Anda dapat memantau upaya koneksi ke instance mesin virtual (VM) yang telah mengaktifkan Login OS dan autentikasi 2 langkah (2FA) OS dengan melihat log audit Login OS. Log audit ini selalu diaktifkan dan tidak dapat dinonaktifkan oleh konfigurasi akses data.
Anda juga dapat melacak peristiwa dan aktivitas terkait Login OS, seperti menambahkan, menghapus, atau memperbarui kunci SSH, atau menghapus informasi POSIX dengan Google Workspace Admin SDK.
Sebelum memulai
-
Jika Anda belum melakukannya, siapkan autentikasi.
Autentikasi adalah
proses verifikasi identitas Anda untuk mengakses layanan dan API Google Cloud.
Untuk menjalankan kode atau contoh dari lingkungan pengembangan lokal, Anda dapat mengautentikasi ke Compute Engine dengan memilih salah satu opsi berikut:
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
- Set a default region and zone.
Di Konsol Google Cloud, buka halaman Logs Explorer.
Di kolom Query, masukkan kueri berikut:
protoPayload.serviceName="oslogin.googleapis.com"
Jika peristiwa yang Anda cari terjadi lebih dari satu jam yang lalu, tetapkan jangka waktu kustom dengan mengklik simbol jam dan memasukkan rentang kustom.
Klik Jalankan kueri. Hasilnya ditampilkan di bagian Query results.
Klik panah peluas
di samping setiap hasil untuk menampilkan informasi yang mendetail.Untuk mempelajari jenis log audit Login OS dan artinya, lanjutkan ke bagian Meninjau log audit Login OS dalam dokumen ini.
Lihat Cloud Audit Logs menggunakan perintah
gcloud logging read
:gcloud logging read --freshness=TIME 'protoPayload.serviceName="oslogin.googleapis.com"'
Ganti
TIME
dengan jumlah waktu yang ingin Anda buat kueri. Misalnya,1h
entri log kueri dalam satu jam terakhir. Untuk informasi tentang format tanggal dan waktu, lihat tanggal dan waktu topik gcloud.Hasil akan ditampilkan.
Untuk mempelajari jenis log audit Login OS dan artinya, lanjutkan ke bagian Meninjau log audit Login OS dalam dokumen ini.
Luaskan bagian
protoPayload
untuk melihat kolommethodName
untuk upaya koneksi. Untuk mempelajari arti setiap kolommethodName
, lihat tabel berikut:Metode Connection type Deskripsi google.cloud.oslogin.v1.OsLoginService.CheckPolicy
Semua koneksi Login OS Menunjukkan upaya koneksi ke VM. Untuk koneksi non-2FA, respons yang berhasil akan menunjukkan bahwa pengguna telah terhubung ke VM. Untuk koneksi 2FA, koneksi yang berhasil ditunjukkan oleh panggilan CheckPolicy
yang berhasil dan panggilanContinueSession
yang berhasil.google.cloud.oslogin.OsLoginService.v1.StartSession
Koneksi 2FA Login OS Menunjukkan sesi autentikasi 2FA yang baru. Dalam panggilan StartSession
, klien mendeklarasikan kemampuannya ke server dan memperoleh informasi tentang tantangan yang tersedia.google.cloud.oslogin.OsLoginService.v1.ContinueSession
Koneksi 2FA Login OS Menunjukkan kelanjutan sesi autentikasi. Klien menyelesaikan tantangan yang diajukan oleh server pada panggilan atau permintaan
StartSession
sebelumnya dan menyelesaikan jenis tantangan yang berbeda. Kemudian, metodeContinueSession
akan menerima respons terhadap verifikasi login atau metode dan mengautentikasi atau menolak upaya autentikasi.Luaskan bagian
authenticationInfo
untuk melihat kolomprincipalEmail
. KolomprincipalEmail
menampilkan alamat email pengguna yang mencoba terhubung ke VM.- Pelajari Bahasa kueri logging lebih lanjut untuk menyesuaikan kueri log audit Login OS Anda.
- Pelajari cara kerja koneksi SSH ke VM Linux di Compute Engine.
Lihat log audit Login OS
Untuk menampilkan daftar upaya koneksi Login OS, buat kueri Log Audit Cloud.
Konsol
gcloud
Meninjau log audit Login OS
Tinjau kolom
methodName
danprincipalEmail
pada log audit untuk mempelajari jenis upaya koneksi ke VM yang mengaktifkan Login OS dan pengguna yang memulai upaya koneksi tersebut.Properti log audit Login OS
Bagian berikut menjelaskan properti untuk log audit. Beberapa properti bersifat umum di semua log audit, dan properti lainnya khusus untuk metode
CheckPolicy
,StartSession
, danContinueSession
.Properti log audit Login OS yang umum
Properti yang tercantum dalam tabel berikut bersifat umum di semua log audit Login OS.
