Auf dieser Seite werden die Audit-Logs beschrieben, die von VM Manager (OS Config) als Teil der Cloud-Audit-Logs erstellt werden.
Überblick
Google Cloud-Dienste schreiben Audit-Logs, um Ihnen Antworten auf Fragen wie „Wer hat was, wo und wann getan?” zu liefern. Ihr Cloud-Projekt enthält jeweils nur die Audit-Logs für Ressourcen, die sich direkt im Projekt befinden. Andere Entitäten wie Ordner, Organisationen und Rechnungskonten enthalten jeweils eigene Audit-Logs.
Einen allgemeinen Überblick über Cloud-Audit-Logs finden Sie unter Cloud-Audit-Logging. Detaillierte Informationen zu Cloud-Audit-Logs finden Sie unter Audit-Logs verstehen.
Cloud-Audit-Logs erstellt und verwaltet für jedes Google Cloud-Projekt, jeden Ordner und jede Organisation drei Audit-Logs:
- Audit-Logs zur Administratoraktivität
- Audit-Logs zum Datenzugriff
- Audit-Logs zu Systemereignissen
Resource Manager schreibt nur dann Audit-Logs zum Datenzugriff, wenn dies explizit aktiviert ist. Audit-Logs zu Datenzugriffen enthalten API-Aufrufe, die die Konfiguration oder Metadaten von Ressourcen lesen, sowie nutzergesteuerte API-Aufrufe, die von Nutzern bereitgestellte Ressourcendaten erstellen, ändern oder lesen. In Audit-Logs zum Datenzugriff werden keine Vorgänge zum Datenzugriff auf Ressourcen aufgezeichnet, die öffentlich freigegeben (für alle Nutzer oder alle authentifizierten Nutzer verfügbar) oder ohne Anmeldung in Google Cloud zugänglich sind.
VM Manager schreibt keine Audit-Logs zur Administratoraktivität.
Resource Manager schreibt keine Audit-Logs zu Systemereignissen.
Geprüfte Vorgänge
Im Folgenden wird zusammengefasst, welche API-Vorgänge dem jeweiligen Audit-Log-Typ in VM Manager entsprechen:
Audit-Logkategorie | VM Manager-Vorgänge |
---|---|
Audit-Logs zur Administratoraktivität | – |
Audit-Logs zum Datenzugriff |
|
Audit-Logs zu Systemereignissen | – |
Audit-Log-Format
Audit-Logeinträge, die in Cloud Logging mit der Loganzeige, der Cloud Logging API oder der Google Cloud CLI aufgerufen werden können, umfassen die folgenden Objekte:
Den Logeintrag selbst. Dabei handelt es sich um ein Objekt vom Typ
LogEntry
. Nützliche Felder sind unter anderem:logName
enthält die Projektkennung und den Audit-Logtypresource
enthält das Ziel zum geprüften VorgangtimeStamp
enthält die Uhrzeit des geprüften VorgangsprotoPayload
enthält die geprüften Informationen
Die Audit-Logdaten, bei denen es sich um ein
AuditLog
-Objekt handelt, das sich im FeldprotoPayload
des Logeintrags befindetOptionale dienstspezifische Auditinformationen. Sie ist ein dienstspezifisches Objekt im Feld
serviceData
desAuditLog
-Objekts. Weitere Informationen finden Sie unter Dienstspezifische Auditdaten.
Informationen zu anderen Feldern in diesen Objekten sowie zu deren Interpretation finden Sie unter Audit-Logs verstehen.
Logname
Ressourcennamen von Cloud-Audit-Logs geben Aufschluss über das Projekt oder über eine andere Entität, die Inhaber der Audit-Logs ist, und zeigen außerdem an, ob das Log Audit-Logging-Daten zur Administratoraktivität, zum Datenzugriff oder zu Systemereignissen enthält. Das folgende Beispiel enthält Lognamen für die Audit-Logs zur Administratoraktivität eines Projekts und für die Audit-Logs zum Datenzugriff einer Organisation:
projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
Dienstname
Für Audit-Logs von VM Manager wird der Dienstname osconfig.googleapis.com
verwendet.
Weitere Informationen zu Logging-Diensten finden Sie unter Dienste Ressourcentypen zuordnen.
Ressourcentypen
Die Audit-Logs von VM Manager verwenden bei allen Audit-Logs den Ressourcentyp audited_resource
.
Eine vollständige Liste finden Sie unter Überwachte Ressourcentypen.
