Questo documento fornisce una panoramica concettuale di Cloud Audit Logs.
I servizi Google Cloud scrivono audit log che registrano le attività amministrative e gli accessi all'interno delle tue risorse Google Cloud. I log di controllo ti aiutano e chiediti "chi ha fatto cosa, dove e quando?". all'interno delle risorse Google Cloud con lo stesso livello di trasparenza degli ambienti on-premise. Abilitazione in corso... aiutano le entità di sicurezza, controllo e conformità a monitorare i dati e i sistemi di Google Cloud per individuare possibili vulnerabilità o l'uso improprio dei dati.
Servizi Google che producono audit log
Per un elenco dei servizi Google Cloud che forniscono audit log, consulta Servizi Google con log di controllo. Tutti I servizi Google Cloud alla fine forniranno audit log.
Per una panoramica dei log di controllo di Google Workspace, consulta Log di controllo per Google Workspace.
Ruoli obbligatori
Per visualizzare gli audit log, devi disporre dei token appropriati Autorizzazioni e ruoli di Identity and Access Management (IAM):
-
Per ottenere le autorizzazioni necessarie per ottenere l'accesso di sola lettura all'attività di amministrazione, al criterio negato e gli audit log degli eventi di sistema, chiedi all'amministratore di concederti Ruolo IAM Visualizzatore log (
roles/logging.viewer
) nel progetto.Se hai solo il ruolo Visualizzatore log
(roles/logging.viewer)
, non può visualizzare gli audit log di accesso ai dati che si trovano nel bucket_Default
.
-
Per ottenere le autorizzazioni necessarie per accedere a tutti i log in
_Required
e_Default
bucket, inclusi i log di accesso ai dati, chiedi all'amministratore di concederti Ruolo IAM Visualizzatore log privati (roles/logging.privateLogViewer
) per il tuo progetto.Il ruolo Visualizzatore log privati
(roles/logging.privateLogViewer)
include le autorizzazioni contenute nel ruolo Visualizzatore log (roles/logging.viewer
), e quelli necessari per leggere gli audit log di accesso ai dati nel bucket_Default
.
Per saperne di più sulle autorizzazioni e i ruoli IAM che si applicano ai dati degli audit log, Controllo dell'accesso con IAM.
Tipi di audit log
Cloud Audit Logs fornisce i seguenti audit log per ogni Progetto, cartella e organizzazione Google Cloud:
- Audit log delle attività di amministrazione
- Audit log degli accessi ai dati
- Audit log degli eventi di sistema
- Audit log negati da criteri
Audit log delle attività di amministrazione
Gli audit log per le attività di amministrazione contengono voci di log per le chiamate API o altre azioni che modificano la configurazione o i metadati delle risorse. Ad esempio, questi log registrare quando gli utenti creano istanze VM o modificano le autorizzazioni Identity and Access Management.
Gli audit log per le attività di amministrazione vengono sempre scritti; che non puoi configurare, escludere o disattivarli. Anche se disabiliti l'API Cloud Logging, il controllo dell'attività di amministrazione vengono comunque generati.
Per un elenco dei servizi che scrivono gli audit log dell'attività di amministrazione e sulle attività che generano i log, consulta Servizi Google Cloud con audit log.
Audit log degli accessi ai dati
Gli audit log di accesso ai dati contengono chiamate API che leggono la configurazione o i metadati di risorse, nonché chiamate API basate sull'utente che creano, modificano o leggono forniti dall'utente.
Risorse disponibili pubblicamente che dispongono dei criteri Identity and Access Management
allAuthenticatedUsers
oppure
allUsers
non genera audit log. Risorse
a cui è possibile accedere senza
effettuare l'accesso a Google Cloud,
Gli account Google Workspace, Cloud Identity o Drive Enterprise non
generare audit log. Ciò contribuisce a proteggere le identità e le informazioni degli utenti finali.
Audit log degli accessi ai dati, ad eccezione di Audit log di accesso ai dati di BigQuery: sono disabilitati per impostazione predefinita possono essere molto grandi. Se vuoi che i dati Accedi agli audit log da scrivere per servizi Google Cloud diversi da BigQuery, devi abilitarli esplicitamente. L'abilitazione dei log potrebbe far sì che al tuo progetto Google Cloud vengano addebitati i log aggiuntivi all'utilizzo delle risorse. Per istruzioni sull'abilitazione e la configurazione degli audit log di accesso ai dati, consulta Abilitare gli audit log di accesso ai dati.
Per un elenco dei servizi che scrivono gli audit log di accesso ai dati e sulle attività che generano i log, consulta Servizi Google Cloud con audit log.
