OS Login-Audit-Logs überwachen


Sie können Verbindungsversuche zu VM-Instanzen überwachen, für die OS Login und die 2-Faktor-Authentifizierung von OS Login aktiviert sind. Rufen Sie dazu Audit-Logs der OS Logins auf. Diese Audit-Logs sind immer aktiviert und können nicht durch Datenzugriffskonfigurationen deaktiviert werden.

Mit dem Google Workspace Admin SDK können Sie außerdem OS Login-bezogene Ereignisse und Aktivitäten verfolgen, z. B. das Hinzufügen, Löschen oder Aktualisieren von SSH-Schlüsseln und das Löschen von POSIX-Informationen.

Hinweise

  • Richten Sie die Authentifizierung ein, falls Sie dies noch nicht getan haben. Bei der Authentifizierung wird Ihre Identität für den Zugriff auf Google Cloud-Dienste und APIs überprüft. Zur Ausführung von Code oder Beispielen aus einer lokalen Entwicklungsumgebung können Sie sich wie folgt bei Compute Engine authentifizieren.

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    1. Install the Google Cloud CLI, then initialize it by running the following command:

      gcloud init
    2. Set a default region and zone.

OS Login-Audit-Logs aufrufen

Fragen Sie Cloud-Audit-Logs ab, um eine Liste der OS Login-Verbindungsversuche aufzurufen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Log-Explorer auf.

    Zum Log-Explorer

  2. Geben Sie im Feld Query die folgende Abfrage ein:

    protoPayload.serviceName="oslogin.googleapis.com"
    

  3. Wenn das gewünschte Ereignis vor mehr als einer Stunde aufgetreten ist, legen Sie einen benutzerdefinierten Zeitraum fest. Klicken Sie dazu auf das Uhrsymbol und geben Sie einen benutzerdefinierten Bereich ein.

    Abfragezeitraum festlegen.

  4. Klicken Sie auf Abfrage ausführen. Die Ergebnisse werden im Abschnitt Abfrageergebnisse angezeigt.

  5. Klicken Sie auf den Erweiterungspfeil neben jedem Ergebnis, um detaillierte Informationen aufzurufen.

  6. Weitere Informationen zu den Arten von Audit-Logs für OS Login und deren Bedeutung finden Sie im Abschnitt Audit-Logs zu OS Login prüfen dieses Dokuments.

gcloud

  1. Sehen Sie sich Cloud-Audit-Logs mit dem Befehl gcloud logging read an:

    gcloud logging read --freshness=TIME 'protoPayload.serviceName="oslogin.googleapis.com"'
    

    Ersetzen Sie TIME durch die Abfragezeit. Zum Beispiel fragt 1h Logeinträge aus der letzten Stunde ab. Weitere Informationen zu Datums- und Uhrzeitformaten finden Sie unter gcloud topic datetimes.

    Die Ergebnisanzeige.

  2. Weitere Informationen zu den Arten von Audit-Logs für OS Login und deren Bedeutung finden Sie im Abschnitt Audit-Logs zu OS Login prüfen dieses Dokuments.

OS Login-Audit-Logs prüfen

Prüfen Sie die Felder methodName und principalEmail der Audit-Logs, um mehr über die Arten von Verbindungsversuchen zu VMs mit aktiviertem OS Login und die Nutzer zu erfahren, die diese Verbindungsversuche initiiert haben.

  • Maximieren Sie den Abschnitt protoPayload, um das Feld methodName für den Verbindungsversuch aufzurufen. Informationen zur Bedeutung der einzelnen Felder methodName finden Sie in der folgenden Tabelle:

    Methode Verbindungstyp Beschreibung
    google.cloud.oslogin.v1.OsLoginService.CheckPolicy Alle OS Login-Verbindungen Gibt einen Verbindungsversuch zu einer VM an. Bei Nicht-2FA-Verbindungen zeigt eine erfolgreiche Antwort an, dass der Nutzer mit der VM verbunden ist. Bei 2FA-Verbindungen wird eine erfolgreiche Verbindung sowohl durch einen erfolgreichen CheckPolicy-Aufruf als auch durch einen erfolgreichen ContinueSession-Aufruf angezeigt.
    google.cloud.oslogin.OsLoginService.v1.StartSession OS Login-2FA-Verbindungen Gibt eine neue 2FA-Authentifizierungssitzung an. Bei einem StartSession-Aufruf deklariert ein Client seine Funktionen gegenüber dem Server und erhält Informationen zu den verfügbaren Identitätsbestätigungen.
    google.cloud.oslogin.OsLoginService.v1.ContinueSession OS Login-2FA-Verbindungen

    Gibt eine Fortsetzung einer Authentifizierungssitzung an. Der Client schließt die vom Server vorgeschlagene Identitätsbestätigung bei dem vorherigen StartSession-Aufruf oder den vorherigen Anfragen ab und führt einen anderen Typ der Identitätsbestätigung durch. Anschließend akzeptiert die Methode ContinueSession die Antwort auf die Identitätsbestätigung oder Methode und authentifiziert oder lehnt den Authentifizierungsversuch entweder ab.

