Cloud-Audit-Logs

Zu Cloud-Audit-Logs gehören drei Arten von Audit-Logs für jedes Projekt, jeden Ordner und jede Organisation: Audit-Logs zur Administratoraktivität, zum Datenzugriff und zu Systemereignissen. Google Cloud Platform-Dienste schreiben Audit-Logeinträge in diese Logs. Diese Einträge dokumentieren, wer was, wann und wo in Ihren GCP-Projekten ausgeführt hat.

Eine Liste der GCP-Dienste, die Audit-Logs bereitstellen, finden Sie unter Audit-Logs generierende GCP-Dienste. Es ist davon auszugehen, dass letztendlich alle GCP-Dienste Audit-Logs schreiben.

Audit-Logs zur Administratoraktivität

Audit-Logs zur Administratoraktivität enthalten Logeinträge für API-Aufrufe oder andere Verwaltungsmaßnahmen, die die Konfiguration oder Metadaten von Ressourcen ändern. In diesen Logs wird beispielsweise aufgezeichnet, wann Nutzer VM-Instanzen erstellen oder Berechtigungen von Cloud Identity und Access Management ändern.

Damit Sie diese Logs ansehen können, benötigen Sie die Cloud IAM-Rolle Logging/Logbetrachter oder Projekt/Betrachter.

Audit-Logs zur Administratoraktivität sind immer aktiviert und kostenlos. Einzelheiten zu Nutzungslimits für Logging finden Sie unter Kontingente und Limits.

Audit-Logs zum Datenzugriff

Audit-Logs zum Datenzugriff enthalten API-Aufrufe, die die Konfiguration oder Metadaten von Ressourcen lesen, sowie nutzergesteuerte API-Aufrufe, die von Nutzern bereitgestellte Ressourcendaten erstellen, ändern oder lesen. In Audit-Logs zum Datenzugriff werden keine Datenzugriffsvorgänge für Ressourcen aufgezeichnet, die öffentlich freigegeben (für alle Nutzer oder alle authentifizierte Nutzer verfügbar) oder ohne Anmeldung bei der GCP zugänglich sind.

Damit Sie diese Logs ansehen können, benötigen Sie die Cloud IAM-Rolle Logging/Betrachter privater Logs oder Projekt/Inhaber.

Da Audit-Logs zum Datenzugriff relativ groß sein können, sind sie standardmäßig deaktiviert. Damit sie geschrieben werden, müssen Sie sie explizit aktivieren. Durch das Aktivieren der Logs können Gebühren für die zusätzliche Lognutzung im Projekt anfallen. Anleitungen zum Aktivieren und Konfigurieren von Audit-Logs zum Datenzugriff finden Sie unter Datenzugriffslogs konfigurieren.

Die Handhabung von Audit-Logs zum Datenzugriff für BigQuery unterscheidet sich von anderen Audit-Logs zum Datenzugriff. BigQuery-Audit-Logs werden immer geschrieben und können nicht deaktiviert werden. Sie sind kostenlos und werden nicht auf Ihr Logkontingent angerechnet.

Einzelheiten zu Nutzungslimits für Logging finden Sie unter Kontingente und Limits. Einzelheiten zu den möglicherweise anfallenden Kosten finden Sie unter Preise.

Audit-Logs zu Systemereignissen

Audit-Logs zu Systemereignissen enthalten Logeinträge für GCP-Verwaltungsmaßnahmen, die die Konfiguration von Ressourcen ändern. Diese Logs werden von Google-Systemen generiert und nicht von direkten Nutzeraktionen gesteuert.

Damit Sie diese Logs ansehen können, benötigen Sie die Cloud IAM-Rolle Logging/Logbetrachter oder Projekt/Betrachter.

Audit-Logs zu Systemereignissen sind immer aktiviert und kostenlos. Einzelheiten zu Nutzungslimits für Logging finden Sie unter Kontingente und Limits.

Struktur von Audit-Logeinträgen

Jeder Audit-Logeintrag in Stackdriver Logging ist ein Objekt des Typs LogEntry und durch folgende Informationen gekennzeichnet:

  • Das Projekt oder die Organisation, der der Logeintrag gehört.
  • Die Ressource, für die der Logeintrag gilt. Sie besteht aus einem Ressourcentyp aus der Liste der überwachten Ressourcen und zusätzlichen Werten zum Kennzeichnen einer bestimmten Instanz.
  • Einen Lognamen.
  • Einen Zeitstempel.
  • Eine Nutzlast des Typs protoPayload. Die Nutzlast jedes Audit-Logeintrags ist ein Objekt des Typs AuditLog (ein Protokollpuffer) und enthält das Feld serviceData, in dem einige Dienste zusätzliche Informationen ablegen.

