Cloud Audit Logs 的最佳做法

本文档推荐了一系列审核日志记录任务，以帮助您的组织维护安全性并最大限度地降低风险。

本文档并未详尽列出所有建议。其目标是帮助您了解审核日志活动的范围并相应地进行规划。

各部分均介绍了关键操作，并包含一些深入内容的链接。

了解 Cloud Audit Logs

审核日志适用于大多数 Google Cloud 服务。Cloud Audit Logs 会为每个 Google Cloud 项目、文件夹和组织提供以下类型的审核日志：

审核日志类型	可配置	应收款
管理员活动审核日志	否；一律写入	否
数据访问审核日志	是	是
政策拒绝审核日志	是；您可以排除这些日志，使其不写入日志存储分区	是
系统事件审核日志	否；一律写入	否

数据访问审核日志（BigQuery 除外）默认处于停用状态。如果您希望为 Google Cloud 服务写入数据访问审核日志，则必须明确启用这些日志；如需了解详情，请参阅本页面上的配置数据访问审核日志。

如需了解 Google Cloud 审核日志记录的总体情况，请参阅 Cloud Audit Logs 概览。

控制对日志的访问权限

由于审核日志数据的敏感性，为组织用户配置适当的访问权限控制尤为重要。

根据您的合规性和使用要求，按如下方式设置这些访问权限控制：

• 设置 IAM 权限
• 配置日志视图
• 设置日志条目字段级访问权限控制

设置 IAM 权限

IAM 权限和角色决定了用户对 Logging API、Logs Explorer 和 Google Cloud CLI 中审核日志数据的访问权限。使用 IAM 可以授予对特定 Google Cloud 存储分区的精细访问权限，并防止对其他资源进行不必要的访问。

您授予用户的基于权限的角色取决于他们在组织中与审核相关的职能。例如，您可以向 CTO 授予宽泛的管理权限，而开发者团队成员可能需要日志查看权限。如需了解如何为组织用户授予哪些角色，请参阅配置审核日志记录角色。

设置 IAM 权限时，请应用最小权限安全原则，因此您只需向用户授予对您的资源的必要访问权限：

• 移除所有非必要用户。
• 向重要用户授予正确和最低的权限。

如需了解有关设置 IAM 权限的说明，请参阅管理对项目、文件夹和组织的访问权限。

配置日志视图

Logging 接收的所有日志（包括审核日志）都会写入称为日志存储分区的存储容器。通过日志视图，您可以控制哪些人有权访问您的日志存储分区中的日志。

由于日志存储分区可以包含多个 Google Cloud 项目中的日志，因此您可能需要控制不同用户可以查看哪些 Google Cloud 项目中的日志。创建自定义日志视图，以便对这些存储分区进行更精细的访问权限控制。

如需了解如何创建和管理日志视图，请参阅在日志存储桶上配置日志视图。

设置日志字段级访问权限控制

通过字段级访问权限控制，您可以对 Google Cloud 项目的用户隐藏各个 LogEntry 字段，从而更精细地控制用户可以访问的日志数据。与会隐藏整个 LogEntry 的日志视图相比，字段级访问权限控制会隐藏 LogEntry 的各个字段。例如，您可能希望对组织的大多数用户隐去外部用户个人身份信息（例如日志条目载荷中包含的电子邮件地址）。

如需了解如何配置字段级访问权限控制，请参阅配置字段级访问权限。

配置数据访问审核日志

启用新的 Google Cloud 服务时，请评估是否启用数据访问审核日志。

数据访问审核日志可帮助 Google 支持团队排查您的账号问题。因此，我们建议您尽可能启用数据访问审核日志。

如需为所有服务启用所有审核日志，请按照说明使用审核政策中列出的配置更新 Identity and Access Management (IAM) 政策。

定义组织级数据访问政策并启用数据访问审核日志后，请先使用测试 Google Cloud 项目来验证审核日志收集的配置，然后再在组织中创建开发者和生产 Google Cloud 项目。

如需了解如何启用数据访问审核日志，请参阅启用数据访问审核日志。

控制日志的存储方式

您可以配置组织存储分区的各个方面，还可以创建用户定义的存储分区，以集中或细分日志存储空间。根据您的合规性和使用要求，您可能需要按如下方式自定义日志存储：

• 选择日志的存储位置。
• 定义数据保留期限。
• 使用客户管理的加密密钥 (CMEK) 保护您的日志。

选择日志的存储位置

在 Logging 中，存储分区是区域级资源：用于存储日志、为其编制索引以及搜索日志的基础架构位于特定地理位置。

您的组织可能需要将其日志数据存储在特定区域中。选择日志存储区域的主要因素包括满足组织的延迟时间、可用性或合规性要求。

如需自动将特定存储区域应用于在组织中创建的新 _Default 和 _Required 存储分区，您可以配置默认资源位置。

如需了解如何配置默认资源位置，请参阅为组织配置默认设置。

定义数据保留期限

Cloud Logging 根据适用于保留日志的日志存储桶类型的保留规则保留日志。

为满足您的合规性需求，请配置 Cloud Logging，将日志保留 1 到 3650 天。自定义保留规则适用于存储桶中的所有日志，无论日志类型如何或日志是否从其他位置复制过。

