Certificate Manager 감사 로깅

이 문서에서는 인증서 관리자의 감사 로깅을 설명합니다. Google Cloud 서비스는 Google Cloud 리소스 내의 관리 및 액세스 활동을 기록하는 감사 로그를 생성합니다. Cloud 감사 로그에 대한 자세한 내용은 다음을 참조하세요.

서비스 이름

Certificate Manager 감사 로그는 certificatemanager.googleapis.com이라는 서비스 이름을 사용합니다. 이 서비스에 대한 필터:

    protoPayload.serviceName="certificatemanager.googleapis.com"
  

권한 유형별 메서드

각 IAM 권한에는 type 속성이 포함되며 그 값은 네 가지 값(ADMIN_READ, ADMIN_WRITE, DATA_READ, DATA_WRITE) 중 하나일 수 있는 열거형입니다. 메서드를 호출하면 인증서 관리자에서 메서드를 수행하는 데 필요한 권한의 type 속성에 따라 카테고리가 달라지는 감사 로그를 생성합니다. DATA_READ, DATA_WRITE, ADMIN_READtype 속성 값을 가진 IAM 권한이 필요한 메서드는 데이터 액세스 감사 로그를 생성합니다. type 속성 값이 ADMIN_WRITE인 IAM 권한이 필요한 메서드는 관리자 활동 감사 로그를 생성합니다.

권한 유형 메서드
ADMIN_READ google.cloud.certificatemanager.v1.CertificateManager.GetCertificate
google.cloud.certificatemanager.v1.CertificateManager.GetCertificateIssuanceConfig
google.cloud.certificatemanager.v1.CertificateManager.GetCertificateMap
google.cloud.certificatemanager.v1.CertificateManager.GetCertificateMapEntry
google.cloud.certificatemanager.v1.CertificateManager.GetDnsAuthorization
google.cloud.certificatemanager.v1.CertificateManager.GetTrustConfig
google.cloud.certificatemanager.v1.CertificateManager.ListCertificateIssuanceConfigs
google.cloud.certificatemanager.v1.CertificateManager.ListCertificateMapEntries
google.cloud.certificatemanager.v1.CertificateManager.ListCertificateMaps
google.cloud.certificatemanager.v1.CertificateManager.ListCertificates
google.cloud.certificatemanager.v1.CertificateManager.ListDnsAuthorizations
google.cloud.certificatemanager.v1.CertificateManager.ListTrustConfigs
google.longrunning.Operations.GetOperation
google.longrunning.Operations.ListOperations
ADMIN_WRITE google.cloud.certificatemanager.v1.CertificateManager.CreateCertificate
google.cloud.certificatemanager.v1.CertificateManager.CreateCertificateIssuanceConfig
google.cloud.certificatemanager.v1.CertificateManager.CreateCertificateMap
google.cloud.certificatemanager.v1.CertificateManager.CreateCertificateMapEntry
google.cloud.certificatemanager.v1.CertificateManager.CreateDnsAuthorization
google.cloud.certificatemanager.v1.CertificateManager.CreateTrustConfig
google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificate
google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificateIssuanceConfig
google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificateMap
google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificateMapEntry
google.cloud.certificatemanager.v1.CertificateManager.DeleteDnsAuthorization
google.cloud.certificatemanager.v1.CertificateManager.DeleteTrustConfig
google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificate
google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificateIssuanceConfig
google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificateMap
google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificateMapEntry
google.cloud.certificatemanager.v1.CertificateManager.UpdateDnsAuthorization
google.cloud.certificatemanager.v1.CertificateManager.UpdateTrustConfig
google.longrunning.Operations.CancelOperation
google.longrunning.Operations.DeleteOperation

API 인터페이스 감사 로그

메서드별 평가 방법과 평가 대상 권한에 대한 자세한 내용은 인증서 관리자의 Identity and Access Management 문서를 참조하세요.

google.cloud.certificatemanager.v1.CertificateManager

다음 감사 로그는 google.cloud.certificatemanager.v1.CertificateManager에 속하는 메서드와 연결되어 있습니다.