Audit-Logging aktivieren
Audit-Logs zum Datenzugriff sind standardmäßig deaktiviert und werden nur geschrieben, wenn sie explizit aktiviert werden. Eine Ausnahme bilden die Audit-Logs zum Datenzugriff für BigQuery, die nicht deaktiviert werden können.
Eine Anleitung zum Aktivieren einiger oder aller Audit-Logs für Datenzugriffe finden Sie unter Datenzugriffslogs konfigurieren.
Wenn Sie Audit-Logs zum Datenzugriff konfigurieren, kann sich das auf Ihre Logpreise in Cloud Logging auswirken. Lesen Sie dazu den Abschnitt „Preise” auf dieser Seite.
VM Manager schreibt keine Audit-Logs zu Administratoraktivitäten.
Berechtigungen für Audit-Logs
Welche Audit-Logs Sie ansehen oder exportieren können, wird durch Berechtigungen und Rollen von Identity and Access Management (Cloud IAM) bestimmt. Logs sind in Projekten und in einigen anderen Entitäten wie Organisationen, Ordnern und Rechnungskonten enthalten. Mehr dazu finden Sie unter Weitere Informationen zu Rollen.
Zum Ansehen von Audit-Logs zu Administratoraktivitäten benötigen Sie eine der folgenden IAM-Rollen in dem Projekt, das die Audit-Logs enthält:
- Projektinhaber, Projektbearbeiter oder Projektbetrachter.
- Rolle Logbetrachter für Logging.
- Eine benutzerdefinierte IAM-Rolle mit der IAM-Berechtigung
logging.logEntries.list
.
Wenn Sie Audit-Logs zum Datenzugriff aufrufen möchten, benötigen Sie in dem Projekt, das Ihre Audit-Logs enthält, eine der folgenden Rollen:
- Projektinhaber
- Rolle Betrachter privater Logs für Logging.
- Eine benutzerdefinierte IAM-Rolle mit der IAM-Berechtigung
logging.privateLogEntries.list
.
Wenn die verwendeten Audit-Logs nicht aus einem Projekt, sondern einer Entität wie einer Organisation stammen, ändern Sie die Projektrollen in geeignete Organisationsrollen.
Logs ansehen
Sie können nach allen Audit-Logs oder nach dem Namen des Audit-Logs abfragen. Der Audit-Logname enthält die Ressourcenkennung des Google Cloud-Projekts, des Ordners, des Rechnungskontos oder der Organisation, für die Sie Audit-Logging-Informationen aufrufen möchten.
Für Abfragen können indexierte LogEntry
-Felder angegeben werden. Wenn Sie die Seite Log Analytics verwenden, die SQL-Abfragen unterstützt, haben Sie die Möglichkeit, Abfrageergebnisse als Diagramm anzeigen zu lassen.
Weitere Informationen zum Abfragen Ihrer Logs finden Sie auf den folgenden Seiten:
- Abfragen im Log-Explorer erstellen.
- Logs in Log Analytics abfragen und ansehen
- Beispielabfragen für Sicherheitsinformationen.
Console
In der Google Cloud Console können Sie mit dem Log-Explorer die Audit-Logeinträge für Ihr Google Cloud-Projekt, Ihren Ordner oder Ihre Organisation abrufen:
-
Wählen Sie im Navigationsbereich der Google Cloud Console Logging und anschließend Log-Explorer aus:
Wählen Sie ein vorhandenes Google Cloud-Projekt, einen Ordner oder eine Organisation aus.
Wenn Sie alle Audit-Logs aufrufen möchten, geben Sie eine der folgenden Abfragen in das Feld des Abfrageeditors ein und klicken dann auf Abfrage ausführen:
logName:"cloudaudit.googleapis.com"
protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog"
So rufen Sie im Bereich Query Builder die Audit-Logs für eine bestimmte Ressource und einen bestimmten Audit-Logtyp auf:
Wählen Sie unter Ressourcentyp die Google Cloud-Ressource aus, deren Audit-Logs angezeigt werden sollen.
Wählen Sie unter Logname den Audit-Logtyp aus, den Sie sehen möchten:
- Wählen Sie für Audit-Logs zu Administratoraktivitäten die Option activity aus.
- Wählen Sie für Audit-Logs zum Datenzugriff die Option data_access aus.
- Wählen Sie für Audit-Logs zu Systemereignissen die Option system_event aus.
- Wählen Sie für Audit-Logs zu Richtlinienverstößen die Option policy aus.
Klicken Sie auf Abfrage ausführen.
