Puoi monitorare i tentativi di connessione alle istanze di macchine virtuali (VM) che hanno OS Login e OS Login per l'autenticazione a due fattori (2FA) attivati visualizzando il sistema operativo Audit log degli accessi. Questi audit log sono sempre abilitati e non possono essere disattivati dalle configurazioni di accesso ai dati.
Puoi anche monitorare eventi e attività relativi all'accesso al sistema operativo, come l'aggiunta, l'eliminazione o l'aggiornamento di una chiave SSH o l'eliminazione di informazioni POSIX con l'SDK di amministrazione di Google Workspace.
Prima di iniziare
-
Se non l'hai ancora fatto, configura l'autenticazione.
Autenticazione è
Il processo di verifica dell'identità per l'accesso ai servizi e alle API di Google Cloud.
Per eseguire codice o esempi da un ambiente di sviluppo locale, puoi autenticarti su Compute Engine come segue.
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init - Set a default region and zone.
Nella console Google Cloud, vai alla pagina Esplora log.
Nel campo Query, inserisci la seguente query:
protoPayload.serviceName="oslogin.googleapis.com"
Se l'evento che stai cercando si è verificato più di un'ora fa, imposta una un intervallo di tempo personalizzato facendo clic sul simbolo dell'orologio e inserendo una intervallo.
Fai clic su Esegui query. I risultati vengono visualizzati nella sezione Risultati query.
Fai clic sulla freccia di espansione accanto a ciascun risultato per visualizzare informazioni dettagliate.
Per informazioni sui tipi di log di controllo di OS Login e sul loro significato, vai alla sezione Esaminare i log di controllo di OS Login di questo documento.
Visualizza Cloud Audit Logs utilizzando Comando
gcloud logging read:gcloud logging read --freshness=TIME 'protoPayload.serviceName="oslogin.googleapis.com"'
Sostituisci
TIMEcon il periodo di tempo per cui vuoi eseguire una query. Ad esempio, le query1hregistrano le voci nell'ultima ora. Per informazioni sui formati di data e ora, consulta gcloud topic datetimes.Vengono visualizzati i risultati.
Per informazioni sui tipi di log di controllo di OS Login e sul loro significato, vai alla sezione Esaminare i log di controllo di OS Login di questo documento.
Espandi la sezione
protoPayloadper visualizzare il campomethodNameper tentativo di connessione. Per conoscere il significato di ogni campomethodName, consulta le tabella seguente:Metodo Tipo di connessione Descrizione google.cloud.oslogin.v1.OsLoginService.CheckPolicyTutte le connessioni OS Login Indica un tentativo di connessione a una VM. Per le connessioni non 2FA, una risposta positiva indica che l'utente si è connesso alla VM. Per le connessioni con l'autenticazione a due fattori, una connessione riuscita è indicata sia da una chiamata CheckPolicysia da una chiamataContinueSessionandata a buon fine.google.cloud.oslogin.OsLoginService.v1.StartSessionConnessioni con l'autenticazione a due fattori di OS Login Indica una nuova sessione di autenticazione 2FA. In una chiamata StartSession, un client dichiara le proprie funzionalità al server e ottiene informazioni sulle sfide disponibili.google.cloud.oslogin.OsLoginService.v1.ContinueSessionConnessioni con l'autenticazione a due fattori di OS Login Indica la continuazione di una sessione di autenticazione. Il client completa la verifica proposta dal server sulla chiamata o sulle richieste
StartSessionprecedenti e completa un altro tipo di verifica. Quindi, il metodoContinueSessionaccetta la risposta alla verifica o al metodo e autentica o rifiuta il tentativo di autenticazione.Espandi la sezione
authenticationInfoper visualizzare il campoprincipalEmail. Il campoprincipalEmailmostra l'indirizzo email dell'utente che ha provato a collegarsi alla VM.- Scopri di più su Logging query language in personalizzare le query del log di controllo di OS Login.
- Scopri come funzionano le connessioni SSH alle VM Linux su Compute Engine.
Visualizza gli audit log di OS Login
Per visualizzare un elenco di tentativi di connessione di OS Login, esegui una query su Cloud Audit Logs.
