Comprendre les journaux d'audit

Cette page décrit en détail les entrées des journaux d'audit Cloud : leur structure, leur lecture et leur interprétation.

Cloud Audit Logs gère les journaux d'audit suivants pour chaque projet, dossier et organisation Google Cloud :

  • Journaux d'audit pour les activités d'administration
  • Journaux d'audit des accès aux données
  • Journaux d'audit des événements système
  • Journaux d'audit des refus de règles

Pour découvrir Cloud Audit Logging, consultez la page Cloud Audit Logging.

Format des entrées du journal d'audit

Une entrée de journal d'audit est un type d'entrée de journal de Cloud Logging. Comme toutes les entrées du journal Logging, une entrée du journal d'audit est stockée dans un objet LogEntry. Ce qui distingue une entrée de journal d'audit des autres entrées de journal est le champ protoPayload. Dans les entrées du journal d'audit, le champ protoPayload de l'entrée de journal contient un objet AuditLog qui stocke les données de journalisation d'audit.

En résumé, chaque entrée de journal d'audit est caractérisée par les informations suivantes :

  • Le projet, le dossier ou l'organisation propriétaire de l'entrée de journal.
  • La ressource à laquelle l'entrée de journal s'applique. Ces informations sont constituées d'un type de ressource issu de la liste de ressources surveillées et de valeurs supplémentaires indiquant une instance spécifique. Par exemple, vous pouvez afficher les entrées des journaux d'audit provenant d'une seule instance de VM Compute Engine ou de toutes les instances de VM.
  • Un horodatage

  • Un service : les services sont des produits Google Cloud individuels, tels que Compute Engine, Cloud SQL ou Pub/Sub. Chaque service est identifié par son nom : compute.googleapis.com correspond à Compute Engine, cloudsql.googleapis.com à Cloud SQL, et ainsi de suite. Ces informations sont répertoriées dans le champ protoPayload.serviceName de l'entrée du journal d'audit.

    Les types de ressources appartiennent à un seul service, mais un service peut avoir plusieurs types de ressources. Pour obtenir une liste des services et des ressources, consultez la section Mapper des services sur des ressources.

  • Charge utile, de type protoPayload. La charge utile de chaque entrée de journal d'audit est un objet de type AuditLog, qui définit un ensemble de champs spécifiques aux journaux d'audit Cloud, tels que serviceName et authenticationInfo. Il comporte également un champ facultatif, metadata, que les services Google Cloud utilisent pour répertorier des valeurs dans l'entrée de journal d'audit. Certains services Google Cloud utilisent toujours ancien champ serviceData pour répertorier les informations spécifiques au service. Pour obtenir la liste des services qui utilisent le champ serviceData, consultez la section Données d'audit spécifiques au service.

  • Un nom du journal : les entrées des journaux d'audit sont associées aux journaux des projets, des dossiers et des organisations. Les noms de ces journaux sont répertoriés ci-dessous :

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Factivity
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Dans un projet, un dossier ou une organisation, ces noms de journal sont généralement abrégés en activity, data_access, system_event et policy.

Exemple d'entrée de journal d'audit

Cette section utilise un exemple d'entrée de journal d'audit pour expliquer comment y trouver les informations les plus importantes.

L'exemple suivant est une entrée de journal d'audit des activités d'administration écrite par App Engine pour enregistrer une modification une stratégie Identity and Access Management (IAM) avec PROJECT_ID my-gcp-project-id. Par souci de concision, certaines parties de l'entrée de journal sont omises et certains champs sont mis en évidence :

    {
      protoPayload: {
        @type: "type.googleapis.com/google.cloud.audit.AuditLog",
        status: {},
        authenticationInfo: {
          principalEmail: "user@example.com"
        },
        serviceName: "appengine.googleapis.com",
        methodName: "SetIamPolicy",
        authorizationInfo: [...],
        serviceData: {
          @type: "type.googleapis.com/google.appengine.legacy.AuditData",
          policyDelta: { bindingDeltas: [
              action: "ADD",
              role: "roles/logging.privateLogViewer",
              member: "user:user@example.com"
          ], }
        },
        request: {
          resource: "my-gcp-project-id",
          policy: { bindings: [...], }
        },
        response: {
          bindings: [
            {
              role: "roles/logging.privateLogViewer",
              members: [ "user:user@example.com" ]
            }
          ],
        }
      },
      insertId: "53179D9A9B559.AD6ACC7.B40604EF",
      resource: {
        type: "gae_app",
        labels: { project_id: "my-gcp-project-id" }
      },
      timestamp: "2019-05-27T16:24:56.135Z",
      severity: "NOTICE",
      logName: "projects/my-gcp-project-id/logs/cloudaudit.googleapis.com%2Factivity",
    }

