Cloud Audit Logs

Cloud Audit Logs 为每个 Google Cloud 项目、文件夹和组织维护三种审核日志:管理员活动数据访问系统事件。Google Cloud 服务会将审核日志条目写入这些日志,以帮助您了解在您的 Google Cloud 资源中“哪些用户何时在何处执行了什么操作”。

如需查看可提供审核日志的 Google Cloud 服务的列表,请转到具有审核日志的 Google 服务。所有 Google Cloud 服务最终都会提供审核日志。

管理员活动审核日志

管理员活动审核日志包含 API 调用或其他用于修改资源配置或元数据的管理操作对应的日志条目。例如,这些日志会记录用户创建虚拟机实例或更改 Cloud Identity and Access Management 权限的时间。

如需查看这些日志,您必须具有下列 Cloud IAM 角色:Logging/Logs ViewerProject/Viewer

管理员活动审核日志始终会写入;您无法配置或停用它们。管理员活动审核日志可免费使用。如需详细了解 Logging 使用量限额,请参阅配额和限制

数据访问审核日志

数据访问审核日志包含用于读取资源配置或元数据的 API 调用,以及用户进行的用于创建、修改或读取用户提供的资源数据的 API 调用。数据访问审核日志不会记录对公开共享(所有用户所有经过身份验证的用户均可使用)的资源或无需登录 Google Cloud 即可访问的资源执行的数据访问操作。

如需查看这些日志,您必须具有以下 Cloud IAM 角色:Logging/Private Logs ViewerProject/Owner

数据访问审核日志默认处于停用状态,因为它们可能很大;必须明确启用这些日志才能写入。启用这些日志可能导致我们因额外的日志使用量而对您的项目收取费用。有关启用和配置数据访问审核日志的说明,请参阅配置数据访问日志

如需详细了解日志记录用量限制,请参阅配额和限制。如需详细了解可能产生的费用,请参阅价格

系统事件审核日志

系统事件审核日志包含修改资源配置的 Google Cloud 管理操作所对应的日志条目。系统事件审核日志是 Google 系统生成的;而不是通过直接用户操作生成的。

如需查看这些日志,您必须具有下列 Cloud IAM 角色:Logging/Logs ViewerProject/Viewer

系统事件审核日志始终会写入;您无法配置或停用它们。系统事件审核日志可免费使用。如需详细了解 Logging 使用量限额,请参阅配额和限制

审核日志条目结构

Cloud Logging 中的每个审核日志条目都是类型为 LogEntry 的对象。审核日志条目与其他日志条目的区别在于 protoPayload 字段;此字段包含用于存储审核日志数据的 AuditLog 对象。

如需了解如何读取和解读审核日志条目,请查看了解审核日志

查看审核日志

如需查找和查看审核日志,您需要知道要查看其审核日志信息的 Google Cloud 项目、文件夹或组织的标识符。您可以进一步指定其他已编入索引的 LogEntry 字段,如 resource.type;如需了解详情,请查看快速查找日志条目

以下是审核日志名称:

       projects/project-id/logs/cloudaudit.googleapis.com%2Factivity
       projects/project-id/logs/cloudaudit.googleapis.com%2Fdata_access
       projects/project-id/logs/cloudaudit.googleapis.com%2Fsystem_event

       folders/folder-id/logs/cloudaudit.googleapis.com%2Factivity
       folders/folder-id/logs/cloudaudit.googleapis.com%2Fdata_access
       folders/folder-id/logs/cloudaudit.googleapis.com%2Fsystem_event

       organizations/organization-id/logs/cloudaudit.googleapis.com%2Factivity
       organizations/organization-id/logs/cloudaudit.googleapis.com%2Fdata_access
       organizations/organization-id/logs/cloudaudit.googleapis.com%2Fsystem_event
    

以下示例使用项目级层查询。如果要查看组织级层或文件夹级层的审核日志,请替换为审核日志名称中列出的适当文件夹级层或组织级层审核日志名称或标识符。

您可以通过多种方式来查看审核日志条目:

Cloud Console

您可以使用 Cloud Console 中的日志查看器来检索您的 Google Cloud 项目的审核日志条目。执行以下操作:

  1. 转到 Cloud Console 中的Google Cloud 的操作套件 Logging > 日志(日志查看器)页面:

