稽核記錄

本頁面說明容器分析建立的稽核記錄,該記錄屬於 Cloud 稽核記錄的一部分。

總覽

Google Cloud 服務會寫入稽核記錄,協助您瞭解什麼人在什麼時間和位置從事了什麼行為。 您的 Cloud 專案僅包含直接位於專案中之資源的稽核記錄。資料夾、機構和 Cloud Billing 帳戶等其他實體均包含實體本身的稽核記錄。

如需 Cloud 稽核記錄的概要總覽,請參閱 Cloud 稽核記錄。如要深入瞭解 Cloud 稽核記錄,請參閱瞭解稽核記錄一文。

容器分析可用的稽核記錄類型如下:

  • 管理員活動稽核記錄

    包含寫入中繼資料或設定資訊的「管理員寫入」作業。

    您無法停用管理員活動稽核記錄。

  • 資料存取稽核記錄

    包含讀取中繼資料或設定資訊的「管理員讀取」作業。也包含讀取或寫入使用者所提供資料的「資料讀取」和「資料寫入」作業。

    如要接收資料存取稽核記錄,您必須明確啟用稽核記錄。

稽核的作業

以下概述容器分析中每種稽核記錄類型所對應的 API 作業:

稽核記錄類別 Container Analysis 作業
管理員活動記錄 SetIamPolicy
資料存取記錄 (ADMIN_READ) GetIamPolicy
資料存取記錄 (DATA_READ) 可取得附註
GetAcreacyence
GetAccurrenceNotes
GetVulnerabilitiesSummary
ListNotes
ListNoteOccurrence
ListOccurrences
資料存取記錄 (DATA_WRITE) BatchCreateNotes
BatchCreateOccurrence
CreateNote
CreateAcreenceence
DeleteNote
DeleteActenceence
UpdateNote
UpdateConceences
稽核記錄類別 隨選掃描作業
資料存取記錄 (DATA_READ) 可列出安全漏洞
資料存取記錄 (DATA_WRITE) 分析套件

稽核記錄格式

稽核記錄項目 (可透過記錄檢視器、Cloud Logging API 或 gcloud 指令列工具查看) 包含以下物件:

  • 記錄項目本身,屬於 LogEntry 類型的物件。實用的欄位包括:

    • logName 包含專案識別與稽核記錄類型。
    • resource 包含稽核作業的目標。
    • timeStamp 包含稽核作業的時間。
    • protoPayload 包含稽核的資訊。
  • 稽核記錄資料,這是儲存在記錄項目 protoPayload 欄位中的 AuditLog 物件。

  • 選用服務專屬的稽核資訊,即服務專用的物件。進行長時間的整合時,這個物件會保存在 AuditLog 物件的 serviceData 欄位中;較新的整合項目會使用 metadata 欄位。

如要瞭解這些物件中的其他欄位,以及如何解讀這些資料,請參閱瞭解稽核記錄一文。

記錄名稱

Cloud 稽核記錄資源名稱會指出擁有稽核記錄的 Cloud 專案或其他 Google Cloud 實體,以及記錄是否包含管理員活動、資料存取或系統事件稽核記錄資料。例如,下列內容顯示專案的「管理員活動」稽核記錄與機構的「資料存取」稽核記錄。變數代表專案與機構 ID。

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

服務名稱

容器分析稽核記錄會使用以下服務名稱:containeranalysis.googleapis.com

隨選掃描稽核記錄會使用 ondemandscanning.googleapis.com 服務名稱。

如要瞭解所有記錄服務,請參閱將服務對應到資源一文。

資源類型

容器分析稽核記錄使用的資源類型一律是 audited_resource

如需其他資源類型的清單,請參閱受控資源類型一文。

啟用稽核記錄

系統一律會啟用管理員活動稽核記錄,且該記錄無法停用。

資料存取稽核記錄預設為停用,且除非明確啟用,否則系統不會寫入這類記錄。唯一的例外是 BigQuery 的資料存取稽核記錄,該記錄無法停用。

如需啟用部分或所有資料存取稽核記錄的操作說明,請參閱設定資料存取記錄一文。

稽核記錄權限

身分與存取權管理權限與角色會決定您能查看或匯出的稽核記錄。記錄位於 Cloud 專案,以及機構、資料夾和 Cloud Billing 帳戶等其他實體中。詳情請參閱瞭解角色一文。

如要查看管理員活動稽核記錄,您必須具備稽核記錄所屬專案的下列其中一個 IAM 角色:

如要查看資料存取稽核記錄,在包含稽核記錄的專案中,您必須擁有下列其中一個角色:

