Panoramica di Cloud Audit Logs

Questo documento fornisce una panoramica concettuale di Cloud Audit Logs.

I servizi Google Cloud scrivono audit log che registrano le attività amministrative e gli accessi all'interno delle tue risorse Google Cloud. Gli audit log consentono di rispondere a "chi ha fatto cosa, dove e quando?" all'interno delle tue risorse Google Cloud con lo stesso livello di trasparenza degli ambienti on-premise. L'abilitazione degli audit log consente alle entità di sicurezza, controllo e conformità di monitorare i dati e i sistemi di Google Cloud per rilevare possibili vulnerabilità o uso esterno dei dati.

Servizi Google che producono audit log

Per un elenco dei servizi Google Cloud che forniscono audit log, consulta Servizi Google con audit log. Tutti i servizi di Google Cloud forniranno gli audit log.

Per una panoramica degli audit log di Google Workspace, consulta Log di controllo per Google Workspace.

Tipi di audit log

Cloud Audit Logs fornisce i seguenti audit log per ogni progetto, cartella e organizzazione Google Cloud:

Audit log delle attività di amministrazione

Gli audit log per le attività di amministrazione contengono voci di log per le chiamate API o altre azioni che modificano la configurazione o i metadati delle risorse. Ad esempio, questi log vengono registrati quando gli utenti creano istanze VM o modificano le autorizzazioni di Identity and Access Management.

Gli audit log per le attività di amministrazione vengono sempre scritti; non puoi configurarli, escluderli o disabilitarli. Anche se disabiliti l'API Cloud Logging, gli audit log dell'attività di amministrazione vengono comunque generati.

Per un elenco dei servizi che scrivono gli audit log dell'attività di amministrazione e le informazioni dettagliate sulle attività che generano tali log, consulta Servizi Google Cloud con audit log.

Audit log degli accessi ai dati

Gli audit log di accesso ai dati contengono chiamate API che leggono la configurazione o i metadati delle risorse, nonché chiamate API basate sugli utenti che creano, modificano o leggono i dati delle risorse forniti dall'utente.

Le risorse disponibili pubblicamente con i criteri di Identity and Access Management allAuthenticatedUsers o allUsers non generano audit log. Le risorse a cui è possibile accedere senza accedere a un account Google Cloud, Google Workspace, Cloud Identity o Drive Enterprise non generano log di controllo. Questo consente di proteggere le informazioni e le identità degli utenti finali.

Gli audit log di accesso ai dati, ad eccezione di quelli di BigQuery, sono disabilitati per impostazione predefinita, perché gli audit log possono essere molto grandi. Se vuoi che gli audit log di accesso ai dati siano scritti per servizi Google Cloud diversi da BigQuery, devi abilitarli esplicitamente. L'abilitazione dei log potrebbe comportare l'addebito per il progetto Google Cloud dell'utilizzo aggiuntivo dei log. Per istruzioni su come abilitare e configurare gli audit log di accesso ai dati, consulta Abilitare gli audit log di accesso ai dati.

Per un elenco di servizi che scrivono audit log di accesso ai dati e informazioni dettagliate sulle attività che generano tali log, consulta Servizi Google Cloud con audit log.

Audit log degli eventi di sistema

Gli audit log degli eventi di sistema contengono voci di log per azioni Google Cloud che modificano la configurazione delle risorse. Gli audit log degli eventi di sistema vengono generati dai sistemi di Google; non sono basati sull'azione diretta dell'utente.

Gli audit log degli eventi di sistema sono sempre scritti; non puoi configurarli, escluderli o disabilitarli.

Per un elenco di servizi che scrivono gli audit log degli eventi di sistema e informazioni dettagliate sulle attività che generano tali log, consulta Servizi Google Cloud con audit log.

Audit log dei criteri negati

Gli audit log negati dei criteri vengono registrati quando un servizio Google Cloud nega l'accesso a un utente o a un account di servizio a causa di una violazione dei criteri di sicurezza.