Alle Audit-Logeinträge enthalten den Namen des Audit-Logs, eine Ressource und einen Dienst. Sie können Audit-Logeinträge nach diesen Namen filtern:

  • Logname: Audit-Logeinträge gehören zu Logs in Projekten, Ordnern und Organisationen. Die Lognamen sind unten aufgeführt:
   projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity
   projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access

   folders/[FOLDER_ID]/logs/cloudaudit.googleapis.com%2Factivity
   folders/[FOLDER_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/[FOLDER_ID]/logs/cloudaudit.googleapis.com%2Fsystem_event

   organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Factivity
   organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fsystem_event

In Projekten, Ordnern und Organisationen werden die Lognamen meist in gekürzter Form mit Aktivität, Systemereignis und Datenzugriff bezeichnet.

  • Ressource: Jeder Audit-Logeintrag enthält eine Ressource eines beliebigen Typs. Sie können beispielsweise Audit-Logeinträge einer einzelnen Compute Engine-VM-Instanz oder aller VM-Instanzen aufrufen. Die Liste der Ressourcentypen finden Sie unter Überwachte Ressourcentypen.

  • Dienst: Dienste sind einzelne GCP-Produkte, wie z. B. Compute Engine, Cloud SQL oder Cloud Pub/Sub. Jeder Dienst wird durch seinen Namen identifiziert: Compute Engine durch compute.googleapis.com, Cloud SQL durch cloudsql.googleapis.com usw.

    Ressourcentypen gehören jeweils zu einem Dienst, wobei ein Dienst mehrere Ressourcentypen haben kann. Eine Liste der Dienste und Ressourcen finden Sie unter Dienste zu Ressourcen zuordnen.

Weitere Informationen finden Sie unter Audit-Log-Datentypen.

Informationen zum Lesen und Interpretieren von Audit-Logeinträgen finden unter Audit-Logs verstehen.

Audit-Logs ansehen

Sie haben mehrere Möglichkeiten, Ihre Audit-Logeinträge aufzurufen:

Einfache Oberfläche

Sie können Ihre Audit-Logeinträge über die einfache Oberfläche der Loganzeige in der GCP Console abrufen. Dazu gehen Sie so vor:

  1. Rufen Sie in der GCP Console die Seite Stackdriver Logging > Logs (Loganzeige) auf:

    Zur Loganzeige

  2. Wählen Sie oben auf der Seite ein vorhandenes GCP-Projekt aus oder erstellen Sie ein neues Projekt.

  3. Wählen Sie im ersten Drop-down-Menü die Ressource aus, deren Audit-Logs angezeigt werden sollen. Sie können eine bestimmte Ressource oder Global für alle Ressourcen auswählen.

  4. Wählen Sie im zweiten Drop-down-Menü den Logtyp aus, den Sie aufrufen möchten: activity für Audit-Logs der Administratoraktivität, data_access für Audit-Logs auf Datenzugriffe und system_events für Systemereignis-Logs.

    Wenn Sie keine dieser Optionen sehen, sind im Projekt keine Audit-Logs dieses Typs verfügbar.

Erweiterte Oberfläche

Zum Abrufen der Audit-Logeinträge nutzen Sie die erweiterte Oberfläche der Loganzeige der GCP Console. Dazu gehen Sie so vor:

  1. Rufen Sie in der GCP Console die Seite Stackdriver Logging > Logs (Loganzeige) auf:

    Zur Loganzeige

  2. Wählen Sie oben auf der Seite ein vorhandenes GCP-Projekt aus oder erstellen Sie ein neues Projekt.

  3. Wählen Sie im ersten Drop-down-Menü die Ressource aus, deren Audit-Logs angezeigt werden sollen. Sie können eine bestimmte Ressource oder Global für alle Ressourcen auswählen.

  4. Klicken Sie auf den Drop-down-Pfeil (▾) ganz rechts im Suchfilterfeld und wählen Sie In erweiterten Filter umwandeln aus.

  5. Erstellen Sie einen Filter, der die gewünschten Logeinträge genauer definiert. Fügen Sie folgenden Filter hinzu, um alle Audit-Logs in Ihrem Projekt abzurufen. Geben Sie in allen Lognamen eine gültige [PROJECT_ID] an.

      logName = ("projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity"
          OR "projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_events"
          OR "projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access")
    

    Weitere Informationen zu Filtern finden Sie unter Erweiterte Logfilter.

