Google Security Operations 审核日志记录信息
Google Cloud 服务会写入审核日志,便于您了解谁何时在您的 Google Cloud 资源中的何处执行了什么操作。本页面介绍由 Google 安全运维套件创建并作为 Cloud Audit Logs 编写的审核日志。
如需大致了解 Cloud Audit Logs,请参阅 Cloud Audit Logs 概览。如需深入了解审核日志格式,请参阅了解审核日志。
可用的审核日志
审核日志服务名称和审核的操作因您注册的预览版计划而异。Google 安全操作审核日志使用以下服务名称之一:
chronicle.googleapis.comchronicleservicemanager.googleapis.commalachitefrontend-pa.googleapis.com
无论预览计划为何,审核操作都会对写入的所有审核日志使用资源类型 audited_resource。根据您加入的试用计划,没有区别。
服务名称为“chronicle.googleapis.com”的日志
以下日志类型适用于服务名称为 chronicle.googleapis.com 的 Google 安全操作审核日志。
如需了解详情,请参阅 IAM 中的 Google SecOps 权限。
| 审核日志类型 | 说明 |
|---|---|
| 管理员活动审核日志 | 包括写入元数据或配置信息的管理员写入操作。Google Security Operations 中会生成此类日志的操作包括更新 Feed 和创建规则。chronicle.googleapis.com/feeds.updatechronicle.googleapis.com/rules.createchronicle.googleapis.com/parsers.activate
|
| 数据访问审核日志 | 包括读取元数据或配置信息的管理员读取操作。此外,还包括读取或写入用户提供的数据的“数据读取”和“数据写入”操作。Google Security Operations 中生成此类日志的操作包括获取 Feed 和列表规则。chronicle.googleapis.com/feeds.getchronicle.googleapis.com/rules.listchronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections |
服务名称为“chronicleservicemanager.googleapis.com”的日志
使用 chronicleservicemanager.googleapis.com 服务名称编写的 Google 安全操作审核日志仅可在组织级别使用,而不能在项目级别使用。
使用 chronicleservicemanager.googleapis.com 服务名称编写的 Google 安全操作审核日志提供以下日志类型。
| 审核日志类型 | 说明 |
|---|---|
| 管理员活动审核日志 | 包括写入元数据或配置信息的管理员写入操作。Google Security Operations 中会生成此类日志的操作包括创建 Google Cloud 关联和更新 Google Cloud 日志过滤条件。chronicleservicemanager.googleapis.com/gcpAssociations.createchronicleservicemanager.googleapis.com/gcpAssociations.deletechronicleservicemanager.googleapis.com/gcpSettings.delete
|
| 数据访问审核日志 | 包括读取元数据或配置信息的管理员读取操作。此外,还包括读取或写入用户提供的数据的“数据读取”和“数据写入”操作。Google Security Operations 中会生成此类日志的操作包括列出实例和客户元数据。chronicleservicemanager.googleapis.com/gcpAssociations.getchronicleservicemanager.googleapis.com/gcpSettings.get
|
服务名称为“malachitefrontend-pa.googleapis.com”的日志
以下日志类型适用于服务名称为 malachitefrontend-pa.googleapis.com 的 Google 安全操作审核日志。
Google Security Operations Frontend API 操作会向 Google 安全操作界面提供数据以及从 Google 安全操作界面接收数据。Google Security Operations Frontend API 大致包含数据访问操作。
| 审核日志类型 | Google 安全运维套件 |
|---|---|
| 管理员活动审核日志 | 包括与更新相关的 activity,例如 UpdateRole 和 UpdateSubject。 |
| 数据访问审核日志 | 包括与视图相关的 activity,例如 ListRoles 和 ListSubjects。 |
审核日志格式
审核日志条目包含以下对象:
日志条目本身,即类型为
LogEntry的对象。有用的字段包括:logName包含资源 ID 和审核日志类型。resource包含所审核操作的目标。timeStamp包含所审核操作的时间。protoPayload包含审核的信息。
审核日志记录数据,即保存在日志条目的
protoPayload字段中的AuditLog对象。(可选)服务专属的审核信息,即服务专属对象。对于早期集成,此对象保存在
