Cloud NGFW 監査ロギング

このドキュメントでは、Cloud Next Generation Firewall の監査ロギングについて説明します。Google Cloud サービスは、Google Cloud リソース内の管理アクティビティとアクセス アクティビティを記録する監査ログを生成します。 Cloud Audit Logs の詳細については、以下をご覧ください。

• 監査ログの種類
• 監査ログエントリの構造
• 監査ログの保存とルーティング
• Cloud Logging の料金概要
• データアクセス監査ログを有効にする

サービス名

Cloud Next Generation Firewall 監査ログでは、サービス名 networksecurity.googleapis.com が使用されます。このサービスでフィルタ:

    protoPayload.serviceName="networksecurity.googleapis.com"
  

メソッド（権限タイプ別）

各 IAM 権限には type プロパティがあります。このプロパティの値は列挙型で、ADMIN_READ、ADMIN_WRITE、DATA_READ、DATA_WRITE のいずれかになります。メソッドを呼び出すと、Cloud Next Generation Firewall は監査ログを生成します。このログのカテゴリは、メソッドの実行に必要な権限の type プロパティによって異なります。type プロパティ値が DATA_READ、DATA_WRITE、または ADMIN_READ の IAM 権限を必要とするメソッドは、データアクセス監査ログを生成します。type プロパティ値が ADMIN_WRITE の IAM 権限を必要とするメソッドは、管理アクティビティ監査ログを生成します。

API インターフェースの監査ログ

各メソッドで評価される権限と評価方法については、Identity and Access Management のドキュメントで Cloud Next Generation Firewall の情報をご覧ください。

google.cloud.networksecurity.v1.AddressGroupService

次の監査ログは、google.cloud.networksecurity.v1.AddressGroupService に属するメソッドに関連付けられています。

AddAddressGroupItems

• メソッド: google.cloud.networksecurity.v1.AddressGroupService.AddAddressGroupItems
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.addressGroups.update - ADMIN_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.AddressGroupService.AddAddressGroupItems"
  

CloneAddressGroupItems

• メソッド: google.cloud.networksecurity.v1.AddressGroupService.CloneAddressGroupItems
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.addressGroups.update - ADMIN_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.AddressGroupService.CloneAddressGroupItems"
  

CreateAddressGroup

• メソッド: google.cloud.networksecurity.v1.AddressGroupService.CreateAddressGroup
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.addressGroups.create - ADMIN_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.AddressGroupService.CreateAddressGroup"
  

DeleteAddressGroup

• メソッド: google.cloud.networksecurity.v1.AddressGroupService.DeleteAddressGroup
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.addressGroups.delete - ADMIN_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.AddressGroupService.DeleteAddressGroup"
  

GetAddressGroup

• メソッド: google.cloud.networksecurity.v1.AddressGroupService.GetAddressGroup
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • networksecurity.addressGroups.get - ADMIN_READ
• メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.AddressGroupService.GetAddressGroup"
  

ListAddressGroupReferences

• メソッド: google.cloud.networksecurity.v1.AddressGroupService.ListAddressGroupReferences
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • networksecurity.addressGroups.get - ADMIN_READ
• メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.AddressGroupService.ListAddressGroupReferences"
  

ListAddressGroups

• メソッド: google.cloud.networksecurity.v1.AddressGroupService.ListAddressGroups
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • networksecurity.addressGroups.list - ADMIN_READ
• メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.AddressGroupService.ListAddressGroups"
  

RemoveAddressGroupItems

• メソッド: google.cloud.networksecurity.v1.AddressGroupService.RemoveAddressGroupItems
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.addressGroups.update - ADMIN_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.AddressGroupService.RemoveAddressGroupItems"
  

UpdateAddressGroup

• メソッド: google.cloud.networksecurity.v1.AddressGroupService.UpdateAddressGroup
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.addressGroups.update - ADMIN_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.AddressGroupService.UpdateAddressGroup"
  

google.cloud.networksecurity.v1.FirewallActivation

次の監査ログは、google.cloud.networksecurity.v1.FirewallActivation に属するメソッドに関連付けられています。

CreateFirewallEndpoint

• メソッド: google.cloud.networksecurity.v1.FirewallActivation.CreateFirewallEndpoint
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.firewallEndpoints.create - ADMIN_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.FirewallActivation.CreateFirewallEndpoint"
  