CreateCertificate

  • 메서드: google.cloud.certificatemanager.v1.CertificateManager.CreateCertificate
  • 감사 로그 유형: 관리자 활동
  • 권한:
    • certificatemanager.certs.create - ADMIN_WRITE
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 장기 실행 작업
  • 이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.CreateCertificate"

CreateCertificateIssuanceConfig

  • 메서드: google.cloud.certificatemanager.v1.CertificateManager.CreateCertificateIssuanceConfig
  • 감사 로그 유형: 관리자 활동
  • 권한:
    • certificatemanager.certissuanceconfigs.create - ADMIN_WRITE
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 장기 실행 작업
  • 이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.CreateCertificateIssuanceConfig"

CreateCertificateMap

  • 메서드: google.cloud.certificatemanager.v1.CertificateManager.CreateCertificateMap
  • 감사 로그 유형: 관리자 활동
  • 권한:
    • certificatemanager.certmaps.create - ADMIN_WRITE
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 장기 실행 작업
  • 이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.CreateCertificateMap"

CreateCertificateMapEntry

  • 메서드: google.cloud.certificatemanager.v1.CertificateManager.CreateCertificateMapEntry
  • 감사 로그 유형: 관리자 활동
  • 권한:
    • certificatemanager.certmapentries.create - ADMIN_WRITE
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 장기 실행 작업
  • 이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.CreateCertificateMapEntry"

CreateDnsAuthorization

  • 메서드: google.cloud.certificatemanager.v1.CertificateManager.CreateDnsAuthorization
  • 감사 로그 유형: 관리자 활동
  • 권한:
    • certificatemanager.dnsauthorizations.create - ADMIN_WRITE
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 장기 실행 작업
  • 이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.CreateDnsAuthorization"

CreateTrustConfig

  • 메서드: google.cloud.certificatemanager.v1.CertificateManager.CreateTrustConfig
  • 감사 로그 유형: 관리자 활동
  • 권한:
    • certificatemanager.trustconfigs.create - ADMIN_WRITE
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 장기 실행 작업
  • 이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.CreateTrustConfig"

DeleteCertificate

  • 메서드: google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificate
  • 감사 로그 유형: 관리자 활동
  • 권한:
    • certificatemanager.certs.delete - ADMIN_WRITE
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 장기 실행 작업
  • 이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificate"

DeleteCertificateIssuanceConfig

  • 메서드: google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificateIssuanceConfig
  • 감사 로그 유형: 관리자 활동
  • 권한:
    • certificatemanager.certissuanceconfigs.delete - ADMIN_WRITE
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 장기 실행 작업
  • 이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificateIssuanceConfig"

DeleteCertificateMap

  • 메서드: google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificateMap
  • 감사 로그 유형: 관리자 활동
  • 권한:
    • certificatemanager.certmaps.delete - ADMIN_WRITE
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 장기 실행 작업
  • 이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificateMap"

DeleteCertificateMapEntry

  • 메서드: google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificateMapEntry
  • 감사 로그 유형: 관리자 활동
  • 권한:
    • certificatemanager.certmapentries.delete - ADMIN_WRITE
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 장기 실행 작업
  • 이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificateMapEntry"

DeleteDnsAuthorization

  • 메서드: google.cloud.certificatemanager.v1.CertificateManager.DeleteDnsAuthorization
  • 감사 로그 유형: 관리자 활동
  • 권한:
    • certificatemanager.dnsauthorizations.delete - ADMIN_WRITE
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 장기 실행 작업
  • 이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.DeleteDnsAuthorization"

DeleteTrustConfig

  • 메서드: google.cloud.certificatemanager.v1.CertificateManager.DeleteTrustConfig
  • 감사 로그 유형: 관리자 활동
  • 권한:
    • certificatemanager.trustconfigs.delete - ADMIN_WRITE
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 장기 실행 작업
  • 이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.DeleteTrustConfig"

GetCertificate

  • 메서드: google.cloud.certificatemanager.v1.CertificateManager.GetCertificate
  • 감사 로그 유형: 데이터 액세스
  • 권한:
    • certificatemanager.certs.get - ADMIN_READ
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.GetCertificate"

GetCertificateIssuanceConfig

  • 메서드: google.cloud.certificatemanager.v1.CertificateManager.GetCertificateIssuanceConfig
  • 감사 로그 유형: 데이터 액세스
  • 권한:
    • certificatemanager.certissuanceconfigs.get - ADMIN_READ
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.GetCertificateIssuanceConfig"

GetCertificateMap

  • 메서드: google.cloud.certificatemanager.v1.CertificateManager.GetCertificateMap
  • 감사 로그 유형: 데이터 액세스
  • 권한:
    • certificatemanager.certmaps.get - ADMIN_READ
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.GetCertificateMap"

GetCertificateMapEntry

  • 메서드: google.cloud.certificatemanager.v1.CertificateManager.GetCertificateMapEntry
  • 감사 로그 유형: 데이터 액세스
  • 권한:
    • certificatemanager.certmapentries.get - ADMIN_READ
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.GetCertificateMapEntry"