Properti Nilai serviceName
oslogin.googleapis.com
resourceName
String yang berisi nomor project yang menunjukkan permintaan login yang memiliki log audit. Contoh: projects/myproject12345
severity
Tingkat keparahan pesan log. Contoh, INFO
atauWARNING
. Untuk mempelajari tingkat keparahan lebih lanjut, lihat LogSeverity.authenticationInfo.principalEmail
Alamat email pengguna yang diautentikasi oleh metode. request.numericProjectId
Nomor project untuk project Google Cloud. CheckPolicy
properti log auditProperti yang tercantum dalam tabel berikut berlaku untuk log audit
CheckPolicy
.Properti Nilai methodName
google.cloud.oslogin.v1.OsLoginService.CheckPolicy
request.@type
type.googleapis.com/google.cloud.oslogin.v1.CheckPolicyRequest
request.policy
Izin yang sedang diperiksa. Berupa LOGIN
, yang memeriksa apakah pengguna diberi otorisasi untuk login ke VM, atauADMIN_LOGIN
, yang memeriksa apakah pengguna diizinkan untuk memiliki akses administratif pada VM.response.success
Hasil dari LOGIN
atauADMIN_LOGIN
request.policy
diperiksa. Berupatrue
ataufalse
, bergantung pada apakah pengguna diberi otorisasi untuk kebijakan yang ditentukan.StartSession
properti log auditProperti yang tercantum dalam tabel berikut berlaku untuk log audit
StartSession
, untuk VM yang mengaktifkan OS Login 2FA.Properti Nilai methodName
google.cloud.oslogin.OsLoginService.v1.StartSession
request.@type
type.googleapis.com/google.cloud.oslogin.OsLoginService.v1.StartSessionRequest
request.supportedChallengeTypes
Daftar jenis tantangan atau metode 2FA yang dapat Anda pilih. response.authenticationStatus
Status sesi. Salah satu dari Authenticated
,Challenge required
, atauChallenge pending
.response.sessionId
String ID yang mengidentifikasi sesi secara unik. ID sesi ini diteruskan ke panggilan ContinueSession
dalam urutan.response.challenges
Serangkaian tantangan yang dapat Anda coba lewati selama proses autentikasi ini. Maksimal, salah satu tantangan ini dimulai dan memiliki status READY
. Tantangan lainnya disediakan sebagai opsi yang dapat ditentukan pengguna sebagai alternatif dari tantangan utama yang diusulkan.ContinueSession
properti log auditProperti yang tercantum dalam tabel berikut berlaku untuk log audit
ContinueSession
, untuk VM yang mengaktifkan OS Login 2FA.Properti Nilai methodName
google.cloud.oslogin.OsLoginService.v1.ContinueSession
request.sessionId
String ID yang secara unik mengidentifikasi sesi sebelumnya. ID sesi ini diteruskan dari panggilan StartSession
.request.@type
type.googleapis.com/google.cloud.oslogin.OsLoginService.v1.ContinueSessionRequest
request.challengeId
String ID yang mengidentifikasi tantangan yang akan dimulai atau dijalankan. ID ini harus berasal dari jenis verifikasi yang ditampilkan dari panggilan response.challenges
dalam responsStartSession
.request.action
Tindakan yang harus diambil untuk menyelesaikan tantangan. response.authenticationStatus
Status sesi. Contoh, Authenticated
,Challenge required
, atauChallenge pending
.response.challenges.status
SUCCESS
menunjukkan bahwa pengguna telah berhasil terhubung ke VM.response.challenges
Kumpulan tantangan yang dapat Anda coba untuk melewati rangkaian autentikasi ini. Maksimal, salah satu tantangan ini dimulai dan memiliki status READY
. Tantangan lainnya disediakan sebagai opsi yang dapat ditentukan pengguna sebagai alternatif dari tantangan utama yang diusulkan.Apa langkah selanjutnya?
Kecuali dinyatakan lain, konten di halaman ini dilisensikan berdasarkan Lisensi Creative Commons Attribution 4.0, sedangkan contoh kode dilisensikan berdasarkan Lisensi Apache 2.0. Untuk mengetahui informasi selengkapnya, lihat Kebijakan Situs Google Developers. Java adalah merek dagang terdaftar dari Oracle dan/atau afiliasinya.
Terakhir diperbarui pada 2024-12-21 UTC.
-