Gli audit log negati dei criteri vengono generati per impostazione predefinita e al progetto Google Cloud viene addebitato lo spazio di archiviazione dei log. Non puoi disabilitare gli audit log negati dei criteri, ma puoi utilizzare i filtri di esclusione per impedire che gli audit log negati vengano importati e archiviati in Cloud Logging.

Per un elenco di servizi che scrivono audit log con criteri rifiutati e informazioni dettagliate sulle attività che generano tali log, consulta Servizi Google Cloud con audit log.

Struttura delle voce di log controllo

Ogni voce dell'audit log in Cloud Logging è un oggetto di tipo LogEntry. Ciò che distingue una voce di log di controllo da altre voci di log è il campo protoPayload; questo campo contiene un oggetto AuditLog in cui sono archiviati i dati di audit logging.

Per comprendere come leggere e interpretare le voci di audit log e per un esempio di una voce di audit log, consulta Informazioni sugli audit log.

Nome log

I nomi degli audit log di Cloud Audit Logs includono identificatori di risorse che indicano il progetto Google Cloud o un'altra entità Google Cloud proprietaria degli audit log e se il log contiene dati di audit logging dell'attività di amministrazione, dell'accesso ai dati, dei criteri rifiutati o dell'evento di sistema.

Di seguito sono riportati i nomi degli audit log, incluse le variabili per gli identificatori di risorsa:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Factivity
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Identità chiamante negli audit log

Gli audit log registrano l'identità che ha eseguito le operazioni registrate sulla risorsa Google Cloud. L'identità del chiamante è archiviata nel campo AuthenticationInfo degli oggetti AuditLog.

L'audit logging non oscura l'indirizzo email principale del chiamante per gli accessi riusciti o per le operazioni di scrittura.

Per le operazioni di sola lettura non riuscite con un errore di "autorizzazione negata", l'audit logging potrebbe oscurare l'indirizzo email principale del chiamante, a meno che il chiamante non sia un account di servizio.

Oltre alle condizioni elencate sopra, quanto segue si applica a determinati servizi Google Cloud:

  • API legacy di App Engine: le identità non vengono raccolte.

  • BigQuery: le identità dei chiamanti e gli indirizzi IP, nonché alcuni nomi delle risorse, vengono oscurati dagli audit log, a meno che non vengano soddisfatte determinate condizioni.

  • Cloud Storage: quando sono abilitati gli audit log di Cloud Storage, Cloud Storage scrive i dati sull'utilizzo nel bucket Cloud Storage, che genera gli audit log dell'accesso ai dati per il bucket. Nel log di controllo di accesso ai dati generato l'identità del chiamante è oscurata.

  • Firestore: se è stato utilizzato un token web JSON (JWT) per l'autenticazione di terze parti, il campo thirdPartyPrincipal include l'intestazione e il payload del token. Ad esempio, gli audit log per le richieste autenticate con Firebase Authentication includono il token di autenticazione della richiesta.

  • Controlli di servizio VPC: per gli audit log rifiutati dai criteri, si verifica l'oscuramento seguente:

    • Alcune parti degli indirizzi email dei chiamanti potrebbero essere oscurate e sostituite da tre caratteri ....

    • Alcuni indirizzi email dei chiamanti appartenenti al dominio google.com vengono oscurati e sostituiti da google-internal.

  • Criterio organizzazione: parti degli indirizzi email dei chiamanti potrebbero essere oscurate e sostituite da tre caratteri del periodo ....

Se visualizzi gli audit log utilizzando la pagina Attività della console Google Cloud, viene visualizzato User (anonymized) per tutte le voci di log in cui l'identità è oscurata o vuota.

