Google Security Operations 审核日志记录信息
Google Cloud 服务会写入审核日志,帮助您了解谁何时在您的 Google Cloud 资源中的什么位置执行了什么操作。本页面介绍由 Google Security Operations 创建并编写为 Cloud Audit Logs 的审核日志。
如需大致了解 Cloud Audit Logs,请参阅 Cloud Audit Logs 概览。如需深入了解审核日志格式,请参阅了解审核日志。
可用的审核日志
审核日志服务名称和审核的操作因您注册的预览版计划而异。Google Security Operations 审核日志使用以下服务名称之一:
chronicle.googleapis.comchronicleservicemanager.googleapis.commalachitefrontend-pa.googleapis.com
无论预览程序如何,审核操作都会对写入的所有审核日志使用资源类型 audited_resource。您注册的预览版计划没有差异。
服务名称为“chronicle.googleapis.com”的日志
以下日志类型适用于名称为 chronicle.googleapis.com 的 Google Security Operations 审核日志。
如需了解详情,请参阅 IAM 中的 Google SecOps 权限。
| 审核日志类型 | 说明 |
|---|---|
| 管理员活动审核日志 | 包括写入元数据或配置信息的管理员写入操作。Google Security Operations 中生成此类日志的操作包括更新 Feed 和创建规则。chronicle.googleapis.com/feeds.updatechronicle.googleapis.com/rules.createchronicle.googleapis.com/parsers.activate
|
| 数据访问审核日志 | 包括读取元数据或配置信息的管理员读取操作。此外,还包括读取或写入用户提供的数据的数据读取和数据写入操作。Google Security Operations 中生成此类日志的操作包括获取 Feed 和列出规则。chronicle.googleapis.com/feeds.getchronicle.googleapis.com/rules.listchronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections |
服务名称为“chronicleservicemanager.googleapis.com”的日志
使用 chronicleservicemanager.googleapis.com 服务名称写入的 Google Security Operations 审核日志仅在组织级提供,不能在项目级使用。
以下日志类型适用于使用 chronicleservicemanager.googleapis.com 服务名称写入的 Google Security Operations 审核日志。
| 审核日志类型 | 说明 |
|---|---|
| 管理员活动审核日志 | 包括写入元数据或配置信息的管理员写入操作。Google Security Operations 中生成此类日志的操作包括创建 Google Cloud 关联和更新 Google Cloud 日志过滤条件。chronicleservicemanager.googleapis.com/gcpAssociations.createchronicleservicemanager.googleapis.com/gcpAssociations.deletechronicleservicemanager.googleapis.com/gcpSettings.delete
|
| 数据访问审核日志 | 包括读取元数据或配置信息的管理员读取操作。此外,还包括读取或写入用户提供的数据的数据读取和数据写入操作。Google Security Operations 中生成此类日志的操作包括列出实例和客户元数据。chronicleservicemanager.googleapis.com/gcpAssociations.getchronicleservicemanager.googleapis.com/gcpSettings.get
|
服务名称为“malachitefrontend-pa.googleapis.com”的日志
以下日志类型适用于名称为 malachitefrontend-pa.googleapis.com 的 Google Security Operations 审核日志。
Google Security Operations Frontend API 操作向 Google Security Operations 界面提供数据,并提供来自 Google Security Operations 界面的数据。Google Security Operations Frontend API 广泛由数据访问操作组成。
| 审核日志类型 | Google Security Operations 运维 |
|---|---|
| 管理员活动审核日志 | 包括与更新相关的活动记录,例如 UpdateRole 和 UpdateSubject。 |
| 数据访问审核日志 | 包括与视图相关的活动记录,例如 ListRoles 和 ListSubjects。 |
审核日志格式
审核日志条目包含以下对象:
日志条目本身,即类型为
LogEntry的对象。有用的字段包括:logName包含资源 ID 和审核日志类型。resource包含所审核操作的目标。timeStamp包含所审核操作的时间。protoPayload包含审核的信息。
审核日志记录数据,即保存在日志条目的
protoPayload字段中的AuditLog对象。(可选)服务专属的审核信息,即服务专属对象。对于早期集成,此对象保存在