Console
gcloud
Esamina gli audit log di OS Login
Esamina i campi
methodNameeprincipalEmaildei log di controllo per conoscere i tipi di tentativi di connessione alle VM in cui è abilitato l'accesso tramite sistema operativo e gli utenti che hanno avviato questi tentativi di connessione.Proprietà degli audit log di OS Login
Le seguenti sezioni descrivono le proprietà degli audit log. Alcune proprietà sono comuni a tutti i log di controllo, mentre altre sono specifiche per i metodi
CheckPolicy,StartSessioneContinueSession.Proprietà comuni dei log di controllo degli accessi al sistema operativo
Le proprietà elencate nella seguente tabella sono comuni a tutti i OS Login. e gli audit log.
Proprietà Valore serviceNameoslogin.googleapis.comresourceNameUna stringa contenente il numero del progetto che indica a quale richiesta di accesso appartiene il log di controllo. Ad esempio: projects/myproject12345.severityIl livello di gravità del messaggio di log. Ad esempio, INFOoWARNING. Per scoprire di più sui livelli di gravità, consulta LogSeverity.authenticationInfo.principalEmailL'indirizzo email dell'utente che il metodo sta autenticando. request.numericProjectIdIl numero del progetto Google Cloud. CheckPolicyproprietà degli audit logLe proprietà elencate nella seguente tabella si applicano al controllo
CheckPolicylogaritmi.Proprietà Valore methodNamegoogle.cloud.oslogin.v1.OsLoginService.CheckPolicyrequest.@typetype.googleapis.com/google.cloud.oslogin.v1.CheckPolicyRequestrequest.policyL'autorizzazione da verificare. LOGIN, che verifica se l'utente è autorizzato ad accedere alla VM, oppureADMIN_LOGIN, che verifica se l'utente è autorizzato ad avere accesso amministrativo alla VM.response.successIl risultato dell'evento LOGINoADMIN_LOGINControllorequest.policy.trueofalse, a seconda che l'utente sia autorizzato per il criterio specificato.Proprietà dei log di controllo
StartSessionLe proprietà elencate nella seguente tabella si applicano al controllo
StartSessionper le VM in cui è abilitata l'autenticazione a due fattori (2FA) di OS Login.Proprietà Valore methodNamegoogle.cloud.oslogin.OsLoginService.v1.StartSessionrequest.@typetype.googleapis.com/google.cloud.oslogin.OsLoginService.v1.StartSessionRequestrequest.supportedChallengeTypesL'elenco di tipi di sfida o metodi 2FA tra cui puoi scegliere. response.authenticationStatusStato della sessione. Uno dei valori Authenticated,Challenge requiredoChallenge pending.response.sessionIdUna stringa ID che identifica in modo univoco la sessione. Questo ID sessione è passato alla chiamata ContinueSessionnella sequenza.response.challengesL'insieme di sfide che puoi tentare di superare durante questo round autenticazione. Al massimo, una di queste sfide è iniziata e ha uno stato di READY. Le altre sono fornite come opzioni che l'utente può specificare come alternativa alla sfida principale proposta.ContinueSessionproprietà degli audit logLe proprietà elencate nella tabella seguente si applicano ai log di controllo
ContinueSessionper le VM in cui è attivata la verifica 2FA per l'accesso al sistema operativo.Proprietà Valore methodNamegoogle.cloud.oslogin.OsLoginService.v1.ContinueSessionrequest.sessionIdUna stringa ID che identifica in modo univoco la sessione precedente. Questo ID sessione è passato dalla chiamata StartSession.request.@typetype.googleapis.com/google.cloud.oslogin.OsLoginService.v1.ContinueSessionRequestrequest.challengeIdUna stringa ID che identifica la verifica da avviare o eseguire. Questo ID debe appartenere a un tipo di verifica restituito dalla chiamata response.challengesnella rispostaStartSession.request.actionL'azione da intraprendere per completare sfida. response.authenticationStatusStato della sessione. Ad esempio, Authenticated,Challenge requiredoChallenge pending.response.challenges.statusSUCCESSindica che un utente si è connesso correttamente alla VM.response.challengesL'insieme di verifiche che puoi tentare di superare per questa fase di autenticazione. Al massimo, una di queste sfide è iniziata e ha uno stato di READY. Le altre vengono fornite come opzioni che l'utente può specificare in alternativa alla sfida principale proposta.Passaggi successivi
Salvo quando diversamente specificato, i contenuti di questa pagina sono concessi in base alla licenza Creative Commons Attribution 4.0, mentre gli esempi di codice sono concessi in base alla licenza Apache 2.0. Per ulteriori dettagli, consulta le norme del sito di Google Developers. Java è un marchio registrato di Oracle e/o delle sue consociate.
Ultimo aggiornamento 2024-10-14 UTC.
-