GetDnsAuthorization

  • 메서드: google.cloud.certificatemanager.v1.CertificateManager.GetDnsAuthorization
  • 감사 로그 유형: 데이터 액세스
  • 권한:
    • certificatemanager.dnsauthorizations.get - ADMIN_READ
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.GetDnsAuthorization"

GetTrustConfig

  • 메서드: google.cloud.certificatemanager.v1.CertificateManager.GetTrustConfig
  • 감사 로그 유형: 데이터 액세스
  • 권한:
    • certificatemanager.trustconfigs.get - ADMIN_READ
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.GetTrustConfig"

ListCertificateIssuanceConfigs

  • 메서드: google.cloud.certificatemanager.v1.CertificateManager.ListCertificateIssuanceConfigs
  • 감사 로그 유형: 데이터 액세스
  • 권한:
    • certificatemanager.certissuanceconfigs.list - ADMIN_READ
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.ListCertificateIssuanceConfigs"

ListCertificateMapEntries

  • 메서드: google.cloud.certificatemanager.v1.CertificateManager.ListCertificateMapEntries
  • 감사 로그 유형: 데이터 액세스
  • 권한:
    • certificatemanager.certmapentries.list - ADMIN_READ
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.ListCertificateMapEntries"

ListCertificateMaps

  • 메서드: google.cloud.certificatemanager.v1.CertificateManager.ListCertificateMaps
  • 감사 로그 유형: 데이터 액세스
  • 권한:
    • certificatemanager.certmaps.list - ADMIN_READ
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.ListCertificateMaps"

ListCertificates

  • 메서드: google.cloud.certificatemanager.v1.CertificateManager.ListCertificates
  • 감사 로그 유형: 데이터 액세스
  • 권한:
    • certificatemanager.certs.list - ADMIN_READ
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.ListCertificates"

ListDnsAuthorizations

  • 메서드: google.cloud.certificatemanager.v1.CertificateManager.ListDnsAuthorizations
  • 감사 로그 유형: 데이터 액세스
  • 권한:
    • certificatemanager.dnsauthorizations.list - ADMIN_READ
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.ListDnsAuthorizations"

ListTrustConfigs

  • 메서드: google.cloud.certificatemanager.v1.CertificateManager.ListTrustConfigs
  • 감사 로그 유형: 데이터 액세스
  • 권한:
    • certificatemanager.trustconfigs.list - ADMIN_READ
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.ListTrustConfigs"

UpdateCertificate

  • 메서드: google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificate
  • 감사 로그 유형: 관리자 활동
  • 권한:
    • certificatemanager.certs.update - ADMIN_WRITE
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 장기 실행 작업
  • 이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificate"

UpdateCertificateIssuanceConfig

  • 메서드: google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificateIssuanceConfig
  • 감사 로그 유형: 관리자 활동
  • 권한:
    • certificatemanager.certissuanceconfigs.update - ADMIN_WRITE
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 장기 실행 작업
  • 이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificateIssuanceConfig"

UpdateCertificateMap

  • 메서드: google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificateMap
  • 감사 로그 유형: 관리자 활동
  • 권한:
    • certificatemanager.certmaps.update - ADMIN_WRITE
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 장기 실행 작업
  • 이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificateMap"

UpdateCertificateMapEntry

  • 메서드: google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificateMapEntry
  • 감사 로그 유형: 관리자 활동
  • 권한:
    • certificatemanager.certmapentries.update - ADMIN_WRITE
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 장기 실행 작업
  • 이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificateMapEntry"

UpdateDnsAuthorization

  • 메서드: google.cloud.certificatemanager.v1.CertificateManager.UpdateDnsAuthorization
  • 감사 로그 유형: 관리자 활동
  • 권한:
    • certificatemanager.dnsauthorizations.update - ADMIN_WRITE
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 장기 실행 작업
  • 이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.UpdateDnsAuthorization"

UpdateTrustConfig

  • 메서드: google.cloud.certificatemanager.v1.CertificateManager.UpdateTrustConfig
  • 감사 로그 유형: 관리자 활동
  • 권한:
    • certificatemanager.trustconfigs.update - ADMIN_WRITE
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 장기 실행 작업
  • 이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.UpdateTrustConfig"

google.longrunning.Operations

다음 감사 로그는 google.longrunning.Operations에 속하는 메서드와 연결되어 있습니다.

