OS 로그인 감사 로그 모니터링


OS 로그인 감사 로그를 확인하여 OS 로그인 및 OS 로그인 2단계 인증(2FA)이 사용 설정된 가상 머신(VM) 인스턴스에 대한 연결 시도를 모니터링할 수 있습니다. 이러한 감사 로그는 항상 사용 설정되며 데이터 액세스 구성으로 중지될 수 없습니다.

Google Workspace 관리자 SDK를 사용하여 SSH 키의 추가, 삭제, 업데이트 또는 POSIX 정보의 삭제 같은 OS 로그인 관련 이벤트와 활동을 추적할 수 있습니다.

시작하기 전에

  • 아직 인증을 설정하지 않았다면 설정합니다. 인증은 Google Cloud 서비스 및 API에 액세스하기 위해 ID를 확인하는 프로세스입니다. 로컬 개발 환경에서 코드 또는 샘플을 실행하려면 다음 옵션 중 하나를 선택하여 Compute Engine에 인증하면 됩니다.

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    1. Install the Google Cloud CLI, then initialize it by running the following command:

      gcloud init
    2. Set a default region and zone.

OS 로그인 감사 로그 보기

OS 로그인 연결 시도 목록을 표시하려면 Cloud 감사 로그를 쿼리합니다.

콘솔

  1. Google Cloud 콘솔에서 로그 탐색기 페이지로 이동합니다.

    로그 탐색기로 이동

  2. 쿼리 필드에 다음 쿼리를 입력합니다.

    protoPayload.serviceName="oslogin.googleapis.com"
    

  3. 찾고 있는 이벤트가 1시간 이상 전에 발생한 경우 시계 기호를 클릭하고 커스텀 범위를 입력하여 커스텀 기간을 설정합니다.

    쿼리 기간을 설정합니다.

  4. 쿼리 실행을 클릭합니다. 쿼리 결과 섹션에 결과가 표시됩니다.

  5. 각 결과 옆의 확장 화살표를 클릭하여 자세한 정보를 표시합니다.

  6. OS 로그인 감사 로그의 유형 및 의미에 대해 알아보려면 이 문서의 OS 로그인 감사 로그 검토 섹션을 계속 진행하세요.

gcloud

  1. gcloud logging read 명령어를 사용하여 Cloud 감사 로그를 확인합니다.

    gcloud logging read --freshness=TIME 'protoPayload.serviceName="oslogin.googleapis.com"'
    

    TIME을 쿼리할 시간으로 바꿉니다. 예를 들어 1h는 지난 1시간의 로그 항목을 쿼리합니다. 날짜 및 시간 형식에 대한 자세한 내용은 gcloud topic datetimes를 참조하세요.

    결과가 표시됩니다.

  2. OS 로그인 감사 로그의 유형 및 의미에 대해 알아보려면 이 문서의 OS 로그인 감사 로그 검토 섹션을 계속 진행하세요.

OS 로그인 감사 로그 검토

OS 로그인이 사용 설정된 VM에 대한 연결 시도 유형과 해당 연결 시도를 시작한 사용자에 대해 알아보려면 감사 로그의 methodNameprincipalEmail 필드를 검토합니다.

  • protoPayload 섹션을 펼쳐 연결 시도의 methodName 필드를 확인합니다. 각 methodName 필드의 의미에 대해 알아보려면 다음 표를 참조하세요.

    메서드 연결 유형 설명
    google.cloud.oslogin.v1.OsLoginService.CheckPolicy 모든 OS 로그인 연결 VM에 대한 연결 시도를 나타냅니다. 비2FA 연결의 경우 성공 응답은 사용자가 VM에 연결되었음을 나타냅니다. 2FA 연결의 경우 성공적인 연결은 성공적인 CheckPolicy 호출과 성공적인 ContinueSession 호출로 표시됩니다.
    google.cloud.oslogin.OsLoginService.v1.StartSession OS 로그인 2단계 인증 연결 새로운 2FA 인증 세션을 나타냅니다. StartSession 호출에서 클라이언트는 자신의 기능을 서버에 선언하고 사용 가능한 본인 확인 질문에 대한 정보를 가져옵니다.
    google.cloud.oslogin.OsLoginService.v1.ContinueSession OS 로그인 2단계 인증 연결

    인증 세션의 연속을 나타냅니다. 클라이언트는 이전 StartSession 호출 또는 요청에서 서버가 제안한 본인 확인 질문을 완료하고 다른 본인 확인 유형을 완료합니다. 그런 다음 ContinueSession 메서드는 본인 확인 질문 또는 메서드에 대한 응답을 수락하고 인증 시도를 인증 또는 거부합니다.

