Informationen zum Audit-Logging in Chronicle

Google Cloud-Dienste schreiben Audit-Logs, damit Sie wissen, wer was, wo und wann in Ihren Google Cloud-Ressourcen getan hat. Auf dieser Seite werden die von Chronicle erstellten und als Cloud-Audit-Logs erstellten Audit-Logs beschrieben.

Eine allgemeine Übersicht über Cloud-Audit-Logs finden Sie in der Übersicht zu Cloud-Audit-Logs. Weitere Informationen zum Audit-Log-Format finden Sie unter Audit-Logs verstehen.

Verfügbare Audit-Logs

Der Name des Audit-Log-Dienstes und die geprüften Vorgänge unterscheiden sich je nach dem Vorschauprogramm, für das Sie angemeldet sind. Chronicle-Audit-Logs verwenden einen der folgenden Dienstnamen:

  • chronicle.googleapis.com
  • chronicleservicemanager.googleapis.com
  • malachitefrontend-pa.googleapis.com

Auditvorgänge verwenden den Ressourcentyp audited_resource für alle geschriebenen Audit-Logs, unabhängig vom Vorschauprogramm. Es gibt keinen Unterschied je nach dem Vorschauprogramm, für das Sie sich angemeldet haben.

Logs mit dem Dienstnamen chronicle.googleapis.com

Die folgenden Logtypen sind für Chronicle-Audit-Logs mit dem Dienstnamen chronicle.googleapis.com verfügbar.

Weitere Informationen finden Sie unter Chronicle-Berechtigungen in IAM.

Audit-Log-Typ Beschreibung
Audit-Logs zur Administratoraktivität Umfasst Schreibvorgänge für Administratoren, bei denen Metadaten oder Konfigurationsinformationen geschrieben werden. Aktionen in Chronicle, die diese Art von Protokoll generieren, umfassen das Aktualisieren von Feeds und das Erstellen von Regeln.

chronicle.googleapis.com/feeds.update
chronicle.googleapis.com/rules.create
chronicle.googleapis.com/parsers.activate
Audit-Logs zum Datenzugriff Umfasst Administrator-Lesevorgänge, die Metadaten oder Konfigurationsinformationen lesen. Umfasst auch Datenlese- und Datenschreibvorgänge, bei denen von Nutzern bereitgestellte Daten gelesen oder geschrieben werden. Aktionen in Chronicle, die diese Art von Protokoll generieren, beinhalten das Abrufen von Feeds und Listenregeln.

chronicle.googleapis.com/feeds.get
chronicle.googleapis.com/rules.list
chronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections

Logs mit dem Dienstnamen chronicleservicemanager.googleapis.com

Chronicle-Audit-Logs, die mit dem Dienstnamen chronicleservicemanager.googleapis.com geschrieben wurden, sind nur auf Organisationsebene, nicht auf Projektebene verfügbar.

Die folgenden Logtypen sind für Chronicle-Audit-Logs verfügbar, die mit dem Dienstnamen chronicleservicemanager.googleapis.com geschrieben werden.

Audit-Log-Typ Beschreibung
Audit-Logs zur Administratoraktivität Umfasst Schreibvorgänge für Administratoren, bei denen Metadaten oder Konfigurationsinformationen geschrieben werden. Aktionen in Chronicle, die diese Art von Log generieren, umfassen das Erstellen einer Google Cloud-Verknüpfung und das Aktualisieren von Google Cloud-Logfiltern.

chronicleservicemanager.googleapis.com/gcpAssociations.create
chronicleservicemanager.googleapis.com/gcpAssociations.delete
chronicleservicemanager.googleapis.com/gcpSettings.delete
Audit-Logs zum Datenzugriff Umfasst Administrator-Lesevorgänge, die Metadaten oder Konfigurationsinformationen lesen. Umfasst auch Datenlese- und Datenschreibvorgänge, bei denen von Nutzern bereitgestellte Daten gelesen oder geschrieben werden. Aktionen in Chronicle, die diese Art von Log generieren, beinhalten das Auflisten von Instanzen und Kundenmetadaten.

chronicleservicemanager.googleapis.com/gcpAssociations.get
chronicleservicemanager.googleapis.com/gcpSettings.get

Logs mit dem Dienstnamen malachitefrontend-pa.googleapis.com

Die folgenden Logtypen sind für Chronicle-Audit-Logs mit dem Dienstnamen malachitefrontend-pa.googleapis.com verfügbar.

