Memantau log audit Login OS

Anda dapat memantau upaya koneksi ke instance mesin virtual (VM) yang telah mengaktifkan Login OS dan autentikasi 2 langkah (2FA) OS dengan melihat log audit Login OS. Log audit ini selalu diaktifkan dan tidak dapat dinonaktifkan oleh konfigurasi akses data.

Anda juga dapat melacak peristiwa dan aktivitas terkait Login OS, seperti menambahkan, menghapus, atau memperbarui kunci SSH, atau menghapus informasi POSIX dengan Google Workspace Admin SDK.

Sebelum memulai

  • Siapkan autentikasi, jika Anda belum melakukannya. Autentikasi adalah proses verifikasi identitas Anda untuk akses ke layanan dan API Google Cloud. Untuk menjalankan kode atau contoh dari lingkungan pengembangan lokal, Anda dapat melakukan autentikasi ke Compute Engine sebagai berikut.

    Pilih tab untuk melihat bagaimana Anda berencana menggunakan contoh di halaman ini:

    Konsol

    Saat menggunakan Konsol Google Cloud untuk mengakses API dan layanan Google Cloud, Anda tidak perlu menyiapkan autentikasi.

    gcloud

    1. Instal Google Cloud CLI, lalu initialize dengan menjalankan perintah berikut: 

      gcloud init
    2. Menetapkan region dan zona default.

Lihat log audit Login OS

Untuk menampilkan daftar upaya koneksi Login OS, buat kueri Log Audit Cloud.

Konsol

  1. Di Konsol Google Cloud, buka halaman Logs Explorer.

    Buka Logs Explorer

  2. Di kolom Query, masukkan kueri berikut:

    protoPayload.serviceName="oslogin.googleapis.com"

  3. Jika peristiwa yang Anda cari terjadi lebih dari satu jam yang lalu, tetapkan jangka waktu kustom dengan mengklik simbol jam dan memasukkan rentang kustom.

    Tetapkan jangka waktu kueri.

  4. Klik Jalankan kueri. Hasilnya ditampilkan di bagian Query results.

  5. Klik panah peluas di samping setiap hasil untuk menampilkan informasi yang mendetail.

  6. Untuk mempelajari jenis log audit Login OS dan artinya, lanjutkan ke bagian Meninjau log audit Login OS dalam dokumen ini.

gcloud

  1. Lihat Cloud Audit Logs menggunakan perintah gcloud logging read:

    gcloud logging read --freshness=TIME 'protoPayload.serviceName="oslogin.googleapis.com"'

    Ganti TIME dengan jumlah waktu yang ingin Anda buat kueri. Misalnya, 1h entri log kueri dalam satu jam terakhir. Untuk informasi tentang format tanggal dan waktu, lihat tanggal dan waktu topik gcloud.

    Hasil akan ditampilkan.

  2. Untuk mempelajari jenis log audit Login OS dan artinya, lanjutkan ke bagian Meninjau log audit Login OS dalam dokumen ini.

Meninjau log audit Login OS

Tinjau kolom methodName dan principalEmail pada log audit untuk mempelajari jenis upaya koneksi ke VM yang mengaktifkan Login OS dan pengguna yang memulai upaya koneksi tersebut.

  • Luaskan bagian protoPayload untuk melihat kolom methodName untuk upaya koneksi. Untuk mempelajari arti setiap kolom methodName, lihat tabel berikut:

    Metode Connection type Deskripsi
    google.cloud.oslogin.v1.OsLoginService.CheckPolicy Semua koneksi Login OS Menunjukkan upaya koneksi ke VM. Untuk koneksi non-2FA, respons yang berhasil akan menunjukkan bahwa pengguna telah terhubung ke VM. Untuk koneksi 2FA, koneksi yang berhasil ditunjukkan oleh panggilan CheckPolicy yang berhasil dan panggilan ContinueSession yang berhasil.
    google.cloud.oslogin.OsLoginService.v1.StartSession Koneksi 2FA Login OS Menunjukkan sesi autentikasi 2FA yang baru. Dalam panggilan StartSession, klien mendeklarasikan kemampuannya ke server dan memperoleh informasi tentang tantangan yang tersedia.
    google.cloud.oslogin.OsLoginService.v1.ContinueSession Koneksi 2FA Login OS

    Menunjukkan kelanjutan sesi autentikasi. Klien menyelesaikan tantangan yang diajukan oleh server pada panggilan atau permintaan StartSession sebelumnya dan menyelesaikan jenis tantangan yang berbeda. Kemudian, metode ContinueSession akan menerima respons terhadap verifikasi login atau metode dan mengautentikasi atau menolak upaya autentikasi.

