查看稽核記錄

本頁面提供的是補充資訊,說明如何搭配使用 Cloud 稽核記錄與 Compute Engine。使用 Cloud 稽核記錄,即可產生在 Compute Engine 中執行 API 作業的記錄。

稽核記錄與舊版活動記錄不同。稽核記錄可協助您判定從事活動的人員、內容、地點及時間。具體而言,稽核記錄可追蹤 Compute Engine 資源在 Google Cloud Platform 專案當中的修改和存取情況,以供稽核之用。舊版活動記錄僅包含部分資訊且即將淘汰。如果您使用的是活動記錄,請參閱從活動記錄遷移至稽核記錄一文。

記錄資訊

Cloud 稽核記錄會傳回三種記錄:

  • 管理員活動記錄:其中項目記錄的是修改 Computer Engine 資源的設定或中繼資料的作業。諸如建立、刪除、更新等修改資源的 API 呼叫,或是使用自訂動詞修改資源的 API 呼叫,皆屬於此類別。

  • 系統事件記錄:包含 Compute Engine 資源系統維護作業的記錄項目。

  • 資料存取記錄:包含執行唯讀作業的作業記錄項目,這類作業不會修改任何資料,例如 get、list、aggregated list 等方法。與其他服務稽核記錄不同的是,Compute Engine 只有ADMIN_READ 資料存取記錄,而且通常不會提供 DATA_READDATA_WRITE 記錄。這是因為 DATA_READDATA_WRITE 記錄只會用於儲存及管理使用者資料的服務 (例如 Cloud Storage、Cloud Spanner 和 Cloud SQL),但不適用於 Compute Engine。此規則有個例外情況:instance.getSerialPortOutput 會產生 DATA_READ 記錄,因為該方法會直接從 VM 執行個體讀取資料。

下表大致列出了各種 Compute Engine 操作分屬何種記錄類型:

記錄項目類型 子類型 作業
管理員活動
  • 建立資源
  • 更新/修補資源
  • 設定/變更中繼資料
  • 設定/變更標記
  • 設定/變更標籤
  • 設定/變更權限
  • 設定/變更資源的所有屬性 (包括自訂動詞)
系統事件
  • 主機維護期間
  • 執行個體先佔
  • 自動重新啟動
  • 執行個體重設
  • 序列埠連線/中斷連線
資料存取權 ADMIN_READ
  • 取得資源的相關資訊
  • 列出資源
  • 列出範圍內的資源 (匯總清單要求)
DATA_READ 取得序列埠主控台的內容

Compute Engine 記錄使用 AuditLog 物件,並遵循與其他 Cloud 稽核記錄相同的格式。記錄包含以下資訊:

  • 發出要求的使用者,包括該使用者的電子郵件地址。
  • 發出要求的資源名稱。
  • 要求的結果。

記錄設定

根據預設,系統會記錄管理員活動和系統事件記錄。這些記錄不會計入您的記錄擷取配額之中。

根據預設,系統不會記錄資料存取記錄,因此這些記錄會計入您的記錄擷取配額之中。要瞭解如何啟用資料存取類型的作業記錄,請參閱設定資料存取記錄一文。

存取記錄

下列使用者可查看管理員活動和系統事件記錄:

下列使用者可檢視資料存取記錄:

  • 專案擁有者。
  • 具有私人記錄檢視者 IAM 角色的使用者。
  • 具有 IAM 權限 logging.privateLogEntries.list 的使用者。

如需授予存取權的操作說明,請參閱將身分與存取權管理成員新增至專案的說明。

查看記錄檔

您可在 Google Cloud Platform Console 的活動訊息串中,檢視您專案稽核記錄的摘要。如需更詳細的記錄版本,請查看記錄檢視器

如需在記錄檢視器篩選記錄的操作說明,請參閱 Stackdriver Logging 指南

稽核記錄中的資料遮蓋

API 動作執行過後,稽核記錄會將其要求和回應資料記錄下來。但在以下情況中,不會提供要求或回應的資訊,或會遮蓋資料:

  • 對於 instance.setMetadataproject.setCommonInstanceMetadata API 要求,系統會遮蓋要求主體的中繼資料部分,以免記錄到中繼資料內傳送的機密資訊。
  • 系統會遮蓋要求中的機密欄位,例如 SSL 憑證的私密金鑰,以及客戶提供的磁碟加密金鑰。
  • 對於 get 和 list 的回應,系統會遮蓋回應主體,以免記錄到私人資訊。

後續步驟

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
Compute Engine 說明文件