Chronicle Frontend API-Vorgänge stellen Daten zur und von der Chronicle-UI bereit. Die Chronicle Frontend API besteht im Wesentlichen aus Datenzugriffsvorgängen.

Audit-Log-Typ Chronicle-Vorgänge
Audit-Logs zur Administratoraktivität Umfasst Update-bezogene Aktivitäten wie UpdateRole und UpdateSubject.
Audit-Logs zum Datenzugriff Umfasst aufrufbezogene Aktivitäten wie ListRoles und ListSubjects.

Audit-Logformat

Audit-Logeinträge umfassen folgende Komponenten:

  • Der Logeintrag selbst, bei dem es sich um ein Objekt vom Typ LogEntry handelt Nützliche Felder sind:

    • logName enthält die Ressourcen-ID und den Audit-Logtyp.
    • resource enthält das Ziel zum geprüften Vorgang.
    • timeStamp enthält die Uhrzeit des geprüften Vorgangs.
    • protoPayload enthält die geprüften Informationen.

  • Audit-Logging-Daten, bei denen es sich um ein AuditLog-Objekt im Feld protoPayload des Logeintrags handelt.

  • Optionale dienstspezifische Auditinformationen. Das Objekt ist dienstspezifisch. Bei älteren Integrationen befindet sich dieses Objekt im Feld serviceData des AuditLog-Objekts. Neuere Integrationen verwenden das Feld metadata.

  • Das Feld protoPayload.authenticationInfo.principalSubject enthält das Hauptkonto des Nutzers. Hier wird angegeben, wer die Aktion ausgeführt hat.

  • Das Feld protoPayload.methodName enthält den Namen der API-Methode, der von der Benutzeroberfläche im Namen des Nutzers aufgerufen wird.

  • Das Feld protoPayload.status enthält den Status des API-Aufrufs. Ein leerer status-Wert bedeutet, dass der Vorgang erfolgreich war. Ein nicht leerer status-Wert weist auf einen Fehler hin und enthält eine Fehlerbeschreibung. Statuscode 7 gibt an, dass die Berechtigung verweigert wurde.

  • Der Dienst chronicle.googleapis.com enthält das Feld protoPayload.authorizationInfo. Sie enthält den Namen der angeforderten Ressource, den Namen der geprüften Berechtigung und Angaben dazu, ob der Zugriff gewährt oder verweigert wurde.

Informationen zu anderen Feldern in diesen Objekten und zu deren Auswertung finden Sie unter Audit-Logs verstehen.

Das folgende Beispiel zeigt Lognamen für Audit-Logs zur Administratoraktivität und zum Datenzugriff auf Projektebene. Die Variablen kennzeichnen Google Cloud-Projekt-IDs.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Audit-Logging aktivieren

Informationen zum Aktivieren von Audit-Logging für den Dienst chronicle.googleapis.com finden Sie unter Audit-Logs zum Datenzugriff aktivieren.

Chronicle-Audit-Logs werden in ein Google Cloud-Projekt geschrieben, nachdem die Chronicle API-Oberfläche in einem Projekt aktiviert wurde, dessen Inhaber Sie sind. Legacy-Audit-Logs, einschließlich der Logs im malachitefrontend-pa.googleapis.com, werden in ein Projekt geschrieben, das Google Cloud gehört.

Damit Sie die Audit-Logs zur Administratoraktivität aufrufen können, müssen Sie zuerst Ihre Chronicle-Instanz für die Zugriffssteuerung zu IAM migrieren.

Audit-Logs zur Administratoraktivität sind immer aktiviert. Sie können sie nicht deaktivieren. Audit-Logs zum Datenzugriff sind standardmäßig aktiviert. Wenn Sie Audit-Logs zum Datenzugriff in Ihrem kundeneigenen Projekt deaktivieren möchten, wenden Sie sich an Ihren Chronicle-Ansprechpartner, der dies für Sie deaktivieren kann. Informationen zu den Preisen für Cloud Logging finden Sie unter Preise für die Beobachtbarkeit von Google Cloud: Cloud Logging.

