Informationen zum Audit-Logging von Error Reporting

Auf dieser Seite werden die Audit-Logs erläutert, die von Error Reporting im Rahmen von Cloud Audit Logging erstellt werden.

Übersicht

Die Logs werden von Google Cloud Platform-Diensten gefüllt. Sie geben Auskunft darüber, welcher Nutzer "was, wann und wo" gemacht hat. GCP-Projekte enthalten jeweils nur die Audit-Logs für Ressourcen, die sich direkt im Projekt befinden. Andere Entitäten wie Ordner, Organisationen und Rechnungskonten enthalten jeweils eigene Audit-Logs.

Einen allgemeinen Überblick über Cloud-Audit-Logging finden Sie unter Cloud-Audit-Logging. Weitere Informationen zu Audit-Logging finden Sie unter Cloud-Audit-Logging.

Cloud-Audit-Logging verwaltet drei Audit-Logs für jedes GCP-Projekt, jeden Ordner und jede Organisation:

  • Audit-Logs zu Systemereignissen
  • Audit-Logs zur Administratoraktivität
  • Audit-Logs zum Datenzugriff

Error Reporting schreibt Audit-Logs zu Systemereignissen, die Logeinträge über die Ausführung eines Systemereignisses durch Compute Engine enthalten. Error Reporting stellt diese Logs standardmäßig bereit.

Error Reporting schreibt Audit-Logs für Administratoraktivitäten, zu denen auch die Vorgänge zur Änderung der Konfiguration oder der Metadaten einer Ressource gehören. Error Reporting stellt diese Logs standardmäßig bereit.

Datenzugriffs-Audit-Logs sind für Error Reporting nicht verfügbar.

Geprüfte Vorgänge

In dieser Tabelle ist zusammenfassend aufgeführt, welche API-Vorgänge zum jeweiligen Audit-Log-Typ in Error Reporting gehören:

Audit-Log-Kategorie Vorgänge in Error Reporting
Administratoraktivitäts-Logs errorEvents.delete
groupMetadata.update
Datenzugriffs-Logs (ADMIN_READ) groupMetadata.get
applications.list
Datenzugriffs-Logs (DATA_READ) events.list
groups.list

Audit-Log-Format

Audit-Logeinträge, die Sie mit der Loganzeige, der Stackdriver Logging API oder dem Cloud SDK in Stackdriver Logging ansehen können, enthalten folgende Objekte:

  • Den Logeintrag an sich, ein Objekt vom Typ LogEntry. Nützliche Felder sind unter anderem:

    • logName: Enthält die Projektkennung und den Audit-Log-Typ
    • resource: Enthält das Ziel des geprüften Vorgangs
    • timeStamp: Enthält die Uhrzeit des geprüften Vorgangs
    • protoPayload: Enthält die Informationen zum geprüften Vorgang
  • Die Audit-Logging-Daten. Diese sind ein Objekt vom Typ AuditLog im Feld protoPayload des Logeintrags.

  • Optionale dienstspezifische Auditinformationen. Dabei handelt es sich um ein dienstspezifisches Objekt im Feld serviceData des Objekts AuditLog. Einzelheiten finden Sie unter Dienstspezifische Auditdaten.

Informationen zu anderen Feldern in diesen Objekten, Beispielinhalten dieser Felder und Beispielabfragen für Informationen in den Objekten finden Sie unter Audit-Log-Datentypen.

Logname

Ressource-Namen von Cloud-Audit-Logging geben über das Projekt oder eine andere Entität Aufschluss, das bzw. die der Inhaber der Audit-Logs ist, und zeigen außerdem an, ob das Log Administratoraktivitäts-, Datenzugriffs- oder Audit-Logging-Daten von Systemereignissen enthält. Im folgenden Beispiel werden Lognamen für die Administratoraktivitätslogs eines Projekts und für die Datenzugriffslogs einer Organisation angezeigt.

projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity
organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access

Dienstname

Audit-Logs von Error Reporting verwenden den Dienstnamen clouderrorreporting.googleapis.com.

Weitere Informationen zu Logging-Diensten finden Sie unter Dienste zu Ressourcen zuordnen.

Ressourcentypen

Audit-Logs von Error Reporting verwenden den Ressourcentyp reported_errors für alle Audit-Logs.

Eine vollständige Liste finden Sie unter Überwachte Ressourcentypen.

Audit-Logging aktivieren

Systemereignis-Logs sind standardmäßig aktiviert und können nicht deaktiviert werden.

Administratoraktivitäts-Audit-Logs sind standardmäßig aktiviert und können nicht deaktiviert werden.

Datenzugriffslogs sind für Error Reporting nicht verfügbar.

Berechtigungen für Audit-Logs

Welche Audit-Logs Sie ansehen oder exportieren können, wird durch Berechtigungen und Rollen von Cloud Identity and Access Management (Cloud IAM) bestimmt. Logs sind in Projekten und in einigen anderen Entitäten wie Organisationen, Ordnern und Rechnungskonten enthalten. Weitere Informationen finden Sie unter Informationen zu Rollen.

Zum Ansehen von Administratoraktivitäts-Logs benötigen Sie eine der folgenden Cloud IAM-Rollen im Projekt, das die Audit-Logs enthält:

Datenzugriffslogs sind für Error Reporting nicht verfügbar.

Zum Ansehen von Systemereignis-Logs benötigen Sie eine der folgenden Cloud IAM-Rollen im Projekt, das die Audit-Logs enthält:

Wenn die verwendeten Audit-Logs nicht aus einem Projekt, sondern einer Entität wie einer Organisation stammen, ändern Sie die Projektrollen in geeignete Organisationsrollen.