  • authenticationInfo 섹션을 펼쳐 principalEmail 필드를 확인합니다. principalEmail 필드에는 VM 연결을 시도한 사용자의 이메일 주소가 표시됩니다.

OS 로그인 감사 로그 속성

다음 섹션에서는 감사 로그의 속성을 설명합니다. 일부 속성은 모든 감사 로그에 공통적이며 다른 속성은 CheckPolicy, StartSession, ContinueSession 메서드에 따라 다릅니다.

일반적인 OS 로그인 감사 로그 속성

다음 표에 나열된 속성은 모든 OS 로그인 감사 로그에서 공통적입니다.

속성
serviceName oslogin.googleapis.com
resourceName 감사 로그가 속한 로그인 요청을 나타내는 프로젝트 번호가 포함된 문자열입니다. 예를 들면 projects/myproject12345입니다.
severity 로그 메시지의 심각도 예를 들면 INFO 또는 WARNING입니다. 심각도 수준에 대한 자세한 내용은 LogSeverity를 참조하세요.
authenticationInfo.principalEmail 메서드가 인증하고 있는 사용자의 이메일 주소입니다.
request.numericProjectId Google Cloud 프로젝트의 프로젝트 번호입니다.

CheckPolicy 감사 로그 속성

다음 표에 나열된 속성은 CheckPolicy 감사 로그에 적용됩니다.

속성
methodName google.cloud.oslogin.v1.OsLoginService.CheckPolicy
request.@type type.googleapis.com/google.cloud.oslogin.v1.CheckPolicyRequest
request.policy 확인 중인 권한입니다. LOGIN(사용자가 VM에 로그인할 권한이 있는지 확인) 또는 ADMIN_LOGIN(사용자에게 VM에 대한 관리 액세스 권한이 있는지 확인)입니다.
response.success LOGIN 또는 ADMIN_LOGIN request.policy 확인 결과입니다. 사용자에게 지정된 정책이 승인되었는지 여부에 따라 true 또는 false입니다.

StartSession 감사 로그 속성

OS 로그인 2단계 인증이 사용 설정된 VM의 경우 다음 표에 나열된 속성이 StartSession 감사 로그에 적용됩니다.

속성
methodName google.cloud.oslogin.OsLoginService.v1.StartSession
request.@type type.googleapis.com/google.cloud.oslogin.OsLoginService.v1.StartSessionRequest
request.supportedChallengeTypes 선택 가능한 질문 유형 또는 2FA 방법의 목록입니다.
response.authenticationStatus 세션 Authenticated, Challenge required, Challenge pending 중 하나입니다.
response.sessionId 세션을 고유하게 식별하는 ID 문자열입니다. 이 세션 ID는 시퀀스의 ContinueSession 호출에 전달됩니다.
response.challenges 이 인증 단계 중에 통과할 수 있는 일련의 본인 확인 질문입니다. 이러한 질문 중 최대 한 개가 시작되고 READY 상태가 됩니다. 나머지 질문은 사용자가 제안된 기본 질문 대안으로 지정할 수 있는 옵션으로 제공됩니다.

ContinueSession 감사 로그 속성

OS 로그인 2단계 인증이 사용 설정된 VM의 경우 다음 표에 나열된 속성이 ContinueSession 감사 로그에 적용됩니다.

속성
methodName google.cloud.oslogin.OsLoginService.v1.ContinueSession
request.sessionId 이전 세션을 고유하게 식별하는 ID 문자열입니다. 이 세션 ID는 StartSession 호출에서 전달됩니다.
request.@type type.googleapis.com/google.cloud.oslogin.OsLoginService.v1.ContinueSessionRequest
request.challengeId 시작하거나 실행할 질문을 식별하는 ID 문자열입니다. 이 ID는 StartSession 응답의 response.challenges 호출에서 반환된 본인 확인 질문 유형에 속해야 합니다.
request.action 본인 확인 질문을 완료하기 위해 수행할 작업입니다.
response.authenticationStatus 세션 예를 들면 Authenticated, Challenge required, Challenge pending입니다.
response.challenges.status SUCCESS는 사용자가 VM에 성공적으로 연결되었음을 나타냅니다.
response.challenges 이 인증 단계를 통과할 수 있는 일련의 본인 확인 질문입니다. 이러한 질문 중 최대 한 개가 시작되고 READY 상태가 됩니다. 나머지 질문은 사용자가 제안된 기본 질문 대안으로 지정할 수 있는 옵션으로 제공됩니다.

다음 단계