AuditLog对象的serviceData字段中;较新的集成使用metadata字段。protoPayload.authenticationInfo.principalSubject字段包含用户主账号。此列指明谁执行了相应操作。protoPayload.methodName字段包含界面代表用户调用的 API 方法名称。protoPayload.status字段包含 API 调用的状态。空status值表示成功。非空status值表示失败,并且包含错误描述。状态代码 7 表示权限遭拒。chronicle.googleapis.com服务包含protoPayload.authorizationInfo字段。它包含所请求资源的名称、已检查的权限名称,以及访问权限是被授予还是拒绝的。
如需了解这些对象中的其他字段以及如何解读这些字段,请参阅了解审核日志。
以下示例展示了项目级管理员活动审核日志和数据访问审核日志的日志名称。变量表示 Google Cloud 项目标识符。
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
启用审核日志记录
如需为 chronicle.googleapis.com 服务启用审核日志记录,请参阅启用数据访问审核日志。如需为其他服务启用审核日志记录,请与 Google SecOps 支持团队联系。
审核日志存储
- Google SecOps 审核日志:在启用 Google SecOps API 后,存储在您拥有的 Google Cloud 项目中。
- 旧版审核日志(包括
malachitefrontend-pa.googleapis.com):存储在 Google Cloud 项目中。 - 管理员活动审核日志:始终启用,无法停用。如需查看它们,请先将您的 Google SecOps 实例迁移到 IAM 以进行访问权限控制。
- 数据访问审核日志:默认启用。如需在客户拥有的项目中停用,请与您的 Google SecOps 代表联系。Google SecOps 会将数据访问和管理员活动审核日志写入项目中。
配置数据访问审核日志以包含搜索数据
如需在 Google Security Operations 审核日志中填充 UDM 搜索和原始日志搜索查询,请使用必要的权限更新数据访问审核日志配置。
- 在 Google Cloud 控制台的导航面板中,依次选择 IAM 和管理 > 审核日志。
- 选择现有的 Google Cloud 项目、文件夹或组织。
- 在数据访问审核日志配置中,选择 Google Security Operations API。
- 在权限类型标签页中,选择列出的所有权限(管理员读取、数据读取、数据写入)。
- 点击保存。
- 针对 Chronicle Service Manager API 重复第 3 步到第 5 步。
查看日志
如需查找和查看审核日志,请使用 Google Cloud 项目 ID。对于使用 Google Cloud 拥有的项目配置的 malachitefrontend-pa.googleapis.com 的旧版审核日志,Google Security Operations 支持团队已为您提供此信息。您可以进一步指定其他已编入索引的 LogEntry 字段,例如 resource.type。如需了解详情,请参阅快速查找日志条目。
在 Google Cloud 控制台中,使用 Logs Explorer 检索 Google Cloud 项目的审核日志条目:
在 Google Cloud 控制台中,转到 Logging > 日志浏览器页面。
在 Logs Explorer 页面上,选择一个现有的 Google Cloud 项目、文件夹或组织。
在查询构建器窗格中,执行以下操作:
在资源类型中,选择要查看其审核日志的 Google Cloud 资源。
在日志名称中,选择要查看的审核日志类型:
对于管理员活动审核日志,选择 activity。
对于数据访问审核日志,选择 data_access。
如果您没有看到这些选项,则表示 Google Cloud 项目、文件夹或组织中没有该类型的审核日志。
如需详细了解如何使用日志浏览器进行查询,请参阅构建日志查询。
如需查看审核日志条目示例以及如何在其中找到最重要的信息,请参阅审核日志条目示例。
示例:chronicle.googleapis.com 服务名称日志
以下部分介绍了使用 chronicle.googleapis.com 服务名称的 Cloud Audit Logs 的常见使用场景。
列出特定用户执行的操作
如需查找指定用户执行过的操作,请在日志浏览器中运行以下查询:
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
识别执行了特定操作的用户
如需查找更新了检测规则的用户,请在日志浏览器中运行以下查询:
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"
示例:cloudresourcemanager.googleapis.com 服务名称日志
如需查找更新了访问权限控制角色或主题的用户,请在日志浏览器中运行以下查询:
resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"
示例:malachitefrontend-pa.googleapis.com 服务名称日志
以下部分介绍了使用 malachitefrontend-pa.googleapis.com 服务名称的 Cloud Audit Logs 的常见使用场景。
列出特定用户执行的操作
如需查找指定用户执行过的操作,请在日志浏览器中运行以下查询:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
识别执行了特定操作的用户
如需查找更新了访问权限控制主题的用户,请在日志浏览器中运行以下查询:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"
如需查找已更新访问权限控制角色的用户,请在日志浏览器中运行以下查询:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"
如需查找更新了检测规则的用户,请在日志浏览器中运行以下查询:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"