  • Maximieren Sie den Abschnitt authenticationInfo, um das Feld principalEmail anzuzeigen. Das Feld principalEmail zeigt die E-Mail-Adresse des Nutzers an, der versucht hat, eine Verbindung zur VM herzustellen.

Attribute des OS Login-Audit-Logs

In folgenden Abschnitten werden die Attribute für Audit-Logs beschrieben. Einige Attribute gelten für alle Audit-Logs, andere für die Methoden CheckPolicy, StartSession und ContinueSession.

Allgemeine Attribute von OS Login-Audit-Logs

Die in der folgenden Tabelle aufgeführten Attribute gelten für alle OS Login-Audit-Logs.

Attribut Wert
serviceName oslogin.googleapis.com
resourceName Ein String mit der Projektnummer, die angibt, zu welcher Anmeldeanfrage das Audit-Log gehört. Beispiel: projects/myproject12345.
severity Der Schweregrad der Lognachricht. Beispiel: INFO oder WARNING. Weitere Informationen zu Schweregraden finden Sie unter LogSeverity.
authenticationInfo.principalEmail Die E-Mail-Adresse des Nutzers, der von der Methode authentifiziert wird.
request.numericProjectId Die Projektnummer des Google Cloud-Projekts.

CheckPolicy Audit-Logattribute

Die in der folgenden Tabelle aufgeführten Attribute gelten für CheckPolicy-Audit-Logs.

Attribut Wert
methodName google.cloud.oslogin.v1.OsLoginService.CheckPolicy
request.@type type.googleapis.com/google.cloud.oslogin.v1.CheckPolicyRequest
request.policy Die geprüfte Berechtigung. Entweder LOGIN, das prüft, ob der Nutzer berechtigt ist, sich bei der VM anzumelden, oder ADMIN_LOGIN, das prüft, ob der Nutzer Administratorzugriff auf die VM hat.
response.success Das Ergebnis der Prüfung von LOGIN oder ADMIN_LOGIN request.policy. Entweder true oder false, je nachdem, ob der Nutzer für die angegebene Richtlinie autorisiert ist.

StartSession Audit-Logattribute

Die in der folgenden Tabelle aufgeführten Attribute gelten für StartSession-Audit-Logs für VMs, für die OS Login-2FA aktiviert ist.

Attribut Wert
methodName google.cloud.oslogin.OsLoginService.v1.StartSession
request.@type type.googleapis.com/google.cloud.oslogin.OsLoginService.v1.StartSessionRequest
request.supportedChallengeTypes Die Liste der Identitätsbestätigungsarten oder 2FA-Methoden, zwischen denen Sie wählen können.
response.authenticationStatus Der Status der Sitzung. Entweder Authenticated, Challenge required, oder Challenge pending.
response.sessionId Ein ID-String, mit dem die Sitzung eindeutig identifiziert wird. Diese Sitzungs-ID wird an den Aufruf ContinueSession in der Sequenz übergeben.
response.challenges Die Identitätsbestätigungen, die Sie versuchen können, um diese Authentifizierungsrunde erfolgreich durchzuführen. Höchstens eine dieser Identitätsbestätigungen wird gestartet und hat den Status READY. Die anderen werden als Optionen angeboten. Der Nutzer kann diese als Alternative zur vorgeschlagenen primären Identitätsbestätigung verwenden.

ContinueSession Audit-Logattribute

Die in der folgenden Tabelle aufgeführten Attribute gelten für ContinueSession-Audit-Logs für VMs, für die OS Login-2FA aktiviert ist.

Attribut Wert
methodName google.cloud.oslogin.OsLoginService.v1.ContinueSession
request.sessionId Ein ID-String, mit dem die vorherige Sitzung eindeutig identifiziert wird. Diese Sitzungs-ID wird vom Aufruf StartSession übergeben.
request.@type type.googleapis.com/google.cloud.oslogin.OsLoginService.v1.ContinueSessionRequest
request.challengeId Ein ID-String, der angibt, welche Art der Identitätsbestätigung gestartet oder durchgeführt werden soll. Diese ID muss zu einer Art der Identitätsbestätigung gehören, die vom Aufruf response.challenges in der Antwort StartSession zurückgegeben wurde.
request.action Die erforderliche Aktion für die Herausforderung.
response.authenticationStatus Der Status der Sitzung. Beispiel: Authenticated, Challenge required oder Challenge pending.
response.challenges.status SUCCESS gibt an, dass ein Nutzer erfolgreich mit der VM verbunden wurde.
response.challenges Die Identitätsbestätigungen, die Sie versuchen können, um diese Authentifizierungsrunde erfolgreich durchzuführen. Höchstens eine dieser Identitätsbestätigungen wird gestartet und hat den Status READY. Die anderen werden als Optionen angeboten. Der Nutzer kann diese als Alternative zur vorgeschlagenen primären Identitätsbestätigung verwenden.

Nächste Schritte