Journaux d'audit Cloud

Cloud Audit Logging permet de gérer trois journaux d'audit pour chaque projet, dossier et organisation : le journal pour les activités d'administration, le journal relatif à l'accès aux données et celui des événements système. Les services Google Cloud Platform génèrent des entrées dans ces journaux d'audit pour vous aider à répondre aux questions de type "Qui a fait quoi, où et quand ?"au sein de vos projets GCP.

Pour obtenir une liste des services GCP fournissant des journaux d'audit, consultez la rubrique Services GCP de production des journaux d'audit. Tous les services GCP produiront, à terme, des journaux d'audit.

Journaux d'audit pour les activités d'administration

Les journaux de type "Activités d'administration" contiennent des entrées relatives aux appels d'API et aux autres opérations d'administration qui modifient la configuration ou les métadonnées des ressources. Par exemple, ces journaux enregistrent les actions de création d'instance de VM ou de modification des autorisations Cloud IAM (Identity and Access Management).

Pour afficher ces journaux, vous devez disposer du rôle Cloud IAM Logging/Visionneuse de journaux ou Projet/Lecteur.

Les journaux d'audit pour les activités d'administration sont toujours activés. L'utilisation des journaux d'audit pour vos activités d'administration est gratuite. Pour en savoir plus sur les limitations de l'enregistrement, consultez la section Quotas et limites.

Journaux d'audit pour l'accès aux données

Les journaux d'audit relatifs à l'accès aux données contiennent des appels d'API qui lisent la configuration ou les métadonnées des ressources, et des appels d'API pilotés par l'utilisateur qui créent, modifient ou lisent des données de ressources fournies par l'utilisateur. Les journaux d'audit relatifs à l'accès aux données n'enregistrent pas les opérations d'accès aux données sur les ressources partagées publiquement (accessibles à tous les utilisateurs ou à tous les utilisateurs authentifiés) ou accessibles sans connexion à GCP.

Pour afficher ces journaux, vous devez disposer des rôles Cloud IAM Logging/Visionneuse de journaux privés ou Projet/Propriétaire .

Les journaux d'audit relatifs à l'accès aux données sont désactivés par défaut car ils peuvent être volumineux. Ils doivent être activés explicitement pour être renseignés. L'activation de ces journaux peut entraîner une facturation pour "utilisation de journaux supplémentaires dans le cadre de votre projet". Pour obtenir des instructions sur l'activation et la configuration des journaux d'audit relatifs à l'accès aux données, consultez la section Configurer les journaux d'accès aux données.

Les journaux concernant l'accès aux données de BigQuery ne sont pas gérés de la même façon que les autres journaux d'accès aux données. Les journaux d'audit BigQuery sont toujours renseignés et ne peuvent pas être désactivés. Ils ne comptent pas dans vos quotas de journaux et sont gratuits.

Pour en savoir plus sur les limitations de l'enregistrement, consultez la section Quotas et limites. Pour en savoir plus sur les coûts engendrés, consultez la page Tarifs.

Journaux d'audit d'événements système

Les journaux d'audit des événements système contiennent des entrées relatives aux actions d'administration de GCP qui modifient la configuration des ressources. Les journaux d'audit des événements système sont générés par les systèmes Google. Ils ne sont pas pilotés directement par l'utilisateur.

Pour afficher ces journaux, vous devez disposer du rôle Cloud IAM Logging/Visionneuse de journaux ou Projet/Lecteur.

Les journaux d'audit d'événements système sont toujours activés. L'utilisation de ces journaux d'audit est gratuite. Pour en savoir plus sur les limitations de l'enregistrement, consultez la section Quotas et limites.

Structure des entrées des journaux d'audit

Dans Stackdriver Logging, chaque entrée de journal d'audit est un objet de type LogEntry caractérisé par les informations suivantes :

  • Le projet ou l'organisation propriétaire de l'entrée de journal.
  • La ressource à laquelle l'entrée de journal s'applique. Elle se compose d'un type de ressource issu de la liste des ressources surveillées, ainsi que de valeurs supplémentaires indiquant une instance spécifique.
  • Un nom de journal.
  • Un horodatage.
  • Une charge utile, du type protoPayload. La charge utile de chaque entrée de journal d'audit comprend un objet de type AuditLog ainsi qu'un tampon de protocole, et contient un champ (serviceData) utilisé par certains services pour stocker des informations supplémentaires.

