Cloud-Audit-Logs

Cloud-Audit-Logging umfasst drei Typen von Audit-Logs für jedes Google Cloud-Projekt, jeden Ordner und jede Organisation: Audit-Logs zur Administratoraktivität, zum Datenzugriff und zu Systemereignissen. Google Cloud-Dienste schreiben Audit-Logeinträge, damit Sie für Ihre Google Cloud-Ressourcen herausfinden können, wer was wo und wann getan hat.

Eine Liste der Google Cloud-Dienste, die Audit-Logs bereitstellen, finden Sie unter Google-Dienste mit Audit-Logs. Es ist davon auszugehen, dass letztendlich alle Google Cloud-Dienste Audit-Logs bereitstellen werden.

Audit-Logs zur Administratoraktivität

Audit-Logs zur Administratoraktivität enthalten Logeinträge für API-Aufrufe oder andere Verwaltungsaktionen, die die Konfiguration oder Metadaten von Ressourcen ändern. In diesen Logs wird beispielsweise aufgezeichnet, wann Nutzer VM-Instanzen erstellen oder IAM-Berechtigungen (Identity and Access Management) ändern.

Damit Sie diese Logs ansehen können, benötigen Sie die IAM-Rolle Logging/Logbetrachter oder Projekt/Betrachter.

Audit-Logs für Administratoraktivitäten werden immer geschrieben. Sie können sie nicht konfigurieren oder deaktivieren. Audit-Logs für Administratoraktivitäten sind kostenlos. Einzelheiten zu Nutzungslimits für Logging finden Sie unter Kontingente und Limits.

Audit-Logs zum Datenzugriff

Audit-Logs zum Datenzugriff enthalten API-Aufrufe, die die Konfiguration oder Metadaten von Ressourcen lesen, sowie nutzergesteuerte API-Aufrufe, die von Nutzern bereitgestellte Ressourcendaten erstellen, ändern oder lesen. In Audit-Logs zum Datenzugriff werden keine Datenzugriffsvorgänge für Ressourcen aufgezeichnet, die öffentlich freigegeben (für alle Nutzer oder alle authentifizierten Nutzer verfügbar) oder ohne Anmeldung in Google Cloud zugänglich sind.

Damit Sie diese Logs ansehen können, benötigen Sie die IAM-Rolle Logging/Betrachter privater Logs oder Projekt/Inhaber.

Da Audit-Logs zum Datenzugriff relativ groß sein können, sind sie standardmäßig deaktiviert. Damit sie geschrieben werden, müssen Sie sie explizit aktivieren. Durch das Aktivieren der Logs können Gebühren für die zusätzliche Lognutzung im Projekt anfallen. Anleitungen zum Aktivieren und Konfigurieren von Audit-Logs zum Datenzugriff finden Sie unter Datenzugriffslogs konfigurieren.

Einzelheiten zu Nutzungslimits für das Logging finden Sie unter Kontingente und Limits. Einzelheiten zu den möglicherweise anfallenden Kosten finden Sie unter Preise.

Audit-Logs zu Systemereignissen

Audit-Logs zu Systemereignissen enthalten Logeinträge für Google Cloud-Verwaltungsmaßnahmen, die die Konfiguration von Ressourcen ändern. Diese Logs werden von Google-Systemen generiert und nicht von direkten Nutzeraktionen gesteuert.

Damit Sie diese Logs ansehen können, benötigen Sie die IAM-Rolle Logging/Logbetrachter oder Projekt/Betrachter.

Audit-Logs zu Systemereignissen werden immer geschrieben. Sie können sie nicht konfigurieren oder deaktivieren. Audit-Logs für Systemereignisse sind kostenlos. Einzelheiten zu Nutzungslimits für Logging finden Sie unter Kontingente und Limits.

Struktur von Audit-Logeinträgen

Jeder Audit-Logeintrag in Cloud Logging ist ein Objekt vom Typ LogEntry. Ein Audit-Logeintrag unterscheidet sich von anderen Logeinträgen durch das Feld protoPayload. Dieses Feld enthält ein AuditLog-Objekt, das die Audit-Logging-Daten speichert.

Informationen zum Lesen und Interpretieren von Audit-Logeinträgen finden Sie unter Audit-Logs verstehen.

