감사 로그 보기

이 페이지는 Compute Engine에서 Cloud 감사 로그를 사용하기 위한 보충 정보를 제공합니다. Cloud 감사 로그를 사용하면 Compute Engine에서 수행되는 API 작업의 로그를 생성할 수 있습니다.

감사 로그는 기존 활동 로그와는 다릅니다. 감사 로그는 누가, 언제, 어디서, 무엇을 했는지 확인할 수 있는 자료입니다. 특히 감사 로그는 Google Cloud 프로젝트 내에서 Compute Engine 리소스를 수정한 방식 및 감사 목적으로 리소스에 액세스한 상황을 추적합니다. 기존 활동 로그에는 해당 정보의 하위 집합이 포함되며 더 이상 사용되지 않습니다. 활동 로그를 사용 중인 경우 활동 로그에서 감사 로그로 마이그레이션을 읽어보세요.

로깅되는 정보

Cloud 감사 로그에서 반환하는 로그에는 다음 두 유형이 있습니다.

  • 관리자 활동 로그: Compute Engine 리소스의 구성이나 메타데이터를 수정하는 작업의 로그 항목을 포함합니다. 리소스를 수정하는 API 호출(예: 커스텀 동사를 사용하여 리소스 생성, 삭제, 업데이트, 수정)이 이러한 카테고리에 속합니다.

  • 시스템 이벤트 로그: Compute Engine 리소스에 대한 시스템 유지보수 작업의 로그 항목을 포함합니다.

  • 데이터 액세스 로그: 데이터를 수정하지 않는 읽기 전용 작업(예: get, list, aggregatedlist 메서드)의 로그 항목을 포함합니다. 다른 서비스의 감사 로그와 달리 Compute Engine은 ADMIN_READ 데이터 액세스 로그만 제공하며 일반적으로 DATA_READDATA_WRITE 로그를 제공하지 않습니다. DATA_READ 로그와 DATA_WRITE 로그가 사용자 데이터를 저장하고 관리하는 서비스(예: Cloud Storage, Cloud Spanner, Cloud SQL)에만 사용되며 Compute Engine에는 적용되지 않기 때문입니다. 단, 이 규칙의 한 가지 예외는 instance.getSerialPortOutput입니다. 이 메서드는 VM 인스턴스에서 직접 데이터를 읽기 때문에 DATA_READ 로그를 생성합니다.

다음 표는 각 로그 유형에 해당하는 Compute Engine 작업을 요약해서 보여 줍니다.

로그 항목 유형 하위 유형 작업
관리자 활동 없음
  • 리소스 만들기
  • 리소스 업데이트/패치
  • 메타데이터 설정/변경
  • 태그 설정/변경
  • 라벨 설정/변경
  • 권한 설정/변경
  • 리소스 속성(커스텀 동사 포함) 설정/변경
시스템 이벤트 없음
  • 호스트 유지보수 시
  • 인스턴스 선점
  • 자동으로 다시 시작
  • 인스턴스 재설정
  • 직렬 포트 연결/분리
데이터 액세스 ADMIN_READ
  • 리소스에 대한 정보 가져오기
  • 리소스 나열
  • 범위 전체 리소스 나열(집계 목록 요청)
DATA_READ 직렬 포트 콘솔의 콘텐츠 가져오기

Compute Engine 로그는 AuditLog 객체를 사용하고 다른 Cloud 감사 로그와 동일한 형식을 따릅니다. 로그에 포함되는 정보는 다음과 같습니다.

  • 요청을 한 사용자(이 사용자의 이메일 주소 포함)
  • 요청이 수행된 리소스의 이름
  • 요청 결과

로그 설정

관리자 활동 로그와 시스템 이벤트 로그는 기본적으로 기록됩니다. 이 로그는 로그 수집 할당량에 포함되지 않습니다.

데이터 액세스 로그는 기본적으로 기록되지 않습니다. 이 로그는 로그 수집 할당량에 포함됩니다. 데이터 액세스 유형 작업에 대한 로그 사용 방법을 알아보려면 데이터 액세스 로그 구성을 참조하세요.

로그 액세스

관리자 활동 로그와 시스템 이벤트 로그를 볼 수 있는 사용자는 다음과 같습니다.

데이터 액세스 로그를 볼 수 있는 사용자는 다음과 같습니다.

  • 프로젝트 소유자
  • 비공개 로그 뷰어 IAM 역할을 가진 사용자
  • logging.privateLogEntries.list IAM 권한을 가진 사용자

액세스 권한 부여 방법에 대해서는 프로젝트에 IAM 구성원 추가를 참조하세요.

로그 보기

Google Cloud Console의 활동 스트림에서 프로젝트의 감사 로그 요약을 볼 수 있습니다. 로그 뷰어에서 자세한 로그를 확인할 수 있습니다.

로그 뷰어에서 로그를 필터링하는 방법에 대한 자세한 안내는 Stackdriver Logging 가이드에서 확인할 수 있습니다.

감사 로그 데이터 수정

감사 로그는 수행한 API 작업의 요청 데이터와 응답 데이터를 기록합니다. 단, 다음과 같은 경우에는 요청 정보나 응답 정보가 사용할 수 없거나 수정됩니다.

  • instance.setMetadataproject.setCommonInstanceMetadata API 요청의 경우 전송된 민감한 정보가 메타데이터에 로깅되지 않도록 요청 본문의 메타데이터 부분이 수정됩니다.
  • 요청에서 민감한 필드가 수정됩니다. 예를 들면 SSL 인증서용 비공개 키와 고객이 제공한 디스크용 암호화 키가 있습니다.
  • get 응답과 list 응답의 경우 비공개 정보가 로깅되지 않도록 응답 본문이 수정됩니다.

다음 단계