Cloud-Audit-Logs

Zu Cloud-Audit-Logs gehören drei Arten von Audit-Logs für jedes Projekt, jeden Ordner und jede Organisation: Audit-Logs zur Administratoraktivität, zum Datenzugriff und zu Systemereignissen. Google Cloud Platform-Dienste schreiben Audit-Logeinträge in diese Logs. Diese Einträge dokumentieren, wer was, wann und wo in Ihren GCP-Projekten ausgeführt hat.

Eine Liste der GCP-Dienste, die Audit-Logs bereitstellen, finden Sie unter Audit-Logs generierende GCP-Dienste. Es ist davon auszugehen, dass letztendlich alle GCP-Dienste Audit-Logs schreiben.

Audit-Logs zur Administratoraktivität

Audit-Logs zur Administratoraktivität enthalten Logeinträge für API-Aufrufe oder andere Verwaltungsaktionen, die die Konfiguration oder Metadaten von Ressourcen ändern. In diesen Logs wird beispielsweise aufgezeichnet, wann Nutzer VM-Instanzen erstellen oder Berechtigungen von Cloud Identity and Access Management ändern.

Damit Sie diese Logs ansehen können, benötigen Sie die Cloud IAM-Rolle Logging/Logbetrachter oder Projekt/Betrachter.

Audit-Logs zur Administratoraktivität sind immer aktiviert. Audit-Logs für Administratoraktivitäten sind kostenlos. Einzelheiten zu Nutzungslimits für Logging finden Sie unter Kontingente und Limits.

Audit-Logs zum Datenzugriff

Audit-Logs zum Datenzugriff enthalten API-Aufrufe, die die Konfiguration oder Metadaten von Ressourcen lesen, sowie nutzergesteuerte API-Aufrufe, die von Nutzern bereitgestellte Ressourcendaten erstellen, ändern oder lesen. In Audit-Logs zum Datenzugriff werden keine Datenzugriffsvorgänge für Ressourcen aufgezeichnet, die öffentlich freigegeben (für alle Nutzer oder alle authentifizierte Nutzer verfügbar) oder ohne Anmeldung bei der GCP zugänglich sind.

Damit Sie diese Logs ansehen können, benötigen Sie die Cloud IAM-Rolle Logging/Betrachter privater Logs oder Projekt/Inhaber.

Da Audit-Logs zum Datenzugriff relativ groß sein können, sind sie standardmäßig deaktiviert. Damit sie geschrieben werden, müssen Sie sie explizit aktivieren. Durch das Aktivieren der Logs können Gebühren für die zusätzliche Lognutzung im Projekt anfallen. Anleitungen zum Aktivieren und Konfigurieren von Audit-Logs zum Datenzugriff finden Sie unter Datenzugriffslogs konfigurieren.

Die Handhabung von Audit-Logs zum Datenzugriff für BigQuery unterscheidet sich von anderen Audit-Logs zum Datenzugriff. BigQuery-Audit-Logs werden immer geschrieben und können nicht deaktiviert werden. Sie sind kostenlos und werden nicht auf Ihr Logkontingent angerechnet.

Einzelheiten zu Nutzungslimits für Logging finden Sie unter Kontingente und Limits. Einzelheiten zu den möglicherweise anfallenden Kosten finden Sie unter Preise.

Audit-Logs zu Systemereignissen

Audit-Logs zu Systemereignissen enthalten Logeinträge für GCP-Verwaltungsaktionen, die die Konfiguration von Ressourcen ändern. Diese Logs werden von Google-Systemen generiert und nicht von direkten Nutzeraktionen gesteuert.

Damit Sie diese Logs ansehen können, benötigen Sie die Cloud IAM-Rolle Logging/Logbetrachter oder Projekt/Betrachter.

Audit-Logs zu Systemereignissen sind immer aktiviert. Audit-Logs für Systemereignisse sind kostenlos. Einzelheiten zu Nutzungslimits für Logging finden Sie unter Kontingente und Limits.