如果您使用的稽核記錄來自非專案實體 (例如機構),請將 Cloud 專案角色變更為適當的機構角色。

查看記錄

如要尋找及查看稽核記錄,您必須知道要查看稽核記錄資訊的 Cloud 專案、資料夾或機構 ID。您可以進一步指定其他已建立索引的 LogEntry 欄位,例如 resource.type;詳情請參閱快速尋找記錄項目一文。

以下是稽核記錄名稱;這類變數包含 Cloud 專案、資料夾或機構的 ID:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

您可以採取以下幾種做法查看稽核記錄項目。

主控台

您可以使用 Cloud Console 中的 Logs Explorer 擷取稽核記錄項目:

  1. 在 Cloud Console 中,前往「Logging」>「Logs Explorer」(記錄頁面) 頁面。

    前往「Logs Explorer」頁面

  2. 在「Logs Explorer」(記錄瀏覽器) 頁面中,選取現有的 Cloud 專案、資料夾或機構。

  3. 在「Query builder」(查詢製作工具) 窗格中,執行以下操作:

    • 在「Resource type」(資源類型) 中,選取您要查看稽核記錄的 Google Cloud 資源。

    • 在「Log name」(記錄名稱) 中,選取您要查看的稽核記錄類型:

      • 針對管理員活動稽核記錄,請選取 activity
      • 在「資料存取」稽核記錄中,選取 data_access
      • 針對系統事件稽核記錄,請選取 system_event
      • 針對「政策遭拒」稽核記錄,請選取 [政策]

    如果您沒有看到這些選項,表示 Cloud 專案中沒有該類型的稽核記錄。

    如要進一步瞭解如何使用 Logs Explorer 執行查詢,請參閱建構記錄查詢一文。

gcloud

gcloud 指令列工具會為 Cloud Logging API 提供指令列介面。並在每個記錄名稱中提供有效的 PROJECT_IDFOLDER_IDORGANIZATION_ID

如要讀取您的 Google Cloud 專案層級稽核記錄項目,請執行下列指令:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" --project=PROJECT_ID

如要讀取資料夾層級稽核記錄項目,請執行下列指令:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" --folder=FOLDER_ID

如要讀取機構層級的稽核記錄項目,請執行下列指令:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" --organization=ORGANIZATION_ID

如要進一步瞭解如何使用 gcloud 工具,請參閱讀取記錄項目一文。

API

建立查詢時,請將變數替換為有效的值、替換適當的專案層級、資料夾層級或機構層級稽核記錄名稱或 ID,如稽核記錄名稱所示。舉例來說,如果您的查詢中包含 PROJECT_ID,則專案 ID 必須參照目前所選的 Cloud 專案。

如要使用 Logging API 查看稽核記錄項目,請執行下列操作:

  1. 前往 entries.list 方法說明文件中的「Try this API」(試用這個 API) 區段。

  2. 將下列內容放入試用這個 API 表單的要求主體部分。按一下這份已預先填入資料的表單就能自動填入要求主體,但您必須在每個記錄名稱中提供有效的 PROJECT_ID

    {
      "resourceNames": [
        "projects/PROJECT_ID"
      ],
      "pageSize": 5,
      "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
    }
    
  3. 按一下 [Execute] (執行)

如要進一步瞭解查詢,請參閱 Logging 查詢語言一文。

如需稽核記錄項目範例,並瞭解如何在其中找到最重要的資訊,請參閱稽核記錄項目範例

匯出稽核記錄

您可以採用與匯出其他類型記錄相同的方式匯出稽核記錄。關於如何匯出記錄的詳細資訊,請參閱匯出記錄。以下是匯出稽核記錄的一些應用方式:

  • 如要長時間保留稽核記錄,或使用更強大的搜尋功能,您可以將稽核記錄的副本匯出到 Cloud Storage、BigQuery 或 Pub/Sub。您可以使用 Pub/Sub 匯出至其他應用程式、其他存放區或是第三方。

  • 如要管理整個機構的稽核記錄,您可以建立匯總接收器,從機構的任何或 Cloud 專案匯出記錄。

  • 如果已啟用的資料存取稽核記錄超過 Cloud 專案記錄檔的配額上限,您可以匯出及排除資料存取稽核記錄。詳情請參閱排除記錄

定價

管理員活動稽核記錄系統事件稽核記錄均為免費。

會產生資料存取稽核記錄政策遭拒稽核記錄

如要進一步瞭解 Cloud Logging 的計費方式,請參閱 Google Cloud 作業套件定價:Cloud Logging 一文。