Gli audit log di accesso ai dati sono archiviati
_Default
bucket di log a meno che
li hai indirizzati altrove. Per ulteriori informazioni, consulta
Archiviazione e routing degli audit log
di questa pagina.
Audit log degli eventi di sistema
Gli audit log degli eventi di sistema contengono voci di log per le azioni Google Cloud che o modificare la configurazione delle risorse. Gli audit log degli eventi di sistema sono generati sistemi Google; non sono generate da un'azione diretta dell'utente.
Gli audit log degli eventi di sistema vengono sempre scritti; che non puoi configurare, escludere o disattivarli.
Per un elenco dei servizi che scrivono gli audit log degli eventi di sistema e sulle attività che generano i log, consulta Servizi Google Cloud con audit log.
Audit log dei criteri negati
Gli audit log relativi ai criteri negati vengono registrati quando un servizio Google Cloud nega l'accesso a un utente o a un account di servizio per motivi di sicurezza. violazione delle norme.
Gli audit log per i criteri negati vengono generati per impostazione predefinita e L'archiviazione dei log viene addebitata al progetto Google Cloud. Non puoi disattivare il criterio Audit log negati, ma puoi utilizzare filtri di esclusione per impedire il criterio È stata negata l'archiviazione degli audit log in Cloud Logging.
Per un elenco dei servizi che scrivono gli audit log dei criteri negati e sulle attività che generano i log, consulta Servizi Google Cloud con audit log.
Struttura delle voci degli audit log
Ogni voce di audit log in Cloud Logging è un oggetto di tipo
LogEntry
. Cosa distingue una voce di audit log da un altro log
è il campo protoPayload
; questo campo contiene
AuditLog
in cui sono archiviati i dati dell'audit logging.
Per capire come leggere e interpretare le voci di audit log e per un esempio di voce di audit log, consulta Informazioni sugli audit log.
Nome log
I nomi dei log di Cloud Audit Logs includono quanto segue:
gli identificatori di risorse che indicano il progetto Google Cloud un'altra entità Google Cloud proprietaria degli audit log.
La stringa
cloudaudit.googleapis.com
.Una stringa che indica se il log contiene attività di amministrazione, accesso ai dati, Criterio negato o dati del logging di controllo degli eventi di sistema.
Di seguito sono riportati i nomi degli audit log, incluse le variabili per la risorsa identificatori:
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Factivity billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fdata_access billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fpolicy organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy
Identità dei chiamanti negli audit log
Gli audit log registrano l'identità che ha eseguito le operazioni registrate sull'account
risorsa Google Cloud. L'identità del chiamante si trova nella
Campo AuthenticationInfo
degli oggetti AuditLog.
L'audit logging non oscura l'indirizzo email principale del chiamante per nessun riuscito o per qualsiasi operazione di scrittura.
Per le operazioni di sola lettura che non hanno esito positivo con un'autorizzazione negata errore, L'audit logging potrebbe oscurare l'indirizzo email principale del chiamante, a meno che il chiamante è un account di servizio.
Oltre alle condizioni sopra elencate, si applica quanto segue ad alcuni Servizi Google Cloud:
API App Engine legacy: le identità non sono raccolte.
BigQuery: chiamante le identità e gli indirizzi IP, nonché alcuni nomi delle risorse, dagli audit log, a meno che non vengano soddisfatte determinate condizioni.
Cloud Storage: quando Cloud Storage log di utilizzo sono abilitati, Cloud Storage scrive i dati sull'utilizzo nel bucket Cloud Storage, che genera gli audit log di accesso ai dati di sincronizzare la directory di una VM con un bucket. L'audit log di accesso ai dati generato include l'identità del chiamante oscurati.
Firestore: se un token web JSON (JWT) è stato utilizzato per l'autenticazione di terze parti, il
thirdPartyPrincipal
include l'intestazione e il payload del token. Ad esempio, gli audit log Le richieste autenticate con Firebase Authentication includono che il token di autenticazione della richiesta.Controlli di servizio VPC: per Audit log dei criteri negati, si verifica il seguente oscuramento:
Parti degli indirizzi email del chiamante potrebbero essere oscurate e sostituite con tre caratteri punti
...
.Alcuni indirizzi email di chiamanti appartenenti al dominio
google.com
sono oscurato e sostituito dagoogle-internal
.
Criterio dell'organizzazione: Parti degli indirizzi email del chiamante potrebbero essere oscurate e sostituite con tre caratteri punti
...
.
