監査ログの表示

このページでは、Compute Engine で Cloud Audit Logs を使用する場合の補足情報について解説します。Cloud Audit Logs を使用すると、Compute Engine で実行された API オペレーションのログを生成できます。

監査ログは、従来のアクティビティ ログとは異なります。監査ログは、誰がどこでいつ何をしたかを判断するために役立ちます。具体的には、監査ログは監査の目的で、Compute Engine リソースが Google Cloud プロジェクト内でどのように変更およびアクセスされるかを追跡します。以前のアクティビティ ログには、その情報のサブセットが含まれています。また、このログは今後非推奨となります。アクティビティ ログを使用している場合は、アクティビティ ログから監査ログへの移行をご覧ください。

ログに記録される情報

Cloud Audit Log は、次の 3 種類のログを返します。

  • 管理アクティビティ ログ: Compute Engine リソースの構成やメタデータを変更するオペレーションのログエントリが含まれます。たとえば、カスタム動詞を使用したリソースの作成、削除、更新、変更など、リソースを変更する API 呼び出しがこのカテゴリに分類されます。

  • システム イベント ログ: Compute Engine リソースに対するシステム メンテナンス オペレーションのログエントリが含まれます。

  • データアクセス ログ: 取得メソッド、一覧表示メソッド、集約リストメソッドなど、データを変更しない読み取り専用オペレーションを実行するオペレーションのログエントリが含まれます。他のサービスの監査ログとは異なり、Compute Engine には ADMIN_READ データ アクセス ログのみがあり、DATA_READDATA_WRITE ログはありません。これは、DATA_READDATA_WRITE ログが Cloud Storage、Cloud Spanner、Cloud SQL などのユーザーデータを保存および管理するサービスにのみ使用され、Compute Engine には適用されないためです。ただし、instance.getSerialPortOutput メソッドは VM インスタンスから直接データを読み取り、DATA_READ ログを生成するため、上記のルールの例外となります。

次の表に、各ログに書き込まれる Compute Engine オペレーションをまとめています。

ログエントリのタイプ サブタイプ オペレーション
管理アクティビティ なし
  • リソースの作成
  • リソースの更新 / パッチ適用
  • メタデータの設定 / 変更
  • タグの設定 / 変更
  • ラベルの設定 / 変更
  • 権限の設定 / 変更
  • リソースのプロパティの設定 / 変更(カスタム動詞を含む)
システム イベント なし
  • ホスト メンテナンス時
  • インスタンスのプリエンプション
  • 自動再起動
  • インスタンスのリセット
  • シリアルポートの接続/切断
データアクセス ADMIN_READ
  • リソースに関する情報の取得
  • リソースの一覧表示
  • スコープ全体でのリソースの一覧表示(集約リスト リクエスト)
DATA_READ シリアルポート コンソールの内容の取得

Compute Engine のログは AuditLog オブジェクトを使用し、他の Cloud 監査ログに記録される形式と同じ形式に従います。ログには次のような情報が含まれます。

  • リクエストを行ったユーザー(ユーザーのメールアドレスなど)
  • リクエストされたリソース名
  • リクエストの結果

ログの設定

デフォルトでは、管理アクティビティ ログとシステム イベント ログが記録されます。これらのログは、ログ取り込み割り当ての計算対象になりません。

デフォルトでは、データアクセス ログは記録されません。これらのログは、ログ取り込み割り当ての計算対象になります。データアクセスに関連するオペレーションのロギングを有効にする方法については、データアクセス ログの構成をご覧ください。

ログへのアクセス

次のユーザーは管理アクティビティ ログとシステム イベント ログを閲覧できます。

次のユーザーは、データアクセス ログを閲覧できます。

アクセス権の付与方法については、プロジェクトへの IAM メンバーの追加をご覧ください。

ログの表示

プロジェクトの監査ログの概要は、Google Cloud Console のアクティビティ ストリームで確認できます。ログのより詳細なバージョンは、ログビューアで確認できます。

ログビューアでログをフィルタリングする方法については、Cloud Logging ガイドをご覧ください。

監査ログでのデータ削除

監査ログには、実行された API アクションのリクエスト データとレスポンス データが記録されます。ただし、次のような場合には、リクエスト情報やレスポンス情報が利用できなくなるか、削除されます。

  • instance.setMetadataproject.setCommonInstanceMetadata API リクエストの場合、リクエスト本文のメタデータで送信された機密情報がログに記録されないように、そのメタデータ部分が削除されます。
  • SSL 証明書の秘密鍵やディスクに対する顧客指定の暗号鍵など、機密性の高い項目はリクエストから削除されます。
  • 取得と一覧表示のレスポンスの場合、個人情報がログに記録されないように、レスポンス本文が削除されます。

次のステップ