Déterminer des filtres d'événements pour Cloud Audit Logging

Un déclencheur Eventarc déclare votre intérêt pour un événement ou un ensemble d'événements spécifique. Pour Cloud Audit Logging, les déclencheurs sont appliqués lors de la création d'un journal d'audit correspondant aux critères de filtre du déclencheur, ce qui vous permet de capturer des événements spécifiques et d'agir en conséquence.

Pour obtenir la liste des services Google Cloud qui fournissent des journaux d'audit, consultez la page Services Google avec journaux d'audit.

Pour obtenir la liste des événements du journal d'audit compatibles avec Eventarc, y compris les valeurs serviceName et methodName, consultez la section Événements compatibles avec Eventarc.

Pour identifier les filtres d'événements exacts nécessaires à la création d'un déclencheur, générez l'événement que vous souhaitez capturer, puis affichez son entrée Cloud Audit Logging correspondante.

  1. Assurez-vous d'avoir activé pour votre service les types de journaux d'audit pour l'accès aux données.

    Accéder aux journaux d'audit

    Notez que les services pour lesquels l'audit est activé par défaut ne sont pas répertoriés.

    1. Dans le tableau principal de la page Journaux d'audit, sélectionnez un service Google Cloud dans la colonne Titre.

    2. Dans l'onglet Type de journal, cochez les cases Lecture administrateur, Lecture de données et Écriture de données, puis cliquez sur Enregistrer.

  2. Effectuez l'opération pour laquelle vous souhaitez créer un filtre d'événements et générer une entrée de journal d'audit. Vous pouvez par exemple stocker un fichier dans un bucket Cloud Storage.

  3. Dans Cloud Console, accédez à la page Explorateur de journaux.

    Accéder à l'explorateur de journaux

  4. Dans le volet Générateur de requêtes, créez et exécutez une requête pour filtrer les entrées de journal et récupérer les résultats. Exemple :

    resource.type="gcs_bucket" resource.labels.bucket_name="eventarc-bucket"
    

    Pour plus d'informations sur la création de requêtes permettant de récupérer et d'affiner les journaux, consultez la section Créer des requêtes de journal.

  5. Pour afficher tous les détails d'une entrée de journal, cliquez sur la flèche de développement (▸) au début de l'entrée.

    Le champ protoPayload fait la distinction entre une entrée de journal d'audit et les autres entrées de journal. Dans l'exemple suivant, certaines parties de l'entrée de journal sont omises et certains champs sont mis en évidence :

    {
       protoPayload:{
          @type:"type.googleapis.com/google.cloud.audit.AuditLog",
          status:{},
          authenticationInfo:{},
          requestMetadata:{},
          serviceName:"storage.googleapis.com",
          methodName:"storage.objects.create",
          authorizationInfo:[],
          resourceName:"projects/_/buckets/eventarc-bucket/objects/random.txt",
          resourceLocation:{}
       },
       insertId:"il9evleafpdk",
       resource:{
          type:"gcs_bucket",
          labels:{
             project_id:"cloud-run-test",
             location:"us-central1",
             bucket_name:"eventarc-bucket"
          }
       },
       timestamp:"2021-03-05T15:55:20.754688805Z",
       severity:"INFO",
       logName:"projects/cloud-run-test/logs/cloudaudit.googleapis.com%2Fdata_access",
       receiveTimestamp:"2021-03-05T15:55:20.884984611Z"
    }
    

    • Les informations suivantes peuvent être utilisées pour vérifier le contenu de cette entrée de journal d'audit :

      • Le champ protoPayload.@type correspond à type.googleapis.com/google.cloud.audit.AuditLog.

      • Le champ logName inclut le domaine cloudaudit.googleapis.com.

    • Le champ protoPayload.serviceName correspond au service qui a écrit le journal d'audit.

    • Le champ protoPayload.methodName correspond à l'opération en cours d'audit.

    • Le champ protoPayload.resourceName correspond à la ressource en cours d'audit.

    Pour en savoir plus sur la recherche d'informations dans une entrée de journal d'audit, consultez la section Comprendre les journaux d'audit.

Étape suivante