API

So sehen Sie sich Ihre Audit-Logeinträge mithilfe der Stackdriver Logging API an:

  1. Rufen Sie in der Dokumentation für die Methode entries.list den Abschnitt Diese API testen auf.

  2. Geben Sie im Teil Anfragetext des Formulars Diese API testen Folgendes ein. Wenn Sie auf dieses vorab ausgefüllte Formular klicken, wird der Anfragetext automatisch eingegeben. Sie müssen aber in allen Lognamen eine gültige [PROJECT_ID] angeben.

      {
        "resourceNames": [
          "projects/[PROJECT_ID]"
        ],
        "pageSize": 5,
        "filter": "logName=(projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_events OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access)"
      }
    
  3. Klicken Sie auf Ausführen.

Weitere Informationen zu Filtern finden Sie unter Erweiterte Logfilter.

SDK

Führen Sie den folgenden Befehl aus, um Ihre Logeinträge mithilfe des Cloud SDK zu lesen. Geben Sie in allen Lognamen eine gültige [PROJECT_ID] an.

gcloud logging read "logName=(projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_events OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access)

Weitere Informationen zur Verwendung des Cloud SDK finden Sie unter Logeinträge lesen.

Seite "Aktivität" verwenden

Sie können auf der Seite Aktivität Ihres Projekts in der GCP Console abgekürzte Audit-Logeinträge auf Projektebene aufrufen. Rufen Sie auf der Startseite die Seite Aktivität auf. Wählen Sie mithilfe von Filter die Einträge aus, die Sie ansehen möchten. Die tatsächlichen Audit-Logeinträge können mehr Informationen als auf der Seite Aktivität angezeigt enthalten.

Weiter zur Seite "Aktivität"

Auf der Seite "Aktivität" wird die Identität, die aufgezeichnete Aktionen ausführt, aus dem Audit-Logeintrag entfernt und User (anonymized) angezeigt. Weitere Informationen finden Sie unter Nutzeridentitäten in Audit-Logs.

Audit-Logs exportieren

Sie können Audit-Logeinträge nach Stackdriver Logging oder in bestimmte GCP-Dienste exportieren.

Für den Export von Audit-Logeinträgen außerhalb von Stackdriver Logging erstellen Sie eine Logsenke. Weisen Sie der Senke einen Filter zu, um die Audit-Logeinträge auszuwählen, die Sie exportieren möchten.

Weitere Informationen finden Sie unter Übersicht über Logexporte.

Aufbewahrung von Audit-Logs

Die einzelnen Audit-Logeinträge werden für einen bestimmten Zeitraum gespeichert und danach gelöscht. Wenn Sie wissen möchten, wie lang Logeinträge von Logging aufbewahrt werden, lesen Sie die Informationen zur Aufbewahrung unter Kontingente und Limits. Audit-Logs und deren Einträge können nicht auf andere Weise gelöscht oder geändert werden.

Audit-Log-Typ Aufbewahrungsdauer
Administratoraktivität 400 Tage
Datenzugriff 30 Tage
Systemereignis 400 Tage

Für eine längere Aufbewahrung können Sie Audit-Logeinträge exportieren. Der Export erfolgt wie bei allen anderen Logeinträgen in Logging. Die Aufbewahrungsdauer ist unbegrenzt.

Nutzeridentitäten in Audit-Logs

Audit-Logs erfassen grundsätzlich die Identität, die die protokollierten Aktionen ausgeführt hat. Die Identität wird im Feld AuthenticationInfo von AuditLog-Objekten angegeben.

In den folgenden Fällen ist die Identität nicht verfügbar oder wurde entfernt:

  • Alle Audit-Logs: Aus Datenschutzgründen wird die Haupt-E-Mail-Adresse für alle Nur-Lese-Vorgänge entfernt, bei denen der Fehler "Berechtigung verweigert" aufgetreten ist.

  • App Engine: Identitäten aus der Legacy-App Engine API werden nicht erfasst

  • BigQuery: Identitäten und aufrufende IP-Adressen werden derzeit aus den Audit-Logs entfernt, wenn nicht eine der folgenden Bedingungen zutrifft:

    • Es ist kein Nur-Lese-Zugriff
    • Die Identität ist ein Dienstkonto, das zu dem Projekt gehört
    • Die Identität ist Mitglied der mit dem Projekt verknüpften Domain

    Die Projektdomain ist in diesem Kontext eine BigQuery-Einstellung. Wenn Sie die mit Ihrem Projekt verknüpfte Domain ändern möchten, wenden Sie sich an den BigQuery-Support.

    Für den projektübergreifenden Zugriff gelten zusätzliche Regeln:

    Hier handelt es sich beim Abrechnungsprojekt um das Projekt, das die Anfrage ausgibt, und das Datenprojekt ist das Projekt, auf dessen Ressourcen während des Auftrags auch zugegriffen wird. Ein Beispiel dafür ist ein Abfragejob in einem Abrechnungsprojekt, das Tabellendaten aus dem Datenprojekt liest.

