OS Login-Audit-Logs überwachen

Sie können Verbindungsversuche zu VM-Instanzen überwachen, für die OS Login und die 2-Faktor-Authentifizierung von OS Login aktiviert sind. Rufen Sie dazu Audit-Logs der OS Logins auf. Diese Audit-Logs sind immer aktiviert und können nicht durch Datenzugriffskonfigurationen deaktiviert werden.

Mit dem Google Workspace Admin SDK können Sie außerdem OS Login-bezogene Ereignisse und Aktivitäten verfolgen, z. B. das Hinzufügen, Löschen oder Aktualisieren von SSH-Schlüsseln und das Löschen von POSIX-Informationen.

Hinweise

Richten Sie die Authentifizierung ein, falls Sie dies noch nicht getan haben. Bei der Authentifizierung wird Ihre Identität für den Zugriff auf Google Cloud-Dienste und APIs überprüft. Zur Ausführung von Code oder Beispielen aus einer lokalen Entwicklungsumgebung können Sie sich wie folgt bei Compute Engine authentifizieren.

Wählen Sie den Tab für die Verwendung der Beispiele auf dieser Seite aus:
Console

Wenn Sie über die Google Cloud Console auf Google Cloud-Dienste und -APIs zugreifen, müssen Sie die Authentifizierung nicht einrichten.
gcloud
1. Installieren Sie die Google Cloud CLI und initialisieren Sie sie mit folgendem Befehl:
```
gcloud init
```
  Hinweis: Wenn Sie die gcloud CLI zuvor installiert haben, prüfen Sie, ob Sie die neueste Version haben, indem Sie gcloud components update ausführen.
2. Legen Sie eine Standardregion und -zone fest.

OS Login-Audit-Logs aufrufen

Fragen Sie Cloud-Audit-Logs ab, um eine Liste der OS Login-Verbindungsversuche aufzurufen.

Erforderliche Berechtigungen für diese Aufgabe

Zum Ausführen dieser Aufgabe benötigen Sie die folgenden Berechtigungen:

Rolle Logging/Logbetrachter oder Projekt/Betrachter

Console

Rufen Sie in der Google Cloud Console die Seite Log-Explorer auf.

Zum Log-Explorer

Hinweis: Unter Umständen müssen Sie auf Upgrade klicken, um statt der alten Loganzeige die Loganzeige zu verwenden.

Geben Sie im Feld Query die folgende Abfrage ein:

protoPayload.serviceName="oslogin.googleapis.com"

Wenn das gewünschte Ereignis vor mehr als einer Stunde aufgetreten ist, legen Sie einen benutzerdefinierten Zeitraum fest. Klicken Sie dazu auf das Uhrsymbol und geben Sie einen benutzerdefinierten Bereich ein.
Klicken Sie auf Abfrage ausführen. Die Ergebnisse werden im Abschnitt Abfrageergebnisse angezeigt.

Tipp: Klicken Sie auf Abfrageergebnisse im Vollbildmodus eingeben, um die Größe des Abschnitts Abfrageergebnisse zu erhöhen.
Klicken Sie auf den Erweiterungspfeil neben jedem Ergebnis, um detaillierte Informationen aufzurufen.
Weitere Informationen zu den Arten von Audit-Logs für OS Login und deren Bedeutung finden Sie im Abschnitt Audit-Logs zu OS Login prüfen dieses Dokuments.

gcloud

Sehen Sie sich Cloud-Audit-Logs mit dem Befehl gcloud logging read an:
```
gcloud logging read --freshness=TIME 'protoPayload.serviceName="oslogin.googleapis.com"'
```
Ersetzen Sie TIME durch die Abfragezeit. Zum Beispiel fragt 1h Logeinträge aus der letzten Stunde ab. Weitere Informationen zu Datums- und Uhrzeitformaten finden Sie unter gcloud topic datetimes.

Die Ergebnisanzeige.
Weitere Informationen zu den Arten von Audit-Logs für OS Login und deren Bedeutung finden Sie im Abschnitt Audit-Logs zu OS Login prüfen dieses Dokuments.