CreateFirewallEndpointAssociation

• メソッド: google.cloud.networksecurity.v1.FirewallActivation.CreateFirewallEndpointAssociation
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.firewallEndpointAssociations.create - ADMIN_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.FirewallActivation.CreateFirewallEndpointAssociation"
  

DeleteFirewallEndpoint

• メソッド: google.cloud.networksecurity.v1.FirewallActivation.DeleteFirewallEndpoint
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.firewallEndpoints.delete - ADMIN_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.FirewallActivation.DeleteFirewallEndpoint"
  

DeleteFirewallEndpointAssociation

• メソッド: google.cloud.networksecurity.v1.FirewallActivation.DeleteFirewallEndpointAssociation
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.firewallEndpointAssociations.delete - ADMIN_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.FirewallActivation.DeleteFirewallEndpointAssociation"
  

GetFirewallEndpoint

• メソッド: google.cloud.networksecurity.v1.FirewallActivation.GetFirewallEndpoint
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • networksecurity.firewallEndpoints.get - ADMIN_READ
• メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.FirewallActivation.GetFirewallEndpoint"
  

GetFirewallEndpointAssociation

• メソッド: google.cloud.networksecurity.v1.FirewallActivation.GetFirewallEndpointAssociation
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • networksecurity.firewallEndpointAssociations.get - ADMIN_READ
• メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.FirewallActivation.GetFirewallEndpointAssociation"
  

ListFirewallEndpointAssociations

• メソッド: google.cloud.networksecurity.v1.FirewallActivation.ListFirewallEndpointAssociations
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • networksecurity.firewallEndpointAssociations.list - ADMIN_READ
• メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.FirewallActivation.ListFirewallEndpointAssociations"
  

ListFirewallEndpoints

• メソッド: google.cloud.networksecurity.v1.FirewallActivation.ListFirewallEndpoints
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • networksecurity.firewallEndpoints.list - ADMIN_READ
• メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.FirewallActivation.ListFirewallEndpoints"
  

UpdateFirewallEndpoint

• メソッド: google.cloud.networksecurity.v1.FirewallActivation.UpdateFirewallEndpoint
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.firewallEndpoints.update - ADMIN_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.FirewallActivation.UpdateFirewallEndpoint"
  

UpdateFirewallEndpointAssociation

• メソッド: google.cloud.networksecurity.v1.FirewallActivation.UpdateFirewallEndpointAssociation
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.firewallEndpointAssociations.update - ADMIN_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.FirewallActivation.UpdateFirewallEndpointAssociation"
  

google.cloud.networksecurity.v1.NetworkSecurity

次の監査ログは、google.cloud.networksecurity.v1.NetworkSecurity に属するメソッドに関連付けられています。

CreateAuthorizationPolicy

• メソッド: google.cloud.networksecurity.v1.NetworkSecurity.CreateAuthorizationPolicy
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.authorizationPolicies.create - ADMIN_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.NetworkSecurity.CreateAuthorizationPolicy"
  

CreateClientTlsPolicy

• メソッド: google.cloud.networksecurity.v1.NetworkSecurity.CreateClientTlsPolicy
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.clientTlsPolicies.create - ADMIN_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.NetworkSecurity.CreateClientTlsPolicy"
  

CreateGatewaySecurityPolicy

• メソッド: google.cloud.networksecurity.v1.NetworkSecurity.CreateGatewaySecurityPolicy
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.gatewaySecurityPolicies.create - ADMIN_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.NetworkSecurity.CreateGatewaySecurityPolicy"
  

CreateGatewaySecurityPolicyRule

• メソッド: google.cloud.networksecurity.v1.NetworkSecurity.CreateGatewaySecurityPolicyRule
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.gatewaySecurityPolicyRules.create - ADMIN_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.NetworkSecurity.CreateGatewaySecurityPolicyRule"
  

CreateServerTlsPolicy

• メソッド: google.cloud.networksecurity.v1.NetworkSecurity.CreateServerTlsPolicy
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.serverTlsPolicies.create - ADMIN_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.NetworkSecurity.CreateServerTlsPolicy"
  

CreateTlsInspectionPolicy

• メソッド: google.cloud.networksecurity.v1.NetworkSecurity.CreateTlsInspectionPolicy
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • networksecurity.tlsInspectionPolicies.create - DATA_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.NetworkSecurity.CreateTlsInspectionPolicy"
  

CreateUrlList

• メソッド: google.cloud.networksecurity.v1.NetworkSecurity.CreateUrlList
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.urlLists.create - ADMIN_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.NetworkSecurity.CreateUrlList"
  