Audit-Logs ansehen

Wenn Sie Audit-Logs suchen und ansehen möchten, müssen Sie die ID des Cloud-Projekts, des Ordners oder der Organisation kennen, für die Sie Audit-Logging-Informationen abrufen möchten. Sie können weitere indexierte LogEntry-Felder angeben, z. B. resource.type. Weitere Informationen erhalten Sie unter Logeinträge schnell finden.

Im Folgenden finden Sie die Namen der Audit-Logs. Sie enthalten Variablen für die IDs des Cloud-Projekts, des Ordners oder der Organisation.

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event

Sie haben mehrere Möglichkeiten, Ihre Audit-Logeinträge aufzurufen.

Console

Sie können mit der Loganzeige in der Cloud Console die Audit-Logeinträge für Ihr Cloud-Projekt abrufen:

  1. Rufen Sie in der Cloud Console die Seite Logging > Loganzeige auf.

    Loganzeige aufrufen

  2. Wählen Sie auf der Seite Vorschau der Loganzeige ein vorhandenes Cloud-Projekt aus.

  3. Führen Sie im Bereich Query Builder die folgenden Schritte aus:

    • Wählen Sie unter Ressource den Google Cloud-Ressourcentyp aus, dessen Audit-Logs angezeigt werden sollen.

    • Wählen Sie unter Logname den Audit-Logtyp aus, den Sie sehen möchten:

      • Wählen Sie für Audit-Logs zu Administratoraktivitäten die Option activity aus.
      • Wählen Sie für Audit-Logs zum Datenzugriff die Option data_access aus.
      • Wählen Sie für Audit-Logs zu Systemereignissen die Option system_event aus.

    Wenn diese Optionen nicht angezeigt werden, sind im Cloud-Projekt keine Audit-Logs dieses Typs verfügbar.

    Weitere Informationen zu Abfragen mit der neuen Loganzeige finden Sie unter Logabfragen erstellen (Vorschau).

gcloud

Das gcloud-Befehlszeilentool bietet eine Befehlszeile für die Cloud Logging API. Geben Sie dabei in jedem Lognamen eine gültige PROJECT_ID, FOLDER_ID oder ORGANIZATION_ID an.

Führen Sie den folgenden Befehl aus, um Ihre Audit-Logeinträge auf Google Cloud-Projektebene zu lesen:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" --project=PROJECT_ID

Führen Sie den folgenden Befehl aus, um Ihre Audit-Logeinträge auf Ordnerebene zu lesen:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" --folder=FOLDER_ID

Führen Sie den folgenden Befehl aus, um Ihre Audit-Logeinträge auf Organisationsebene zu lesen:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" --organization=ORGANIZATION_ID

Weitere Informationen zur Verwendung des gcloud-Tools finden Sie unter Logeinträge lesen.

API

Ersetzen Sie beim Erstellen Ihrer Abfragen die Variablen durch gültige Werte, ersetzen Sie den entsprechenden Audit-Lognamen oder die entsprechenden Kennungen auf Projektebene, Ordnerebene oder Organisationsebene, wie in den Audit-Lognamen aufgeführt. Wenn die Abfrage beispielsweise eine PROJECT_ID enthält, muss sich die von Ihnen angegebene Projekt-ID auf das aktuell ausgewählte Cloud-Projekt beziehen.

So rufen Sie Ihre Audit-Logeinträge mit der Logging API auf:

  1. Rufen Sie den Abschnitt Diese API testen in der Dokumentation für die Methode entries.list auf.

  2. Geben Sie im Teil Anfragetext des Formulars Diese API testen Folgendes ein. Wenn Sie auf dieses vorausgefüllte Formular klicken, wird der Anfragetext automatisch übernommen. Sie müssen jedoch in jedem der Lognamen eine gültige PROJECT_ID angeben.

    {
      "resourceNames": [
        "projects/PROJECT_ID"
      ],
      "pageSize": 5,
      "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
    }
    
  3. Klicken Sie auf Ausführen.

Weitere Informationen zu Abfragen finden Sie unter Logging-Abfragesprache.

Ein Beispiel für einen Audit-Logeintrag, und wie Sie die wichtigsten Informationen darin finden, ist in Audit-Logs verstehen enthalten.