CancelOperation

  • 메서드: google.longrunning.Operations.CancelOperation
  • 감사 로그 유형: 관리자 활동
  • 권한:
    • certificatemanager.operations.cancel - ADMIN_WRITE
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="google.longrunning.Operations.CancelOperation"

DeleteOperation

  • 메서드: google.longrunning.Operations.DeleteOperation
  • 감사 로그 유형: 관리자 활동
  • 권한:
    • certificatemanager.operations.delete - ADMIN_WRITE
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="google.longrunning.Operations.DeleteOperation"

GetOperation

  • 메서드: google.longrunning.Operations.GetOperation
  • 감사 로그 유형: 데이터 액세스
  • 권한:
    • certificatemanager.operations.get - ADMIN_READ
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="google.longrunning.Operations.GetOperation"

ListOperations

  • 메서드: google.longrunning.Operations.ListOperations
  • 감사 로그 유형: 데이터 액세스
  • 권한:
    • certificatemanager.operations.list - ADMIN_READ
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="google.longrunning.Operations.ListOperations"

감사 로그를 생성하지 않는 메서드

메서드는 다음 중 하나 이상의 이유로 인해 감사 로그를 생성하지 않을 수 있습니다.

  • 상당한 로그 생성 및 스토리지 비용이 포함된 대용량 메서드입니다.
  • 감사 값이 낮습니다.
  • 또 다른 감사 또는 플랫폼 로그에서 이미 메서드 범위를 제공합니다.

다음 메서드는 감사 로그를 생성하지 않습니다.

  • google.cloud.location.Locations.GetLocation
  • google.cloud.location.Locations.ListLocations
  • google.longrunning.Operations.WaitOperation

사용 가능한 감사 로그

Public Certificate Authority에는 다음과 같은 유형의 감사 로그를 사용할 수 있습니다.

  • 관리자 활동 감사 로그

    메타데이터 또는 구성 정보를 쓰는 '관리자 쓰기' 작업이 포함됩니다.

    관리자 활동 감사 로그는 사용 중지할 수 없습니다.

  • 데이터 액세스 감사 로그

    메타데이터 또는 구성 정보를 읽는 '관리자 읽기' 작업이 포함됩니다.

    데이터 액세스 감사 로그를 받으려면 이를 명시적으로 사용 설정해야 합니다.

감사 로그 유형에 대한 자세한 내용은 감사 로그 유형을 참조하세요.

감사 로그 형식

감사 로그 항목에는 다음과 같은 객체가 포함됩니다.

  • LogEntry 유형의 객체인 로그 항목 자체입니다. 유용한 필드는 다음과 같습니다.

    • logName에는 리소스 ID와 감사 로그 유형이 있습니다.
    • resource에는 감사 작업 대상이 있습니다.
    • timeStamp에는 감사 작업 시간이 있습니다.
    • protoPayload에는 감사 정보가 있습니다.
  • 로그 항목의 protoPayload 필드에 AuditLog 객체로 보관되는 감사 로깅 데이터입니다.

  • 선택적 서비스별 감사 정보로, 서비스별 객체입니다. 이전 통합에서 이 객체는 AuditLog 객체의 serviceData 필드에 보관하고 최신 통합은 metadata 필드를 사용합니다.

이러한 객체의 다른 필드와 필드 해석 방법은 감사 로그 이해를 참조하세요.

로그 이름

Cloud 감사 로그의 로그 이름에는 감사 로그를 소유한 Google Cloud 프로젝트나 기타 Google Cloud 항목을 나타내는 리소스 식별자와 로그에 관리자 활동, 데이터 액세스, 정책 거부 또는 시스템 이벤트 감사 로깅 데이터가 포함되어 있는지 여부가 포함됩니다.

다음은 리소스 식별자 변수를 포함한 감사 로그 이름입니다.

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Factivity
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

감사 로깅 사용 설정

관리자 활동 감사 로그는 항상 사용 설정되며 사용 중지할 수 없습니다.

데이터 액세스 감사 로그는 기본적으로 사용 중지되어 있으며 명시적으로 사용 설정하지 않으면 작성되지 않습니다. 단, 사용 중지할 수 없는 BigQuery의 데이터 액세스 감사 로그는 예외입니다.

데이터 액세스 감사 로그의 일부 또는 전부를 사용 설정하는 방법은 데이터 액세스 감사 로그 사용 설정을 참조하세요.

감사 로그 보기

모든 감사 로그를 쿼리하거나 감사 로그 이름별로 로그를 쿼리할 수 있습니다. 감사 로그 이름에는 감사 로깅 정보를 보려는 Google Cloud 프로젝트, 폴더, 결제 계정 또는 조직의 리소스 식별자가 포함됩니다. 쿼리에서 색인이 생성된 LogEntry 필드를 지정할 수 있으며 SQL 쿼리를 지원하는 로그 애널리틱스 페이지를 사용하는 경우 쿼리 결과를 차트로 볼 수 있습니다.

