Melihat log audit VM Manager

Halaman ini menjelaskan log audit yang dibuat oleh VM Manager (OS Config) sebagai bagian dari Cloud Audit Logs.

Ringkasan

Layanan Google Cloud menulis log audit untuk membantu Anda menjawab pertanyaan, "Siapa yang melakukan apa, di mana, dan kapan?" Setiap project Google Cloud Anda hanya berisi log audit untuk resource yang berada langsung dalam project. Entity lain, seperti folder, organisasi, dan akun penagihan, masing-masing berisi log audit untuk entity itu sendiri.

Untuk membaca ringkasan umum tentang Cloud Audit Logs, buka Cloud Audit Logs. Agar dapat lebih memahami Cloud Audit Logs, baca Memahami log audit.

Cloud Audit Logs menyimpan tiga log audit untuk setiap project, folder, dan organisasi Google Cloud:

  • Log audit Aktivitas Admin
  • Log audit Akses Data
  • Log audit Peristiwa Sistem

Jika diaktifkan secara eksplisit, VM Manager akan menulis log audit Akses Data. Log audit Akses Data berisi panggilan API yang membaca konfigurasi atau metadata resource, serta panggilan API yang dilakukan pengguna untuk membuat, mengubah, atau membaca data resource yang diberikan pengguna. Log audit Akses Data tidak merekam operasi akses data di resource yang digunakan bersama secara publik (tersedia untuk Semua Pengguna atau Semua Pengguna Terautentikasi) atau yang dapat diakses tanpa login ke Google Cloud.

VM Manager tidak menulis log audit Aktivitas Admin.

VM Manager tidak menulis log audit Peristiwa Sistem.

Operasi yang diaudit

Tabel berikut merangkum operasi API yang sesuai dengan setiap jenis log audit di VM Manager:

Kategori log audit Operasi VM Manager
Log audit Aktivitas Admin T/A
Log audit Akses Data
  • ExecutePatchJob
  • GetPatchJob
  • CancelPatchJob
  • ListPatchJobs
  • ListPatchJobInstanceDetails
  • CreatePatchDeployment
  • GetPatchDeployment
  • ListPatchDeployments
  • DeletePatchDeployment
  • UpdatePatchDeployment
  • GetVulnerabilityReport
  • ListVulnerabilityReports
  • GetInventory
  • ListInventories
  • CreateOSPolicyAssignments
  • GetOSPolicyAssignments
  • ListOSPolicyAssignments
  • UpdateOSPolicyAssignments
  • DeleteOSPolicyAssignments
  • GetOSPolicyAssignmentsReport
  • ListOSPolicyAssignmentsReports
  • CreateGuestPolicy
  • GetGuestPolicy
  • ListGuestPolicies
  • UpdateGuestPolicy
  • DeleteGuestPolicy
  • LookupEffectiveGuestPolicy
Log audit Peristiwa Sistem T/A

Format log audit

Entri log audit—yang dapat dilihat di Cloud Logging menggunakan Logs Viewer, Cloud Logging API, atau Google Cloud CLI—mencakup objek berikut:

  • Entri log itu sendiri, yang merupakan objek dengan jenis LogEntry. Kolom berguna yang meliputi hal berikut ini:

    • logName berisi identifikasi project dan jenis log audit
    • resource berisi target operasi yang diaudit
    • timeStamp berisi waktu operasi yang diaudit
    • protoPayload berisi informasi yang diaudit

  • Data logging audit, yang merupakan objek AuditLog yang disimpan di kolom protoPayload entri log.

  • Informasi audit khusus layanan opsional, yang merupakan objek khusus layanan yang disimpan di kolom serviceData dari objek AuditLog. Untuk mengetahui detailnya, buka Data audit khusus layanan.

Untuk kolom lain dalam objek ini, serta cara menafsirkannya, pelajari Memahami log audit.