DeleteAuthorizationPolicy

• メソッド: google.cloud.networksecurity.v1.NetworkSecurity.DeleteAuthorizationPolicy
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.authorizationPolicies.delete - ADMIN_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.NetworkSecurity.DeleteAuthorizationPolicy"
  

DeleteClientTlsPolicy

• メソッド: google.cloud.networksecurity.v1.NetworkSecurity.DeleteClientTlsPolicy
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.clientTlsPolicies.delete - ADMIN_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.NetworkSecurity.DeleteClientTlsPolicy"
  

DeleteGatewaySecurityPolicy

• メソッド: google.cloud.networksecurity.v1.NetworkSecurity.DeleteGatewaySecurityPolicy
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.gatewaySecurityPolicies.delete - ADMIN_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.NetworkSecurity.DeleteGatewaySecurityPolicy"
  

DeleteGatewaySecurityPolicyRule

• メソッド: google.cloud.networksecurity.v1.NetworkSecurity.DeleteGatewaySecurityPolicyRule
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.gatewaySecurityPolicyRules.delete - ADMIN_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.NetworkSecurity.DeleteGatewaySecurityPolicyRule"
  

DeleteServerTlsPolicy

• メソッド: google.cloud.networksecurity.v1.NetworkSecurity.DeleteServerTlsPolicy
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.serverTlsPolicies.delete - ADMIN_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.NetworkSecurity.DeleteServerTlsPolicy"
  

DeleteTlsInspectionPolicy

• メソッド: google.cloud.networksecurity.v1.NetworkSecurity.DeleteTlsInspectionPolicy
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • networksecurity.tlsInspectionPolicies.delete - DATA_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.NetworkSecurity.DeleteTlsInspectionPolicy"
  

DeleteUrlList

• メソッド: google.cloud.networksecurity.v1.NetworkSecurity.DeleteUrlList
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.urlLists.delete - ADMIN_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.NetworkSecurity.DeleteUrlList"
  

GetAuthorizationPolicy

• メソッド: google.cloud.networksecurity.v1.NetworkSecurity.GetAuthorizationPolicy
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • networksecurity.authorizationPolicies.get - ADMIN_READ
• メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.NetworkSecurity.GetAuthorizationPolicy"
  

GetClientTlsPolicy

• メソッド: google.cloud.networksecurity.v1.NetworkSecurity.GetClientTlsPolicy
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • networksecurity.clientTlsPolicies.get - ADMIN_READ
• メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.NetworkSecurity.GetClientTlsPolicy"
  

GetGatewaySecurityPolicy

• メソッド: google.cloud.networksecurity.v1.NetworkSecurity.GetGatewaySecurityPolicy
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • networksecurity.gatewaySecurityPolicies.get - ADMIN_READ
• メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.NetworkSecurity.GetGatewaySecurityPolicy"
  

GetGatewaySecurityPolicyRule

• メソッド: google.cloud.networksecurity.v1.NetworkSecurity.GetGatewaySecurityPolicyRule
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • networksecurity.gatewaySecurityPolicyRules.get - ADMIN_READ
• メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.NetworkSecurity.GetGatewaySecurityPolicyRule"
  

GetServerTlsPolicy

• メソッド: google.cloud.networksecurity.v1.NetworkSecurity.GetServerTlsPolicy
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • networksecurity.serverTlsPolicies.get - ADMIN_READ
• メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.NetworkSecurity.GetServerTlsPolicy"
  

GetTlsInspectionPolicy

• メソッド: google.cloud.networksecurity.v1.NetworkSecurity.GetTlsInspectionPolicy
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • networksecurity.tlsInspectionPolicies.get - ADMIN_READ
• メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.NetworkSecurity.GetTlsInspectionPolicy"
  

GetUrlList

• メソッド: google.cloud.networksecurity.v1.NetworkSecurity.GetUrlList
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • networksecurity.urlLists.get - ADMIN_READ
• メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.NetworkSecurity.GetUrlList"
  

ListAuthorizationPolicies

• メソッド: google.cloud.networksecurity.v1.NetworkSecurity.ListAuthorizationPolicies
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • networksecurity.authorizationPolicies.list - ADMIN_READ
• メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.NetworkSecurity.ListAuthorizationPolicies"
  

ListClientTlsPolicies

• メソッド: google.cloud.networksecurity.v1.NetworkSecurity.ListClientTlsPolicies
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • networksecurity.clientTlsPolicies.list - ADMIN_READ
• メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.NetworkSecurity.ListClientTlsPolicies"
  