AuditLog对象的serviceData字段中;较新的集成使用metadata字段。protoPayload.authenticationInfo.principalSubject字段包含用户主账号。用于指明执行操作的用户。protoPayload.methodName字段包含界面代表用户调用的 API 方法名称。protoPayload.status字段包含 API 调用的状态。status值为空表示成功。非空status值表示失败,并包含对错误的说明。状态代码 7 表示权限遭拒。chronicle.googleapis.com服务包含protoPayload.authorizationInfo字段。其中包含所请求资源的名称、所检查的权限名称,以及访问权限是被授予还是拒绝。
如需了解上述对象中的其他字段以及如何解读这些字段,请参阅了解审核日志。
以下示例展示了项目级管理员活动审核日志和数据访问审核日志的日志名称。变量表示 Google Cloud 项目标识符。
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
启用审核日志记录
如需为 chronicle.googleapis.com 服务启用审核日志记录,请参阅启用数据访问审核日志。
在您拥有的项目中启用 Google SecOps API surface 后,系统会将 Google 安全运维审核日志写入 Google Cloud 项目。旧版审核日志(包括 malachitefrontend-pa.googleapis.com 中的日志)将写入 Google Cloud 拥有的项目。
如需查看管理员活动审核日志,您必须先将 Google 安全操作实例迁移到 IAM 以进行访问权限控制。
管理员活动审核日志始终处于启用状态。您无法将其停用。数据访问审核日志默认处于启用状态。如果要在客户拥有的项目中停用数据访问审核日志,请与您的 Google 安全运营代表联系,他们可以为您停用此功能。如需了解 Cloud Logging 价格,请参阅 Google Cloud 可观测性价格:Cloud Logging。
如需为其他服务启用审核日志记录,请与 Google 安全运营支持团队联系。
如需了解写入的日志类型,请参阅可用的审核日志。
查看日志
如需查找和查看审核日志,请使用 Google Cloud 项目 ID。对于使用 Google Cloud 拥有的项目配置的 malachitefrontend-pa.googleapis.com 旧版审核日志记录,Google 安全运营支持团队会向您提供此信息。您可以进一步指定其他已编入索引的 LogEntry 字段,如 resource.type。如需了解详情,请参阅快速查找日志条目。
在 Google Cloud 控制台中,使用日志浏览器检索 Google Cloud 项目的审核日志条目:
在 Google Cloud 控制台中,转到 Logging > Logs Explorer 页面。
在 Logs Explorer 页面上,选择一个现有的 Google Cloud 项目、文件夹或组织。
在查询构建器窗格中,执行以下操作:
在资源类型中,选择要查看其审核日志的 Google Cloud 资源。
在日志名称中,选择要查看的审核日志类型:
对于管理员活动审核日志,选择 activity。
对于数据访问审核日志,选择 data_access。
如果您没有看到这些选项,则表示 Google Cloud 项目、文件夹或组织中没有该类型的审核日志。
如需详细了解如何使用日志浏览器进行查询,请参阅构建日志查询。
如需查看审核日志条目示例并了解如何在其中找到最重要的信息,请参阅审核日志条目示例。
示例:chronicle.googleapis.com 服务名称日志
以下部分介绍了使用 chronicle.googleapis.com 服务名称的 Cloud Audit Logs 常见使用场景。
列出特定用户执行的操作
如需查找指定用户执行的操作,请在日志浏览器中运行以下查询:
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
识别执行了特定操作的用户
如需查找更新了检测规则的用户,请在日志浏览器中运行以下查询:
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"
示例:cloudresourcemanager.googleapis.com 服务名称日志
如需查找更新了访问权限控制角色或主题的用户,请在日志浏览器中运行以下查询:
resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"
示例:malachitefrontend-pa.googleapis.com 服务名称日志
以下部分介绍了使用 malachitefrontend-pa.googleapis.com 服务名称的 Cloud Audit Logs 常见使用场景。
列出特定用户执行的操作
如需查找指定用户执行的操作,请在日志浏览器中运行以下查询:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
识别执行了特定操作的用户
如需查找更新了访问权限控制主题的用户,请在日志浏览器中运行以下查询:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"
如需查找更新了访问权限控制角色的用户,请在日志浏览器中运行以下查询:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"
如需查找更新了检测规则的用户,请在日志浏览器中运行以下查询:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"