Logging audit

Halaman ini menjelaskan log audit yang dibuat oleh Container Analisis sebagai bagian dari Log Audit Cloud.

Ringkasan

Layanan Google Cloud menulis log audit untuk membantu Anda menjawab pertanyaan, "Siapa melakukan apa, di mana, dan kapan?" Project Cloud Anda hanya berisi log audit untuk resource yang berada langsung dalam project. Entitas lainnya, seperti folder, organisasi, dan akun Penagihan Cloud, berisi log audit untuk entitas itu sendiri.

Untuk ringkasan umum Log Audit Cloud, lihat Log Audit Cloud. Untuk lebih memahami Log Audit Cloud, tinjau Memahami log audit.

Jenis log audit berikut tersedia untuk Analisis Penampung:

  • Log audit Aktivitas Admin

    Mencakup operasi "tulis admin" yang menulis metadata atau informasi konfigurasi.

    Anda tidak dapat menonaktifkan log audit Aktivitas Admin.

  • Log audit Akses Data

    Termasuk operasi "baca admin" yang membaca metadata atau informasi konfigurasi. Juga mencakup operasi "pembacaan data" dan "penulisan data" yang membaca atau menulis data yang disediakan pengguna.

    Untuk menerima log audit Akses Data, Anda harus mengaktifkannya secara eksplisit.

Operasi yang diaudit

Berikut ini ringkasan operasi API mana yang sesuai dengan setiap jenis log audit dalam Analisis Penampung:

Kategori log audit Operasi Container analisis
Log aktivitas admin SetIamPolicy
Log Akses Data (ADMIN_READ) GetIamPolicy
Log Akses Data (DATA_READ) GetNote
GetOccurrence
GetOccurrenceNote
GetVulnerabilityOccurrensesSummary
ListNote
ListNoteOccurrenses
ListOccurrenses
Log Akses Data (DATA_WRITE) BatchCreateNote
BatchCreateOccurrenses
CreateNote
CreateOccurrence
DeleteNote
DeleteOccurrence
UpdateNote
UpdateOccurrence
Kategori log audit Operasi Pemindaian saat Diminta
Log Akses Data (DATA_READ) ListVulnerability
Log Akses Data (DATA_WRITE) MenganalisisPackages

Format log audit

Entri log audit — yang dapat dilihat di Cloud Logging menggunakan Logs Viewer, Cloud Logging API, atau fitur command-line gcloud — mencakup objek berikut:

  • Entri log itu sendiri, yang merupakan objek dengan jenis LogEntry. Kolom berguna yang meliputi hal berikut ini:

    • logName berisi identifikasi project dan jenis log audit.
    • resource berisi target operasi yang diaudit.
    • timeStamp berisi waktu operasi yang diaudit.
    • protoPayload berisi informasi yang telah diaudit.
  • Data logging audit, yang merupakan objek AuditLog yang disimpan di kolom protoPayload entri log.

  • Informasi audit khusus layanan opsional, yang merupakan objek khusus layanan. Untuk integrasi yang lebih lama, objek ini disimpan di kolom serviceData objek AuditLog; integrasi yang lebih baru menggunakan kolom metadata.

Untuk kolom lain dalam objek ini, dan cara menafsirkannya, tinjau Memahami log audit.

Nama log

Nama resource Log Audit Cloud menunjukkan project Cloud atau entitas Google Cloud lainnya yang memiliki log audit, dan apakah log berisi data aktivitas Audit Admin, Akses Data, atau Peristiwa Sistem. Misalnya, berikut ini menunjukkan nama log untuk log audit Aktivitas Admin project dan log audit Akses Data organisasi. Variabel menunjukkan pengenal project dan organisasi.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Nama service

Log audit Container Container menggunakan nama layanan containeranalysis.googleapis.com.

Log audit On-Demand pemindaian sesuai permintaan menggunakan nama layanan ondemandscanning.googleapis.com.

Untuk informasi tentang semua layanan logging, lihat Layanan pemetaan ke resource.

Jenis resource

Log audit Container Container menggunakan jenis resource audited_resource untuk semua log audit.

Untuk daftar jenis resource lainnya, lihat Jenis resource yang dipantau.

Mengaktifkan logging audit

Log audit Aktivitas Admin selalu diaktifkan; Anda tidak dapat menonaktifkannya.

Log audit Akses Data dinonaktifkan secara default dan tidak ditulis kecuali diaktifkan secara eksplisit (pengecualian adalah log audit Akses Data untuk BigQuery, yang tidak dapat dinonaktifkan).

Untuk petunjuk tentang mengaktifkan beberapa atau semua log audit Akses Data, lihat Mengonfigurasi log Akses Data.

Izin log audit

Izin dan peran Pengelolaan Identitas dan Akses menentukan log audit mana yang dapat Anda lihat atau ekspor. Log berada di project Cloud dan di beberapa entitas lain termasuk organisasi, folder, dan akun Penagihan Cloud. Untuk informasi selengkapnya, lihat Memahami peran.