ListGatewaySecurityPolicies

• メソッド: google.cloud.networksecurity.v1.NetworkSecurity.ListGatewaySecurityPolicies
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • networksecurity.gatewaySecurityPolicies.list - ADMIN_READ
• メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.NetworkSecurity.ListGatewaySecurityPolicies"
  

ListGatewaySecurityPolicyRules

• メソッド: google.cloud.networksecurity.v1.NetworkSecurity.ListGatewaySecurityPolicyRules
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • networksecurity.gatewaySecurityPolicyRules.list - ADMIN_READ
• メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.NetworkSecurity.ListGatewaySecurityPolicyRules"
  

ListServerTlsPolicies

• メソッド: google.cloud.networksecurity.v1.NetworkSecurity.ListServerTlsPolicies
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • networksecurity.serverTlsPolicies.list - ADMIN_READ
• メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.NetworkSecurity.ListServerTlsPolicies"
  

ListTlsInspectionPolicies

• メソッド: google.cloud.networksecurity.v1.NetworkSecurity.ListTlsInspectionPolicies
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • networksecurity.tlsInspectionPolicies.list - ADMIN_READ
• メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.NetworkSecurity.ListTlsInspectionPolicies"
  

ListUrlLists

• メソッド: google.cloud.networksecurity.v1.NetworkSecurity.ListUrlLists
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • networksecurity.urlLists.list - ADMIN_READ
• メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.NetworkSecurity.ListUrlLists"
  

UpdateAuthorizationPolicy

• メソッド: google.cloud.networksecurity.v1.NetworkSecurity.UpdateAuthorizationPolicy
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.authorizationPolicies.update - ADMIN_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.NetworkSecurity.UpdateAuthorizationPolicy"
  

UpdateClientTlsPolicy

• メソッド: google.cloud.networksecurity.v1.NetworkSecurity.UpdateClientTlsPolicy
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.clientTlsPolicies.update - ADMIN_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.NetworkSecurity.UpdateClientTlsPolicy"
  

UpdateGatewaySecurityPolicy

• メソッド: google.cloud.networksecurity.v1.NetworkSecurity.UpdateGatewaySecurityPolicy
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.gatewaySecurityPolicies.update - ADMIN_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.NetworkSecurity.UpdateGatewaySecurityPolicy"
  

UpdateGatewaySecurityPolicyRule

• メソッド: google.cloud.networksecurity.v1.NetworkSecurity.UpdateGatewaySecurityPolicyRule
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.gatewaySecurityPolicyRules.update - ADMIN_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.NetworkSecurity.UpdateGatewaySecurityPolicyRule"
  

UpdateServerTlsPolicy

• メソッド: google.cloud.networksecurity.v1.NetworkSecurity.UpdateServerTlsPolicy
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.serverTlsPolicies.update - ADMIN_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.NetworkSecurity.UpdateServerTlsPolicy"
  

UpdateTlsInspectionPolicy

• メソッド: google.cloud.networksecurity.v1.NetworkSecurity.UpdateTlsInspectionPolicy
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • networksecurity.tlsInspectionPolicies.update - DATA_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.NetworkSecurity.UpdateTlsInspectionPolicy"
  

UpdateUrlList

• メソッド: google.cloud.networksecurity.v1.NetworkSecurity.UpdateUrlList
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.urlLists.update - ADMIN_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.NetworkSecurity.UpdateUrlList"
  

google.cloud.networksecurity.v1.OrganizationAddressGroupService

次の監査ログは、google.cloud.networksecurity.v1.OrganizationAddressGroupService に属するメソッドに関連付けられています。

AddAddressGroupItems

• メソッド: google.cloud.networksecurity.v1.OrganizationAddressGroupService.AddAddressGroupItems
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.addressGroups.update - ADMIN_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.OrganizationAddressGroupService.AddAddressGroupItems"
  

CreateAddressGroup

• メソッド: google.cloud.networksecurity.v1.OrganizationAddressGroupService.CreateAddressGroup
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.addressGroups.create - ADMIN_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.OrganizationAddressGroupService.CreateAddressGroup"
  

DeleteAddressGroup

• メソッド: google.cloud.networksecurity.v1.OrganizationAddressGroupService.DeleteAddressGroup
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.addressGroups.delete - ADMIN_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.OrganizationAddressGroupService.DeleteAddressGroup"
  

