查看审核日志

本页面介绍了有关将 Cloud Audit Logs 与 Compute Engine 搭配使用的补充信息。使用 Cloud Audit Logs 为在 Compute Engine 中执行的 API 操作生成日志。

审核日志与旧版活动日志不同。审核日志可帮助您确定哪些用户何时在何处执行过哪些操作。具体而言,审核日志可出于审核目的而跟踪用户如何修改和访问 Google Cloud 项目中的 Compute Engine 资源。旧版活动日志包含此类信息的一部分,因此即将弃用。如果您正在使用活动日志,请参阅从活动日志迁移到审核日志

记录的信息

Cloud Audit Logs 会返回三种类型的日志:

  • 管理员活动日志:包含与修改 Compute Engine 资源配置或元数据的操作有关的日志条目。任何使用自定义谓词修改资源(如创建、删除、更新或修改资源)的 API 调用都属于此类别。

  • 系统事件日志:包含对 Compute Engine 资源执行的系统维护操作的日志条目。

  • 数据访问日志:包含特定操作的日志条目,这些操作是只读操作,不修改任何数据,例如 get、list 和汇总列表方法。与其他服务的审核日志不同,Compute Engine 只有 ADMIN_READ 数据访问日志,一般不提供 DATA_READDATA_WRITE 日志。这是因为 DATA_READDATA_WRITE 日志仅用于 Cloud Storage、Cloud Spanner 和 Cloud SQL 等存储和管理用户数据的服务,这对 Compute Engine 而言不适用。这条规则有一个例外:instance.getSerialPortOutput 会生成 DATA_READ 日志,因为该方法直接从虚拟机实例读取数据。

下表汇总了属于每种日志类型的 Compute Engine 操作:

日志条目类型 子类型 操作
管理员活动
  • 创建资源
  • 更新/修补资源
  • 设置/更改元数据
  • 设置/更改标志
  • 设置/更改标签
  • 设置/更改权限
  • 设置/更改资源的任何属性(包括自定义谓词)
系统事件
  • 主机维护时
  • 实例抢占
  • 自动重启
  • 实例重置
  • 串行端口连接/断开
数据访问 ADMIN_READ
  • 获取有关资源的信息
  • 列出资源
  • 跨范围列出资源(汇总列表请求)
DATA_READ 获取串行端口控制台的内容

Compute Engine 日志使用 AuditLog 对象,并遵循与其他 Cloud Audit Logs 日志相同的格式。日志包含以下信息:

  • 发出请求的用户(包括该用户的电子邮件地址)。
  • 请求所针对的资源名称。
  • 请求的结果。

日志设置

默认情况下,系统会记录管理员活动日志和系统事件日志。这些日志不计入您的日志提取配额

默认情况下,系统不会记录数据访问日志。这些日志计入您的日志提取配额。要了解如何启用数据访问型操作日志,请参阅配置数据访问日志

日志访问

以下用户可以查看管理员活动和系统事件日志:

以下用户可以查看数据访问日志:

  • Project Owner。
  • 拥有 Private Logs Viewer IAM 角色的用户。
  • 拥有 logging.privateLogEntries.list IAM 权限的用户。

请参阅将 IAM 成员添加到项目中,了解有关授予访问权限的说明。

查看日志

您可以在 Google Cloud Console 的活动流中查看项目的审核日志摘要。如需查看更详细的日志,请访问日志查看器

如需了解如何在日志查看器中过滤日志,请参阅 Cloud Logging 指南

审核日志中的数据隐去

审核日志会记录已执行的 API 操作的请求和响应数据。但在以下情况下,不会提供请求或响应信息,即这些信息会被遮盖:

  • 对于 instance.setMetadataproject.setCommonInstanceMetadata API 请求,请求正文的元数据部分会被遮盖,以避免记录元数据中发送的敏感信息。
  • 请求中的敏感字段会被遮盖,例如 SSL 证书的私钥和客户提供的磁盘加密密钥。
  • 对于 get 和 list 响应,响应正文会被遮盖,以避免记录私密信息。

后续步骤