  • Luaskan bagian authenticationInfo untuk melihat kolom principalEmail. Kolom principalEmail menampilkan alamat email pengguna yang mencoba terhubung ke VM.

Properti log audit Login OS

Bagian berikut menjelaskan properti untuk log audit. Beberapa properti bersifat umum di semua log audit, dan properti lainnya khusus untuk metode CheckPolicy, StartSession, dan ContinueSession.

Properti log audit Login OS yang umum

Properti yang tercantum dalam tabel berikut bersifat umum di semua log audit Login OS.

Properti Nilai
serviceName oslogin.googleapis.com
resourceName String yang berisi nomor project yang menunjukkan permintaan login yang memiliki log audit. Contoh: projects/myproject12345
severity Tingkat keparahan pesan log. Contoh, INFO atau WARNING. Untuk mempelajari tingkat keparahan lebih lanjut, lihat LogSeverity.
authenticationInfo.principalEmail Alamat email pengguna yang diautentikasi oleh metode.
request.numericProjectId Nomor project untuk project Google Cloud.

CheckPolicy properti log audit

Properti yang tercantum dalam tabel berikut berlaku untuk log audit CheckPolicy.

Properti Nilai
methodName google.cloud.oslogin.v1.OsLoginService.CheckPolicy
request.@type type.googleapis.com/google.cloud.oslogin.v1.CheckPolicyRequest
request.policy Izin yang sedang diperiksa. Berupa LOGIN, yang memeriksa apakah pengguna diberi otorisasi untuk login ke VM, atau ADMIN_LOGIN, yang memeriksa apakah pengguna diizinkan untuk memiliki akses administratif pada VM.
response.success Hasil dariLOGIN atauADMIN_LOGIN request.policy diperiksa. Berupa true atau false, bergantung pada apakah pengguna diberi otorisasi untuk kebijakan yang ditentukan.

StartSession properti log audit

Properti yang tercantum dalam tabel berikut berlaku untuk log audit StartSession, untuk VM yang mengaktifkan OS Login 2FA.

Properti Nilai
methodName google.cloud.oslogin.OsLoginService.v1.StartSession
request.@type type.googleapis.com/google.cloud.oslogin.OsLoginService.v1.StartSessionRequest
request.supportedChallengeTypes Daftar jenis tantangan atau metode 2FA yang dapat Anda pilih.
response.authenticationStatus Status sesi. Salah satu dari Authenticated, Challenge required, atau Challenge pending.
response.sessionId String ID yang mengidentifikasi sesi secara unik. ID sesi ini diteruskan ke panggilan ContinueSession dalam urutan.
response.challenges Serangkaian tantangan yang dapat Anda coba lewati selama proses autentikasi ini. Maksimal, salah satu tantangan ini dimulai dan memiliki status READY. Tantangan lainnya disediakan sebagai opsi yang dapat ditentukan pengguna sebagai alternatif dari tantangan utama yang diusulkan.

ContinueSession properti log audit

Properti yang tercantum dalam tabel berikut berlaku untuk log audit ContinueSession, untuk VM yang mengaktifkan OS Login 2FA.

Properti Nilai
methodName google.cloud.oslogin.OsLoginService.v1.ContinueSession
request.sessionId String ID yang secara unik mengidentifikasi sesi sebelumnya. ID sesi ini diteruskan dari panggilan StartSession.
request.@type type.googleapis.com/google.cloud.oslogin.OsLoginService.v1.ContinueSessionRequest
request.challengeId String ID yang mengidentifikasi tantangan yang akan dimulai atau dijalankan. ID ini harus berasal dari jenis verifikasi yang ditampilkan dari panggilan response.challenges dalam respons StartSession.
request.action Tindakan yang harus diambil untuk menyelesaikan tantangan.
response.authenticationStatus Status sesi. Contoh, Authenticated, Challenge required, atau Challenge pending.
response.challenges.status SUCCESS menunjukkan bahwa pengguna telah berhasil terhubung ke VM.
response.challenges Kumpulan tantangan yang dapat Anda coba untuk melewati rangkaian autentikasi ini. Maksimal, salah satu tantangan ini dimulai dan memiliki status READY. Tantangan lainnya disediakan sebagai opsi yang dapat ditentukan pengguna sebagai alternatif dari tantangan utama yang diusulkan.

Apa langkah selanjutnya?