Toutes les entrées des journaux d'audit contiennent le nom d'un journal d'audit, d'une ressource et d'un service. Vous pouvez utiliser ces noms pour filtrer les entrées des journaux d'audit :

  • Nom du journal : les entrées des journaux d'audit sont associées aux journaux des projets, des dossiers et des organisations. Les noms de ces journaux sont répertoriés ci-dessous :
   projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity
   projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access

   folders/[FOLDER_ID]/logs/cloudaudit.googleapis.com%2Factivity
   folders/[FOLDER_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/[FOLDER_ID]/logs/cloudaudit.googleapis.com%2Fsystem_event

   organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Factivity
   organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fsystem_event

Dans un projet, un dossier ou une organisation, ces noms de journal sont généralement abrégés en activity, data_access et system_event.

  • Ressource : chaque entrée de journal d'audit inclut une ressource d'un certain type. Par exemple, vous pouvez afficher les entrées des journaux d'audit provenant d'une seule instance de VM Compute Engine ou de toutes les instances de VM. Ces informations sont répertoriées dans le champ resource.type de l'entrée de journal d'audit.

    Pour obtenir la liste des types de ressources, consultez la section Types de ressources surveillées.

  • Service : les services sont des produits GCP individuels, tels que Compute Engine, Cloud SQL ou Cloud Pub/Sub. Chaque service est identifié par son nom : compute.googleapis.com correspond à Compute Engine, cloudsql.googleapis.com à Cloud SQL, et ainsi de suite. Ces informations sont répertoriées dans le champ protoPayload.serviceName de l'entrée de journal d'audit.

    Les types de ressources appartiennent à un seul service, mais un service peut avoir plusieurs types de ressources. Pour obtenir une liste des services et des ressources, consultez la section Mapper des services sur des ressources.

Pour en savoir plus, consultez la section Types de données du journal d’audit.

Pour comprendre comment lire et interpréter les entrées du journal d'audit, consultez la section Comprendre les journaux d'audit.

Afficher les journaux d'audit

Vous avez plusieurs options pour afficher les entrées de votre journal d'audit :

Interface de base de la visionneuse

Vous pouvez utiliser l'interface de base de la visionneuse de journaux de la console GCP pour récupérer les entrées de votre journal d'audit. Procédez comme suit :

  1. Accédez à la page Stackdriver Logging > Journaux (Visionneuse de journaux) dans la console GCP :

    Accéder à la page de la visionneuse de journaux

  2. Sélectionnez un projet GCP existant en haut de la page, ou créez un projet.

  3. Dans le premier menu déroulant, sélectionnez le type de ressource dont vous souhaitez afficher les journaux d'audit. Vous pouvez sélectionner une ressource spécifique ou l'option Global pour toutes les ressources.

  4. Dans le deuxième menu déroulant, sélectionnez le type de journal à afficher : activity pour les journaux d'audit concernant les activités d'administration, data_access pour les journaux d'audit relatifs à l'accès aux données et system_events pour les journaux d'événements système.

    Si vous ne voyez aucune de ces options, aucun journal d'audit de ce type n'est disponible dans le projet.

Visionneuse avancée

Vous pouvez utiliser l'interface avancée de la visionneuse de journaux de la console GCP pour récupérer les entrées de votre journal d'audit. Procédez comme suit :

  1. Accédez à la page Stackdriver Logging > Journaux (Visionneuse de journaux) dans la console GCP :

    Accéder à la page de la visionneuse de journaux

  2. Sélectionnez un projet GCP existant en haut de la page, ou créez un projet.

  3. Dans le premier menu déroulant, sélectionnez le type de ressource dont vous souhaitez afficher les journaux d'audit. Vous pouvez sélectionner une ressource spécifique ou l'option Global pour toutes les ressources.

  4. Cliquez sur la flèche du menu déroulant (▾) tout à droite du champ de filtre de recherche et sélectionnez Convertir en filtre avancé.

  5. Créez un filtre qui spécifie davantage les entrées de journal que vous voulez afficher. Pour récupérer tous les journaux d'audit de votre projet, ajoutez le filtre suivant. Fournissez un [PROJECT_ID] valide pour chacun des noms de journaux.

      logName = ("projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity"
          OR "projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_events"
          OR "projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access")
    

    Pour en savoir plus sur les filtres, consultez la page Filtres de journaux avancés.

