Audit-Logs ansehen

Diese Seite enthält ergänzende Informationen zur Verwendung von Cloud Audit Logging mit Compute Engine. Cloud Audit Logging wird verwendet, um Logs für API-Vorgänge zu erstellen, die in Google Compute Engine ausgeführt werden.

Audit-Logs sind nicht mit Aktivitätsprotokollen identisch. Anhand von Audit-Logs können Sie feststellen, wer was, wo und wann getan hat. In Audit-Logs werden zu Prüfzwecken insbesondere der Zugriff auf und Änderungen an den Compute Engine-Ressourcen in Ihren Google Cloud Platform-Projekten nachverfolgt. Mit Aktivitätsprotokollen können Sie bestimmte Ereignisse verfolgen, die sich auf Ihr Projekt auswirken, einschließlich API-Aufrufe, die den Status von Ressourcen ändern, oder Systemereignisse. Sie geben allerdings keine Berechtigungsinformationen, API-Anforderungsinformationen oder API-Antworten zurück. In Aktivitätsprotokollen sind auch keine schreibgeschützten Vorgänge enthalten.

Log-Daten

Cloud-Audit-Logging gibt drei Arten von Logs zurück:

  • Logs für Administratoraktivitäten enthalten Logeinträge für Vorgänge, die die Konfiguration oder die Metadaten einer Compute Engine-Ressource ändern. In diese Kategorie fallen alle API-Aufrufe, die eine Ressource verändern, z. B. das Erstellen, Löschen, Aktualisieren oder Ändern einer Ressource über ein benutzerdefiniertes Verb.

  • Logs für Systemereignisse enthalten Logeinträge für Systemwartungsvorgänge, die Compute Engine-Ressourcen betreffen.

  • Datenzugriffslogs enthalten Logeinträge für schreibgeschützte Vorgänge, durch die keine Daten geändert werden, z. B. die Methoden "get", "list" und "aggregated list". Im Gegensatz zu Audit-Logs für andere Dienste bietet Compute Engine nur ADMIN_READ-Datenzugriffslogs und stellt keine allgemeinen DATA_READ- oder DATA_WRITE-Logs bereit. Dies liegt daran, dass DATA_READ- und DATA_WRITE-Logs nur für Dienste verwendet werden, die Nutzerdaten speichern und verwalten, wie Google Cloud Storage, Google Cloud Spanner und Google Cloud SQL. Bei Compute Engine ist dies allerdings nicht der Fall. Eine Ausnahme hier ist, dass die Methode instance.getSerialPortOutput ein DATA_READ-Log erzeugt, da die Methode Daten direkt aus der VM-Instanz liest.

In der folgenden Tabelle wird zusammengefasst, welche Compute Engine-Vorgänge unter den jeweiligen Logtyp fallen:

Log-Eintragstyp Untertyp Vorgänge
Administratoraktivität
  • Ressourcen erstellen
  • Ressourcen aktualisieren/patchen
  • Metadaten festlegen/ändern
  • Tags festlegen/ändern
  • Label festlegen/ändern
  • Berechtigungen festlegen/ändern
  • Eigenschaften einer Ressource (einschließlich benutzerdefinierte Verben) festlegen/ändern
Systemereignis
  • Bei Host-Wartung
  • Instanzpräemption
  • Automatischer Neustart
  • Instanzzurücksetzung
  • Trennung/Verbindung serieller Ports
Datenzugriff ADMIN_READ
  • Informationen über eine Ressource abrufen
  • Ressourcen auflisten
  • Ressourcen bereichsübergreifend auflisten (Gesamtlistenanfragen)
DATA_READ Inhalte der seriellen Port-Konsole abrufen

Compute Engine-Logs verwenden ein AuditLog-Objekt und nutzen dasselbe Format wie andere Logs von Cloud-Audit-Logging. Die Logs enthalten folgende Informationen:

  • Nutzer, der die Anfrage gestellt hat, einschließlich seiner E-Mail-Adresse
  • Name der Ressource, für die die Anfrage gestellt wurde
  • Ergebnis der Anfrage

Log-Einstellungen

Logs für Administratoraktivitäten und Systemereignisse werden standardmäßig erfasst. Diese Logs werden nicht auf Ihr Log-Aufnahmekontingent angerechnet.

Datenzugriffs-Logs werden nicht standardmäßig erfasst. Diese Logs werden auf Ihr Log-Aufnahmekontingent angerechnet. Informationen zum Aktivieren von Logs für Datenzugriffsvorgänge finden Sie unter Datenzugriffs-Logs konfigurieren.

Log-Zugriff

Die folgenden Nutzer können Logs für Administratoraktivitäten und Systemereignisse ansehen:

Die folgenden Nutzer können Datenzugriffs-Logs ansehen:

Weitere Informationen finden Sie unter IAM-Mitglieder zu einem Projekt hinzufügen.

Logs ansehen

Sie können eine Zusammenfassung der Audit-Logs für Ihr Projekt im Aktivitäten-Stream der Google Cloud Platform Console ansehen. Eine ausführlichere Version der Logs finden Sie in der Log-Anzeige.

Weitere Informationen zum Filtern von Logs in der Log-Anzeige finden Sie unter Cloud Audit Logging – Übersicht.

In Audit-Logs entfernte Daten

Audit-Logs erfassen die Anfrage- und Antwortdaten der ausgeführten API-Aktionen. Unter den folgenden Umständen sind die Anfrage- oder Antwortdaten jedoch nicht verfügbar oder werden entfernt:

  • Bei den API-Anfragen instance.setMetadata und project.setCommonInstanceMetadata wird der Metadatenteil des Anfragetexts entfernt, damit keine vertraulichen Informationen protokolliert werden, die in den Metadaten enthalten sein können.
  • Felder mit vertraulichen Daten werden aus Anfragen entfernt, z. B. private Schlüssel für SSL-Zertifikate und vom Kunden angegebene Verschlüsselungsschlüssel für Laufwerke.
  • Bei Antworten auf "get" und "list" wird der Antworttext entfernt, damit keine vertraulichen Informationen protokolliert werden.

Weitere Informationen

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...

Compute Engine-Dokumentation