Container Analysis 审核日志信息

本页面介绍 Container Analysis 在 Cloud Audit Logging 中创建的审核日志。

概览

Google Cloud Platform 服务写入审核日志,帮助您解答“谁何时在哪里做了什么事”的疑问。每个 GCP 项目都只包含直接属于项目的资源的审核日志。其他每个实体(例如文件夹、组织和结算帐号)均包含自身的审核日志。

对于管理员活动(包括修改资源配置或元数据的操作),Container Analysis 会写入审核日志并默认提供这些日志。

对于数据访问,Container Analysis 会写入审核日志以记录用于创建、修改或读取用户所提供数据的 API 调用,但默认不提供这些日志。

数据访问审核日志分为以下几种不同类别:

  • 数据访问 (ADMIN_READ):读取资源的配置或元数据的操作。

    默认情况下,Container Analysis 不提供管理员读取信息。

  • 数据访问 (DATA_READ):从资源读取用户所提供数据的操作。

    默认情况下,Container Analysis 不提供数据读取信息。

  • 数据访问 (DATA_WRITE):将用户提供的数据写入资源的操作。

    默认情况下,Container Analysis 不提供数据写入信息。

您可以配置默认不提供的审核信息。如需了解详情,请参阅配置数据访问日志

审核的操作

下表汇总了与 Container Analysis 中的每种审核日志类型相对应的 API 操作:

审核日志类别 Container Analysis 操作
管理员活动日志 SetIamPolicy
UpdateScanConfig
数据访问日志 (ADMIN_READ) GetIamPolicy
GetScanConfig
ListScanConfigs
数据访问日志 (DATA_READ) GetNote
GetOccurrence
GetOccurrenceNote
GetVulnerabilityOccurrencesSummary
ListNotes
ListNoteOccurrences
ListOccurrences
数据访问日志 (DATA_WRITE) BatchCreateNotes
BatchCreateOccurrences
CreateNote
CreateOccurrence
DeleteNote
DeleteOccurrence
UpdateNote
UpdateOccurrence

审核日志格式

审核日志条目(可以使用日志查看器、API 或 SDK gcloud logging 命令在 Stackdriver Logging 中查看)包含以下对象:

  • 日志条目本身(即 LogEntry 类型的对象)。有用的字段如下所示:

    • logName 包含项目标识和审核日志类型
    • resource 包含已审核操作的目标
    • timeStamp 包含已审核操作的时间
    • protoPayload 包含审核的信息
  • 审核信息,即保存在日志条目的 protoPayload 字段中的 AuditLog 对象。

  • (可选)服务特有的审核信息,即保存在 AuditLog 对象的 serviceData 字段中的服务专属对象。如需了解详情,请参阅服务专属审核数据

如需了解这些对象中的其他字段、相关示例内容以及针对对象所含信息的示例查询,请参阅审核日志数据类型

日志名称

Cloud 审核日志名称指明了该日志归哪个项目或其他实体所有,以及该日志包含管理员活动还是数据访问信息。例如,下面显示的日志名称分别表示项目的管理员活动日志和组织的数据访问日志。

projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity
organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access

服务名称

Container Analysis 审核日志使用服务名称 containeranalysis.googleapis.com

如需详细了解日志记录服务,请参阅将服务映射到资源

资源类型

Container Analysis 审核日志均使用资源类型 audited_resource

如需完整列表,请参阅受监控的资源类型

启用审核日志

管理员活动审核日志默认情况下处于启用状态,且无法停用。

大多数数据访问审核日志默认情况下处于停用状态。但 BigQuery 的数据访问审核日志例外,其在默认情况下处于启用状态并且无法停用;BigQuery 数据访问日志不计入项目的日志记录配额

要启用部分或全部数据访问日志,请参阅配置数据访问日志

您配置的数据访问日志可能会影响您在 Stackdriver 中的日志价格。请参阅此页面上的价格部分。

审核日志权限

Cloud Identity and Access Management 权限和角色决定您可以查看或导出哪些审核日志。日志位于项目以及组织、文件夹和结算帐号等一些其他实体中。如需了解详情,请参阅了解角色

要查看管理员活动日志,您必须对包含您的审核日志的项目拥有以下 Cloud IAM 角色之一:

要查看数据访问日志,您必须对包含您的审核日志的项目拥有以下角色之一:

如果您使用的是非项目实体(例如组织)中的审核日志,请将项目角色更改为合适的组织角色。

查看日志

要查看您的某个项目的审核日志,请执行以下操作之一:

如需了解详情,请参阅以下选项:

基本查看器

使用“日志查看器”基本界面,您可以通过执行以下操作来检索审核日志条目:

  1. 在第一个菜单中,选择要查看其审核日志的资源类型。请选择特定资源或所有资源。
  2. 在第二个菜单中,选择要查看的日志名称:activity 表示管理员活动审核日志,data_access 表示数据访问审核日志。如果您没有看到这两个选项中的某一个,或两个选项都没有看到,则表示没有该类型的审核日志。

高级查看器

  1. 切换到“日志查看器”中的高级过滤条件界面。
  2. 创建一个指定所需资源类型和日志名称的过滤条件。如需了解详情,请参阅检索审核日志

API

要通过 Logging API 读取日志条目,请参阅 entries.list

SDK

要使用 Cloud SDK gcloud 命令行工具读取日志条目,请参阅读取日志条目

导出审核日志

您可以按照导出其他类型日志的方式导出审核日志。如需详细了解如何导出日志,请参阅导出日志。以下是与导出审核日志相关的一些应用:

  • 要长时间保留审核日志或使用更强大的搜索功能,您可以将审核日志的副本导出到 Cloud Storage、BigQuery 或 Cloud Pub/Sub。使用 Cloud Pub/Sub,您可以将内容导出到其他应用、其他代码库和第三方。

  • 要管理整个组织范围内与您相关的审核日志,您可以创建聚合导出接收器,以便从组织中的任何项目或所有项目导出日志。

  • 如果启用的数据访问日志即将导致项目超出其日志配额,您可以通过 Logging 导出和排除数据访问日志。如需了解详情,请参阅排除日志

价格

对于默认启用的审核日志(包括所有管理员活动日志),Stackdriver Logging 不会向您收费。

Stackdriver Logging 会针对您明确请求的数据访问日志收费。

如需详细了解日志价格(包括审核日志的价格),请参阅 Stackdriver 价格

此页内容是否有用?请给出您的反馈和评价:

发送以下问题的反馈:

此网页
Container Registry