如需了解如何为日志存储桶设置保留规则，请参阅配置自定义保留。

使用客户管理的加密密钥保护您的审核日志

默认情况下，Cloud Logging 会对静态存储的客户内容进行加密。您的组织可能具有默认静态加密所未提供的高级加密要求。为了满足您的组织的要求，您可以配置客户管理的加密密钥 (CMEK) 来控制和管理您自己的加密，而不是由 Google 管理用于保护数据的密钥加密密钥。

如需了解如何配置 CMEK，请参阅为日志存储配置 CMEK。

价格

Cloud Logging 不会将日志路由到受支持的目的地；但是，该目的地可能会产生费用。除 _Required 日志存储桶外，Cloud Logging 会针对将日志流式传输到日志存储桶以及超出日志存储桶默认保留期限的存储收取费用。

Cloud Logging 不会就复制日志或通过日志浏览器页面或日志分析页面发出的查询收费。

有关详情，请参阅以下文档：

• Cloud Logging 价格摘要

• 目标页面费用：

  • Cloud Storage 价格
  • BigQuery 价格
  • Pub/Sub 价格
  • Cloud Logging 价格
• 当您在 Cloud Logging 中发送 Virtual Private Cloud 流日志后又将其排除时，需支付 VPC 流日志生成费用。

在配置和使用审核日志时，我们建议您遵循以下与价格相关的最佳实践：

• 通过查看使用情况数据和配置提醒政策来估算帐单。

• 请注意，数据访问审核日志可能很大，并且可能会产生额外的存储费用。

• 通过排除无用的审核日志来管理费用。例如，您可以在开发项目中排除数据访问审核日志。

查询和查看审核日志

如果您需要排查问题，则需要能够快速查看日志。在 Google Cloud 控制台中，使用日志浏览器检索贵组织的审核日志条目：

1. 在 Google Cloud 控制台中，转到 Logs Explorer 页面：

   前往 Logs Explorer

   如果您使用搜索栏查找此页面，请选择子标题为 Logging 的结果。

2. 选择您的组织。

3. 在 Query 窗格中，执行以下操作：

   • 在资源类型中，选择要查看其审核日志的 Google Cloud 资源。

   • 在日志名称中，选择要查看的审核日志类型：

     • 对于管理员活动审核日志，选择 activity。
     • 对于数据访问审核日志，选择 data_access。
     • 对于系统事件审核日志，选择 system_event。
     • 对于政策拒绝审核日志，选择 policy。

     如果您没有看到这些选项，则表示组织中没有任何该类型的审核日志。

   • 在查询编辑器中，进一步指定要查看的审核日志条目。如需查看常见查询的示例，请参阅使用日志浏览器执行的查询示例。

4. 点击运行查询。

如需详细了解如何使用日志浏览器进行查询，请参阅在日志浏览器中构建查询。

监控审核日志

您可以使用 Cloud Monitoring 在您所描述的条件发生时通知您。为了向 Cloud Monitoring 提供日志数据，Logging 允许您创建基于日志的提醒政策，以便在日志中出现特定事件时通知您。

配置提醒政策，以区分需要立即调查的事件和低优先级事件。例如，如果您想知道审核日志何时记录了特定的数据访问消息，您可以创建基于日志的提醒政策，该政策与消息匹配，并在消息出现时通知您。

如需了解如何配置基于日志的提醒政策，请参阅管理基于日志的提醒政策。

将日志路由到支持的目的地

您的组织可能需要创建和保留审核日志。使用接收器，您可以将部分或全部日志路由到以下受支持的目标位置：

• Cloud Storage
• Pub/Sub，包括 Splunk 等第三方
• BigQuery
• 其他 Cloud Logging 存储桶

确定需要文件夹级接收器还是组织级接收器，并使用汇总接收器路由组织或文件夹内所有 Google Cloud 项目的日志。例如，您可以考虑以下路由用例：

• 组织级接收器：如果组织使用 SIEM 管理多个审核日志，则您可能需要路由组织的所有审核日志。因此，组织级层的接收器是合理的。

• 文件夹级接收器：有时，您可能只希望路由部门审核日志。例如，如果您有一个“Finance”文件夹和一个“IT”文件夹，您可能会发现仅路由属于“Finance”文件夹的审核日志，反之亦然。

  如需详细了解文件夹和组织，请参阅资源层次结构。

对用于路由日志的 Google Cloud 目标位置应用与应用于日志浏览器相同的访问权限政策。

如需了解如何创建和管理汇总接收器，请参阅整理组织级日志并将其路由到受支持的目标位置。

了解接收器目标位置中的数据格式

将审核日志路由到 Cloud Logging 以外的目标位置时，请了解已发送的数据的格式。

例如，如果将日志路由到 BigQuery，则 Cloud Logging 会应用规则来缩短审核日志和某些结构化载荷字段的 BigQuery 架构字段名称的长度。

如需了解和查找从 Cloud Logging 路由到受支持的目标位置的日志条目，请参阅查看接收器目标位置的日志。

复制日志条目

根据贵组织的合规性需求，您可能需要与 Logging 之外的审核人员共享审核日志条目。如果您需要共享已存储在 Cloud Logging 存储分区中的日志条目，可以手动将其复制到 Cloud Storage 存储分区。

将日志条目复制到 Cloud Storage 时，日志条目也会保留在复制它们的日志存储桶中。

请注意，复制操作不会替换接收器，接收器会自动将所有传入的日志条目发送到预先选择的支持的存储目标位置，包括 Cloud Storage。

如需了解如何将日志追溯路由到 Cloud Storage，请参阅复制日志条目。