Logs ansehen

Sie haben mehrere Möglichkeiten, Ihre Audit-Log-Einträge aufzurufen:

Einfache Oberfläche

Sie können Ihre Audit-Logeinträge über die einfache Benutzeroberfläche der Loganzeige in der GCP Console abrufen. Dazu gehen Sie so vor:

  1. Gehen Sie in der GCP Console auf die Seite Stackdriver Logging > Logs (Loganzeige):

    Weiter zur Loganzeige

  2. Wählen Sie oben auf der Seite ein vorhandenes GCP-Projekt aus oder erstellen Sie ein neues Projekt.

  3. Wählen Sie im ersten Drop-down-Menü die Ressource aus, deren Audit-Logs angezeigt werden sollen. Sie können eine bestimmte Ressource oder Global für alle Ressourcen auswählen.

  4. Wählen Sie im zweiten Drop-down-Menü den Log-Typ aus, den Sie aufrufen möchten: activity für Audit-Logs der Administratoraktivität, data_access für Audit-Logs auf Datenzugriffe und system_events für Systemereignis-Logs.

    Wenn Sie keine dieser Optionen sehen, sind im Projekt keine Audit-Logs dieses Typs verfügbar.

Erweiterte Benutzeroberfläche

Zum Abrufen der Audit-Logeinträge nutzen Sie die erweiterte Benutzeroberfläche der Loganzeige der GCP Console. Dazu gehen Sie so vor:

  1. Gehen Sie in der GCP Console auf die Seite Stackdriver Logging > Logs (Loganzeige):

    Weiter zur Loganzeige

  2. Wählen Sie oben auf der Seite ein vorhandenes GCP-Projekt aus oder erstellen Sie ein neues Projekt.

  3. Wählen Sie im ersten Drop-down-Menü die Ressource aus, deren Audit-Logs angezeigt werden sollen. Sie können eine bestimmte Ressource oder Global für alle Ressourcen auswählen.

  4. Klicken Sie auf den Drop-down-Pfeil (▾) ganz rechts im Suchfilterfeld und wählen Sie In erweiterten Filter umwandeln aus.

  5. Erstellen Sie einen Filter, der die gewünschten Logeinträge genauer definiert. Fügen Sie folgenden Filter hinzu, um alle Audit-Logs in Ihrem Projekt abzurufen. Geben Sie in jedem Lognamen eine gültige [PRODUCT_ID] an.

      logName = ("projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" OR
          OR "projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_events"
          OR "projects/[PROJECT_ID]logs/cloudaudit.googleapis.com%2Fdata_access")
    

    Weitere Informationen zu Filtern finden Sie unter Erweiterte Logfilter.

API

So zeigen Sie Ihre Audit-Log-Einträge mithilfe der Stackdriver Logging API an:

  1. Rufen Sie in der Dokumentation für die Methode entries.list den Abschnitt API testen auf.

  2. Geben Sie im Teil Anfragetext des Formulars Diese API testen Folgendes ein. Durch Klicken auf dieses bereits ausgefüllte Formular wird der Anfragetext automatisch eingegeben. Sie müssen aber in allen Lognamen eine gültige [PRODUCT_ID] angeben.

      {
        "resourceNames": [
          "projects/[PROJECT_ID]"
        ],
        "pageSize": 5,
        "filter": "logName=(projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_events OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access)"
      }
    
  3. Klicken Sie auf Ausführen.

Weitere Informationen zu Filtern finden Sie unter Erweiterte Logfilter.

SDK

Führen Sie den folgenden Befehl aus, um Ihre Logeinträge mithilfe des Cloud SDKs zu lesen. Geben Sie in jedem Lognamen eine gültige [PRODUCT_ID] an.

gcloud logging read "logName=(projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_events OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access)

Weitere Informationen zur Verwendung des Cloud SDKs finden Sie unter Logeinträge lesen.

Unter Audit-Logs verstehen wird anhand eines beispielhaften Audit-Log-Eintrags erläutert, wie Sie die wichtigsten Informationen darin finden.

Audit-Logs exportieren

Sie können Audit-Logs genau so wie andere Arten von Logs exportieren. Einzelheiten zum Exportieren Ihrer Logs finden Sie unter Logs exportieren. Im Folgenden erfahren Sie mehr über Möglichkeiten zum Exportieren von Audit-Logs:

  • Sie können Kopien Ihrer Audit-Logs in Cloud Storage, BigQuery oder Cloud Pub/Sub exportieren, um Audit-Logs über einen längeren Zeitraum hinweg beizubehalten oder leistungsfähigere Suchfunktionen zu verwenden. Bei Verwendung von Cloud Pub/Sub haben Sie die Möglichkeit, die Logs in andere Anwendungen, andere Repositories und Systeme von Drittanbietern zu exportieren.

  • Sie können aggregierte Exportsenken erstellen, mit denen sich Logs aus bestimmten oder allen Projekten in der Organisation exportieren lassen, um Audit-Logs organisationsweit zu verwalten.

Preis

Standardmäßig aktivierte Audit-Logs, einschließlich aller Administratoraktivitäts- und Systemereignis-Logs, sind in Stackdriver Logging kostenlos.

Weitere Informationen zu Logpreisen, einschließlich der Preise für Audit-Logs, finden Sie unter Preise für Stackdriver.

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...

Stackdriver Error Reporting