    转到“日志查看器”页面

  2. 在页面顶部选择一个现有 Google Cloud 项目,或者创建一个新项目。

  3. 在第一个下拉菜单中,选择您要查看其审核日志的资源类型。

  4. 在第二个下拉菜单中,选择您要查看的日志类型:activity 表示管理员活动审核日志,data_access 表示数据访问审核日志,system_events 表示系统事件审核日志。

    如果您没有看到以上任何选项,则表明项目中没有该类型的审核日志。

如果您希望将现有搜索限制为仅搜索审核日志,请执行以下操作:

  1. 在搜索过滤条件框中,点击下拉箭头 (▾),然后选择转换为高级过滤条件

  2. 在出现的文本框中,在 resource.type 行下方添加以下查询。请注意,您提供的 project-id 必须引用当前选定的 Google Cloud 项目;否则,该查询将不起作用。

            logName : "projects/project-id/logs/cloudaudit.googleapis.com"
        

    如果您希望查看项目的所有可用审核日志,请仅在查询中包含上述内容。如需详细了解查询,请参阅高级日志查询

API

若要使用 Logging API 查看审核日志条目,请执行以下操作:

  1. 转到 entries.list 方法文档中的试用此 API 部分。

  2. 将以下内容加入试用此 API 表单的请求正文部分。点击此预填充的表单后,系统会自动填充请求正文,但您需要在每个日志名称中提供一个有效的 project-id

              {
                "resourceNames": [
                  "projects/project-id"
                ],
                "pageSize": 5,
                "filter": "logName : projects/project-id/logs/cloudaudit.googleapis.com"
              }
        
  3. 点击执行

如需详细了解查询,请参阅高级日志查询

GCLOUD

Cloud SDK 有一组命令 gcloud logging,用于为 Cloud Logging API 提供命令行界面。如需读取您的日志条目,请运行以下命令。在每个日志名称中提供有效的 project-id

        gcloud logging read "logName : projects/project-id/logs/cloudaudit.googleapis.com"

如需详细了解如何使用 gcloud 命令行工具,请参阅读取日志条目

如需查看审核日志条目示例并了解如何在其中找到最重要的信息,请参阅了解审核日志

使用“活动”页面

您可以在 Cloud Console 中您的项目的活动页面查看缩写的项目级层审核日志条目。转到主页 > 活动页面。使用过滤条件来选择要查看的条目。实际审核日志条目包含的信息量可能超过活动页面中显示的信息。

转到“活动”页面

在“活动”页面中,如果系统在审核日志条目中遮盖用于执行记录操作的身份,则会显示 User (anonymized)。如需了解详情,请参阅此页上的审核日志中的用户身份

导出审核日志

您可以将审核日志条目导出到 Cloud Logging 或某些 Google Cloud 服务。

如需将审核日志条目导出到 Logging 以外,您需要创建日志接收器。为接收器指定一个查询,指定要导出的审核日志类型;如需了解查询示例,请转到安全日志记录查询

如想导出 Google Cloud 组织,文件夹或结算帐号的审核日志条目,请查阅聚合接收器

审核日志保留

各个审核日志条目会保留一段指定的时间,之后会被删除。如需详细了解 Logging 将保留日志条目多长时间,请参阅配额和限制中的保留期限信息。您无法以其他方式删除或修改审核日志或其条目。

审核日志类型 保留期限
管理员活动 400 天
数据访问 30 天
系统事件 400 天

如需延长保留期限,您可以像导出其他任何 Logging 日志条目一样导出审核日志条目,并根据需要保留这些条目。

审核日志中的调用方身份

审核日志会记录对 Google Cloud 资源执行已记录操作的身份。调用者的身份保存在 AuditLog 对象的 AuthenticationInfo 字段中。

在以下情况下,如果符合所有条件,审核日志中的调用方主电子邮件地址将被遮盖:

  • 这是一项只读操作。
  • 操作失败,显示“权限被拒绝”错误。
  • 如果身份是服务帐号,且该身份不是与资源相关联的 Google Cloud 组织的成员。如果身份不是服务帐号,则此条件不适用。

除了上面列出的条件外,以下条件适用于某些 Google Cloud 产品:

如果您使用 Google Cloud Console “活动”页面查看审核日志,则对于身份被遮盖或为空的日志条目,系统显示 User (anonymized)

生成审核日志的 Google 服务

如需查看可提供审核日志的 Google Cloud 服务的列表,请转到具有审核日志的 Google 服务。所有 Google Cloud 服务最终都会提供审核日志。