Untuk melihat log audit Aktivitas Admin, Anda harus memiliki salah satu peran IAM berikut dalam project yang berisi log audit Anda:

  • Pemilik Project, Editor Project, atau Project Viewer
  • Peran Logging Logs Viewer
  • Peran IAM kustom dengan izin IAM logging.logEntries.list

Untuk melihat log audit Akses Data, Anda harus memiliki salah satu peran berikut dalam project yang berisi log audit Anda:

Jika Anda menggunakan log audit dari entitas non-project, seperti organisasi, ubah peran project Cloud ke peran organisasi yang sesuai.

Melihat log

Untuk menemukan dan melihat log audit, Anda perlu mengetahui pengenal project, folder, atau organisasi Cloud yang ingin Anda lihat informasi logging audit. Anda dapat menentukan kolom LogEntry yang diindeks lainnya, seperti resource.type; untuk detailnya, tinjau Menemukan entri log dengan cepat.

Berikut ini adalah nama log audit; mereka menyertakan variabel untuk ID project, folder, atau organisasi Cloud:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Anda memiliki beberapa opsi untuk melihat entri log audit.

Konsol

Anda dapat menggunakan Logs Explorer di Cloud Console untuk mengambil entri log audit:

  1. Di Cloud Console, buka halaman Logging} Logs Explorer.

    Buka laman Penjelajah Log

  2. Di halaman Logs Explorer, pilih project, folder, atau organisasi Cloud yang sudah ada.

  3. Di panel Pembuat kueri, lakukan hal berikut:

    • Di Jenis resource, pilih resource Google Cloud yang log auditnya ingin Anda lihat.

    • Di Nama log, pilih jenis log audit yang ingin Anda lihat:

      • Untuk log audit Aktivitas Admin, pilih aktivitas.
      • Untuk log audit Akses Data, pilih data_access.
      • Untuk log audit Peristiwa Sistem, pilih system_event.
      • Untuk log audit Kebijakan Ditolak, pilih kebijakan.

    Jika Anda tidak melihat opsi ini, berarti tidak ada log audit jenis tersebut yang tersedia di project Cloud.

    Untuk detail selengkapnya tentang pembuatan kueri menggunakan Logs Explorer, lihat Membuat kueri log.

gcloud

Fitur command-line gcloud menyediakan antarmuka command-line ke Cloud Logging API. Berikan PROJECT_ID, FOLDER_ID, atau ORGANIZATION_ID yang valid di setiap nama log.

Untuk membaca entri log audit tingkat project Google Cloud, jalankan perintah berikut:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" --project=PROJECT_ID

Untuk membaca entri log audit tingkat folder, jalankan perintah berikut:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" --folder=FOLDER_ID

Untuk membaca entri log audit tingkat organisasi, jalankan perintah berikut:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" --organization=ORGANIZATION_ID

Untuk informasi selengkapnya tentang penggunaan alat gcloud, lihat Membaca entri log.

API

Saat membuat kueri, ganti variabel dengan nilai yang valid, ganti nama atau pengenal log audit tingkat project, tingkat folder, atau tingkat organisasi yang sesuai seperti yang tercantum dalam nama log audit. Misalnya, jika kueri Anda menyertakan PROJECT_ID, ID project yang Anda berikan harus merujuk ke project Cloud yang saat ini dipilih.

Untuk menggunakan Logging API guna melihat entri log audit, lakukan hal berikut:

  1. Buka bagian Coba API ini dalam dokumentasi untuk metode entries.list.

  2. Masukkan hal berikut ke dalam bagian Isi permintaan pada formulir Coba API ini. Mengeklik formulir yang diisi sebelumnya ini secara otomatis akan mengisi isi permintaan, tetapi Anda harus menyediakan PROJECT_ID yang valid di setiap nama log.

    {
      "resourceNames": [
        "projects/PROJECT_ID"
      ],
      "pageSize": 5,
      "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
    }
    
  3. Klik Jalankan.

Untuk detail selengkapnya tentang pembuatan kueri, lihat Bahasa kueri pembuatan log.

Untuk melihat contoh entri log audit dan cara menemukan informasi yang paling penting di dalamnya, lihat Contoh entri log audit.

Mengekspor log audit

Anda dapat mengekspor log audit dengan cara yang sama seperti mengekspor jenis log lainnya. Untuk detail tentang cara mengekspor log, lihat Mengekspor log. Berikut adalah beberapa penerapan dari ekspor log audit:

  • Untuk menyimpan log audit dalam jangka waktu yang lebih lama atau menggunakan kemampuan penelusuran yang lebih canggih, Anda dapat mengekspor salinan log audit ke Cloud Storage, BigQuery, atau Pub/Sub. Dengan menggunakan Pub/Sub, Anda dapat mengekspor ke aplikasi lain, repositori lain, dan ke pihak ketiga.

  • Untuk mengelola log audit di seluruh organisasi, Anda dapat membuat sink gabungan yang dapat mengekspor log dari setiap atau semua project Cloud dalam organisasi.

  • Jika log audit Akses Data yang diaktifkan mendorong project Cloud Anda ke atas alokasi lognya, Anda dapat mengekspor dan mengecualikan log audit Akses Data dari Logging. Untuk mengetahui detailnya, lihat Mengecualikan log.

Harga

Log audit Aktivitas Admin dan log audit Peristiwa Sistem gratis.

Log audit Data Access dan Log audit Kebijakan Ditolak dikenai biaya.

Untuk informasi tentang harga Cloud Logging, lihat Harga rangkaian operasi Google Cloud: Cloud Logging.