Cloud-Audit-Logs aufrufen

Auf dieser Seite werden die Audit-Logs beschrieben, die von Cloud IoT Core als Teil von Cloud-Audit-Logs erstellt werden.

Übersicht

Google Cloud-Dienste schreiben Audit-Logs, um Ihnen Antworten auf Fragen wie "Wer hat was wo und wann getan?" zu liefern. Ihre Cloud-Projekte enthalten jeweils nur die Audit-Logs für Ressourcen, die sich direkt im Projekt befinden. Andere Entitäten, einschließlich Ordner, Organisationen und Rechnungskonten, enthalten jeweils die Audit-Logs für die Entität selbst.

Cloud IoT Core schreibt Audit-Logs für Administratoraktivitäten und stellt diese standardmäßig bereit. Dazu gehören Vorgänge zur Änderung der Konfiguration oder der Metadaten einer Ressource. Dazu gehören Geräteeinstellungen, Cloud-zu-Gerät-Konfigurationen und Geräte-Registry-Einstellungen.

Cloud IoT Core schreibt Audit-Logs für den Datenzugriff, in denen API-Aufrufe zum Lesen von vom Nutzer bereitgestellten Daten aufgezeichnet werden. Diese werden nicht standardmäßig bereitgestellt.

Audit-Logging aktivieren

Audit-Logs zu Administratoraktivitäten sind standardmäßig aktiviert und können nur über Cloud Logging-Ausschlüsse deaktiviert werden.

Die meisten Audit-Logs für Google Cloud Data Access sind standardmäßig deaktiviert. Eine Ausnahme sind Audit-Logs zum Datenzugriff für BigQuery, die standardmäßig aktiviert sind und nicht deaktiviert werden können. BigQuery-Datenzugriffslogs werden nicht auf das Logging-Kontingent Ihres Projekts angerechnet.

Informationen zum Aktivieren einiger oder aller Datenzugriffs-Logs finden Sie unter Datenzugriffs-Logs konfigurieren.

Wenn Sie Logs zu Datenzugriffen konfigurieren, kann sich das auf Ihre Logpreise in der Operations-Suite von Google Cloud auswirken. Weitere Informationen finden Sie im Abschnitt "Preise" auf dieser Seite.

Geprüfte Vorgänge

In der folgenden Tabelle wird zusammengefasst, welche API-Vorgänge dem jeweiligen Audit-Logtyp in Cloud IoT Core entsprechen:

Audit-Logkategorie	Cloud IoT Core-Vorgänge
Administratoraktivitätslogs	`CreateDeviceRegistry` `DeleteDeviceRegistry` `UpdateDeviceRegistry` `CreateDevice` `DeleteDevice` `UpdateDevice` `ModifyCloudToDeviceConfig` `SetIamPolicy`
Datenzugriffslogs (`ADMIN_READ`)	`GetDeviceRegistry` `ListDeviceRegistries` `GetDevice` `ListDevices` `GetIamPolicy`
Datenzugriffslogs (`DATA_READ`)	–
Datenzugriffslogs (`DATA_WRITE`)	–

Datenzugriffslogs

Es gibt drei Kategorien von Audit-Logs für den Datenzugriff: ADMIN_READ, DATA_READ und DATA_WRITE. Cloud IoT Core verwendet jedoch nur ADMIN_READ-Datenzugriffslogs. Das liegt daran, dass DATA_READ- und DATA_WRITE-Logs nur für Dienste verwendet werden, die Nutzerdaten speichern und verwalten, z. B. Cloud Storage, Cloud Spanner und Cloud SQL. Auf Cloud IoT Core trifft das nicht zu.

Logtyp für Datenzugriff	Beschreibung	Verfügbarkeit
`ADMIN_READ`	Vorgänge, bei denen die Konfiguration oder Metadaten einer Ressource gelesen werden.	Cloud IoT Core stellt standardmäßig `ADMIN_READ`-Logs nicht zur Verfügung.
`DATA_READ`	Vorgänge, bei denen die vom Nutzer bereitgestellten Daten aus einer Ressource gelesen werden.	Cloud IoT Core stellt keine `DATA_READ`-Logs bereit.
`DATA_WRITE`	Vorgänge, bei denen vom Nutzer bereitgestellte Daten in eine Ressource geschrieben werden.	Cloud IoT Core stellt keine `DATA_WRITE`-Logs bereit.

Sie können Audit-Informationen konfigurieren, die nicht standardmäßig bereitgestellt sind. Einzelheiten finden Sie unter Datenzugriffs-Logs konfigurieren.

Audit-Log-Format

Audit-Logeinträge, die mit der Loganzeige, der API oder dem SDK gcloud logging-Befehl aufgerufen werden können, umfassen die folgenden Objekte:

Den Logeintrag selbst. Dabei handelt es sich um ein Objekt vom Typ LogEntry. Nützliche Felder sind unter anderem:
- logName enthält die Projektkennung und den Audit-Logtyp
- resource enthält das Ziel zum geprüften Vorgang
- timestamp enthält die Uhrzeit des geprüften Vorgangs
- protoPayload enthält die geprüften Informationen
Die Auditinformationen, bei denen es sich um ein AuditLog-Objekt handelt, werden im Feld protoPayload des Logeintrags gespeichert.

Informationen zu anderen Feldern in diesen Objekten, Beispiele zu ihren Inhalten und Beispielabfragen für Informationen in den Objekten finden Sie unter Audit-Log-Datentypen.