Indirizzo IP del chiamante negli audit log
L'indirizzo IP del chiamante è mantenuto nel campo RequestMetadata.caller_ip
di
l'oggetto AuditLog
:
- Per un chiamante da internet, l'indirizzo è un IPv4 o IPv6 pubblico .
- Per le chiamate effettuate dall'interno della rete di produzione interna di Google da un dal servizio Google Cloud a un altro, il chiamante_ip è oscurato in "privato".
- Per un chiamante da una VM Compute Engine con un indirizzo IP esterno, chiamante_ip è l'indirizzo esterno della VM.
- Per un chiamante da una VM Compute Engine senza un indirizzo IP esterno, se la VM si trova nella stessa organizzazione o nello stesso progetto della risorsa a cui si accede, chiamante_ip è l'indirizzo IPv4 interno della VM. Altrimenti, call_ip è oscurato in "gce-internal-ip". Per ulteriori informazioni, vedi Panoramica della rete VPC.
Visualizzazione degli audit log
Puoi eseguire query per tutti gli audit log oppure per i log in base
nome del log di controllo. Il nome dell'audit log include
identificatore di risorsa
del progetto, della cartella, dell'account di fatturazione o
organizzazione per la quale vuoi visualizzare le informazioni di audit logging.
Le tue query possono specificare campi LogEntry
indicizzati e, se utilizzi
alla pagina Analisi dei log, che supporta le query SQL, puoi
visualizzare i risultati della query sotto forma di grafico.
Per ulteriori informazioni sull'esecuzione di query sui log, consulta le pagine seguenti:
- Crea query in Esplora log.
- Query e visualizza i log in Analisi dei log.
- Query di esempio per approfondimenti sulla sicurezza.
Console
Nella console Google Cloud, puoi utilizzare Esplora log per recuperare le voci di audit log per il progetto, la cartella o organizzazione:
-
Nella console Google Cloud, vai alla pagina Esplora log:
Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.
Seleziona un progetto, una cartella o un'organizzazione Google Cloud esistente.
Per visualizzare tutti gli audit log, inserisci una delle seguenti query nel campo dell'editor query e quindi fai clic su Esegui query:
logName:"cloudaudit.googleapis.com"
protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog"
Per visualizzare gli audit log per una risorsa e un tipo di audit log specifici, Nel riquadro Query Builder, procedi nel seguente modo:
In Tipo di risorsa, seleziona la risorsa Google Cloud la cui di controllo degli audit log che vuoi visualizzare.
In Nome log, seleziona il tipo di audit log che vuoi visualizzare:
- Per gli audit log per le attività di amministrazione, seleziona attività.
- Per gli audit log di accesso ai dati, seleziona data_access.
- Per gli audit log degli eventi di sistema, seleziona system_event.
- Per gli audit log relativi ai criteri negati, seleziona policy.
Fai clic su Esegui query.
Se non vedi queste opzioni, significa che non sono presenti audit log di del tipo disponibile nel progetto, nella cartella o dell'organizzazione.
Se riscontri problemi quando cerchi di visualizzare i log nel Esplora log, controlla risoluzione dei problemi informazioni.
Per ulteriori informazioni sull'esecuzione di query utilizzando Esplora log, consulta Crea query in Esplora log. Per informazioni sul riepilogo delle voci di log in Esplora log con Gemini, vedi Riepilogare le voci di log con l'assistenza di Gemini.
gcloud
Google Cloud CLI fornisce un'interfaccia a riga di comando l'API Logging. Fornisci un identificatore di risorsa valido in ciascun log names. Ad esempio, se la query include un valore PROJECT_ID, allora il valore l'identificatore del progetto che fornisci deve fare riferimento all'elemento attualmente selezionato progetto Google Cloud.
Per leggere le voci di audit log a livello di progetto Google Cloud, esegui il seguente comando:
gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \ --project=PROJECT_ID
Per leggere le voci di audit log a livello di cartella, esegui questo comando:
gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \ --folder=FOLDER_ID
Per leggere le voci di audit log a livello di organizzazione, esegui questo comando :
gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \ --organization=ORGANIZATION_ID
Per leggere le voci di audit log a livello di account di fatturazione Cloud, esegui questo comando:
gcloud logging read "logName : billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com" \ --billing-account=BILLING_ACCOUNT_ID
Aggiungi il flag --freshness
al tuo comando per leggere i log risalenti a più di un giorno fa.
Per ulteriori informazioni sull'utilizzo di gcloud CLI, consulta
gcloud logging read
.
