Vous pouvez surveiller les tentatives de connexion aux instances de machines virtuelles (VM) sur lesquelles OS Login et l'authentification à deux facteurs (2FA) OS Login sont activés en affichant les journaux d'audit OS Login. Ces journaux d'audit sont toujours activés et ne peuvent pas être désactivés par les configurations d'accès aux données.
Vous pouvez également suivre les événements et les activités liés à OS Login, tels que l'ajout, la suppression ou la mise à jour d'une clé SSH, ou la suppression d'informations POSIX avec le SDK Admin Google Workspace.
Avant de commencer
-
Si ce n'est pas déjà fait, configurez l'authentification.
L'authentification est le processus permettant de valider votre identité pour accéder aux services et aux API Google Cloud.
Pour exécuter du code ou des exemples depuis un environnement de développement local, vous pouvez vous authentifier auprès de Compute Engine comme suit :
Sélectionnez l'onglet correspondant à la façon dont vous prévoyez d'utiliser les exemples de cette page :
Console
Lorsque vous utilisez la console Google Cloud pour accéder aux services et aux API Google Cloud, vous n'avez pas besoin de configurer l'authentification.
gcloud
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
- Définissez une région et une zone par défaut.
-
Afficher les journaux d'audit OS Login
Pour afficher la liste des tentatives de connexion à OS Login, interrogez Cloud Audit Logs.
Console
Dans la console Google Cloud, accédez à la page Explorateur de journaux.
Dans le champ Requête, saisissez la requête suivante :
protoPayload.serviceName="oslogin.googleapis.com"
Si l'événement que vous recherchez s'est produit il y a plus d'une heure, définissez une période personnalisée en cliquant sur le symbole de l'horloge et en saisissant une plage personnalisée.
Cliquez sur Run query. Les résultats sont affichés dans la section Résultats de la requête.
Cliquez sur la flèche de développement
à côté de chaque résultat pour afficher des informations détaillées.Pour en savoir plus sur les types de journaux d'audit OS Login et leur signification, consultez la section Examiner les journaux d'audit OS Login de ce document.
gcloud
Affichez les journaux d'audit Cloud à l'aide de la commande
gcloud logging read
:gcloud logging read --freshness=TIME 'protoPayload.serviceName="oslogin.googleapis.com"'
Remplacez
TIME
par la période que vous souhaitez interroger. Par exemple,1h
interroge les entrées du journal de la dernière heure. Pour en savoir plus sur les formats de date et d'heure, consultez la section gcloud topic datetimes.Les résultats s'affichent.
Pour en savoir plus sur les types de journaux d'audit OS Login et leur signification, consultez la section Examiner les journaux d'audit OS Login de ce document.
Examiner les journaux d'audit OS Login
Examinez les champs methodName
et principalEmail
des journaux d'audit pour en savoir plus sur les types de tentatives de connexion aux VM pour lesquelles OS Login est activé et les utilisateurs qui ont initié ces tentatives de connexion.
Développez la section
protoPayload
pour afficher le champmethodName
correspondant à la tentative de connexion. Pour connaître la signification de chaque champmethodName
, consultez le tableau suivant :Méthode Type de connexion Description google.cloud.oslogin.v1.OsLoginService.CheckPolicy
Toutes les connexions à OS Login Indique une tentative de connexion à une VM. Pour les connexions autres que 2FA, une réponse positive indique que l'utilisateur s'est connecté à la VM. Pour les connexions 2FA, une connexion réussie est indiquée à la fois par un appel CheckPolicy
réussi et un appelContinueSession
réussi.google.cloud.oslogin.OsLoginService.v1.StartSession
Connexions à OS Login 2FA Indique une nouvelle session d'authentification 2FA. Dans un appel StartSession
, un client déclare ses capacités au serveur et obtient des informations sur les types d'authentification disponibles.google.cloud.oslogin.OsLoginService.v1.ContinueSession
Connexions à OS Login 2FA Indique la continuation d'une session d'authentification. Le client utilise le type d'authentification proposé par le serveur lors de l'appel
StartSession
précédent ou envoie une demande et utilise un type d'authentification différent. Ensuite, la méthodeContinueSession
accepte la réponse à la question d'authentification ou la méthode, et authentifie ou refuse la tentative d'authentification.Développez la section
authenticationInfo
pour afficher le champprincipalEmail
. Le champprincipalEmail
indique l'adresse e-mail de l'utilisateur qui a tenté de se connecter à la VM.