API

Pour examiner les entrées de votre journal d'audit à l'aide de l'API Stackdriver Logging :

  1. Accédez à la section Essayer cette API dans la documentation de la méthode entries.list.

  2. Insérez les éléments suivants dans la partie Corps de la requête du formulaire Essayer cette API. En cliquant sur ce formulaire prérempli, vous remplissez automatiquement le corps de la requête, mais vous devez fournir un ID de projet [PROJECT_ID] valide pour chacun des noms de journaux.

      {
        "resourceNames": [
          "projects/[PROJECT_ID]"
        ],
        "pageSize": 5,
        "filter": "logName=(projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_events OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access)"
      }
    
  3. Cliquez sur Exécuter.

Pour en savoir plus sur les filtres, consultez la page Filtres de journaux avancés.

SDK

Pour lire vos entrées de journal à l'aide du SDK Cloud, exécutez la commande suivante. Fournissez un [PROJECT_ID] valide pour chacun des noms de journaux.

gcloud logging read "logName=(projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_events OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access)

Consultez Lire les entrées de journaux pour plus d'informations sur l'utilisation du SDK Cloud.

Utiliser la page "Activité"

Vous pouvez afficher des entrées abrégées des journaux d'audit au niveau du projet dans la page Activité de votre projet dans la console GCP. Accédez à la page Accueil > Activité. Utilisez l'option Filtre pour sélectionner les entrées à afficher. Les entrées réelles du journal d'audit peuvent contenir plus d'informations que celles affichées dans la page Activité.

Accéder à la page "Activité"

Dans la page "Activité", dans laquelle l'identité associée aux actions consignées est renseignée par l'entrée du journal d'audit, la valeur User (anonymized) est affichée. Pour en savoir plus, consultez la section Identités d'utilisateur dans les journaux d'audit.

Exporter des journaux d'audit

Vous pouvez également exporter des entrées des journaux d'audit vers Stackdriver Logging ou vers certains services GCP.

Pour exporter des entrées du journal d'audit en dehors de Logging, créez un récepteur de journaux. Appliquez un filtre au récepteur pour spécifier les types de journaux d'audit que vous souhaitez exporter. Vous trouverez des exemples de filtres dans la page Filtres de journaux de sécurité.

Si vous souhaitez exporter des entrées de journal d'audit pour une organisation, un dossier ou un compte de facturation GCP, consultez la page Exportations agrégées.

Conserver des journaux d'audit

Les entrées individuelles des journaux d'audit sont conservées pendant la période spécifiée puis supprimées. Pour en savoir plus sur la durée de conservation des entrées de journal par Stackdriver Logging, consultez la section idoine de la page Quotas et limites. Vous ne pouvez pas supprimer ou modifier les journaux d'audit ou leurs entrées d'une autre façon.

Type de journal d'audit Durée de conservation
Activité d'administration 400 jours
Accès aux données 30 jours
#system-event 400 jours

Vous pouvez exporter les entrées de journaux d'audit comme toutes les autres entrées de journaux Logging afin de les conserver aussi longtemps que vous le souhaitez.

Identités d'utilisateur dans les journaux d'audit

Les journaux d'audit enregistrent l'identité qui a réalisé les actions journalisées. Cette identité est consignée dans le champ AuthenticationInfo des objets AuditLog.

L'identité de l'utilisateur est indisponible ou masquée dans les cas suivants :

  • Tous les journaux d'audit : pour des raisons de confidentialité, l'adresse e-mail principale est masquée pour toutes les opérations réalisées en lecture seule qui échouent et renvoient une erreur "Autorisation refusée".

  • App Engine : les identités ne sont pas collectées à partir de l'ancienne API App Engine.

  • BigQuery : les identités et les adresses IP des appelants sont actuellement masquées au niveau des journaux d'audit, sauf si au moins l'une des conditions suivantes est remplie :

    • Il ne s'agit pas d'un accès en lecture seule.
    • L'identité est un compte de service appartenant au projet.
    • L'identité est membre du domaine associé au projet.

    Dans ce contexte, le domaine du projet est un paramètre BigQuery. Si vous souhaitez modifier le domaine associé à votre projet, contactez l'assistance BigQuery.

    Des règles supplémentaires s'appliquent pour l'accès aux données inter-projets :

    Ici, le projet de facturation est celui qui émet la requête, et le projet de données est celui dont les ressources sont également accessibles pendant la tâche. On peut prendre comme exemple une tâche de requête dans un projet de facturation qui lit des données de table à partir du projet de données.