GetAddressGroup

• メソッド: google.cloud.networksecurity.v1.OrganizationAddressGroupService.GetAddressGroup
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • networksecurity.addressGroups.get - ADMIN_READ
• メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.OrganizationAddressGroupService.GetAddressGroup"
  

ListAddressGroups

• メソッド: google.cloud.networksecurity.v1.OrganizationAddressGroupService.ListAddressGroups
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • networksecurity.addressGroups.list - ADMIN_READ
• メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.OrganizationAddressGroupService.ListAddressGroups"
  

RemoveAddressGroupItems

• メソッド: google.cloud.networksecurity.v1.OrganizationAddressGroupService.RemoveAddressGroupItems
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.addressGroups.update - ADMIN_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.OrganizationAddressGroupService.RemoveAddressGroupItems"
  

UpdateAddressGroup

• メソッド: google.cloud.networksecurity.v1.OrganizationAddressGroupService.UpdateAddressGroup
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.addressGroups.update - ADMIN_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.OrganizationAddressGroupService.UpdateAddressGroup"
  

google.cloud.networksecurity.v1.OrganizationSecurityProfileGroupService

次の監査ログは、google.cloud.networksecurity.v1.OrganizationSecurityProfileGroupService に属するメソッドに関連付けられています。

CreateSecurityProfile

• メソッド: google.cloud.networksecurity.v1.OrganizationSecurityProfileGroupService.CreateSecurityProfile
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.securityProfiles.create - ADMIN_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.OrganizationSecurityProfileGroupService.CreateSecurityProfile"
  

CreateSecurityProfileGroup

• メソッド: google.cloud.networksecurity.v1.OrganizationSecurityProfileGroupService.CreateSecurityProfileGroup
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.securityProfileGroups.create - ADMIN_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.OrganizationSecurityProfileGroupService.CreateSecurityProfileGroup"
  

DeleteSecurityProfile

• メソッド: google.cloud.networksecurity.v1.OrganizationSecurityProfileGroupService.DeleteSecurityProfile
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.securityProfiles.delete - ADMIN_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.OrganizationSecurityProfileGroupService.DeleteSecurityProfile"
  

DeleteSecurityProfileGroup

• メソッド: google.cloud.networksecurity.v1.OrganizationSecurityProfileGroupService.DeleteSecurityProfileGroup
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.securityProfileGroups.delete - ADMIN_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.OrganizationSecurityProfileGroupService.DeleteSecurityProfileGroup"
  

GetSecurityProfile

• メソッド: google.cloud.networksecurity.v1.OrganizationSecurityProfileGroupService.GetSecurityProfile
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • networksecurity.securityProfiles.get - ADMIN_READ
• メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.OrganizationSecurityProfileGroupService.GetSecurityProfile"
  

GetSecurityProfileGroup

• メソッド: google.cloud.networksecurity.v1.OrganizationSecurityProfileGroupService.GetSecurityProfileGroup
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • networksecurity.securityProfileGroups.get - ADMIN_READ
• メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.OrganizationSecurityProfileGroupService.GetSecurityProfileGroup"
  

ListSecurityProfileGroups

• メソッド: google.cloud.networksecurity.v1.OrganizationSecurityProfileGroupService.ListSecurityProfileGroups
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • networksecurity.securityProfileGroups.list - ADMIN_READ
• メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.OrganizationSecurityProfileGroupService.ListSecurityProfileGroups"
  

ListSecurityProfiles

• メソッド: google.cloud.networksecurity.v1.OrganizationSecurityProfileGroupService.ListSecurityProfiles
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • networksecurity.securityProfiles.list - ADMIN_READ
• メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.OrganizationSecurityProfileGroupService.ListSecurityProfiles"
  

UpdateSecurityProfile

• メソッド: google.cloud.networksecurity.v1.OrganizationSecurityProfileGroupService.UpdateSecurityProfile
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.securityProfiles.update - ADMIN_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.OrganizationSecurityProfileGroupService.UpdateSecurityProfile"
  

UpdateSecurityProfileGroup

• メソッド: google.cloud.networksecurity.v1.OrganizationSecurityProfileGroupService.UpdateSecurityProfileGroup
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.securityProfileGroups.update - ADMIN_WRITE
• メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.networksecurity.v1.OrganizationSecurityProfileGroupService.UpdateSecurityProfileGroup"
  

google.iam.v1.IAMPolicy

次の監査ログは、google.iam.v1.IAMPolicy に属するメソッドに関連付けられています。

GetIamPolicy

• メソッド: GetIamPolicy
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • networksecurity.authorizationPolicies.getIamPolicy - ADMIN_READ
  • networksecurity.clientTlsPolicies.getIamPolicy - ADMIN_READ
  • networksecurity.serverTlsPolicies.getIamPolicy - ADMIN_READ
• メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="GetIamPolicy"
  