로그 쿼리에 대한 자세한 내용은 다음 페이지를 참조하세요.

Google Cloud 콘솔, Google Cloud CLI 또는 Logging API를 사용하여 Cloud Logging에서 감사 로그를 볼 수 있습니다.

콘솔

Google Cloud 콘솔에서 로그 탐색기를 사용하여 Google Cloud 프로젝트, 폴더 또는 조직의 감사 로그 항목을 검색할 수 있습니다.

  1. Google Cloud 콘솔에서 로그 탐색기 페이지로 이동합니다.

    로그 탐색기로 이동

    검색창을 사용하여 이 페이지를 찾은 경우 부제목이 Logging인 결과를 선택합니다.

  2. 기존 Google Cloud 프로젝트, 폴더 또는 조직을 선택합니다.

  3. 모든 감사 로그를 표시하려면 쿼리 편집기 필드에 다음 쿼리 중 하나를 입력한 후 쿼리 실행을 클릭합니다.

    logName:"cloudaudit.googleapis.com"
    
    protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog"
    
  4. 특정 리소스 및 감사 로그 유형에 대한 감사 로그를 표시하려면 쿼리 빌더 창에서 다음을 수행합니다.

    • 리소스 유형에서 감사 로그를 확인할 Google Cloud 리소스를 선택하세요.

    • 로그 이름에서 확인할 감사 로그 유형을 선택합니다.

      • 관리자 활동 감사 로그의 경우 activity를 선택합니다.
      • 데이터 액세스 감사 로그의 경우 data_access를 선택합니다.
      • 시스템 이벤트 감사 로그의 경우 system_event를 선택합니다.
      • 정책 거부 감사 로그의 경우 policy를 선택합니다.
    • 쿼리 실행을 클릭합니다.

    이러한 옵션 중 어느 것도 표시되지 않으면 Google Cloud 프로젝트나 폴더, 조직에 해당 유형의 감사 로그가 없다는 의미입니다.

    로그 탐색기에서 로그를 확인하려고 할 때 문제가 발생하는 경우 문제 해결 정보를 참조하세요.

    로그 탐색기를 사용한 쿼리에 대한 상세 설명은 로그 탐색기에서 쿼리 빌드를 참조하세요.

gcloud

Google Cloud CLI는 Logging API에 명령줄 인터페이스를 제공합니다. 각 로그 이름에 유효한 리소스 식별자를 제공합니다. 예를 들어 쿼리에 PROJECT_ID가 포함된 경우 제공한 프로젝트 식별자가 현재 선택된 Google Cloud 프로젝트를 참조해야 합니다.

Google Cloud 프로젝트 수준의 감사 로그 항목을 읽으려면 다음 명령어를 실행합니다.

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

폴더 수준의 감사 로그 항목을 읽으려면 다음 명령어를 실행합니다.

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

조직 수준의 감사 로그 항목을 읽으려면 다음 명령어를 실행합니다.

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

Cloud Billing 계정 수준의 감사 로그 항목을 읽으려면 다음 명령어를 실행합니다.

gcloud logging read "logName : billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com" \
    --billing-account=BILLING_ACCOUNT_ID

1일 이상 된 로그를 읽으려면 명령어에 --freshness 플래그를 추가합니다.

gcloud CLI 사용에 대한 상세 설명은 gcloud logging read를 참조하세요.

API

쿼리를 빌드할 때 각 로그 이름에 유효한 리소스 식별자를 제공합니다. 예를 들어 쿼리에 PROJECT_ID가 포함된 경우 제공한 프로젝트 식별자가 현재 선택된 Google Cloud 프로젝트를 참조해야 합니다.

예를 들어 Logging API를 사용하여 프로젝트 수준의 감사 로그 항목을 보려면 다음을 수행합니다.

  1. entries.list 메서드 문서의 API 사용해 보기 섹션으로 이동합니다.

  2. API 사용해 보기 양식의 요청 본문 부분에 다음을 입력합니다. 이 자동 입력된 양식을 클릭하면 요청 본문이 자동으로 입력되지만 각 로그 이름에 유효한 PROJECT_ID를 입력해야 합니다.

    {
      "resourceNames": [
        "projects/PROJECT_ID"
      ],
      "pageSize": 5,
      "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
    }
    
  3. 실행을 클릭합니다.