Propriétés des journaux d'audit OS Login
Les sections suivantes décrivent les propriétés des journaux d'audit. Certaines propriétés sont communes à tous les journaux d'audit, et d'autres sont spécifiques aux méthodes CheckPolicy
, StartSession
et ContinueSession
.
Propriétés courantes des journaux d'audit OS Login
Les propriétés répertoriées dans le tableau suivant sont communes à tous les journaux d'audit OS Login.
Propriété | Valeur |
---|---|
serviceName |
oslogin.googleapis.com |
resourceName |
Chaîne contenant le numéro de projet qui indique à quelle requête de connexion le journal d'audit est rattaché. Par exemple :
projects/myproject12345 |
severity |
Niveau de gravité du message du journal. Par exemple, INFO ou WARNING . Pour en savoir plus sur les niveaux de gravité, consultez la section
LogSeverity. |
authenticationInfo.principalEmail |
Adresse e-mail de l'utilisateur que la méthode authentifie. |
request.numericProjectId |
Numéro de projet du projet Google Cloud. |
Propriétés des journaux d'audit CheckPolicy
Les propriétés répertoriées dans le tableau suivant s'appliquent aux journaux d'audit CheckPolicy
.
Propriété | Valeur |
---|---|
methodName |
google.cloud.oslogin.v1.OsLoginService.CheckPolicy |
request.@type |
type.googleapis.com/google.cloud.oslogin.v1.CheckPolicyRequest |
request.policy |
Autorisation en cours de vérification. LOGIN , qui vérifie si l'utilisateur est autorisé à se connecter à la VM, ou ADMIN_LOGIN , qui vérifie si l'utilisateur est autorisé à disposer d'un accès administrateur à la VM. |
response.success |
Résultat de la vérification de request.policy LOGIN ou ADMIN_LOGIN . true ou false , selon que l'utilisateur est autorisé ou non pour la stratégie spécifiée. |
Propriétés des journaux d'audit StartSession
Les propriétés répertoriées dans le tableau suivant s'appliquent aux journaux d'audit StartSession
, pour les VM sur lesquelles OS Login 2FA est activé.
Propriété | Valeur |
---|---|
methodName |
google.cloud.oslogin.OsLoginService.v1.StartSession |
request.@type |
type.googleapis.com/google.cloud.oslogin.OsLoginService.v1.StartSessionRequest |
request.supportedChallengeTypes |
Liste des types d'authentification ou des méthodes 2FA que vous pouvez choisir. |
response.authenticationStatus |
État de la session. Authenticated , Challenge required ou Challenge pending . |
response.sessionId |
Chaîne d'ID identifiant la session de manière unique. Cet ID de session est transmis à l'appel ContinueSession dans la séquence. |
response.challenges |
Ensemble des questions d'authentification que vous pouvez essayer de transmettre durant cette séquence d'authentification. Une seule de ces questions est lancée et dispose de l'état READY . Les autres sont fournies sous forme d'options que l'utilisateur peut spécifier comme alternative à la principale question d'authentification proposée. |
Propriétés des journaux d'audit ContinueSession
Les propriétés répertoriées dans le tableau suivant s'appliquent aux journaux d'audit ContinueSession
, pour les VM sur lesquelles OS Login 2FA est activé.
Propriété | Valeur |
---|---|
methodName |
google.cloud.oslogin.OsLoginService.v1.ContinueSession |
request.sessionId |
Chaîne d'ID identifiant de manière unique la session précédente. Cet ID de session est transmis depuis l'appel StartSession . |
request.@type |
type.googleapis.com/google.cloud.oslogin.OsLoginService.v1.ContinueSessionRequest |
request.challengeId |
Chaîne d'ID identifiant l'authentification à lancer ou à exécuter. Cet ID doit appartenir à un type d'authentification renvoyé par l'appel response.challenges dans la réponse StartSession . |
request.action |
Mesure à prendre pour terminer l'authentification. |
response.authenticationStatus |
État de la session. Par exemple, Authenticated , Challenge required ou Challenge pending . |
response.challenges.status |
SUCCESS indique qu'un utilisateur s'est connecté avec succès à la VM. |
response.challenges |
Ensemble des questions d'authentification que vous pouvez essayer de transmettre pour cette séquence d'authentification. Une seule de ces questions est lancée et dispose de l'état READY . Les autres sont fournies sous forme d'options que l'utilisateur peut spécifier comme alternative à la principale question d'authentification proposée. |
Étape suivante
- Obtenez plus d'informations sur le langage de requêtes Logging afin de personnaliser vos requêtes de journaux d'audit OS Login.
- Découvrez comment les connexions SSH aux VM Linux fonctionnent sur Compute Engine.