Logname und Dienstname

Lognamen von Cloud-Audit-Logs geben über das Projekt oder eine andere Entität Aufschluss, das bzw. die der Inhaber der Audit-Logs ist, und zeigen außerdem an, ob das Log Administratoraktivitäts- oder Datenzugriffsinformationen enthält. Im folgenden Beispiel werden Lognamen für die Administratoraktivitätslogs eines Projekts und für die Datenzugriffslogs einer Organisation angezeigt.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Dienstnamen und Ressourcentypen

Für Audit-Logs von Cloud IoT Core wird der Dienstname cloudiot.googleapis.com verwendet.

Cloud IoT Core-Audit-Logs verwenden die Ressourcentypen cloudiot_device und cloudiot_device_registry für alle Audit-Logs.

Weitere Informationen zu Logging-Diensten und -Ressourcen finden Sie unter Dienste zu Ressourcen zuordnen.

Berechtigungen für Audit-Logs

Welche Audit-Logs Sie ansehen oder exportieren können, wird durch Berechtigungen und Rollen von Identity and Access Management (Cloud IAM) bestimmt. Logs sind in Projekten und in einigen anderen Entitäten wie Organisationen, Ordnern und Rechnungskonten enthalten. Weitere Informationen finden Sie unter Informationen zu Rollen.

Zum Ansehen von Logs zu Administratoraktivitäten benötigen Sie eine der folgenden IAM-Rollen in dem Projekt, das die Audit-Logs enthält:

Projektinhaber, Projektbearbeiter oder Projektbetrachter. Weitere Informationen finden Sie unter Einfache Rollen.
Die Rolle Logbetrachter für Logging.
Eine benutzerdefinierte IAM-Rolle mit der IAM-Berechtigung logging.logEntries.list.

Zum Ansehen von Datenzugriffs-Logs benötigen Sie eine der folgenden Rollen im Projekt, das Ihre Audit-Logs enthält:

Projektinhaber
Die Logging-Rolle Betrachter privater Logs.
Eine benutzerdefinierte IAM-Rolle mit der IAM-Berechtigung logging.privateLogEntries.list.

Wenn die verwendeten Audit-Logs nicht aus einem Projekt, sondern einer Entität wie einer Organisation stammen, ändern Sie die Projektrollen in geeignete Organisationsrollen.

Logs ansehen

Führen Sie einen dieser Schritte durch, um Audit-Logs für eines Ihrer Projekte anzusehen:

Sehen Sie im Dashboard Aktivität eine Zusammenfassung Ihrer Administratoraktivitäts-Logs an:

Zur Aktivität
Rufen Sie mit dem Log-Explorer alle Audit-Logs ab.

Zur Seite „Log-Explorer“

Weitere Einzelheiten finden Sie in den Beschreibungen der folgenden Optionen:

Einfache Oberfläche

Auf der einfachen Oberfläche des Log-Explorers können Sie Ihre Audit-Logeinträge so abrufen:

Wählen Sie im ersten Menü den Ressourcentyp aus, dessen Audit-Logs Sie ansehen möchten. Wählen Sie eine bestimmte Ressource oder alle Ressourcen aus.
Wählen Sie im zweiten Menü den Lognamen aus, den Sie anzeigen möchten: activity für Audit-Logs zur Administratoraktivität und data_access für Audit-Logs zum Datenzugriff. Wenn eine oder beide dieser Optionen nicht angezeigt werden, sind keine Audit-Logs dieses Typs verfügbar.

Erweiterte Oberfläche

Wechseln Sie im Log-Explorer zur erweiterten Filteroberfläche.
Erstellen Sie einen Filter, der die gewünschten Ressourcentypen und Lognamen angibt. Weitere Informationen finden Sie unter Audit-Logs abrufen.

API

Informationen zum Lesen der Logeinträge über die Logging API finden Sie unter entries.list.

SDK

Informationen zum Lesen der Logeinträge mit der Google Cloud-Befehlszeile finden Sie unter Logeinträge lesen.

Audit-Logs exportieren

Sie können Audit-Logs genau so wie andere Arten von Logs exportieren. Einzelheiten zum Exportieren Ihrer Logs finden Sie unter Logs exportieren. Im Folgenden erfahren Sie mehr über Möglichkeiten zum Exportieren von Audit-Logs:

Sie können Kopien von Audit-Logs in Cloud Storage, BigQuery oder Cloud Pub/Sub exportieren, um Audit-Logs über einen längeren Zeitraum hinweg zu behalten oder leistungsfähigere Suchfunktionen zu verwenden. Mit Pub/Sub haben Sie die Möglichkeit, die Logs in andere Anwendungen, andere Repositories und Systeme von Drittanbietern zu exportieren.
Zum organisationsübergreifenden Verwalten Ihrer Audit-Logs erstellen Sie aggregierte Senken, mit denen sich Logs aus beliebigen oder allen Projekten in der Organisation exportieren lassen.
Wenn die aktivierten Datenzugriffslogs dazu führen, dass Ihre Projekte ihr Logkontingent überschreiten, können Sie die Datenzugriffslogs aus Logging exportieren und ausschließen. Weitere Informationen finden Sie unter Logs ausschließen.

Preise

Audit-Logs, die standardmäßig aktiviert sind, einschließlich aller Logs zur Administratoraktivität, werden in Cloud Logging nicht berechnet. Diese Logs werden Ihrem Logaufnahmekontingent nicht angerechnet.

Logs zu Datenzugriffen, die Sie explizit anfordern, werden Ihnen jedoch von Cloud Logging in Rechnung gestellt.

Weitere Informationen zur Preisgestaltung für Logs, einschließlich der Preisgestaltung für Audit-Logs, finden Sie unter Preisgestaltung für die Operations-Suite von Google Cloud.

Ausgenommene Methoden

Die folgenden Cloud IoT Core API-Methoden werden in Audit-Logs nicht protokolliert:

registries.testIamPermissions
registries.devices.configVersions.list
registries.devices.states.list