Sie können Verbindungsversuche zu VM-Instanzen überwachen, für die OS Login und die 2-Faktor-Authentifizierung von OS Login aktiviert sind. Rufen Sie dazu Audit-Logs der OS Logins auf. Diese Audit-Logs sind immer aktiviert und können nicht über Datenzugriffskonfigurationen deaktiviert werden.
Mit dem Google Workspace Admin SDK können Sie außerdem OS Login-bezogene Ereignisse und Aktivitäten verfolgen, z. B. das Hinzufügen, Löschen oder Aktualisieren von SSH-Schlüsseln und das Löschen von POSIX-Informationen.
Hinweise
-
Richten Sie die Authentifizierung ein, falls Sie dies noch nicht getan haben.
Bei der Authentifizierung wird Ihre Identität für den Zugriff auf Google Cloud-Dienste und APIs überprüft.
Zur Ausführung von Code oder Beispielen aus einer lokalen Entwicklungsumgebung können Sie sich so bei Compute Engine authentifizieren.
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
- Set a default region and zone.
Rufen Sie in der Google Cloud Console die Seite Log-Explorer auf.
Geben Sie im Feld Query die folgende Abfrage ein:
protoPayload.serviceName="oslogin.googleapis.com"
Wenn das gewünschte Ereignis vor mehr als einer Stunde aufgetreten ist, legen Sie einen benutzerdefinierten Zeitraum fest. Klicken Sie dazu auf das Uhrsymbol und geben Sie einen benutzerdefinierten Bereich ein.
Klicken Sie auf Abfrage ausführen. Die Ergebnisse werden im Abschnitt Abfrageergebnisse angezeigt.
Klicken Sie auf den Erweiterungspfeil
neben jedem Ergebnis, um detaillierte Informationen aufzurufen.Weitere Informationen zu den Arten von Audit-Logs für OS Login und deren Bedeutung finden Sie im Abschnitt Audit-Logs zu OS Login prüfen dieses Dokuments.
Sehen Sie sich Cloud-Audit-Logs mit dem Befehl
gcloud logging read
an:gcloud logging read --freshness=TIME 'protoPayload.serviceName="oslogin.googleapis.com"'
Ersetzen Sie
TIME
durch die Abfragezeit. Zum Beispiel fragt1h
Logeinträge aus der letzten Stunde ab. Weitere Informationen zu Datums- und Uhrzeitformaten finden Sie unter gcloud topic datetimes.Die Ergebnisanzeige.
Weitere Informationen zu den Arten von Audit-Logs für OS Login und deren Bedeutung finden Sie im Abschnitt Audit-Logs zu OS Login prüfen dieses Dokuments.
Maximieren Sie den Abschnitt
protoPayload
, um das FeldmethodName
für den Verbindungsversuch aufzurufen. Informationen zur Bedeutung der einzelnen FeldermethodName
finden Sie in der folgenden Tabelle:Methode Verbindungstyp Beschreibung google.cloud.oslogin.v1.OsLoginService.CheckPolicy
Alle OS Login-Verbindungen Gibt einen Verbindungsversuch zu einer VM an. Bei Verbindungen ohne Bestätigung in zwei Schritten gibt eine erfolgreiche Antwort an, dass der Nutzer eine Verbindung zur VM hergestellt hat. Bei Verbindungen mit Bestätigung in zwei Schritten wird eine erfolgreiche Verbindung sowohl durch einen erfolgreichen CheckPolicy
-Aufruf als auch durch einen erfolgreichenContinueSession
-Aufruf angezeigt.google.cloud.oslogin.OsLoginService.v1.StartSession
OS Login-2FA-Verbindungen Gibt eine neue 2FA-Authentifizierungssitzung an. Bei einem StartSession
-Aufruf deklariert ein Client seine Funktionen gegenüber dem Server und erhält Informationen zu den verfügbaren Identitätsbestätigungen.google.cloud.oslogin.OsLoginService.v1.ContinueSession
OS Login-2FA-Verbindungen Gibt eine Fortsetzung einer Authentifizierungssitzung an. Der Client schließt die vom Server vorgeschlagene Identitätsbestätigung bei dem vorherigen
StartSession
-Aufruf oder den vorherigen Anfragen ab und führt einen anderen Typ der Identitätsbestätigung durch. Anschließend akzeptiert die MethodeContinueSession
die Antwort auf die Identitätsbestätigung oder Methode und authentifiziert oder lehnt den Authentifizierungsversuch entweder ab.Maximieren Sie den Abschnitt
authenticationInfo
, um das FeldprincipalEmail
anzuzeigen. Das FeldprincipalEmail
zeigt die E-Mail-Adresse des Nutzers an, der versucht hat, eine Verbindung zur VM herzustellen.- Logging-Abfragesprache, um Ihre Audit-Log-Abfragen für OS Login anzupassen
- Mehr darüber erfahren, wie SSH-Verbindungen zu Linux-VMs in Compute Engine funktionieren
OS Login-Audit-Logs aufrufen
Fragen Sie Cloud-Audit-Logs ab, um eine Liste der OS Login-Verbindungsversuche aufzurufen.
