監査ログの表示

このページでは、Compute Engine で Cloud Audit Logging を使用する場合の補足情報を提供します。Cloud Audit Logging を使用すると、Compute Engine で実行された API オペレーションのログを生成できます。

監査ログは、アクティビティ ログとは異なります。監査ログは、誰がどこでいつ何をしたかを判断するために役立ちます。具体的には、Google Cloud Platform プロジェクト内で発生した Compute Engine リソースに対する変更とアクセスの内容を監査目的で追跡します。アクティビティ ログでは、リソースとシステム イベントの状態を変更する API 呼び出しなど、プロジェクトに影響を及ぼすイベントを追跡することはできますが、承認情報、API リクエスト情報、API レスポンスは返されません。また、アクティビティ ログには読み取り専用のオペレーションも含まれません。

ログに記録される情報

Cloud Audit Logging は、次の 3 種類のログを返します。

  • 管理アクティビティ ログ: Compute Engine リソースの構成やメタデータを変更するオペレーションのログエントリが含まれます。たとえば、カスタム動詞を使用したリソースの作成、削除、更新、変更など、リソースを変更する API 呼び出しがこのカテゴリに分類されます。

  • システム イベント ログ: Compute Engine リソースに対するシステム メンテナンス オペレーションのログエントリが含まれます。

  • データアクセス ログ: 取得メソッド、一覧表示メソッド、集約リストメソッドなど、データを変更しない読み取り専用オペレーションを実行するオペレーションのログエントリが含まれます。他のサービスの監査ログと異なり、Compute Engine では ADMIN_READ データアクセス ログのみ提供し、通常は DATA_READ ログと DATA_WRITE ログを提供しません。これは、DATA_READ ログも DATA_WRITE ログも、ユーザーデータを格納および管理するサービス(Google Cloud Storage、Google Cloud Spanner、Google Cloud SQL など)にのみ使用されるためです。Compute Engine は、このようなサービスに該当しません。ただし、instance.getSerialPortOutput メソッドは VM インスタンスから直接データを読み取り、DATA_READ ログを生成するため、上記のルールの例外となります。

次の表に、各ログに書き込まれる Compute Engine オペレーションをまとめます。

ログエントリのタイプ サブタイプ オペレーション
管理アクティビティ なし
  • リソースの作成
  • リソースの更新 / パッチ適用
  • メタデータの設定 / 変更
  • タグの設定 / 変更
  • ラベルの設定 / 変更
  • 権限の設定 / 変更
  • リソースのプロパティの設定 / 変更(カスタム動詞を含む)
システム イベント なし
  • ホスト メンテナンス時
  • インスタンスのプリエンプション
  • 自動再起動
  • インスタンスのリセット
  • シリアルポートの接続/切断
データアクセス ADMIN_READ
  • リソースに関する情報の取得
  • リソースの一覧表示
  • スコープ全体でのリソースの一覧表示(集約リスト リクエスト)
DATA_READ シリアルポート コンソールの内容の取得

Compute Engine のログは、AuditLog オブジェクトを使用し、他の Cloud Audit Logging ログと同じ形式に従います。ログには次のような情報が含まれます。

  • リクエストを行ったユーザー(ユーザーのメールアドレスなど)
  • リクエストされたリソース名
  • リクエストの結果

ログの設定

デフォルトでは、管理アクティビティ ログとシステム イベント ログが記録されます。これらのログは、ログ取り込み割り当ての計算対象になりません。

デフォルトでは、データアクセス ログは記録されません。これらのログは、ログ取り込み割り当ての計算対象になります。データアクセスに関連するオペレーションのロギングを有効にする方法については、データアクセス ログの構成をご覧ください。

ログへのアクセス

次のユーザーは管理アクティビティ ログとシステム イベント ログを閲覧できます。

次のユーザーは、データアクセス ログを閲覧できます。

アクセス権の付与方法については、プロジェクトへの IAM メンバーの追加をご覧ください。

ログの表示

プロジェクトの監査ログについては、Google Cloud Platform Console のアクティビティ ストリームでその概要を表示できます。ログの詳細は、ログビューアで確認できます。

ログビューアでログをフィルタリングする方法については、Cloud Audit Logging ガイドをご覧ください。

監査ログでのデータ削除

監査ログには、実行された API アクションのリクエスト データとレスポンス データが記録されます。ただし、次のような場合には、リクエスト情報やレスポンス情報が利用できなくなるか、削除されます。

  • instance.setMetadataproject.setCommonInstanceMetadata API リクエストの場合、リクエスト本文のメタデータで送信された機密情報がログに記録されないように、そのメタデータ部分が削除されます。
  • SSL 証明書の秘密鍵やディスクに対する顧客指定の暗号鍵など、機密性の高い項目はリクエストから削除されます。
  • 取得と一覧表示のレスポンスの場合、個人情報がログに記録されないように、レスポンス本文が削除されます。

次のステップ

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...

Compute Engine ドキュメント