Informasi logging audit Chronicle

Layanan Google Cloud menulis log audit untuk membantu memberi tahu Anda siapa yang melakukan apa, di mana, dan kapan dalam resource Google Cloud Anda. Halaman ini menjelaskan log audit yang dibuat oleh Chronicle dan ditulis sebagai Cloud Audit Logs.

Untuk ringkasan umum tentang Cloud Audit Logs, lihat ringkasan Cloud Audit Logs. Untuk mendapatkan pemahaman yang lebih mendalam tentang format log audit, lihat Memahami log audit.

Log audit yang tersedia

Nama layanan log audit dan operasi yang diaudit berbeda, bergantung pada program pratinjau tempat Anda terdaftar. Log audit Chronicle menggunakan salah satu nama layanan berikut:

  • chronicle.googleapis.com
  • chronicleservicemanager.googleapis.com
  • malachitefrontend-pa.googleapis.com

Operasi audit menggunakan jenis resource audited_resource untuk semua log audit yang ditulis, terlepas dari program pratinjau. Tidak ada perbedaan berdasarkan program pratinjau tempat Anda terdaftar.

Log dengan nama layanan chronicle.googleapis.com

Jenis log berikut tersedia untuk log audit Chronicle dengan nama layanan chronicle.googleapis.com.

Untuk mengetahui informasi selengkapnya, lihat Izin Chronicle di IAM.

Jenis log audit Deskripsi
Log audit Aktivitas Admin Mencakup operasi penulisan admin yang menulis metadata atau informasi konfigurasi. Tindakan di Chronicle yang menghasilkan jenis log ini mencakup memperbarui feed dan membuat aturan.

chronicle.googleapis.com/feeds.update
chronicle.googleapis.com/rules.create
chronicle.googleapis.com/parsers.activate
Log audit Akses Data Mencakup operasi pembacaan admin yang membaca metadata atau informasi konfigurasi. Juga mencakup operasi pembacaan data dan penulisan data yang membaca atau menulis data yang disediakan pengguna. Tindakan di Chronicle yang menghasilkan jenis log ini termasuk mendapatkan feed dan aturan listingan.

chronicle.googleapis.com/feeds.get
chronicle.googleapis.com/rules.list
chronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections

Log dengan nama layanan chronicleservicemanager.googleapis.com

Log audit Chronicle yang ditulis menggunakan nama layanan chronicleservicemanager.googleapis.com hanya tersedia di level organisasi, bukan di level project.

Jenis log berikut tersedia untuk log audit Chronicle yang ditulis menggunakan nama layanan chronicleservicemanager.googleapis.com.

Jenis log audit Deskripsi
Log audit Aktivitas Admin Mencakup operasi penulisan admin yang menulis metadata atau informasi konfigurasi. Tindakan di Chronicle yang menghasilkan jenis log ini termasuk membuat Asosiasi Google Cloud dan memperbarui filter log Google Cloud.

chronicleservicemanager.googleapis.com/gcpAssociations.create
chronicleservicemanager.googleapis.com/gcpAssociations.delete
chronicleservicemanager.googleapis.com/gcpSettings.delete
Log audit Akses Data Mencakup operasi pembacaan admin yang membaca metadata atau informasi konfigurasi. Juga mencakup operasi pembacaan data dan penulisan data yang membaca atau menulis data yang disediakan pengguna. Tindakan di Chronicle yang menghasilkan jenis log ini mencakup instance listingan dan metadata pelanggan.

chronicleservicemanager.googleapis.com/gcpAssociations.get
chronicleservicemanager.googleapis.com/gcpSettings.get

Log dengan nama layanan malachitefrontend-pa.googleapis.com

Jenis log berikut tersedia untuk log audit Chronicle dengan nama layanan malachitefrontend-pa.googleapis.com.

Operasi Chronicle Frontend API menyediakan data ke dan dari UI Chronicle. Chronicle Frontend API secara luas terdiri dari operasi akses data.

Jenis log audit Operasi Chronicle
Log audit Aktivitas Admin Mencakup aktivitas terkait update, seperti UpdateRole dan UpdateSubject.
Log audit Akses Data Mencakup aktivitas terkait tampilan, seperti ListRoles dan ListSubjects.

Format log audit

Entri log audit mencakup objek berikut:

  • Entri log itu sendiri, yang merupakan objek berjenis LogEntry. Kolom yang berguna mencakup hal berikut:

    • logName berisi ID resource dan jenis log audit.
    • resource berisi target operasi yang diaudit.
    • timeStamp berisi waktu operasi yang diaudit.
    • protoPayload berisi informasi yang diaudit.
  • Data logging audit, yang merupakan objek AuditLog yang disimpan di kolom protoPayload entri log.

  • Informasi audit khusus layanan opsional, yang merupakan objek khusus layanan. Untuk integrasi yang lebih lama, objek ini disimpan di kolom serviceData pada objek AuditLog; integrasi yang lebih baru menggunakan kolom metadata.

  • Kolom protoPayload.authenticationInfo.principalSubject berisi akun utama pengguna. Ini menunjukkan siapa yang melakukan tindakan.

  • Kolom protoPayload.methodName berisi nama metode API yang dipanggil oleh UI atas nama pengguna.