OS Login-Audit-Logs prüfen

Prüfen Sie die Felder methodName und principalEmail der Audit-Logs, um mehr über die Arten von Verbindungsversuchen zu VMs mit aktiviertem OS Login und die Nutzer zu erfahren, die diese Verbindungsversuche initiiert haben.

Maximieren Sie den Abschnitt protoPayload, um das Feld methodName für den Verbindungsversuch aufzurufen. Informationen zur Bedeutung der einzelnen Felder methodName finden Sie in der folgenden Tabelle:

Methode	Verbindungstyp	Beschreibung
`google.cloud.oslogin.v1.OsLoginService.CheckPolicy`	Alle OS Login-Verbindungen	Gibt einen Verbindungsversuch zu einer VM an. Bei Nicht-2FA-Verbindungen zeigt eine erfolgreiche Antwort an, dass der Nutzer mit der VM verbunden ist. Bei 2FA-Verbindungen wird eine erfolgreiche Verbindung sowohl durch einen erfolgreichen `CheckPolicy`-Aufruf als auch durch einen erfolgreichen `ContinueSession`-Aufruf angezeigt.
`google.cloud.oslogin.OsLoginService.v1.StartSession`	OS Login-2FA-Verbindungen	Gibt eine neue 2FA-Authentifizierungssitzung an. Bei einem `StartSession`-Aufruf deklariert ein Client seine Funktionen gegenüber dem Server und erhält Informationen zu den verfügbaren Identitätsbestätigungen.
`google.cloud.oslogin.OsLoginService.v1.ContinueSession`	OS Login-2FA-Verbindungen	Gibt eine Fortsetzung einer Authentifizierungssitzung an. Der Client schließt die vom Server vorgeschlagene Identitätsbestätigung bei dem vorherigen `StartSession`-Aufruf oder den vorherigen Anfragen ab und führt einen anderen Typ der Identitätsbestätigung durch. Anschließend akzeptiert die Methode `ContinueSession` die Antwort auf die Identitätsbestätigung oder Methode und authentifiziert oder lehnt den Authentifizierungsversuch entweder ab.

Maximieren Sie den Abschnitt authenticationInfo, um das Feld principalEmail anzuzeigen. Das Feld principalEmail zeigt die E-Mail-Adresse des Nutzers an, der versucht hat, eine Verbindung zur VM herzustellen.

Attribute des OS Login-Audit-Logs

In folgenden Abschnitten werden die Attribute für Audit-Logs beschrieben. Einige Attribute gelten für alle Audit-Logs, andere für die Methoden CheckPolicy, StartSession und ContinueSession.

Allgemeine Attribute von OS Login-Audit-Logs

Die in der folgenden Tabelle aufgeführten Attribute gelten für alle OS Login-Audit-Logs.

Attribut	Wert
`serviceName`	`oslogin.googleapis.com`
`resourceName`	Ein String mit der Projektnummer, die angibt, zu welcher Anmeldeanfrage das Audit-Log gehört. Beispiel: `projects/myproject12345`.
`severity`	Der Schweregrad der Lognachricht. Beispiel: `INFO` oder `WARNING`. Weitere Informationen zu Schweregraden finden Sie unter LogSeverity.
`authenticationInfo.principalEmail`	Die E-Mail-Adresse des Nutzers, der von der Methode authentifiziert wird.
`request.numericProjectId`	Die Projektnummer des Google Cloud-Projekts.

`CheckPolicy` Audit-Logattribute

Die in der folgenden Tabelle aufgeführten Attribute gelten für CheckPolicy-Audit-Logs.

Attribut	Wert
`methodName`	`google.cloud.oslogin.v1.OsLoginService.CheckPolicy`
`request.@type`	`type.googleapis.com/google.cloud.oslogin.v1.CheckPolicyRequest`
`request.policy`	Die geprüfte Berechtigung. Entweder `LOGIN`, das prüft, ob der Nutzer berechtigt ist, sich bei der VM anzumelden, oder `ADMIN_LOGIN`, das prüft, ob der Nutzer Administratorzugriff auf die VM hat.
`response.success`	Das Ergebnis der Prüfung von `LOGIN` oder `ADMIN_LOGIN` `request.policy`. Entweder `true` oder `false`, je nachdem, ob der Nutzer für die angegebene Richtlinie autorisiert ist.