Struktur von Audit-Logeinträgen

Jeder Audit-Logeintrag in Stackdriver Logging ist ein Objekt des Typs LogEntry und durch folgende Informationen gekennzeichnet:

  • Das Projekt oder die Organisation, der der Logeintrag gehört.
  • Die Ressource, für die der Logeintrag gilt. Diese besteht aus einem Ressourcentyp aus der Liste der überwachten Ressourcen und zusätzlichen Werten, die eine bestimmten Instanz kennzeichnen.
  • Einen Lognamen.
  • Einen Zeitstempel.
  • Eine Nutzlast des Typs protoPayload. Die Nutzlast jedes Audit-Logeintrags ist ein Objekt des Typs AuditLog (ein Protokollpuffer) und enthält das Feld serviceData, in dem einige Dienste zusätzliche Informationen ablegen.

Alle Audit-Logeinträge enthalten den Namen des Audit-Logs, eine Ressource und einen Dienst. Sie können Audit-Logeinträge nach diesen Namen filtern:

  • Logname: Audit-Logeinträge gehören zu Logs in Projekten, Ordnern und Organisationen. Die Lognamen sind unten aufgeführt:
   projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity
   projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access

   folders/[FOLDER_ID]/logs/cloudaudit.googleapis.com%2Factivity
   folders/[FOLDER_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/[FOLDER_ID]/logs/cloudaudit.googleapis.com%2Fsystem_event

   organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Factivity
   organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fsystem_event

Innerhalb eines Projekts, Ordners oder einer Organisation werden diese Lognamen in der Regel mit activity, data_access und system_event abgekürzt.

  • Ressource: Jeder Audit-Logeintrag enthält eine Ressource eines beliebigen Typs. Sie können beispielsweise Audit-Logeinträge einer einzelnen Compute Engine-VM-Instanz oder aller VM-Instanzen aufrufen. Diese Informationen werden im Feld resource.type des Audit-Logeintrags aufgelistet.

    Die Liste der Ressourcentypen finden Sie unter Überwachte Ressourcentypen.

  • Dienst: Dienste sind einzelne GCP-Produkte, wie z. B. Compute Engine, Cloud SQL oder Cloud Pub/Sub. Jeder Dienst wird durch seinen Namen identifiziert: Compute Engine durch compute.googleapis.com, Cloud SQL durch cloudsql.googleapis.com usw. Diese Informationen werden im Feld protoPayload.serviceName des Audit-Logeintrags aufgelistet.

    Ressourcentypen gehören jeweils zu einem Dienst, wobei ein Dienst mehrere Ressourcentypen haben kann. Eine Liste der Dienste und Ressourcen finden Sie unter Dienste zu Ressourcen zuordnen.

Weitere Informationen finden Sie unter Audit-Log-Datentypen.

Informationen zum Lesen und Interpretieren von Audit-Logeinträgen finden Sie unter Audit-Logs verstehen.

Audit-Logs ansehen

Sie haben mehrere Möglichkeiten, Ihre Audit-Logeinträge aufzurufen:

Einfache Oberfläche

Sie können Ihre Audit-Logeinträge über die einfache Oberfläche der Loganzeige in der GCP Console abrufen. Dazu gehen Sie so vor:

  1. Rufen Sie in der GCP Console die Seite Stackdriver Logging > Logs (Loganzeige) auf:

    Zur Loganzeige

  2. Wählen Sie oben auf der Seite ein vorhandenes GCP-Projekt aus oder erstellen Sie ein neues Projekt.

  3. Wählen Sie im ersten Drop-down-Menü die Ressource aus, deren Audit-Logs angezeigt werden sollen. Sie können eine bestimmte Ressource oder Global für alle Ressourcen auswählen.