Indirizzo IP del chiamante nei log di controllo

L'indirizzo IP del chiamante è mantenuto nel campo RequestMetadata.caller_ip dell'oggetto AuditLog:

  • L'indirizzo del chiamante per Internet è un indirizzo IPv4 o IPv6 pubblico.
  • Per le chiamate effettuate dalla rete di produzione interna di Google da un servizio Google Cloud a un altro, chiamante_ip viene oscurato e impostato su "privato".
  • Per un chiamante da una VM di Compute Engine con un indirizzo IP esterno, il caller_ip è l'indirizzo esterno della VM.
  • Per un chiamante da una VM di Compute Engine senza un indirizzo IP esterno, se la VM si trova nella stessa organizzazione o nello stesso progetto della risorsa a cui si è eseguito l'accesso, caller_ip è l'indirizzo IPv4 interno della VM. Altrimenti, il chiamante_ip è oscurato in "gce-internal-ip". Per ulteriori informazioni, consulta la panoramica della rete VPC.

Visualizzazione degli audit log

Per eseguire una query sugli audit log, devi conoscere il nome dell'audit log, che include l'identificatore di risorsa del progetto, della cartella, dell'account di fatturazione o dell'organizzazione di Google Cloud di cui vuoi visualizzare le informazioni di audit logging. Nella query, puoi specificare ulteriormente altri campi LogEntry indicizzati, come resource.type. Per ulteriori informazioni sull'esecuzione di query, consulta Creazione di query in Esplora log.

Puoi visualizzare gli audit log in Cloud Logging utilizzando la console Google Cloud, Google Cloud CLI o l'API Logging.

Console

Nella console Google Cloud, puoi utilizzare Esplora log per recuperare le voci degli audit log per il progetto, la cartella o l'organizzazione Google Cloud:

  1. Nella console Google Cloud, vai alla pagina Logging> Esplora log.

    Vai a Esplora log

  2. Seleziona un progetto, una cartella o un'organizzazione Google Cloud esistente.

  3. Nel riquadro Query Builder, procedi nel seguente modo:

    • In Tipo di risorsa, seleziona la risorsa Google Cloud di cui vuoi visualizzare gli audit log.

    • In Nome log, seleziona il tipo di audit log che vuoi visualizzare:

      • Per i log di controllo dell'attività di amministrazione, seleziona attività.
      • Per gli audit log di accesso ai dati, seleziona data_access (dati).
      • Per gli audit log degli eventi di sistema, seleziona system_event.
      • Per gli audit log rifiutati nelle norme, seleziona criterio.

    Se non vedi queste opzioni, non sono disponibili audit log di quel tipo nel progetto, nella cartella o nell'organizzazione di Google Cloud.

    Se riscontri problemi durante il tentativo di visualizzare i log in Esplora log, consulta le informazioni sulla risoluzione dei problemi.

    Per ulteriori informazioni sull'esecuzione di query utilizzando Esplora log, consulta Creazione di query in Esplora log.

gcloud

Google Cloud CLI fornisce un'interfaccia a riga di comando per l'API Logging. Fornisci un identificatore di risorsa valido in ciascuno dei nomi di log. Ad esempio, se la query include un PROJECT_ID, l'identificatore del progetto fornito deve fare riferimento al progetto Google Cloud attualmente selezionato.

Per leggere le voci degli audit log a livello di progetto Google Cloud, esegui il comando seguente:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

Per leggere le voci del log di controllo a livello di cartella, esegui il comando seguente:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

Per leggere le voci del log di controllo a livello di organizzazione, esegui questo comando:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

Per leggere le voci del log di controllo a livello di account di fatturazione Cloud, esegui il comando seguente:

gcloud logging read "logName : billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com" \
    --billing-account=BILLING_ACCOUNT_ID

Aggiungi il flag --freshness al comando per leggere i log che risalgono a più di un giorno prima.

Per ulteriori informazioni sull'utilizzo dell'interfaccia a riga di comando gcloud, vedi gcloud logging read.

API

Quando crei le query, fornisci un identificatore della risorsa valido in ciascuno dei nomi di log. Ad esempio, se la query include un PROJECT_ID, l'identificatore del progetto fornito deve fare riferimento al progetto Google Cloud attualmente selezionato.