    Die Ressourcen-ID des Abrechnungsprojekts wird aus dem Datenprojektlog gelöscht, wenn den Projekten nicht dieselbe Domain zugeordnet ist oder sie sich in derselben Organisation befinden.

    Identitäten und IP-Adressen des Aufrufers werden aus dem Datenprojektlog entfernt, wenn keine der oben genannten Bedingungen zutrifft, oder:

    • dem Abrechnungsprojekt und dem Datenprojekt die gleiche Domain zugeordnet ist oder sie sich in derselben Organisation befinden und das Abrechnungsprojekt bereits die Identität und die aufrufende IP-Adresse enthält.
    • die Identität die Berechtigung zur Ausführung von Abfragen im Projekt hat und es sich bei der Aktion um job.insert handelt.

Wenn Sie Audit-Logs über die Seite "Aktivität" der Google Cloud Platform Console aufrufen, wird User (anonymized) für alle Logeinträge angezeigt, in denen die Identität entfernt wurde oder fehlt.

Audit-Logs generierende GCP-Dienste

In der folgenden Tabelle sind die Google Cloud Platform-Dienste aufgeführt, die Administratoraktivitäts- oder Datenzugriffs-Audit-Logs schreiben. GA gibt an, dass ein Logtyp für einen Dienst allgemein verfügbar ist. Beta gibt an, dass ein Logtyp verfügbar ist, dieser jedoch möglicherweise nicht abwärtskompatibel geändert wurde und keiner SLA- oder Einstellungsrichtlinie unterliegt. Es ist davon auszugehen, dass letztendlich alle GCP-Dienste Audit-Logs schreiben.

Eine Liste der Stackdriver Logging API-Dienstnamen finden Sie unter Dienste zu Ressourcen zuordnen.

Eine Anleitung zum Aktivieren von Audit-Logs zum Datenzugriff finden Sie unter Datenzugriffslogs konfigurieren.

Dienste mit Audit-Logs Administrator-
Aktivitätslogs
Daten-
Zugriffslogs
Access Approval API Beta Nicht verfügbar1
App Engine GA Nicht verfügbar1
Application Identity4 Beta Nicht verfügbar1
BigQuery GA GA2
Cloud AutoML Beta Beta
Cloud Bigtable Beta Nicht verfügbar1
Cloud Billing Beta Nicht verfügbar1
Cloud Composer GA Nicht verfügbar1
Cloud Dataflow GA Nicht verfügbar1
Cloud Dataproc GA GA
Cloud Datastore GA GA6
Cloud Deployment Manager GA GA
Cloud Data Loss Prevention GA GA
Cloud DNS GA GA
Cloud Functions GA GA
Cloud Genomics Beta Beta
Cloud Healthcare Beta Beta
Cloud Identity and Access Management GA GA
Cloud Identity-Aware Proxy Nicht verfügbar3 GA
Cloud IoT Core GA GA
Cloud Key Management Service GA GA
Cloud Memorystore Beta Beta
AI Platform Beta Beta
Cloud Pub/Sub GA GA
Cloud Run Beta Beta
Cloud Source Repositories GA GA
Cloud Spanner GA GA
Cloud SQL GA GA
Cloud Storage5 GA GA
Cloud AutoML Vision GA Nicht verfügbar1
Compute Engine7 GA GA
Serieller Compute Engine-Portzugriff GA Nicht verfügbar1
Container Analysis Beta Beta
Cloud Build GA GA
Dialogflow GA GA
Google Kubernetes Engine GA GA
Service Management GA Nicht verfügbar1
Resource Manager GA GA
Stackdriver Debugger GA GA
Stackdriver Error Reporting GA GA
Stackdriver Logging GA GA
Stackdriver Monitoring GA GA
Stackdriver Trace Nicht verfügbar3 GA
Stackdriver Profiler Nicht verfügbar3 GA

1: Dieser Dienst generiert keine Audit-Logs zum Datenzugriff.
2: Audit-Logs zum Datenzugriff für BigQuery sind standardmäßig aktiviert und werden nicht auf Ihr Logkontingent angerechnet.
3: Dieser Dienst generiert keine Audit-Logs zur Administratoraktivität.
4: Überprüft OAuth 2.0-Client-IDs und Marken
5: Enthält noch keine Anfrage-/Antwortinformationen.
6: Überprüft Anfragen zum Starten verwalteter Import- oder Exportvorgänge. Das Audit umfasst keine entitätsspezifischen Lese-/Schreiblogs für diese Vorgänge.
7: Compute Engine generiert auch Audit-Logs zu Systemereignissen.

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...

Stackdriver Logging