Voici la requête utilisée pour sélectionner l'exemple d'entrée de journal d'audit ci-dessus. Vous pouvez l'utiliser dans l'explorateur de journaux, l'API Logging ou la Google Cloud CLI. L'identifiant du projet est compris dans le nom du journal et la requête est rapide, car le champ logName est indexé :

    resource.type = "gae_app"
    logName = "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity"

Si vous recherchez des journaux d'audit à partir d'une seule instance d'un type de ressource, tel que gce_instance, ajoutez un qualificateur d'instance :

    resource.type = "gce_instance"
    resource.instance_id = "INSTANCE_ID"
    logName = "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity"

Interpréter l'exemple d'entrée de journal d'audit

Dans l'exemple d'entrée de journal d'audit ci-dessus, les champs protoPayload, insertId, resource, timestamp, severity et logName font partie de l'objet LogEntry. La valeur du champ protoPayload est un objet AuditLog. Il encapsule les données des journaux d'audit.

En examinant l'exemple d'entrée du journal d'audit ci-dessus, vous pouvez avoir quelques questions :

  • S'agit-il d'une entrée de journal d'audit ? Oui, pour deux raisons :

    • Le champ protoPayload.@type correspond à type.googleapis.com/google.cloud.audit.AuditLog.

    • Le champ logName inclut le domaine cloudaudit.googleapis.com.

  • Quel service a écrit le journal d'audit ? Le journal a été écrit par App Engine. Ces informations sont répertoriées dans le champ protoPayload.serviceName de l'entrée du journal d'audit.

  • Quelle opération est en cours d'audit ? SetIamPolicy, comme indiqué dans le champ protoPayload.methodName, est en cours d'audit. Vous trouverez plus d'informations sur l'opération auditée dans l'objet AuditData dans protoPayload.serviceData.

  • Quelle ressource est en cours d'audit ? Une application exécutée dans App Engine, associée à un projet Google Cloud my-gcp-project-id, est en cours d'audit. Vous pouvez la déterminer à partir du champ resource, qui spécifie le type de ressource gae_app et l'identifiant du projet my-gcp-project-id. Dans cet exemple, vous trouverez des détails sur le type de ressource dans la liste des types de ressources surveillées.

Pour plus d'informations, consultez le type LogEntry, le type AuditLog et le type IAM AuditData.

Journaux d'audit pour les opérations de longue durée

Les API qui sont des opérations de longue durée émettent deux les journaux d'audit ; une lorsque l'API est appelée et que l'opération démarre. une fois l'opération terminée.

Dans ce cas, l'objet LogEntry contient un champ operation. Entrées de journal pour la même opération ont la même valeur pour LogEntry.operation.id et LogEntry.operation.producer. Le premier journal écrit contient LogEntry.operation.first=true, et le journal d'achèvement indique LogEntry.operation.last=true.

Si l'opération se termine immédiatement, un seul journal contenant à la fois LogEntry.operation.first=true et LogEntry.operation.last=true.

Ces API mettent en œuvre les opérations Google Cloud. Ce service émet généralement des journaux d'audit lorsqu'il est appelé. En fonction des API appelées, protoPayload.methodName est l'un des éléments suivants:

  • google.longrunning.Operations.ListOperations
  • google.longrunning.Operations.GetOperation
  • google.longrunning.Operations.CancelOperation
  • google.longrunning.Operations.WaitOperation
  • google.longrunning.Operations.DeleteOperation

LogEntry.operation n'est pas spécifié dans ce cas, car cette API renvoie des métadonnées sur les opérations de longue durée, mais n'est pas elle-même une opération de longue durée.

Pour en savoir plus, consultez Services Google avec journaux d'audit. sur les API auditées, car elles peuvent varier selon les services.

Journaux d'audit pour les API de streaming

Comme pour les opérations de longue durée, les API de streaming émettent deux journaux d'audit : un lors du premier appel de l'API et un à la fin de la connexion de streaming.

Dans ce cas, l'objet LogEntry contient un champ operation et des entrées de journal. pour la même opération ont la même valeur pour LogEntry.operation.id et LogEntry.operation.producer. Le premier journal écrit contient LogEntry.operation.first=true, et le journal de fin contient LogEntry.operation.last=true.

Cette API peut également émettre des journaux de continuation sans LogEntry.operation.first ni LogEntry.operation.last défini pour indiquer que le flux reste ouvert.

Données d'audit spécifiques au service

Certains services étendent les informations stockées dans leur journal d'audit AuditLog en plaçant une structure de données supplémentaire dans le champ serviceData du journal d'audit. Le tableau suivant répertorie les services qui utilisent le champ serviceData et fournit un lien vers leur type AuditData.