Ad esempio, per utilizzare l'API Logging per visualizzare le voci del log di controllo a livello di progetto, procedi come segue:

  1. Vai alla sezione Prova questa API nella documentazione per il metodo entries.list.

  2. Inserisci quanto segue nella parte Request body del modulo Prova questa API. Se fai clic su questo modulo precompilato, viene compilato automaticamente il corpo della richiesta, ma devi fornire un valore PROJECT_ID valido in ciascuno dei nomi di log.

    {
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}

  3. Fai clic su Execute (Esegui).

Utilizzare la pagina Attività

Puoi visualizzare le voci del log di controllo abbreviate nella pagina Attività del progetto, della cartella o dell'organizzazione Google Cloud nella console Google Cloud. Le voci del log di controllo effettive potrebbero contenere più informazioni di quelle visualizzate nella pagina Attività.

Per visualizzare le voci del log di controllo abbreviate nella console Google Cloud:

  1. Vai alla pagina Attività:

    Vai alla pagina Attività

  2. Nel selettore dei progetti, seleziona il progetto, la cartella o l'organizzazione Google Cloud per cui vuoi visualizzare le voci degli audit log.

  3. Nel riquadro Filtro, seleziona le voci che vuoi visualizzare.

Nella pagina Attività, in cui viene visualizzata l'identità che esegue le azioni registrate, viene visualizzata la voce di log di controllo User (anonymized). Per maggiori dettagli, vedi Identità del chiamante nei log di controllo in questa pagina.

Archiviazione e routing degli audit log

Cloud Logging utilizza i bucket di log come container che archiviano e organizzano i dati di log. Per ciascun progetto, cartella e organizzazione Google Cloud, Logging crea automaticamente due bucket di log, _Required e _Default, e chiamati corrispondenti sink.

Gli bucket _Required di Cloud Logging importano e archiviano gli audit log delle attività di amministrazione e gli audit log degli eventi di sistema. Non puoi configurare _Required bucket o qualsiasi dato di log al suo interno.

Per impostazione predefinita, i bucket _Default importano e archiviano gli audit log dell'accesso ai dati abilitati e gli audit log rifiutati dai criteri. Per impedire l'archiviazione degli audit log di accesso ai dati nei bucket _Default, puoi disabilitarli. Per impedire che gli audit log negati dei criteri vengano archiviati nei bucket _Default, puoi escluderli modificando i filtri dei rispettivi sink.

Puoi anche eseguire il routing delle voci di audit log nei bucket Cloud Logging definiti dall'utente a livello di progetto Google Cloud o verso destinazioni supportate esterne a Logging utilizzando i sink. Per istruzioni sul routing dei log, consulta Routing dei log alle destinazioni supportate.

Quando configuri i filtri dei sink di log, devi specificare i tipi di log di controllo che vuoi instradare; per esempi di filtro, consulta Query di logging della sicurezza.

Se vuoi eseguire il routing delle voci di audit log per un'organizzazione, una cartella o un account di fatturazione Google Cloud, consulta Collare e indirizzare i log a livello di organizzazione alle destinazioni supportate.

Conservazione dei log di controllo

Per i dettagli sul tempo per cui le voci di log vengono conservate da Logging, consulta le informazioni sulla conservazione in Quote e limiti: periodi di conservazione dei log.

Controllo dell'accesso

Le autorizzazioni e i ruoli IAM determinano la tua capacità di accedere ai dati degli audit log nell'API Logging, in Esplora log e in Google Cloud CLI.

Per informazioni dettagliate sulle autorizzazioni e sui ruoli IAM necessari, consulta Controllo dell'accesso con IAM .

Quote e limiti

Per informazioni dettagliate sui limiti di utilizzo dei log, incluse le dimensioni massime degli audit log, consulta Quote e limiti.

Prezzi

Per informazioni sui prezzi di Cloud Logging, consulta Prezzi della suite operativa di Google Cloud: Cloud Logging.

Passaggi successivi