查看审核日志

本页面提供了一些补充信息,帮助您了解如何将 Cloud Audit Logging 与 Compute Engine 配合使用。使用 Cloud Audit Logging 可为 Google Compute Engine 中执行的 API 操作生成日志。

审核日志与活动日志不同。审核日志可帮助您确定谁什么时间在什么位置执行了什么操作。具体而言,审核日志可跟踪您的 Google Cloud Platform 项目中如何修改和访问您的 Compute Engine 资源,以便进行审核。活动日志可用于跟踪影响项目的某些事件,包括 API 调用(它们会更改资源的状态)和系统事件,但不会返回授权信息、API 请求信息或 API 响应。活动日志也不包括任何只读操作。

记录的信息

Cloud Audit Logging 会返回三种类型的日志:

  • 管理员活动日志:包含特定操作的日志条目,这些操作会修改 Compute Engine 资源的配置或元数据。任何使用自定义谓词修改资源(如创建、删除、更新或修改资源)的 API 调用都属于此类别。

  • 系统事件日志:包含对 Compute Engine 资源执行的系统维护操作的日志条目。

  • 数据访问日志:包含特定操作的日志条目,这些操作是只读操作,不修改任何数据,例如 get、list 和汇总列表方法。与其他服务的审核日志不同,Compute Engine 只有 ADMIN_READ 数据访问日志,并且通常不提供 DATA_READDATA_WRITE 日志。这是因为 DATA_READDATA_WRITE 日志仅用于可存储和管理用户数据的服务,例如 Google Cloud Storage、Google Cloud Spanner 和 Google Cloud SQL,这些日志不适用于 Compute Engine。但这条规则有一个例外:instance.getSerialPortOutput 会生成 DATA_READ 日志,因为该方法直接从虚拟机实例读取数据。

下表总结了每种日志类型包含的 Compute Engine 操作:

日志条目类型 子类型 操作
管理员活动
  • 创建资源
  • 更新/修补资源
  • 设置/更改元数据
  • 设置/更改标志
  • 设置/更改标签
  • 设置/更改权限
  • 设置/更改资源的任何属性(包括自定义谓词)
系统事件
  • 主机维护时
  • 实例抢占
  • 自动重启
  • 实例重置
  • 串行端口连接/断开
数据访问 ADMIN_READ
  • 获取有关资源的信息
  • 列出资源
  • 跨范围列出资源(汇总列表请求)
DATA_READ 获取串行端口控制台的内容

Compute Engine 日志使用 AuditLog 对象,并采用与其他 Cloud Audit Logging 日志相同的格式。日志包含以下信息:

  • 发出请求的用户(包括该用户的电子邮件地址)。
  • 请求所针对的资源名称。
  • 请求的结果。

日志设置

默认情况下,系统会记录管理员活动和系统事件日志。这些日志不计入您的日志提取配额

默认情况下,系统不会记录数据访问日志。这些日志计入您的日志提取配额。要了解如何启用数据访问型操作日志,请参阅配置数据访问日志

日志访问

以下用户可以查看管理员活动和系统事件日志:

以下用户可以查看数据访问日志:

  • 项目所有者。
  • 具有私密日志查看者 IAM 角色的用户。
  • 具有 logging.privateLogEntries.list IAM 权限的用户。

请参阅将 IAM 成员添加到项目中,了解有关授予访问权限的说明。

查看日志

您可以在 Google Cloud Platform Console 的活动流中查看项目的审核日志摘要。在日志查看器中可以找到更详细的日志。

有关在日志查看器中过滤日志的说明,请参阅 Cloud Audit Logging 指南

审核日志中的数据遮盖

审核日志会记录已执行的 API 操作的请求和响应数据。但在以下情况下,不会提供请求或响应信息,即这些信息会被遮盖:

  • 对于 instance.setMetadataproject.setCommonInstanceMetadata API 请求,请求正文的元数据部分会被遮盖,以避免记录元数据中发送的敏感信息。
  • 请求中的敏感字段会被遮盖,例如 SSL 证书的私钥和客户提供的磁盘加密密钥。
  • 对于 get 和 list 响应,响应正文被遮盖,以避免记录私密信息。

后续步骤

此页内容是否有用?请给出您的反馈和评价:

发送以下问题的反馈:

此网页
Compute Engine 文档