  4. Wählen Sie im zweiten Drop-down-Menü den Logtyp aus, den Sie aufrufen möchten: activity für Audit-Logs zur Administratoraktivität, data_access für Audit-Logs zum Datenzugriff und system_events für Systemereignis-Logs.

    Wenn Sie keine dieser Optionen sehen, sind im Projekt keine Audit-Logs dieses Typs verfügbar.

Erweiterte Oberfläche

Sie können Ihre Audit-Logeinträge über die erweiterte Oberfläche der Loganzeige in der GCP Console abrufen. Dazu gehen Sie so vor:

  1. Rufen Sie in der GCP Console die Seite Stackdriver Logging > Logs (Loganzeige) auf:

    Zur Loganzeige

  2. Wählen Sie oben auf der Seite ein vorhandenes GCP-Projekt aus oder erstellen Sie ein neues Projekt.

  3. Wählen Sie im ersten Drop-down-Menü die Ressource aus, deren Audit-Logs angezeigt werden sollen. Sie können eine bestimmte Ressource oder Global für alle Ressourcen auswählen.

  4. Klicken Sie auf den Drop-down-Pfeil (▾) ganz rechts im Suchfilterfeld und wählen Sie In erweiterten Filter umwandeln aus.

  5. Erstellen Sie einen Filter, der die gewünschten Logeinträge genauer definiert. Fügen Sie folgenden Filter hinzu, um alle Audit-Logs in Ihrem Projekt abzurufen. Geben Sie in jedem Lognamen eine gültige [PROJECT_ID] an.

      logName = ("projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity"
          OR "projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_events"
          OR "projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access")
    

    Weitere Informationen zu Filtern finden Sie unter Erweiterte Logfilter.

API

So sehen Sie sich Ihre Audit-Logeinträge mithilfe der Stackdriver Logging API an:

  1. Rufen Sie in der Dokumentation für die Methode entries.list den Abschnitt Diese API testen auf.

  2. Geben Sie im Teil Anfragetext des Formulars Diese API testen Folgendes ein. Wenn Sie dieses vorausgefüllte Formular anklicken, wird der Anfragetext automatisch eingegeben. Sie müssen jedoch in allen Lognamen eine gültige [PROJECT_ID] angeben.

      {
        "resourceNames": [
          "projects/[PROJECT_ID]"
        ],
        "pageSize": 5,
        "filter": "logName=(projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_events OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access)"
      }
    
  3. Klicken Sie auf Ausführen.

Weitere Informationen zu Filtern finden Sie unter Erweiterte Logfilter.

SDK

Führen Sie den folgenden Befehl aus, um Ihre Logeinträge mithilfe des Cloud SDK zu lesen. Geben Sie in jedem Lognamen eine gültige [PROJECT_ID] an.

gcloud logging read "logName=(projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_events OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access)

Weitere Informationen zur Verwendung des Cloud SDK finden Sie unter Logeinträge lesen.

Seite "Aktivität" verwenden

Sie können auf der Seite Aktivität Ihres Projekts in der GCP Console abgekürzte Audit-Logeinträge auf Projektebene aufrufen. Rufen Sie auf der Startseite die Seite Aktivität auf. Wählen Sie mithilfe von Filter die Einträge aus, die Sie ansehen möchten. Die tatsächlichen Audit-Logeinträge können mehr Informationen enthalten, als auf der Seite Aktivität angezeigt werden.

Zur Seite "Aktivität"

Auf der Seite "Aktivität" wird die Identität, die aufgezeichnete Aktionen ausführt, aus dem Audit-Logeintrag entfernt und User (anonymized) angezeigt. Weitere Informationen finden Sie unter Nutzeridentitäten in Audit-Logs.

Audit-Logs exportieren

Sie können Audit-Logeinträge nach Stackdriver Logging oder in bestimmte GCP-Dienste exportieren.