Nama log

Nama resource Cloud Audit Logs menunjukkan project atau entity lain yang memiliki log audit, dan apakah log berisi data log audit Aktivitas Admin, Akses Data, atau Peristiwa Sistem. Misalnya, string berikut menunjukkan nama log untuk log audit Aktivitas Admin di project dan log audit Akses Data suatu organisasi:

projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity
organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access

Nama layanan

Log audit VM Manager menggunakan nama layanan osconfig.googleapis.com.

Untuk detail lebih lanjut mengenai layanan logging, buka Memetakan layanan ke resource.

Jenis resource

Log audit VM Manager menggunakan jenis resource audited_resource untuk semua log audit.

Untuk melihat daftar lengkapnya, buka Jenis resource yang dimonitor.

Mengaktifkan logging audit

Log audit Akses Data dinonaktifkan secara default dan tidak ditulis kecuali diaktifkan secara eksplisit (dengan pengecualian log audit Akses Data untuk BigQuery, yang tidak dapat dinonaktifkan).

Untuk melihat petunjuk cara mengaktifkan sebagian atau semua log audit Akses Data Anda, buka Mengonfigurasi log Akses Data.

Log audit Akses Data yang Anda aktifkan dapat memengaruhi harga log Anda di Cloud Logging. Pelajari bagian Harga di halaman ini.

VM Manager tidak menulis log audit Aktivitas Admin.

Izin log audit

Izin dan peran pada Identity and Access Management menentukan log audit mana yang dapat Anda lihat atau ekspor. Log berada di dalam project dan dalam beberapa entity lain termasuk organisasi, folder, dan akun penagihan. Untuk informasi lebih lanjut, buka Memahami peran.

Untuk melihat log audit Aktivitas Admin, Anda harus memiliki salah satu peran IAM berikut dalam project yang berisi log audit Anda:

  • Pemilik Project, Editor Project, atau Viewer Project.
  • Peran Logs Viewer pada logging.
  • Peran IAM kustom dengan izin IAM logging.logEntries.list.

Untuk melihat log audit Akses Data, Anda harus memiliki salah satu peran berikut dalam project yang berisi log audit Anda:

Jika Anda menggunakan log audit dari entity non-project, seperti organisasi, ubah peran Project ke peran organisasi yang sesuai.

Melihat log

Anda dapat membuat kueri untuk semua log audit atau membuat kueri untuk log berdasarkan nama log auditnya. Nama log audit mencakup ID resource project, folder, akun penagihan, atau organisasi Google Cloud yang informasi logging auditnya ingin Anda lihat. Kueri Anda dapat menentukan kolom LogEntry yang diindeks, dan jika menggunakan halaman Log Analytics, yang mendukung Kueri SQL, Anda dapat melihat hasil kueri sebagai diagram.

Untuk mengetahui informasi selengkapnya tentang cara membuat kueri log Anda, lihat halaman berikut:

Anda dapat melihat log audit di Cloud Logging menggunakan Konsol Google Cloud, Google Cloud CLI, atau Logging API.

Konsol

Di Konsol Google Cloud, Anda dapat menggunakan Logs Explorer guna mengambil entri log audit untuk project, folder, atau organisasi Google Cloud Anda:

  1. Di panel navigasi konsol Google Cloud, pilih Logging, lalu pilih Logs Explorer:

    Buka Logs Explorer

  2. Pilih project, folder, atau organisasi Google Cloud yang sudah ada.

  3. Untuk menampilkan semua log audit, masukkan salah satu kueri berikut ke kolom editor kueri, lalu klik Jalankan kueri:

    logName:"cloudaudit.googleapis.com"

    protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog"

  4. Agar dapat menampilkan log audit untuk jenis log audit dan resource tertentu, di panel Builder kueri, lakukan langkah berikut ini:

    • Di Jenis resource, pilih resource Google Cloud yang log auditnya ingin Anda lihat.