Seite "Aktivität" verwenden

Sie können sich die gekürzten Audit-Logeinträge in der Cloud Console auf der Seite Aktivität des Projekts oder der Organisation ansehen. So zeigen Sie gekürzte Audit-Logeinträge an:

  1. Zur Seite "Aktivität":

    Zur Seite "Aktivität"

  2. Wählen Sie in der Projektauswahl das Google Cloud-Projekt oder die Organisation aus, für die Sie Audit-Logeinträge aufrufen möchten.

  3. Wählen Sie im Bereich Filter die Einträge aus, die Sie ansehen möchten.

Die tatsächlichen Audit-Logeinträge können mehr Informationen enthalten, als auf der Seite Aktivität angezeigt werden.

Auf der Seite "Aktivität" wird die Identität, die aufgezeichnete Aktionen ausführt, aus dem Audit-Logeintrag entfernt und User (anonymized) angezeigt. Weitere Informationen finden Sie unter Aufruferidentitäten in Audit-Logs auf dieser Seite.

Audit-Logs exportieren

Sie können Audit-Logeinträge nach Cloud Logging oder in bestimmte Google Cloud-Dienste exportieren.

Um Audit-Logeinträge außerhalb von Logging zu exportieren, müssen Sie eine Logsenke erstellen. Weisen Sie der Senke eine Abfrage zu, die die Audit-Logtypen angibt, die Sie exportieren möchten. Beispiele für Abfragen finden Sie unter Sicherheits-Logging-Abfragen.

Wenn Sie Audit-Logeinträge für eine Google Cloud-Organisation, einen Google Cloud-Ordner oder ein Google Cloud-Rechnungskonto exportieren möchten, prüfen Sie die aggregierten Senken.

Die maximale Größe eines Audit-Logs ist in der folgenden Tabelle dargestellt. Mithilfe dieser Werte können Sie den erforderlichen Speicherplatz für ein Exportziel schätzen.

Audit-Log Maximalgröße
Administratoraktivität 512 KiB
Datenzugriff 512 KiB
Systemereignis 512 KiB

Audit-Log-Aufbewahrung

Die einzelnen Audit-Logeinträge werden für einen bestimmten Zeitraum gespeichert und danach gelöscht. Ausführliche Informationen zur Aufbewahrungsdauer der Logeinträge in Logging finden Sie unter Kontingente und Limits: Aufbewahrungsdauer für Logs. Ansonsten können Sie Audit-Logeinträge nicht löschen oder ändern.

Audit-Logtyp Aufbewahrungsdauer
Administratoraktivität 400 Tage
Datenzugriff 30 Tage
Systemereignis 400 Tage

Für eine längere Aufbewahrung können Sie Audit-Logeinträge exportieren. Der Export erfolgt wie bei allen anderen Logeinträgen in Logging. Die Aufbewahrungsdauer ist unbegrenzt.

Außerdem können Sie Cloud Logging so konfigurieren, dass Ihre Logs zwischen 1 Tag und 3.650 Tagen aufbewahrt werden. Weitere Details zur benutzerdefinierten Aufbewahrung von Logs finden Sie hier.

Aufruferidentitäten in Audit-Logs

Audit-Logs zeichnen die Identität auf, die die protokollierten Vorgänge für die Google Cloud-Ressource durchgeführt hat. Die Identität des Aufrufers wird im Feld AuthenticationInfo von AuditLog-Objekten gespeichert.

Die primäre E-Mail-Adresse des Aufrufers wird aus Audit-Logs entfernt, wenn alle folgenden Bedingungen erfüllt sind:

  • Dies ist ein schreibgeschützter Vorgang.
  • Der Vorgang schlägt mit dem Fehler "Berechtigung verweigert" fehl.
  • Die Identität ist ein Dienstkonto, aber kein Mitglied der Google Cloud-Organisation, die mit der Ressource verknüpft ist. Wenn die Identität kein Dienstkonto ist, gilt diese Bedingung nicht.

Zusätzlich zu den oben aufgeführten Bedingungen gilt Folgendes für bestimmte Google Cloud-Produkte:

Wenn Sie Audit-Logs über die Seite Aktivität der Google Cloud Console ansehen, wird User (anonymized) für alle Logeinträge angezeigt, deren Identität entfernt oder leer ist.

Audit-Logs generierende Google-Dienste

Eine Liste der Google Cloud-Dienste, die Audit-Logs bereitstellen, finden Sie unter Google-Dienste mit Audit-Logs. Es ist davon auszugehen, dass letztendlich alle Google Cloud-Dienste Audit-Logs bereitstellen werden.