Console
gcloud
OS Login-Audit-Logs prüfen
Prüfen Sie die Felder
methodName
undprincipalEmail
der Audit-Logs, um mehr über die Arten von Verbindungsversuchen zu VMs mit aktiviertem OS Login und die Nutzer zu erfahren, die diese Verbindungsversuche initiiert haben.Attribute des OS Login-Audit-Logs
In folgenden Abschnitten werden die Attribute für Audit-Logs beschrieben. Einige Attribute gelten für alle Audit-Logs, andere für die Methoden
CheckPolicy
,StartSession
undContinueSession
.Allgemeine Attribute von OS Login-Audit-Logs
Die in der folgenden Tabelle aufgeführten Attribute gelten für alle OS Login-Audit-Logs.
Attribut Wert serviceName
oslogin.googleapis.com
resourceName
Ein String mit der Projektnummer, die angibt, zu welcher Anmeldeanfrage das Audit-Log gehört. Beispiel: projects/myproject12345
.severity
Der Schweregrad der Lognachricht. Beispiel: INFO
oderWARNING
. Weitere Informationen zu Schweregraden finden Sie unter LogSeverity.authenticationInfo.principalEmail
Die E-Mail-Adresse des Nutzers, der von der Methode authentifiziert wird. request.numericProjectId
Die Projektnummer des Google Cloud-Projekts. CheckPolicy
Audit-LogattributeDie in der folgenden Tabelle aufgeführten Attribute gelten für
CheckPolicy
-Audit-Logs.Attribut Wert methodName
google.cloud.oslogin.v1.OsLoginService.CheckPolicy
request.@type
type.googleapis.com/google.cloud.oslogin.v1.CheckPolicyRequest
request.policy
Die geprüfte Berechtigung. Entweder LOGIN
, das prüft, ob der Nutzer berechtigt ist, sich bei der VM anzumelden, oderADMIN_LOGIN
, das prüft, ob der Nutzer Administratorzugriff auf die VM hat.response.success
Das Ergebnis der Prüfung von LOGIN
oderADMIN_LOGIN
request.policy
. Entwedertrue
oderfalse
, je nachdem, ob der Nutzer für die angegebene Richtlinie autorisiert ist.StartSession
Audit-LogattributeDie in der folgenden Tabelle aufgeführten Attribute gelten für
StartSession
-Audit-Logs für VMs, für die OS Login-2FA aktiviert ist.Attribut Wert methodName
google.cloud.oslogin.OsLoginService.v1.StartSession
request.@type
type.googleapis.com/google.cloud.oslogin.OsLoginService.v1.StartSessionRequest
request.supportedChallengeTypes
Die Liste der Identitätsbestätigungsarten oder 2FA-Methoden, zwischen denen Sie wählen können. response.authenticationStatus
Der Status der Sitzung. Entweder Authenticated
,Challenge required
, oderChallenge pending
.response.sessionId
Ein ID-String, mit dem die Sitzung eindeutig identifiziert wird. Diese Sitzungs-ID wird an den Aufruf ContinueSession
in der Sequenz übergeben.response.challenges
Die Identitätsbestätigungen, die Sie versuchen können, um diese Authentifizierungsrunde erfolgreich durchzuführen. Höchstens eine dieser Identitätsbestätigungen wird gestartet und hat den Status READY
. Die anderen werden als Optionen angeboten. Der Nutzer kann diese als Alternative zur vorgeschlagenen primären Identitätsbestätigung verwenden.ContinueSession
Audit-LogattributeDie in der folgenden Tabelle aufgeführten Attribute gelten für
ContinueSession
-Audit-Logs für VMs, für die OS Login-2FA aktiviert ist.Attribut Wert methodName
google.cloud.oslogin.OsLoginService.v1.ContinueSession
request.sessionId
Ein ID-String, mit dem die vorherige Sitzung eindeutig identifiziert wird. Diese Sitzungs-ID wird vom Aufruf StartSession
übergeben.request.@type
type.googleapis.com/google.cloud.oslogin.OsLoginService.v1.ContinueSessionRequest
request.challengeId
Ein ID-String, der angibt, welche Art der Identitätsbestätigung gestartet oder durchgeführt werden soll. Diese ID muss zu einer Art der Identitätsbestätigung gehören, die vom Aufruf response.challenges
in der AntwortStartSession
zurückgegeben wurde.request.action
Die erforderliche Aktion für die Herausforderung. response.authenticationStatus
Der Status der Sitzung. Beispiel: Authenticated
,Challenge required
oderChallenge pending
.response.challenges.status
SUCCESS
gibt an, dass ein Nutzer erfolgreich mit der VM verbunden wurde.response.challenges
Die Identitätsbestätigungen, die Sie versuchen können, um diese Authentifizierungsrunde erfolgreich durchzuführen. Höchstens eine dieser Identitätsbestätigungen wird gestartet und hat den Status READY
. Die anderen werden als Optionen angeboten. Der Nutzer kann diese als Alternative zur vorgeschlagenen primären Identitätsbestätigung verwenden.Nächste Schritte
Sofern nicht anders angegeben, sind die Inhalte dieser Seite unter der Creative Commons Attribution 4.0 License und Codebeispiele unter der Apache 2.0 License lizenziert. Weitere Informationen finden Sie in den Websiterichtlinien von Google Developers. Java ist eine eingetragene Marke von Oracle und/oder seinen Partnern.
Zuletzt aktualisiert: 2024-12-03 (UTC).
-