    • Di Log name, pilih jenis log audit yang ingin dilihat:

      • Untuk log audit Aktivitas Admin, pilih activity.
      • Untuk log audit Akses Data, pilih data_access.
      • Untuk log audit Peristiwa Sistem, pilih system_event.
      • Untuk log audit Kebijakan Ditolak, pilih policy.

    • Klik Jalankan kueri.

    Jika Anda tidak melihat opsi ini, maka tidak ada log audit dengan jenis tersebut yang tersedia di project, folder, atau organisasi Google Cloud.

    Jika mengalami masalah saat mencoba melihat log di Logs Explorer, lihat informasi pemecahan masalah.

    Untuk mengetahui informasi selengkapnya tentang pembuatan kueri menggunakan Logs Explorer, lihat Membangun kueri di Logs Explorer. Untuk mengetahui informasi tentang cara meringkas entri log di Logs Explorer menggunakan Gemini, lihat Meringkas entri log dengan bantuan Gemini.

gcloud

Google Cloud CLI menyediakan antarmuka command line ke Logging API. Berikan ID resource yang valid di setiap nama log. Misalnya, jika kueri Anda menyertakan PROJECT_ID, ID project yang Anda berikan harus merujuk ke project Google Cloud yang saat ini dipilih.

Untuk membaca entri log audit level project Google Cloud Anda, jalankan perintah berikut:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

Untuk membaca entri log audit level folder, jalankan perintah berikut:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

Untuk membaca entri log audit level organisasi, jalankan perintah berikut:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

Untuk membaca entri log audit level akun Penagihan Cloud Anda, jalankan perintah berikut:

gcloud logging read "logName : billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com" \
    --billing-account=BILLING_ACCOUNT_ID

Tambahkan flag --freshness ke perintah Anda untuk membaca log yang berusia lebih dari 1 hari.

Untuk mengetahui informasi selengkapnya tentang penggunaan gcloud CLI, lihat gcloud logging read.

API

Saat membangun kueri, sediakan ID resource yang valid di setiap nama log. Misalnya, jika kueri Anda menyertakan PROJECT_ID, ID project yang Anda berikan harus merujuk ke project Google Cloud yang saat ini dipilih.

Misalnya, untuk menggunakan Logging API guna melihat entri log audit level project Anda, lakukan tindakan berikut:

  1. Buka bagian Coba API ini dalam dokumentasi untuk metode entries.list.

  2. Masukkan string berikut ke dalam bagian Isi permintaan di formulir Coba API ini. Mengklik formulir yang telah diisi ini akan otomatis mengisi isi permintaan, tetapi Anda harus memberikan PROJECT_ID yang valid di setiap nama log.

    {
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}

  3. Klik Execute.

Mengekspor log audit

Anda dapat mengekspor log audit dengan cara yang sama seperti saat mengekspor jenis log lainnya. Untuk mengetahui cara mengekspor log Anda, buka Mengekspor log. Berikut adalah beberapa penerapan dari ekspor log audit:

  • Untuk menyimpan log audit dalam jangka waktu yang lebih lama atau menggunakan kemampuan penelusuran yang lebih andal, Anda dapat mengekspor salinan log audit Anda ke Cloud Storage, BigQuery, atau Pub/Sub. Dengan Pub/Sub, Anda dapat mengekspor ke aplikasi lain, repositori lain, dan ke pihak ketiga.

  • Untuk mengelola log audit di seluruh organisasi, Anda dapat membuat sink gabungan yang dapat mengekspor log dari setiap atau semua project di organisasi.

  • Jika log audit Akses Data yang diaktifkan membuat project Anda melebihi alokasi log-nya, Anda dapat mengekspor dan mengecualikan log audit Akses Data dari Logging. Untuk mengetahui detailnya, buka Mengecualikan log.

Harga

Cloud Logging mengenakan biaya kepada Anda untuk log audit Akses Data yang secara eksplisit Anda minta. VM Manager tidak menulis log audit Aktivitas Admin atau log audit Peristiwa Sistem.

Untuk mengetahui informasi selengkapnya tentang harga log audit, baca harga Google Cloud Observability.