查看 OS Config 审核日志

本页面介绍 Cloud Audit Logs 中由 OS Config 创建的审核日志。

概览

Google Cloud 服务会写入审核日志,可帮助您了解“哪些用户何时在何处执行了什么操作”。每个 Cloud 项目都只包含与直接属于该项目的资源相关的审核日志。其他实体(如文件夹、组织和结算帐号)都各有其专属的审核日志。

如需了解 Cloud Audit Logs 的一般概览,请参阅 Cloud Audit Logs。如需更深入了解 Cloud Audit Logs,请参阅了解审核日志

Cloud Audit Logs 会为每个 Google Cloud 项目、文件夹和组织维护以下三类审核日志:

  • 管理员活动审核日志
  • 数据访问审核日志
  • 系统事件审核日志

只有在明确启用时,OS Config 才会写入数据访问审核日志。数据访问审核日志包含用于读取资源配置或元数据的 API 调用,以及用户用于创建、修改或读取用户提供的资源数据所进行的 API 调用。数据访问审核日志不会记录对公开共享(所有用户所有经过身份验证的用户均可使用)的资源或无需登录 Google Cloud 即可访问的资源执行的数据访问操作。

OS Config 不会写入管理员活动审核日志。

OS Config 不会写入系统事件审核日志。

审核的操作

下表汇总了与 OS Config 中的每种审核日志类型相对应的 API 操作:

审核日志类别 OS Config 操作
管理员活动审核日志 不适用
数据访问审核日志
  • ExecutePatchJob
  • GetPatchJob
  • CancelPatchJob
  • ListPatchJobs
  • ListPatchJobInstanceDetails
  • CreatePatchDeployment
  • GetPatchDeployment
  • ListPatchDeployments
  • DeletePatchDeployment
  • CreateGuestPolicy
  • GetGuestPolicy
  • ListGuestPolicies
  • UpdateGuestPolicy
  • DeleteGuestPolicy
  • LookupEffectiveGuestPolicy
系统事件审核日志 不适用

审核日志格式

审核日志条目包含以下对象,您可以在 Cloud Logging 中使用日志查看器、Cloud Logging API 或 gcloud 命令行工具进行查看:

  • 日志条目本身,即类型为 LogEntry 的对象。以下是一些实用的字段:

    • logName 包含项目标识和审核日志类型
    • resource 包含所审核操作的目标
    • timeStamp 包含所审核操作的时间
    • protoPayload 包含审核信息
  • 审核日志记录数据,即保存在日志条目的 protoPayload 字段中的 AuditLog 对象。

  • (可选)服务专属的审核信息,即保存在 AuditLog 对象的 serviceData 字段中的服务专属对象。如需了解详情,请参阅服务专属审核数据

如需了解上述对象中的其他字段以及如何解读这些字段,请参阅了解审核日志

日志名称

Cloud Audit Logs 资源名称指明了审核日志所属的项目或其他实体,以及日志是包含管理员活动、数据访问还是系统事件审核日志记录数据。例如,下面显示的日志名称分别表示项目的管理员活动审核日志和组织的数据访问审核日志:

    projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity
    organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
    

服务名称

OS Config 审核日志使用服务名称 osconfig.googleapis.com

如需详细了解日志记录服务,请参阅将服务映射到资源

资源类型

OS Config 审核日志全部都使用资源类型 audited_resource

如需查看完整列表,请转到受监控的资源类型

启用审核日志记录

数据访问审核日志默认处于停用状态,而且除非明确启用,否则系统不会写入此类日志(唯一的例外是 BigQuery 数据访问审核日志,该日志无法停用)。

如需了解如何启用部分或全部数据访问审核日志,请参阅配置数据访问日志

您启用的数据访问审核日志可能会影响 Cloud Logging 中的日志价格。请参阅本页中的价格部分。

OS Config 不会写入管理员活动审核日志。

审核日志权限

Cloud Identity and Access Management 权限和角色决定您可以查看或导出的审核日志。日志保存在项目以及组织、文件夹和结算帐号等其他一些实体中。如需了解详情,请参阅了解角色

如需查看管理员活动审核日志,您必须在审核日志所属的项目中拥有下列 Cloud IAM 角色之一:

如需查看数据访问审核日志,您必须在审核日志所属的项目中拥有下列其中一个角色:

如果您使用的是来自非项目实体(例如组织)的审核日志,请将项目角色更改为适当的组织角色。

查看日志

如需查找和查看审核日志,您需要知道要查看其审核日志信息的 Google Cloud 项目、文件夹或组织的标识符。您可以进一步指定其他已编入索引的 LogEntry 字段,如 resource.type;如需了解详情,请查看快速查找日志条目