Wenn diese Optionen nicht angezeigt werden, sind im Google Cloud-Projekt, im Ordner oder in der Organisation keine Audit-Logs dieses Typs verfügbar.
Wenn beim Aufrufen von Logs im Log-Explorer Probleme auftreten, lesen Sie die Informationen zur Fehlerbehebung.
Weitere Informationen zu Abfragen mit dem Log-Explorer finden Sie unter Abfragen im Log-Explorer erstellen. Informationen zum Zusammenfassen von Logeinträgen im Log-Explorer mithilfe von Duet AI finden Sie unter Logeinträge mit Duet AI-Unterstützung zusammenfassen.
gcloud
Die Google Cloud CLI bietet eine Befehlszeile für die Logging API. Geben Sie in jedem Lognamen eine gültige Ressourcenkennung an. Wenn die Abfrage beispielsweise eine PROJECT_ID enthält, muss sich die von Ihnen angegebene Projekt-ID auf das aktuell ausgewählte Google Cloud-Projekt beziehen.
Führen Sie den folgenden Befehl aus, um Ihre Audit-Logeinträge auf Google Cloud-Projektebene zu lesen:
gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \ --project=PROJECT_ID
Führen Sie den folgenden Befehl aus, um Ihre Audit-Logeinträge auf Ordnerebene zu lesen:
gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \ --folder=FOLDER_ID
Führen Sie den folgenden Befehl aus, um Ihre Audit-Logeinträge auf Organisationsebene zu lesen:
gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \ --organization=ORGANIZATION_ID
Führen Sie den folgenden Befehl aus, um Ihre Audit-Logeinträge auf Cloud-Rechnungskontoebene zu lesen:
gcloud logging read "logName : billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com" \ --billing-account=BILLING_ACCOUNT_ID
Fügen Sie Ihrem Befehl das Flag --freshness
hinzu, um Logs zu lesen, die mehr als einen Tag alt sind.
Weitere Informationen zur Verwendung der gcloud CLI erhalten Sie unter gcloud logging read
.
API
Geben Sie beim Erstellen von Abfragen in jedem Lognamen eine gültige Ressourcenkennung an. Wenn die Abfrage beispielsweise eine PROJECT_ID enthält, muss sich die von Ihnen angegebene Projekt-ID auf das aktuell ausgewählte Google Cloud-Projekt beziehen.
So können Sie beispielsweise mit der Logging API Ihre Audit-Logeinträge auf Projektebene aufrufen:
Rufen Sie den Abschnitt Diese API testen in der Dokumentation für die Methode
entries.list
auf.Geben Sie im Teil Anfragetext des Formulars Diese API testen Folgendes ein. Wenn Sie auf dieses vorausgefüllte Formular klicken, wird der Anfragetext automatisch übernommen. Sie müssen jedoch in jedem der Lognamen eine gültige PROJECT_ID angeben.
{ "resourceNames": [ "projects/PROJECT_ID" ], "pageSize": 5, "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" }
Klicken Sie auf Ausführen.
Audit-Logs exportieren
Sie können Audit-Logs genauso wie andere Arten von Logs exportieren. Weitere Informationen zum Exportieren von Logs finden Sie unter Logs exportieren. Im Folgenden erfahren Sie mehr über Möglichkeiten zum Exportieren von Audit-Logs:
Sie können Kopien von Audit-Logs in Cloud Storage, BigQuery oder Cloud Pub/Sub exportieren, um Audit-Logs über einen längeren Zeitraum hinweg zu behalten oder leistungsfähigere Suchfunktionen zu verwenden. Mit Pub/Sub haben Sie die Möglichkeit, die Logs in andere Anwendungen, andere Repositories und Systeme von Drittanbietern zu exportieren.
Zum organisationsübergreifenden Verwalten Ihrer Audit-Logs erstellen Sie aggregierte Senken, mit denen sich Logs aus beliebigen oder allen Projekten in der Organisation exportieren lassen.
- Wenn die aktivierten Audit-Logs zum Datenzugriff dazu führen, dass Ihre Projekte ihr Logkontingent überschreiten, können Sie die Audit-Logs zum Datenzugriff aus Logging exportieren und ausschließen. Weitere Informationen finden Sie unter Logausschlüsse.
Preise
Audit-Logs zum Datenzugriff, die Sie explizit anfordern, werden Ihnen jedoch in Rechnung gestellt. VM Manager schreibt keine Audit-Logs zur Administratoraktivität oder zu Systemereignissen.Weitere Informationen zu den Preisen für Audit-Logs finden Sie unter Preise für Google Cloud-Beobachtbarkeit.