Cloud 감사 로그의 이벤트 필터 확인

컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

Eventarc 트리거는 특정 이벤트 또는 이벤트 집합에 관심이 있음을 선언합니다. Cloud 감사 로그의 경우 트리거의 필터 기준과 일치하는 감사 로그가 생성되면 트리거가 적용되어 특정 이벤트를 캡처하고 해당 조치를 취할 수 있습니다.

감사 로그를 제공하는 Google Cloud 서비스 목록은 감사 로그를 생성하는 Google 서비스를 참조하세요.

serviceNamemethodName 값을 포함하여 Eventarc에서 지원되는 감사 로그 이벤트 목록은 Eventarc에서 지원되는 이벤트를 참조하세요.

트리거를 만드는 데 필요한 정확한 이벤트 필터를 파악하려면 캡처할 이벤트를 생성한 후 해당하는 Cloud 감사 로그 항목을 확인합니다. 로그 항목의 데이터는 여러 항목에 걸쳐 분할 및 분산될 수 있습니다.

  1. 서비스에 대한 데이터 액세스 감사 로그 유형을 사용 설정했는지 확인합니다.

    감사 로그로 이동

    감사가 기본적으로 사용 설정된 서비스는 나열되어 있지 않습니다.

    1. 감사 로그 페이지에 있는 기본 테이블의 제목 열에서 Google Cloud 서비스를 선택합니다.

    2. 로그 유형 탭에서 관리자 읽기, 데이터 읽기, 데이터 쓰기 체크박스를 선택한 다음 저장을 클릭합니다.

  2. 이벤트 필터를 만들 작업을 수행하고 감사 로그 항목을 생성합니다. 예를 들어 Cloud Storage 버킷에 파일을 저장합니다.

  3. 콘솔에서 로그 탐색기로 이동합니다.

    로그 탐색기로 이동

  4. 쿼리 빌더 창에서 쿼리를 빌드 및 실행하여 로그 항목을 필터링하고 결과를 가져옵니다. 예를 들면 다음과 같습니다.

    resource.type="gcs_bucket" resource.labels.bucket_name="eventarc-bucket"
    

    로그를 가져와 상세검색하는 쿼리를 빌드하는 방법에 대한 자세한 내용은 로그 쿼리 빌드를 참조하세요.

  5. 하나의 로그 항목에 대한 전체 세부정보를 보려면 항목 시작 부분에 있는 펼치기 화살표(▸)를 클릭하세요.

    감사 로그 항목과 다른 로그 항목의 차이점은 protoPayload 필드입니다. 다음 예시에서는 로그 항목의 일부분이 생략되었고 일부 필드는 강조표시되어 있습니다.

    {
       protoPayload:{
          @type:"type.googleapis.com/google.cloud.audit.AuditLog",
          status:{},
          authenticationInfo:{},
          requestMetadata:{},
          serviceName:"storage.googleapis.com",
          methodName:"storage.objects.create",
          authorizationInfo:[],
          resourceName:"projects/_/buckets/eventarc-bucket/objects/random.txt",
          resourceLocation:{}
       },
       insertId:"il9evleafpdk",
       resource:{
          type:"gcs_bucket",
          labels:{
             project_id:"cloud-run-test",
             location:"us-central1",
             bucket_name:"eventarc-bucket"
          }
       },
       timestamp:"2021-03-05T15:55:20.754688805Z",
       severity:"INFO",
       logName:"projects/cloud-run-test/logs/cloudaudit.googleapis.com%2Fdata_access",
       receiveTimestamp:"2021-03-05T15:55:20.884984611Z"
    }
    

    • 다음 정보를 사용하여 이 감사 로그 항목의 콘텐츠를 확인할 수 있습니다.

      • protoPayload.@type 필드는 type.googleapis.com/google.cloud.audit.AuditLog입니다.

      • logName 필드는 cloudaudit.googleapis.com 도메인을 포함합니다.

    • protoPayload.serviceName 필드는 감사 로그를 작성한 서비스입니다.

    • protoPayload.methodName 필드는 감사되는 작업입니다.

    • protoPayload.resourceName 필드는 감사되는 리소스입니다.

    감사 로그 항목에서 정보를 찾는 방법에 대한 자세한 내용은 감사 로그 이해를 참조하세요.

Cloud 감사 로그 분할

Cloud Logging은 단일 감사 로그 항목을 512KB 크기 제한보다 크게 분할하고 원래 감사 로그 항목에 포함된 데이터를 여러 split 로그 항목으로 분산합니다. split 필드는 관련 분할 로그 항목을 식별하는 데 필요한 정보가 포함된 LogSplit 객체입니다.

분할 항목의 protoPayload마다 Cloud 감사 로그 이벤트를 필터링하는 데 도움이 되는 동일한 serviceName, methodName, resourceName 값이 포함됩니다. Eventarc 트리거는 각 분할 로그 항목의 이벤트를 전달합니다.

여러 로그 항목으로 분할된 감사 로그 항목이 있으면 LogEntry의 모든 필드를 필터링할 수 있습니다. 예를 들어 분할 로그 항목의 첫 번째 항목이 필요하면 split.index를 사용하여 다음 gcloud CLI 명령어를 실행해 일련의 분할 항목에 항목 위치를 표시할 수 있습니다. 분할의 첫 번째 항목에는 색인 0이 있습니다.

    gcloud logging read "split.index=0"

항목 및 샘플 쿼리 인식 방법을 포함하여 분할 로그 항목에 대한 자세한 내용은 감사 로그 항목 분할을 참조하세요.

다음 단계