Um Audit-Logeinträge außerhalb von Logging zu exportieren, müssen Sie eine Logsenke erstellen. Weisen Sie der Senke einen Filter zu, der die zu exportierenden Audit-Logtypen angibt. Beispiele für Filter finden Sie unter Sicherheits-Logging-Filter.

Wenn Sie Audit-Logeinträge für eine GCP-Organisation, einen Ordner oder ein Abrechnungskonto exportieren möchten, überprüfen Sie die aggregierten Exporte.

Audit-Log-Aufbewahrung

Die einzelnen Audit-Logeinträge werden für einen bestimmten Zeitraum gespeichert und danach gelöscht. Wenn Sie wissen möchten, wie lange Logeinträge von Logging aufbewahrt werden, lesen Sie die Informationen zur Aufbewahrung unter Kontingente und Limits. Audit-Logs und deren Einträge können nicht auf andere Weise gelöscht oder geändert werden.

Audit-Logtyp Aufbewahrungsdauer
Administratoraktivität 400 Tage
Datenzugriff 30 Tage
Systemereignis 400 Tage

Für eine längere Aufbewahrung können Sie Audit-Logeinträge exportieren. Der Export erfolgt wie bei allen anderen Logeinträgen in Logging. Die Aufbewahrungsdauer ist unbegrenzt.

Nutzeridentitäten in Audit-Logs

Audit-Logs erfassen grundsätzlich die Identität, die die protokollierten Aktionen ausgeführt hat. Die Identität wird im Feld AuthenticationInfo von AuditLog-Objekten angegeben.

In den folgenden Fällen ist die Identität nicht verfügbar oder wurde entfernt:

  • Alle Audit-Logs: Aus Datenschutzgründen wird die Haupt-E-Mail-Adresse für alle Nur-Lese-Vorgänge entfernt, bei denen der Fehler "Berechtigung verweigert" aufgetreten ist.

  • App Engine: Identitäten aus der Legacy-App Engine API werden nicht erfasst.

  • BigQuery: Identitäten und IP-Adressen von Aufrufen werden derzeit aus den Audit-Logs entfernt, wenn nicht mindestens eine der folgenden Bedingungen zutrifft:

    • Es ist kein Nur-Lese-Zugriff
    • Die Identität ist ein Dienstkonto, das zu dem Projekt gehört
    • Die Identität ist Mitglied der mit dem Projekt verknüpften Domain

    Die Projektdomain ist in diesem Kontext eine BigQuery-Einstellung. Wenn Sie die mit Ihrem Projekt verknüpfte Domain ändern möchten, wenden Sie sich an den BigQuery-Support.

    Für den projektübergreifenden Zugriff gelten zusätzliche Regeln:

    Hier handelt es sich beim Abrechnungsprojekt um das Projekt, das die Anfrage ausgibt, und das Datenprojekt ist das Projekt, auf dessen Ressourcen während des Jobs auch zugegriffen wird. Ein Beispiel dafür ist ein Abfragejob in einem Abrechnungsprojekt, das Tabellendaten aus dem Datenprojekt liest.

    Die Ressourcen-ID des Abrechnungsprojekts wird aus dem Datenprojektlog gelöscht, wenn den Projekten nicht dieselbe Domain zugeordnet ist oder sie sich in derselben Organisation befinden.

    Identitäten und IP-Adressen des Aufrufers werden aus dem Datenprojektlog entfernt, wenn keine der oben genannten Bedingungen zutrifft, oder:

    • dem Abrechnungsprojekt und dem Datenprojekt die gleiche Domain zugeordnet ist oder sie sich in derselben Organisation befinden und das Abrechnungsprojekt bereits die Identität und die aufrufende IP-Adresse enthält;
    • die Identität die Berechtigung zur Ausführung von Abfragen im Projekt hat und es sich bei der Aktion um job.insert handelt.

