Connect 監査ロギング

このドキュメントでは、Connect の監査ロギングについて説明します。 Google Cloud サービスは、 Google Cloud リソース内の管理アクティビティとアクセス アクティビティを記録する監査ログを生成します。Cloud Audit Logs の詳細については、以下をご覧ください。

• 監査ログの種類
• 監査ログエントリの構造
• 監査ログの保存とルーティング
• Cloud Logging の料金概要
• データアクセス監査ログを有効にする

サービス名

Connect 監査ログでは、サービス名 gkeconnect.googleapis.com が使用されます。このサービスでフィルタ:

    protoPayload.serviceName="gkeconnect.googleapis.com"
  

メソッド（権限タイプ別）

各 IAM 権限には type プロパティがあります。このプロパティの値は列挙型で、ADMIN_READ、ADMIN_WRITE、DATA_READ、DATA_WRITE のいずれかになります。メソッドを呼び出すと、Connect は監査ログを生成します。このログのカテゴリは、メソッドの実行に必要な権限の type プロパティによって異なります。type プロパティ値が DATA_READ、DATA_WRITE、または ADMIN_READ の IAM 権限を必要とするメソッドは、データアクセス監査ログを生成します。type プロパティ値が ADMIN_WRITE の IAM 権限を必要とするメソッドは、管理アクティビティ監査ログを生成します。

API インターフェースの監査ログ

各メソッドで評価される権限と評価方法については、Identity and Access Management のドキュメントで Connect の情報をご覧ください。

google.cloud.gkeconnect.v1.EgressService

次の監査ログは、google.cloud.gkeconnect.v1.EgressService に属するメソッドに関連付けられています。

Egress

• メソッド: google.cloud.gkeconnect.v1.EgressService.Egress
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • gkehub.endpoints.connect - DATA_READ
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.gkeconnect.v1.EgressService.Egress"
  

google.cloud.gkeconnect.v1beta1.EgressService

次の監査ログは、google.cloud.gkeconnect.v1beta1.EgressService に属するメソッドに関連付けられています。

Egress

• メソッド: google.cloud.gkeconnect.v1beta1.EgressService.Egress
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • gkehub.endpoints.connect - DATA_READ
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.gkeconnect.v1beta1.EgressService.Egress"
  

Kubernetes 監査ロギング

Cloud Audit Logs に加えて、Kubernetes Audit logging には、管理者が登録済みのクラスタで発生したイベントの保持、クエリ、処理、アラート生成を行うための方法が用意されています。管理者はログに記録された情報を使用して、フォレンジック分析とリアルタイム アラートの生成、またはクラスタ群の使用状況と使用しているユーザーに関するカタログの作成ができます。

Connect Agent は、登録済みのクラスタで実行されるローカル API サーバーと通信し、各クラスタには一連の Kubernetes 監査ログが独自に記録されます。ユーザーが Connect を介して UI から実行するすべてのアクションは、そのクラスタによってログに記録されます。