SetIamPolicy

• メソッド: SetIamPolicy
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.addressGroups.setIamPolicy - ADMIN_WRITE
  • networksecurity.authorizationPolicies.setIamPolicy - ADMIN_WRITE
  • networksecurity.clientTlsPolicies.setIamPolicy - ADMIN_WRITE
  • networksecurity.serverTlsPolicies.setIamPolicy - ADMIN_WRITE
• メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="SetIamPolicy"
  

google.longrunning.Operations

次の監査ログは、google.longrunning.Operations に属するメソッドに関連付けられています。

DeleteOperation

• メソッド: google.longrunning.Operations.DeleteOperation
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • networksecurity.operations.delete - ADMIN_WRITE
• メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.longrunning.Operations.DeleteOperation"
  

GetOperation

• メソッド: google.longrunning.Operations.GetOperation
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • networksecurity.operations.get - ADMIN_READ
• メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.longrunning.Operations.GetOperation"
  

利用可能な監査ログ

Cloud Next Generation Firewall では、次の種類の監査ログを使用できます。

• 管理アクティビティ監査ログ

  メタデータまたは構成情報を書き込む「管理書き込み」オペレーションが含まれます。

  管理アクティビティ監査ログは無効にできません。

• データアクセス監査ログ

  メタデータまたは構成情報を読み取る「管理読み取り」オペレーションが含まれます。

  データアクセス監査ログを受信するには、監査ログを明示的に有効にする必要があります。

監査ログタイプの詳細については、監査ログの種類をご覧ください。

監査ログ形式

監査ログエントリには、次のオブジェクトが含まれます。

• ログエントリ自体。LogEntry タイプのオブジェクトです。よく使用されるフィールドは次のとおりです。

  • logName には、リソース ID と監査ログの種類が含まれます。
  • resource には、監査対象オペレーションのターゲットが含まれます。
  • timeStamp には、監査対象オペレーションの時間が含まれます。
  • protoPayload には、監査対象の情報が含まれます。

• 監査ロギングデータ。ログエントリの protoPayload フィールドに保持される AuditLog オブジェクトです。

• 任意のサービス固有の監査情報。サービス固有のオブジェクトです。前のインテグレーションでは、このオブジェクトは AuditLog オブジェクトの serviceData フィールドに保持されています。後のインテグレーションでは、metadata フィールドを使用します。

これらのオブジェクトのその他のフィールドと、その解釈方法については、監査ログについてをご覧ください。

ログ名

Cloud Audit Logs のログ名には、監査ログを所有する Google Cloud プロジェクトまたは他の Google Cloud エンティティ、およびログに管理アクティビティ、データアクセス、ポリシーの拒否、システム イベントの監査ログデータが含まれているかどうかを示すリソース識別子が含まれます。

リソース識別子の変数を含む監査ログ名は次のとおりです。

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Factivity
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

監査ロギングを有効にする

管理アクティビティ監査ログは常に有効になっています。無効にすることはできません。

データアクセス監査ログはデフォルトで無効になっており、明示的に有効にしない限り書き込まれません（例外は BigQuery のデータアクセス監査ログで、これは無効にすることができません）。

データアクセス監査ログの一部またはすべてを有効にする方法については、データアクセス監査ログを有効にするをご覧ください。

監査ログを表示する

すべての監査ログに対してクエリを実行することも、監査ログ名でログをクエリすることもできます。監査ログ名には、監査ロギング情報を表示する Google Cloud プロジェクト、フォルダ、請求先アカウント、または組織のリソース識別子が含まれています。クエリでは、インデックス付きの LogEntry フィールドを指定できます。SQL クエリをサポートする [ログ分析] ページを使用する場合は、クエリ結果をグラフとして表示できます。

ログのクエリの詳細については、次のページをご覧ください。

• ログ エクスプローラでクエリを作成する。
• ログ分析でログをクエリして表示する。
• セキュリティ分析情報のサンプルクエリ。

Google Cloud コンソール、Google Cloud CLI、または Logging API を使用して、Cloud Logging で監査ログを表示できます。

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

gcloud logging read "logName : billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com" \
    --billing-account=BILLING_ACCOUNT_ID