以下是审核日志名称:

       projects/project-id/logs/cloudaudit.googleapis.com%2Factivity
       projects/project-id/logs/cloudaudit.googleapis.com%2Fdata_access
       projects/project-id/logs/cloudaudit.googleapis.com%2Fsystem_event

       folders/folder-id/logs/cloudaudit.googleapis.com%2Factivity
       folders/folder-id/logs/cloudaudit.googleapis.com%2Fdata_access
       folders/folder-id/logs/cloudaudit.googleapis.com%2Fsystem_event

       organizations/organization-id/logs/cloudaudit.googleapis.com%2Factivity
       organizations/organization-id/logs/cloudaudit.googleapis.com%2Fdata_access
       organizations/organization-id/logs/cloudaudit.googleapis.com%2Fsystem_event
    

以下示例使用项目级层查询。如果要查看组织级层或文件夹级层的审核日志,请替换为审核日志名称中列出的适当文件夹级层或组织级层审核日志名称或标识符。

您可以通过多种方式来查看审核日志条目:

Cloud Console

您可以使用 Cloud Console 中的日志查看器来检索您的 Google Cloud 项目的审核日志条目。执行以下操作:

  1. 转到 Cloud Console 中的Google Cloud 的运维套件 Logging > 日志(日志查看器)页面:

    转到“日志查看器”页面

  2. 在页面顶部选择一个现有 Google Cloud 项目,或者创建一个新项目。

  3. 在第一个下拉菜单中,选择您要查看其审核日志的资源类型。

  4. 在第二个下拉菜单中,选择您要查看的日志类型:activity 表示管理员活动审核日志,data_access 表示数据访问审核日志,system_events 表示系统事件日志。

    如果您没有看到以上任何选项,则表明项目中没有该类型的审核日志。

如果您希望将现有搜索限制为仅搜索审核日志,请执行以下操作:

  1. 在搜索过滤条件框中,点击下拉箭头 (▾),然后选择转换为高级过滤条件

  2. 在出现的文本框中,在 resource.type 行下方添加以下查询。请注意,您提供的 project-id 必须引用当前选定的 Google Cloud 项目;否则,该查询将不起作用。

            logName : "projects/project-id/logs/cloudaudit.googleapis.com"
        

    如果您希望查看项目的所有可用审核日志,请仅在查询中包含上述内容。如需详细了解查询,请参阅高级日志查询

API

若要使用 Logging API 查看审核日志条目,请执行以下操作:

  1. 转到 entries.list 方法文档中的试用此 API 部分。

  2. 将以下内容加入试用此 API 表单的请求正文部分。点击此预填充的表单后,系统会自动填充请求正文,但您需要在每个日志名称中提供一个有效的 project-id

              {
                "resourceNames": [
                  "projects/project-id"
                ],
                "pageSize": 5,
                "filter": "logName : projects/project-id/logs/cloudaudit.googleapis.com"
              }
        
  3. 点击执行

如需详细了解查询,请参阅高级日志查询

GCLOUD

Cloud SDK 有一组命令 gcloud logging,用于为 Cloud Logging API 提供命令行界面。如需读取您的日志条目,请运行以下命令。在每个日志名称中提供有效的 project-id

        gcloud logging read "logName : projects/project-id/logs/cloudaudit.googleapis.com"

如需详细了解如何使用 gcloud 命令行工具,请参阅读取日志条目

如需查看审核日志条目示例并了解如何在其中找到最重要的信息,请参阅了解审核日志

导出审核日志

您可以按照导出其他类型日志的方式导出审核日志。如需详细了解如何导出日志,请参阅导出日志。以下是与导出审核日志相关的一些应用:

  • 如需长时间保留审核日志或使用更强大的搜索功能,您可以将审核日志的副本导出到 Cloud Storage、BigQuery 或 Pub/Sub。您可以使用 Pub/Sub 将内容导出到其他应用、其他代码库和第三方工具。

  • 如需管理整个组织范围内与您相关的审核日志,您可以创建一个汇总接收器,以便从组织中的任何项目或所有项目导出日志。

  • 如果启用的数据访问审核日志会导致项目超出其日志配额,您可以从 Logging 导出日志并排除数据访问审核日志。如需了解详情,请参阅排除日志

价格

Cloud Logging 会针对您明确请求的数据访问审核日志向您收费。 OS Config 不会写入管理员活动审核日志或系统事件审核日志。

如需详细了解审核日志价格,请参阅 Google Cloud 的操作套件价格