    L'ID de ressource du projet de facturation sera supprimé du journal du projet de données, sauf si les projets sont associés au même domaine ou à la même organisation.

    Les identités et les adresses IP des appelants seront supprimées du journal du projet de données, sauf si l'une des conditions ci-dessus s'applique ou si :

    • le projet de facturation et le projet de données sont associés au même domaine ou à la même organisation, et si le projet de facturation inclut déjà l'identité et l'adresse IP de l'appelant ;
    • l'identité est autorisée à exécuter des requêtes dans le projet et qu'il s'agit d'une action job.insert.

Si vous affichez les journaux d'audit à l'aide de la page "Activité" de la console Google Cloud Platform, la valeur User (anonymized) s'affiche pour toutes les entrées de journal où l'identité est renseignée ou vide.

Services Google générant des journaux d'audit

Les tableaux ci-dessous répertorient les services Google qui génèrent des journaux d'audit pour les activités d'administration ou l'accès aux données. GD indique qu'un type de journal est généralement disponible pour un service. Bêta indique qu'un type de journal est disponible, mais peut faire l'objet de modifications susceptibles d'affecter la rétrocompatibilité. En outre, cela implique qu'il n'est sujet à aucun contrat de niveau de service ni aucun règlement d'obsolescence.

Services GCP de production des journaux d'audit

Services GCP avec journaux d'audit Journaux
pour les activités
d'administration
Journaux
pour l'accès
aux données
API des autorisations d'accès Bêta N/D1
App Engine GD N/D1
Identité de l'application4 Bêta N/D1
BigQuery GD GD2
Cloud AutoML Bêta Bêta
Cloud Bigtable Bêta N/D1
Cloud Billing Bêta N/D1
Cloud Composer GD N/D1
Cloud Dataflow GD N/D1
Cloud Dataproc GD GD
Cloud Datastore GD GD6
Cloud Deployment Manager GD GD
Cloud Data Loss Prevention GD GD
Cloud DNS GD GD
Cloud Functions GD GD
Cloud Genomics Bêta Bêta
Cloud Healthcare Bêta Bêta
Cloud Identity and Access Management GD GD
Cloud Identity-Aware Proxy N/D3 GD
Cloud IoT Core GD GD
Cloud Key Management Service GD GD
Cloud Memorystore Bêta Bêta
AI Platform Bêta Bêta
Cloud Pub/Sub GD GD
Cloud Run Bêta Bêta
Cloud Source Repositories GD GD
Cloud Spanner GD GD
Cloud SQL GD GD
Cloud Storage5 GD GD
Cloud AutoML Vision GD N/D1
Compute Engine7 GD GD
Accès au port série de Compute Engine GD N/D1
Container Analysis Bêta Bêta
Cloud Build GD GD
Dialogflow GD GD
Google Kubernetes Engine GD GD
Service Management GD N/D1
Resource Manager GD GD
Stackdriver Debugger GD GD
Stackdriver Error Reporting GD GD
Stackdriver Logging GD GD
Stackdriver Monitoring GD GD
Stackdriver Trace N/D3 GD
Stackdriver Profiler N/D3 GD

Services G Suite générant des journaux d'audit

Services G Suite avec journaux d'audit Journaux
pour les activités
d'administration
Journaux
pour l'accès
aux données
Enterprise Groups GD N/D1

Le nom du journal d'audit G Suite est organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Factivity. Les journaux d'audit G Suite utilisent le type de ressource audited_resource.

Pour davantage de contexte, consultez l'article Aide Administrateur G Suite.

1 : Ce service ne génère pas de journaux d'audit relatifs à l'accès aux données.
2 : Les journaux d'audit de BigQuery relatifs à l'accès aux données sont activés par défaut et ne sont pas comptabilisés dans votre allocation de journaux.
3 : Ce service ne génère pas de journaux d'audit pour les activités d'administration.
4 : Effectue un audit des ID clients et marques OAuth 2.0.
5 : N'inclut pas encore les informations de demande/réponse.
6 : Effectue un audit des demandes pour lancer des opérations d'importation ou d'exportation gérées. L'audit n'inclut pas les journaux de lecture/écriture spécifiques à une entité pour ces opérations.
7 : Compute Engine génère également des journaux d'audit pour les événements système.

Cette page vous a-t-elle été utile ? Évaluez-la :

Envoyer des commentaires concernant…

Stackdriver Logging
Besoin d'aide ? Consultez notre page d'assistance.