Wenn Sie Audit-Logs über die Seite "Aktivität" der Google Cloud Platform Console aufrufen, wird User (anonymized) für alle Logeinträge angezeigt, in denen die Identität entfernt wurde oder fehlt.

Audit-Logs generierende Google-Dienste

In den folgenden Tabellen sind die Google-Dienste aufgeführt, die Administratoraktivitäts- oder Datenzugriffs-Audit-Logs schreiben. GA gibt an, dass ein Logtyp für einen Dienst allgemein verfügbar ist. Beta gibt an, dass ein Logtyp verfügbar ist, dieser jedoch möglicherweise nicht abwärtskompatibel geändert werden kann und keinem SLA unterliegt oder jederzeit verworfen werden kann.

Audit-Logs generierende GCP-Dienste

GCP-Dienste mit Audit-Logs Administrator-
Aktivitätslogs
Daten-
Zugriffslogs
Access Approval API Beta Nicht verfügbar1
App Engine GA Nicht verfügbar1
Application Identity4 Beta Nicht verfügbar1
BigQuery GA GA2
Cloud AutoML Beta Beta
Cloud Bigtable Beta Nicht verfügbar1
Cloud Billing Beta Nicht verfügbar1
Cloud Composer GA Nicht verfügbar1
Cloud Dataflow GA Nicht verfügbar1
Cloud Dataproc GA GA
Cloud Datastore GA GA6
Cloud Deployment Manager GA GA
Cloud Data Loss Prevention GA GA
Cloud DNS GA GA
Cloud Functions GA GA
Cloud Genomics Beta Beta
Cloud Healthcare Beta Beta
Cloud Identity and Access Management GA GA
Cloud Identity-Aware Proxy Nicht verfügbar3 GA
Cloud IoT Core GA GA
Cloud Key Management Service GA GA
Cloud Memorystore Beta Beta
AI Platform Beta Beta
Cloud Pub/Sub GA GA
Cloud Run Beta Beta
Cloud Source Repositories GA GA
Cloud Spanner GA GA
Cloud SQL GA GA
Cloud Storage5 GA GA
Cloud AutoML Vision GA Nicht verfügbar1
Compute Engine7 GA GA
Serieller Compute Engine-Portzugriff GA Nicht verfügbar1
Container Analysis Beta Beta
Cloud Build GA GA
Dialogflow GA GA
Google Kubernetes Engine GA GA
Service Management GA Nicht verfügbar1
Resource Manager GA GA
Stackdriver Debugger GA GA
Stackdriver Error Reporting GA GA
Stackdriver Logging GA GA
Stackdriver Monitoring GA GA
Stackdriver Trace Nicht verfügbar3 GA
Stackdriver Profiler Nicht verfügbar3 GA

Audit-Logs generierende G Suite-Dienste

G Suite-Dienste mit Audit-Logs Administrator-
Aktivitätslogs
Daten-
Zugriffslogs
Unternehmensgruppen GA Nicht verfügbar1

Der Name des Audit-Logs für G Suite lautet organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Factivity. Bei allen Audit-Logs für G Suite wird der Ressourcentyp audited_resource verwendet.

Weitere Informationen finden Sie in der G Suite-Admin-Hilfe.

1: Dieser Dienst generiert keine Audit-Logs zum Datenzugriff.
2: Audit-Logs zum Datenzugriff für BigQuery sind standardmäßig aktiviert und werden nicht auf Ihr Logkontingent angerechnet.
3: Dieser Dienst generiert keine Audit-Logs zur Administratoraktivität.
4: Überprüft OAuth 2.0-Client-IDs und Marken.
5: Enthält noch keine Anfrage-/Antwortinformationen.
6: Überprüft Anfragen zum Starten verwalteter Import- oder Exportvorgänge. Das Audit umfasst keine entitätsspezifischen Lese-/Schreiblogs für diese Vorgänge.
7: Compute Engine generiert auch Audit-Logs zu Systemereignissen.

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...

Stackdriver Logging