API
Quando crei le query, fornisci un identificatore di risorsa valido in ogni i nomi dei log. Ad esempio, se la query include un valore PROJECT_ID, l'identificatore del progetto che fornisci deve fare riferimento progetto Google Cloud.
Ad esempio, per utilizzare l'API Logging per visualizzare a livello di progetto di audit log, segui questi passaggi:
Vai alla sezione Prova questa API della documentazione per
entries.list
.Inserisci quanto segue nella parte del corpo della richiesta della sezione Prova questa API. Fai clic su questo modulo precompilato. compila automaticamente il corpo della richiesta, ma devi fornire un indirizzo PROJECT_ID in ciascuno dei nomi dei log.
{ "resourceNames": [ "projects/PROJECT_ID" ], "pageSize": 5, "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" }
Fai clic su Execute (Esegui).
Archiviazione e routing degli audit log
Cloud Logging usa i bucket di log come
container in cui vengono archiviati e organizzati i dati dei log. Per ogni
Progetto, cartella e organizzazione Google Cloud, Logging
crea automaticamente due bucket di log, _Required
e _Default
, e
denominati sink corrispondenti.
I bucket _Required
di Cloud Logging archiviano gli audit log delle attività di amministrazione
e gli audit log degli eventi di sistema. Non puoi configurare _Required
bucket o altro
i dati al suo interno.
Gli audit log per le attività di amministrazione e gli audit log degli eventi di sistema vengono sempre archiviati
_Required
bucket nel progetto in cui sono stati generati i log.
Se esegui il routing degli audit log delle attività di amministrazione e degli eventi di sistema a un
un progetto diverso, questi log non passano attraverso _Default
o
Sink _Required
del progetto di destinazione. Pertanto, questi log non vengono archiviati
nel bucket di log _Default
o _Required
della destinazione
progetto. Per archiviare questi log, crea un sink di log nel progetto di destinazione.
Per ulteriori informazioni, consulta Routing dei log alle destinazioni supportate.
I bucket _Default
, per impostazione predefinita, archiviano qualsiasi accesso ai dati abilitato
e gli audit log dei criteri negati. Per impedire il controllo dell'accesso ai dati
l'archiviazione dei log nei bucket _Default
, puoi disabilitarli. A
impedisce l'archiviazione degli audit log dei criteri negati in _Default
puoi escluderli modificando il nome dei sink filtri corretti.
Puoi anche eseguire il routing delle voci del log di controllo a Bucket Cloud Logging a livello di progetto Google Cloud o supportati esterne a Logging usando i sink. Per istruzioni sui log di routing, consulta Esegui il routing dei log alle destinazioni supportate.
Quando configuri i sink di log, devi specificare il log di controllo tipi che vuoi indirizzare; per esempi di filtri, consulta Query sul logging di sicurezza.
Se vuoi eseguire il routing delle voci di audit log per un'organizzazione Google Cloud, cartella o account di fatturazione, consulta Facolta e instrada i log a livello di organizzazione verso le destinazioni supportate.
Conservazione degli audit log
Per maggiori dettagli su per quanto tempo le voci di log vengono conservate da Logging: vedere le informazioni sulla conservazione Quote e limiti: periodi di conservazione dei log.
Controllo degli accessi
Le autorizzazioni e i ruoli IAM determinano la tua capacità di accedere all'audit registra i dati nell'API Logging, Esplora log e Google Cloud CLI.
Per informazioni dettagliate sulle autorizzazioni e i ruoli IAM che vedi Controllo dell'accesso con IAM .
Quote e limiti
Per maggiori dettagli sui limiti di utilizzo del logging, incluse le dimensioni massime degli audit log, consulta Quote e limiti.
Prezzi
Cloud Logging non addebita alcun costo per il routing dei log a un
destinazione supportata; ma la destinazione potrebbe applicare dei costi.
Ad eccezione del bucket di log _Required
,
Cloud Logging addebita un costo per trasferire i log nei bucket di log.
per un'archiviazione più lunga del periodo di conservazione predefinito del bucket di log.
Cloud Logging non addebita alcun costo per la copia dei log o per le query eseguite tramite Esplora log o tramite la pagina Analisi dei log.
Per ulteriori informazioni, consulta i seguenti documenti:
- Riepilogo dei prezzi di Cloud Logging
Costi di destinazione:
- Costi per la generazione di log di flusso VPC si applicano quando invii e poi escludi i log di flusso Virtual Private Cloud da Cloud Logging.
Passaggi successivi
- Scopri come leggere e comprendere gli audit log.
- Scopri come abilitare gli audit log di accesso ai dati.
- Consulta le best practice per Cloud Audit Logs.