`StartSession` Audit-Logattribute

Die in der folgenden Tabelle aufgeführten Attribute gelten für StartSession-Audit-Logs für VMs, für die OS Login-2FA aktiviert ist.

Attribut	Wert
`methodName`	`google.cloud.oslogin.OsLoginService.v1.StartSession`
`request.@type`	`type.googleapis.com/google.cloud.oslogin.OsLoginService.v1.StartSessionRequest`
`request.supportedChallengeTypes`	Die Liste der Identitätsbestätigungsarten oder 2FA-Methoden, zwischen denen Sie wählen können.
`response.authenticationStatus`	Der Status der Sitzung. Entweder `Authenticated`, `Challenge required`, oder `Challenge pending`.
`response.sessionId`	Ein ID-String, mit dem die Sitzung eindeutig identifiziert wird. Diese Sitzungs-ID wird an den Aufruf `ContinueSession` in der Sequenz übergeben.
`response.challenges`	Die Identitätsbestätigungen, die Sie versuchen können, um diese Authentifizierungsrunde erfolgreich durchzuführen. Höchstens eine dieser Identitätsbestätigungen wird gestartet und hat den Status `READY`. Die anderen werden als Optionen angeboten. Der Nutzer kann diese als Alternative zur vorgeschlagenen primären Identitätsbestätigung verwenden.

`ContinueSession` Audit-Logattribute

Die in der folgenden Tabelle aufgeführten Attribute gelten für ContinueSession-Audit-Logs für VMs, für die OS Login-2FA aktiviert ist.

Attribut	Wert
`methodName`	`google.cloud.oslogin.OsLoginService.v1.ContinueSession`
`request.sessionId`	Ein ID-String, mit dem die vorherige Sitzung eindeutig identifiziert wird. Diese Sitzungs-ID wird vom Aufruf `StartSession` übergeben.
`request.@type`	`type.googleapis.com/google.cloud.oslogin.OsLoginService.v1.ContinueSessionRequest`
`request.challengeId`	Ein ID-String, der angibt, welche Art der Identitätsbestätigung gestartet oder durchgeführt werden soll. Diese ID muss zu einer Art der Identitätsbestätigung gehören, die vom Aufruf `response.challenges` in der Antwort `StartSession` zurückgegeben wurde.
`request.action`	Die erforderliche Aktion für die Herausforderung.
`response.authenticationStatus`	Der Status der Sitzung. Beispiel: `Authenticated`, `Challenge required` oder `Challenge pending`.
`response.challenges.status`	`SUCCESS` gibt an, dass ein Nutzer erfolgreich mit der VM verbunden wurde.
`response.challenges`	Die Identitätsbestätigungen, die Sie versuchen können, um diese Authentifizierungsrunde erfolgreich durchzuführen. Höchstens eine dieser Identitätsbestätigungen wird gestartet und hat den Status `READY`. Die anderen werden als Optionen angeboten. Der Nutzer kann diese als Alternative zur vorgeschlagenen primären Identitätsbestätigung verwenden.

Nächste Schritte

Logging-Abfragesprache, um Ihre Audit-Log-Abfragen für OS Login anzupassen
Mehr darüber erfahren, wie SSH-Verbindungen zu Linux-VMs in Compute Engine funktionieren

OS Login-Audit-Logs überwachen

Hinweise

Console

gcloud

OS Login-Audit-Logs aufrufen

Erforderliche Berechtigungen für diese Aufgabe

Console

gcloud

OS Login-Audit-Logs prüfen

Attribute des OS Login-Audit-Logs

Allgemeine Attribute von OS Login-Audit-Logs

CheckPolicy Audit-Logattribute

StartSession Audit-Logattribute

ContinueSession Audit-Logattribute

Nächste Schritte

`CheckPolicy` Audit-Logattribute

`StartSession` Audit-Logattribute

`ContinueSession` Audit-Logattribute