Wenden Sie sich an den Chronicle-Support, um Audit-Logging für die anderen Dienste zu aktivieren.

Eine Beschreibung der Art der geschriebenen Logs finden Sie unter Verfügbare Audit-Logs.

Logs ansehen

Verwenden Sie die Google Cloud-Projekt-ID, um Audit-Logs zu suchen und anzusehen. Für das Legacy-Audit-Logging von malachitefrontend-pa.googleapis.com, das mit einem Google Cloud-Projekt konfiguriert wurde, hat der Chronicle-Support Ihnen diese Informationen bereitgestellt. Sie können weitere indexierte LogEntry-Felder angeben, z. B. resource.type. Weitere Informationen finden Sie unter Logeinträge schnell finden.

Rufen Sie in der Google Cloud Console mit dem Log-Explorer Ihre Audit-Logeinträge für das Google Cloud-Projekt ab:

  1. Rufen Sie in der Google Cloud Console die Seite Logging > Log-Explorer auf.

    Zum Log-Explorer

  2. Wählen Sie auf der Seite Log-Explorer ein vorhandenes Google Cloud-Projekt, einen Ordner oder eine Organisation aus.

  3. Führen Sie im Bereich Query Builder folgende Schritte aus:

    • Wählen Sie unter Ressourcentyp die Google Cloud-Ressource aus, deren Audit-Logs angezeigt werden sollen.

    • Wählen Sie unter Logname den Audit-Logtyp aus, den Sie sehen möchten:

    • Wählen Sie für Audit-Logs zu Administratoraktivitäten die Option activity aus.

    • Wählen Sie für Audit-Logs zum Datenzugriff die Option data_access aus.

    Wenn diese Optionen nicht angezeigt werden, sind im Google Cloud-Projekt, im Ordner oder in der Google Cloud-Organisation keine Audit-Logs dieses Typs verfügbar.

    Weitere Informationen zu Abfragen mit dem Log-Explorer finden Sie unter Logabfragen erstellen.

Ein Beispiel für einen Audit-Logeintrag und wie Sie die wichtigsten Informationen darin finden, finden Sie unter Beispiel für einen Audit-Logeintrag.

Beispiele: chronicle.googleapis.com-Dienstnamenslogs

In den folgenden Abschnitten werden häufige Anwendungsfälle für Cloud-Audit-Logs beschrieben, die den Dienstnamen chronicle.googleapis.com verwenden.

Aktionen eines bestimmten Nutzers auflisten

Führen Sie die folgende Abfrage im Log-Explorer aus, um die Aktionen eines bestimmten Nutzers zu ermitteln:

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

Nutzer identifizieren, die eine bestimmte Aktion ausgeführt haben

Führen Sie die folgende Abfrage im Log-Explorer aus, um die Nutzer zu finden, die eine Erkennungsregel aktualisiert haben:

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"

Beispiel: cloudresourcemanager.googleapis.com-Dienstnamenslog

Führen Sie die folgende Abfrage im Log-Explorer aus, um die Nutzer zu finden, die eine Rolle oder ein Thema für die Zugriffssteuerung aktualisiert haben:

resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"

Beispiele: malachitefrontend-pa.googleapis.com-Dienstnamenslogs

In den folgenden Abschnitten werden häufige Anwendungsfälle für Cloud-Audit-Logs beschrieben, die den Dienstnamen malachitefrontend-pa.googleapis.com verwenden.

Aktionen eines bestimmten Nutzers auflisten

Führen Sie die folgende Abfrage im Log-Explorer aus, um die Aktionen eines bestimmten Nutzers zu ermitteln:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

Nutzer identifizieren, die eine bestimmte Aktion ausgeführt haben

Führen Sie die folgende Abfrage im Log-Explorer aus, um die Nutzer zu finden, die ein Zugriffssteuerungsthema aktualisiert haben:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"

Führen Sie die folgende Abfrage im Log-Explorer aus, um die Nutzer zu finden, die eine Rolle für die Zugriffssteuerung aktualisiert haben:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"

Führen Sie die folgende Abfrage im Log-Explorer aus, um die Nutzer zu finden, die eine Erkennungsregel aktualisiert haben:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"