  • Kolom protoPayload.status berisi status panggilan API. Nilai status kosong menunjukkan keberhasilan. Nilai status yang tidak kosong menunjukkan kegagalan dan berisi deskripsi error. Kode status 7 menunjukkan izin ditolak.

  • Layanan chronicle.googleapis.com mencakup kolom protoPayload.authorizationInfo. File ini berisi nama resource yang diminta, nama izin yang diperiksa, dan apakah akses diberikan atau ditolak.

Untuk kolom lain dalam objek ini dan cara menafsirkannya, tinjau Memahami log audit.

Contoh berikut menunjukkan nama log untuk log audit Aktivitas Admin level project dan log audit Akses Data. Variabelnya menunjukkan ID project Google Cloud.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Mengaktifkan logging audit

Guna mengaktifkan logging audit untuk layanan chronicle.googleapis.com, lihat Mengaktifkan log audit Akses Data.

Log audit Chronicle ditulis ke project Google Cloud setelah mengaktifkan platform Chronicle API dalam project yang Anda miliki. Log audit lama, termasuk yang ada di malachitefrontend-pa.googleapis.com, ditulis ke project yang dimiliki Google Cloud.

Untuk melihat log audit Aktivitas Admin, Anda harus terlebih dahulu memigrasikan instance Chronicle ke IAM untuk kontrol akses.

Log audit Aktivitas Admin selalu diaktifkan. Anda tidak dapat menonaktifkannya. Log audit Akses Data diaktifkan secara default. Jika ingin menonaktifkan log audit Akses Data di project milik pelanggan, hubungi perwakilan Chronicle Anda yang dapat menonaktifkannya untuk Anda. Untuk mengetahui informasi tentang harga Cloud Logging, lihat Harga Google Cloud Observability: Cloud Logging.

Guna mengaktifkan logging audit untuk layanan lainnya, hubungi Chronicle Support.

Untuk deskripsi jenis log yang ditulis, lihat Log audit yang tersedia.

Lihat log

Untuk menemukan dan melihat log audit, gunakan project ID Google Cloud. Untuk logging audit lama dari malachitefrontend-pa.googleapis.com yang dikonfigurasi menggunakan project milik Google Cloud, Dukungan Chronicle memberikan informasi ini kepada Anda. Anda dapat menentukan lebih lanjut kolom LogEntry lain yang diindeks, seperti resource.type. Untuk mengetahui informasi selengkapnya, lihat Menemukan entri log dengan cepat.

Di konsol Google Cloud, gunakan Logs Explorer untuk mengambil entri log audit Anda untuk project Google Cloud:

  1. Di konsol Google Cloud, buka halaman Logging > Logs Explorer.

    Buka Logs Explorer

  2. Di halaman Logs Explorer, pilih project, folder, atau organisasi Google Cloud yang sudah ada.

  3. Di panel Query builder, lakukan hal berikut:

    • Di Resource type, pilih resource Google Cloud yang log auditnya ingin Anda lihat.

    • Di Log name, pilih jenis log audit yang ingin dilihat:

    • Untuk log audit Aktivitas Admin, pilih activity.

    • Untuk log audit Akses Data, pilih data_access.

    Jika Anda tidak melihat opsi ini, berarti tidak ada log audit dengan jenis tersebut yang tersedia di project, folder, atau organisasi Google Cloud.

    Untuk mengetahui informasi selengkapnya tentang pembuatan kueri menggunakan Logs Explorer, lihat Mem-build kueri log.

Untuk contoh entri log audit dan cara mencari informasi yang paling penting di dalamnya, lihat Contoh entri log audit.

Contoh: chronicle.googleapis.com log nama layanan

Bagian berikut menjelaskan kasus penggunaan umum untuk Cloud Audit Logs yang menggunakan nama layanan chronicle.googleapis.com.

Tindakan listingan yang dilakukan oleh pengguna tertentu

Untuk menemukan tindakan yang diambil oleh pengguna tertentu, jalankan kueri berikut di Logs Explorer:

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

Mengidentifikasi pengguna yang melakukan tindakan tertentu

Untuk menemukan pengguna yang memperbarui aturan deteksi, jalankan kueri berikut di Logs Explorer:

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"

Contoh: Log nama layanan cloudresourcemanager.googleapis.com

Untuk menemukan pengguna yang memperbarui peran atau subjek kontrol akses, jalankan kueri berikut di Logs Explorer:

resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"

Contoh: malachitefrontend-pa.googleapis.com log nama layanan

Bagian berikut menjelaskan kasus penggunaan umum untuk Cloud Audit Logs yang menggunakan nama layanan malachitefrontend-pa.googleapis.com.

Tindakan listingan yang dilakukan oleh pengguna tertentu

Untuk menemukan tindakan yang diambil oleh pengguna tertentu, jalankan kueri berikut di Logs Explorer:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

Mengidentifikasi pengguna yang melakukan tindakan tertentu

Untuk menemukan pengguna yang memperbarui subjek kontrol akses, jalankan kueri berikut di Logs Explorer:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"

Untuk menemukan pengguna yang memperbarui peran kontrol akses, jalankan kueri berikut di Logs Explorer:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"

Untuk menemukan pengguna yang memperbarui aturan deteksi, jalankan kueri berikut di Logs Explorer:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"