Afficher les journaux d'audit

Cette page fournit des informations supplémentaires sur l'utilisation de Cloud Audit Logging avec Compute Engine. Utilisez Cloud Audit Logging pour générer des journaux concernant les opérations d'API effectuées dans Google Compute Engine.

Les journaux d'audit sont différents des journaux d'activité. Les journaux d'audit vous aident à répondre aux questions du type "Qui a fait quoi, où et quand ?". En particulier, les journaux d'audit permettent de suivre la manière dont vos ressources Compute Engine sont modifiées et consultées dans vos projets Google Cloud Platform à des fins d'audit. Les journaux d'activité vous permettent de suivre certains événements qui affectent votre projet, y compris les appels d'API qui modifient l'état d'une ressource et les événements système. Cependant ils ne renvoient pas d'informations d'autorisation, d'informations de demande d'API ou de réponses d'API. Les journaux d'activité n'incluent pas d'opérations en lecture seule.

Informations enregistrées

Cloud Audit Logging renvoie trois types de journaux :

  • Journaux pour les activités d'administration : ils contiennent les entrées de journal relatives aux opérations qui modifient la configuration ou les métadonnées d'une ressource Compute Engine. Les appels d'API qui modifient une ressource, comme la création, la suppression, la mise à jour ou la modification d'une ressource à l'aide d'un verbe personnalisé, appartiennent à cette catégorie.

  • Journaux pour les événements système : ils contiennent les entrées de journal relatives aux opérations de maintenance du système sur les ressources Compute Engine.

  • Journaux pour l'accès aux données : ils contiennent les entrées de journal relatives aux opérations en lecture seule qui ne modifient aucune donnée, telles que "get" et "list", ainsi que les méthodes de liste agrégée. Contrairement aux journaux d'audit pour les autres services, Compute Engine n'offre que des journaux relatifs à l'accès aux données ADMIN_READ et ne propose généralement pas les journaux DATA_READ et DATA_WRITE. En effet, les journaux DATA_READ et DATA_WRITE ne sont utilisés que pour les services qui stockent et gèrent des données utilisateur tels que Google Cloud Storage, Google Cloud Spanner et Google Cloud SQL, ce qui ne s'applique pas à Compute Engine. Il existe une exception à cette règle : la méthode instance.getSerialPortOutput génère un journal DATA_READ, car elle lit les données directement à partir de l'instance de VM.

Le tableau suivant résume les opérations de Compute Engine dans chaque type de journal :

Type d'entrée de journal Sous-type Opérations
Activité d'administration N/A
  • Créer des ressources
  • Mettre à jour des ressources/Appliquer un correctif sur des ressources
  • Définir/Modifier des métadonnées
  • Définir/Modifier des tags
  • Définir/Modifier des libellés
  • Définir/Modifier des autorisations
  • Définir/Modifier les propriétés d'une ressource (y compris les verbes personnalisés)
Événement système N/A
  • Pendant la maintenance de l'hôte
  • Préemption de l'instance
  • Redémarrage automatique
  • Réinitialisation de l'instance
  • Connexion/Déconnexion du port série
Accès aux données ADMIN_READ
  • Obtenir des informations sur une ressource
  • Répertorier des ressources
  • Répertorier des ressources dans le champ d'application (demandes de liste agrégée)
DATA_READ Récupérer le contenu de la console du port série

Les journaux Compute Engine utilisent un objet AuditLog et respectent le même format que les autres journaux Cloud Audit Logging. Ces journaux contiennent des informations telles que :

  • l'utilisateur qui a effectué la demande, y compris son adresse e-mail ;
  • le nom de la ressource sur laquelle la demande a été effectuée ;
  • le résultat de la demande.

Paramètres des journaux

Les journaux relatifs aux activités d'administration et aux événements système sont enregistrés par défaut. Ils ne sont pas comptabilisés dans votre quota d'attribution de journaux.

Les journaux relatifs à l'accès aux données ne sont pas enregistrés par défaut. Ils sont comptabilisés dans votre quota d'attribution de journaux. Pour savoir comment activer les journaux pour des opérations liées à l'accès aux données, consultez la page Configurer les journaux pour l'accès aux données.

Accès aux journaux

Les utilisateurs suivants peuvent afficher les journaux pour les activités d'administration et pour les événements système :

Les utilisateurs suivants peuvent afficher les journaux des accès aux données :

  • Propriétaires de projet
  • Utilisateurs disposant du rôle IAM Lecteur des journaux privés
  • Utilisateurs disposant de l'autorisation IAM logging.privateLogEntries.list

Consultez la section relative à l'ajout des membres IAM à un projet pour obtenir des instructions sur les autorisations d'accès.

Afficher les journaux

Vous pouvez afficher un résumé des journaux d'audit pour votre projet dans le flux d'activités de la console Google Cloud Platform. Pour afficher une version plus détaillée des journaux, consultez la page de la visionneuse de journaux.

Consultez le guide de Cloud Audit Logging pour en savoir plus sur le filtrage des journaux dans la visionneuse de journaux.

Masquer les données dans les journaux d'audit

Les journaux d'audit enregistrent les données de demande et de réponse des actions d'API effectuées. Cependant, dans les cas suivants, les informations de demande ou de réponse ne sont pas disponibles ou sont masquées :

  • Pour les requêtes d'API instance.setMetadata et project.setCommonInstanceMetadata, la partie métadonnées du corps de la requête est masquée pour éviter la journalisation des informations sensibles envoyées dans les métadonnées.
  • Les champs sensibles sont masqués dans les requêtes, comme les clés privées pour les certificats SSL et les clés de chiffrement fournies par le client pour les disques.
  • Le corps des réponses "get" et "list" est masquée pour éviter la journalisation des informations privées.

Étape suivante

Cette page vous a-t-elle été utile ? Évaluez-la :

Envoyer des commentaires concernant…

Documentation Compute Engine