Audit-Logs ansehen

Diese Seite enthält ergänzende Informationen zur Verwendung von Cloud-Audit-Logs mit Compute Engine. Mit Cloud-Audit-Logs können Sie Logs für API-Vorgänge generieren, die in Compute Engine ausgeführt werden.

Audit-Logs sind nicht mit den alten Aktivitätslogs identisch. Anhand von Audit-Logs können Sie feststellen, wer was, wo und wann getan hat. In Audit-Logs wird insbesondere erfasst, wie sich Ihre Compute Engine-Ressourcen verändern und wie in Ihren Google Cloud-Projekten für Auditzwecke darauf zugegriffen wird. Alte Aktivitätslogs enthalten einen Teil dieser Informationen und werden demnächst eingestellt. Wenn Sie bereits Aktivitätslogs verwenden, lesen Sie Von Aktivitätslogs zu Audit-Logs migrieren.

Logdaten

Cloud-Audit-Logs gibt drei Arten von Logs zurück:

  • Administratoraktivitätslogs enthalten Logeinträge für Vorgänge, die die Konfiguration oder die Metadaten einer Compute Engine-Ressource ändern. In diese Kategorie fallen alle API-Aufrufe, die eine Ressource verändern, z. B. das Erstellen, Löschen, Aktualisieren oder Ändern einer Ressource über ein benutzerdefiniertes Verb.

  • Systemereignislogs enthalten Logeinträge für Systemwartungsvorgänge, die Compute Engine-Ressourcen betreffen.

  • Datenzugriffslogs enthalten Logeinträge für schreibgeschützte Vorgänge, durch die keine Daten geändert werden, z. B. die Methoden "get", "list" und "aggregated list". Im Gegensatz zu Audit-Logs für andere Dienste bietet Compute Engine nur ADMIN_READ-Datenzugriffslogs und stellt keine allgemeinen DATA_READ- oder DATA_WRITE-Logs bereit. Das liegt daran, dass DATA_READ- und DATA_WRITE-Logs nur für Dienste verwendet werden, die Benutzerdaten speichern und verwalten, wie Cloud Storage, Cloud Spanner und Cloud SQL. Auf Compute Engine trifft das nicht zu. Eine Ausnahme hier ist, dass die Methode instance.getSerialPortOutput ein DATA_READ-Log erzeugt, da dies Methode Daten direkt aus der VM-Instanz liest.

In der folgenden Tabelle ist zusammengefasst, welche Compute Engine-Vorgänge unter den jeweiligen Logtyp fallen:

Logeintragstyp Untertyp Vorgänge
Administratoraktivität
  • Ressourcen erstellen
  • Ressourcen aktualisieren/patchen
  • Metadaten festlegen/ändern
  • Tags festlegen/ändern
  • Label festlegen/ändern
  • Berechtigungen festlegen/ändern
  • Eigenschaften einer Ressource (einschließlich benutzerdefinierte Verben) festlegen/ändern
Systemereignis
  • Bei Host-Wartung
  • Instanzpräemption
  • Automatischer Neustart
  • Instanzzurücksetzung
  • Trennung/Verbindung serieller Ports
Datenzugriff ADMIN_READ
  • Informationen über eine Ressource abrufen
  • Ressourcen auflisten
  • Ressourcen bereichsübergreifend auflisten (Gesamtlistenanfragen)
DATA_READ Inhalte der seriellen Port-Konsole abrufen

Compute Engine-Logs verwenden ein Objekt vom Typ AuditLog und haben dasselbe Format wie andere Cloud-Audit-Logs. Die Logs enthalten folgende Informationen:

  • Nutzer, der die Anfrage gestellt hat, einschließlich seiner E-Mail-Adresse
  • Den Namen der Ressource, für die die Anfrage gestellt wurde
  • Das Ergebnis der Anfrage

Logeinstellungen

Administratoraktivitäts- und Systemereignislogs werden standardmäßig erfasst. Diese Logs werden nicht auf Ihr Logaufnahmekontingent angerechnet.

Datenzugriffslogs werden nicht standardmäßig erfasst. Diese Logs werden auf Ihr Logaufnahmekontingent angerechnet. Informationen zum Aktivieren von Logs für Datenzugriffsvorgänge finden Sie unter Datenzugriffslogs konfigurieren.

Logzugriff

Folgende Nutzer können Administratoraktivitäts- und Systemereignislogs ansehen:

Folgende Nutzer können Datenzugriffslogs ansehen:

  • Projektinhaber
  • Nutzer mit der IAM-Rolle Betrachter privater Logs
  • Nutzer mit der IAM-Berechtigung logging.privateLogEntries.list.

Weitere Informationen finden Sie unter IAM-Mitglieder zu einem Projekt hinzufügen.

Logs ansehen

Sie können eine Zusammenfassung der Audit-Logs für Ihr Projekt im Aktivitäten-Stream der Google Cloud Console ansehen. Eine ausführlichere Version der Logs finden Sie in der Loganzeige.

Eine Anleitung zum Filtern von Logs in der Loganzeige finden Sie in der Übersicht zu Stackdriver Logging.

In Audit-Logs entfernte Daten

Audit-Logs erfassen die Anfrage- und Antwortdaten der ausgeführten API-Aktionen. Unter den folgenden Umständen sind die Anfrage- oder Antwortdaten jedoch nicht verfügbar oder werden entfernt:

  • Bei den API-Anfragen instance.setMetadata und project.setCommonInstanceMetadata wird der Metadatenteil des Anfragetexts entfernt, um zu verhindern, dass vertrauliche Informationen geloggt und in den Metadaten gesendet werden.
  • Felder mit vertraulichen Daten werden aus Anfragen entfernt, z. B. private Schlüssel für SSL-Zertifikate und vom Kunden angegebene Verschlüsselungsschlüssel für Laufwerke.
  • Bei Antworten auf "get" und "list" wird der Antworttext entfernt, damit keine vertraulichen Informationen geloggt werden.

Weitere Informationen