指令:

gcloud logging read "logName : billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com" \
    --billing-account=BILLING_ACCOUNT_ID

在指令中加入 --freshness 旗標,即可讀取超過 1 天前的記錄。

如要進一步瞭解如何使用 gcloud CLI,請參閱 gcloud logging read

API

建構查詢時,請在每個記錄名稱中提供有效的資源 ID。舉例來說,如果查詢包含 PROJECT_ID,則您提供的專案 ID 必須參照目前選取的Google Cloud 專案。

舉例來說,如要使用 Logging API 查看專案層級的稽核記錄項目,請按照下列步驟操作:

  1. 前往 entries.list 方法說明文件中的「Try this API」(試用這個 API) 區段。

  2. 將下列內容放入「Try this API」(試用這個 API) 表單的「Request body」(要求主體) 部分。按一下這份已預先填入資料的表單就能自動填入要求主體,但您必須在每個記錄名稱中提供有效的 PROJECT_ID

    {
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}

  3. 按一下 [Execute] (執行)