Service Type de données de service
App Engine type.googleapis.com/google.appengine.v1.AuditData
App Engine (ancien) type.googleapis.com/google.appengine.legacy.AuditData
BigQuery type.googleapis.com/google.cloud.bigquery.logging.v1.AuditData
IAM type.googleapis.com/google.iam.v1.logging.AuditData

Afficher les journaux d'audit

Vous pouvez interroger tous les journaux d'audit ou interroger les journaux selon leur nom de journal d'audit. Le nom du journal d'audit inclut l'identifiant de ressource du projet, du dossier, du compte de facturation ou de l'organisation Google Cloud dont vous souhaitez afficher les informations de journalisation d'audit. Vos requêtes peuvent spécifier des champs LogEntry indexés. Si vous utilisez la page Analyse de journaux, qui est compatible avec les requêtes SQL, vous pouvez afficher les résultats de votre requête sous forme de graphique.

Pour en savoir plus sur l'interrogation de journaux, consultez les pages suivantes :

Vous pouvez afficher les journaux d'audit dans Cloud Logging à l'aide de la console Google Cloud, de Google Cloud CLI ou de l'API Logging.

Console

Vous pouvez utiliser l'explorateur de journaux de la console Google Cloud pour récupérer les entrées du journal d'audit de votre projet, dossier ou organisation Google Cloud :

  1. Dans la console Google Cloud, accédez à la page Explorateur de journaux.

    Accéder à l'explorateur de journaux

    Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Logging.

  2. Sélectionnez un projet, une organisation ou un dossier Google Cloud existant.

  3. Pour afficher tous les journaux d'audit, saisissez l'une des requêtes suivantes dans le champ de l'éditeur de requête, puis cliquez sur Exécuter la requête :

    logName:"cloudaudit.googleapis.com"

    protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog"

  4. Pour afficher les journaux d'audit d'une ressource et d'un type de journal d'audit spécifiques, accédez au volet Générateur de requêtes et procédez comme suit :

    • Dans Type de ressource, sélectionnez la ressource Google Cloud dont vous souhaitez afficher les journaux d'audit.

    • Dans Nom du journal, sélectionnez le type de journal d'audit que vous souhaitez afficher :

      • Pour les journaux d'audit pour les activités d'administration, sélectionnez activity.
      • Pour les journaux d'audit des accès aux données, sélectionnez data_access.
      • Pour les journaux d'audit des événements système, sélectionnez system_event.
      • Pour les journaux d'audit des refus de règles, sélectionnez policy.

    • Cliquez sur Exécuter la requête.

    Si ces options ne sont pas visibles, cela signifie qu'aucun journal d'audit de ce type n'est disponible dans le projet, le dossier ou l'organisation Google Cloud.

    Si vous rencontrez des problèmes lors de la tentative d'affichage de journaux dans l'explorateur de journaux, consultez les informations de dépannage.

    Pour en savoir plus sur l'utilisation de l'explorateur de journaux pour effectuer des requêtes, consultez la page Créer des requêtes dans l'explorateur de journaux. Pour en savoir plus sur la synthèse des entrées de journal dans l'explorateur de journaux à l'aide de Gemini, consultez la page Synthétiser les entrées de journal avec l'assistance Gemini.

gcloud

Google Cloud CLI fournit une interface de ligne de commande à l'API Logging. Fournissez un identifiant de ressource valide dans chacun des noms de journaux. Par exemple, si votre requête inclut un PROJECT_ID, l'identifiant de projet que vous fournissez doit faire référence au projet Google Cloud actuellement sélectionné.

Pour lire les entrées de journal d'audit au niveau du projet Google Cloud, exécutez la commande suivante :

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

Pour lire les entrées de journal d'audit au niveau d'un dossier, exécutez la commande suivante :

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

Pour lire les entrées de journal d'audit au niveau de l'organisation, exécutez la commande suivante :

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

Pour lire les entrées de journal d'audit au niveau de votre compte de facturation Cloud, exécutez la commande suivante :

gcloud logging read "logName : billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com" \
    --billing-account=BILLING_ACCOUNT_ID

Ajoutez l'option --freshness à votre commande pour lire les journaux datant de plus d'une journée.

Pour en savoir plus sur l'utilisation de gcloud CLI, consultez la page gcloud logging read.

API

Lors de la création de vos requêtes, fournissez un identifiant de ressource valide dans chacun des noms de journaux. Par exemple, si votre requête inclut un PROJECT_ID, l'identifiant de projet que vous fournissez doit faire référence au projet Google Cloud actuellement sélectionné.

Par exemple, pour utiliser l'API Logging afin d'afficher les entrées de journal d'audit au niveau d'un projet, procédez comme suit :

  1. Accédez à la section Essayer cette API dans la documentation de la méthode entries.list.

  2. Insérez les éléments suivants dans la partie Corps de la requête du formulaire Essayer cette API. En cliquant sur ce formulaire prérempli, vous remplissez automatiquement le corps de la requête mais vous devez fournir un ID de projet PROJECT_ID valide pour chaque nom de journal.

    {
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}

  3. Cliquez sur Exécuter.