Afficher les journaux d'audit

Cette page fournit des informations supplémentaires sur l'utilisation de journaux d'audit Cloud avec Compute Engine. Les journaux d'audit Cloud permettent de générer des journaux concernant les opérations d'API effectuées dans Compute Engine.

Les journaux d'audit sont différents des anciens journaux d'activité. Ils vous aident à répondre aux questions du type "Qui a fait quoi, où et quand ?". En particulier, les journaux d'audit indiquent comment les ressources de Compute Engine sont modifiées et utilisées dans vos projets Google Cloud à des fins d'audit. Les anciens journaux d'activité contiennent un sous-ensemble de ces informations et doivent être abandonnés. Si vous utilisez des journaux d'activité, lisez Passer des journaux d'activité aux journaux d'audit.

Informations consignées

Les journaux d'audit Cloud renvoient trois types de journaux :

  • Journaux des activités d'administration : ils contiennent les entrées de journal relatives aux opérations qui modifient la configuration ou les métadonnées d'une ressource Compute Engine. Les appels d'API qui modifient une ressource, comme la création, la suppression, la mise à jour ou la modification d'une ressource à l'aide d'un verbe personnalisé, appartiennent à cette catégorie.

  • Journaux des événements système : ils contiennent les entrées de journal relatives aux opérations de maintenance du système sur les ressources Compute Engine.

  • Journaux d'accès aux données : Ils contiennent les entrées de journal relatives aux opérations en lecture seule qui ne modifient aucune donnée, telles que "get" et "list", ainsi que les méthodes de liste agrégée. Contrairement aux journaux d'audit associés aux autres services, Compute Engine ne dispose que de journaux des accès aux données ADMIN_READ, et ne propose généralement pas de journaux DATA_READ et DATA_WRITE. En effet, les journaux DATA_READ et DATA_WRITE ne sont utilisés que pour les services qui stockent et gèrent des données utilisateur telles que Cloud Storage, Cloud Spanner et Cloud SQL, ces derniers ne s'appliquant pas à Compute Engine. Il existe une exception à cette règle : la méthode instance.getSerialPortOutput génère un journal DATA_READ, car elle lit les données directement à partir de l'instance de VM.

Le tableau suivant résume les opérations de Compute Engine dans chaque type de journal :

Type d'entrée de journal Sous-type Opérations
Activité d'administration N/A
  • Créer des ressources
  • Mettre à jour des ressources/Appliquer un correctif sur des ressources
  • Définir/Modifier des métadonnées
  • Définir/Modifier des tags
  • Définir/Modifier des libellés
  • Définir/Modifier des autorisations
  • Définir/Modifier les propriétés d'une ressource (y compris les verbes personnalisés)
Événement système N/A
  • Pendant la maintenance de l'hôte
  • Préemption de l'instance
  • Redémarrage automatique
  • Réinitialisation de l'instance
  • Connexion/Déconnexion du port série
Accès aux données ADMIN_READ
  • Obtenir des informations sur une ressource
  • Répertorier des ressources
  • Répertorier des ressources dans le champ d'application (demandes de liste agrégée)
DATA_READ Récupérer le contenu de la console du port série

Les journaux Compute Engine utilisent un objet AuditLog et suivent le même format que les autres journaux d'audit Cloud. Ces journaux contiennent des informations telles que :

  • l'utilisateur qui a effectué la demande, y compris son adresse e-mail ;
  • le nom de la ressource sur laquelle la demande a été effectuée ;
  • le résultat de la demande.

Paramètres des journaux

Les journaux relatifs aux activités d'administration et aux événements système sont enregistrés par défaut. Ils ne sont pas comptabilisés dans votre quota d'attribution de journaux.

Les journaux d'accès aux données ne sont pas enregistrés par défaut. Ils sont comptabilisés dans votre quota d'attribution de journaux. Pour savoir comment activer les journaux pour des opérations liées à l'accès aux données, consultez la page Configurer les journaux pour l'accès aux données.

Accès aux journaux

Les utilisateurs suivants peuvent afficher les journaux pour les activités d'administration et pour les événements système :

Les utilisateurs suivants peuvent afficher les journaux pour l'accès aux données :

  • Propriétaires de projet
  • Utilisateurs disposant du rôle IAM Lecteur des journaux privés
  • Utilisateurs disposant de l'autorisation IAM logging.privateLogEntries.list

Pour savoir comment accorder l'accès, consultez la section Ajout des membres IAM à un projet.

Afficher les journaux

Vous pouvez afficher un résumé des journaux d'audit de votre projet dans le flux d'activité de Google Cloud Console. Pour afficher une version plus détaillée des journaux, consultez la visionneuse de journaux.

Pour obtenir des instructions sur le filtrage des journaux dans la visionneuse de journaux, consultez le guide Cloud Logging.

Masquer les données dans les journaux d'audit

Les journaux d'audit enregistrent les données de demande et de réponse des actions d'API effectuées. Cependant, dans les cas suivants, les informations de demande ou de réponse ne sont pas disponibles ou sont masquées :

  • Pour les requêtes d'API instance.setMetadata et project.setCommonInstanceMetadata, la partie des métadonnées du corps de la requête est masquée afin d'éviter la journalisation des informations sensibles envoyées dans les métadonnées.
  • Les champs sensibles sont masqués dans les requêtes, comme les clés privées pour les certificats SSL et les clés de chiffrement fournies par le client pour les disques.
  • Le corps des réponses "get" et "list" est masquée pour éviter la journalisation des informations privées.

Étapes suivantes