Cloud Audit Logs 的最佳做法

本文档推荐了一系列审核日志记录任务，以帮助您的组织维护安全性并最大限度地降低风险。

本文档并未列出所有建议，其目标而是帮助您了解审核日志记录活动的范围并相应地做出规划。

各部分均介绍了关键操作，并包含一些深入内容的链接。

了解 Cloud Audit Logs

大多数 Google Cloud 服务都支持审核日志。Cloud Audit Logs 会为每个 Google Cloud 项目、结算账号、文件夹和组织提供以下类型的审核日志：

审核日志类型	可配置	应收款
管理员活动审核日志	否；始终写入	否
数据访问审核日志	是	是
政策拒绝审核日志	可以；您可以禁止将这些日志写入日志存储分区	是
系统事件审核日志	否；始终写入	否

数据访问审核日志（BigQuery 除外）默认处于停用状态。如果您想为 Google Cloud 服务写入数据访问审核日志，则必须明确启用这些日志；如需了解详情，请参阅本页中的配置数据访问审核日志。

如需了解 Google Cloud 审核日志记录的整体情况，请参阅 Cloud Audit Logs 概览。

控制对日志的访问权限

由于审核日志数据的敏感性，为贵组织的用户配置适当的访问控制功能尤为重要。

根据您的合规性和使用要求，请按如下方式设置这些访问控制：

• 设置 IAM 权限
• 配置日志视图
• 设置日志条目字段级访问权限控制

设置 IAM 权限

IAM 权限和角色决定用户能否在 Logging API、Logs Explorer 和 Google Cloud CLI 中访问审核日志数据。使用 IAM 授予对特定 Google Cloud 存储分区的精细访问权限，并防止对其他资源的不必要访问。

您向用户授予的基于权限的角色取决于他们在贵组织中执行的与审核相关的职能。例如，您可以向首席技术官授予广泛的管理员权限，而开发者团队成员可能只需要日志查看权限。如需有关向贵组织用户授予哪些角色的指南，请参阅为审核日志记录配置角色。

设置 IAM 权限时，请遵循最小权限安全原则，只向用户授予对您资源的必要访问权限：

• 移除所有不必要的用户。
• 向关键用户授予正确且最少的权限。

如需了解如何设置 IAM 权限，请参阅管理对项目、文件夹和组织的访问权限。

配置日志视图

Logging 收到的所有日志（包括审核日志）都会写入称为日志存储分区的存储容器。借助日志视图，您可以控制有权访问您的日志存储分区中的日志的人员。

由于日志存储分区可以包含来自多个 Google Cloud 项目的日志，因此您可能需要控制不同用户可以查看哪些 Google Cloud 项目的日志。创建自定义日志视图，可让您对这些存储分区进行更精细的访问权限控制。

您可以使用日志浏览器或 Log Analytics 查询日志视图。如需了解详情，请参阅查询和查看日志概览。

如需了解如何创建和管理日志视图，请参阅在日志存储桶中配置日志视图。

设置日志字段级访问权限控制

借助字段级访问权限控制，您可以对 Google Cloud 项目的用户隐藏各个 LogEntry 字段，从而提供更精细的方法来控制用户可以访问的数据。与隐藏整个 LogEntry 的日志视图相比，字段级访问权限控制可以隐藏 LogEntry 的单个字段。例如，您可能希望从组织中的大多数用户隐去外部用户的个人身份信息（例如日志条目载荷中包含的电子邮件地址）。

如果您打算使用 Log Analytics 分析审核日志，请勿在存储这些日志的日志存储桶上配置字段级访问控制。您无法对已配置字段级访问权限控制的日志存储分区使用日志分析。

如需了解如何配置字段级访问权限控制，请参阅配置字段级访问权限。

配置数据访问审核日志

启用新的 Google Cloud 服务时，请评估是否启用数据访问审核日志。

数据访问审核日志可帮助 Google 支持团队排查您的账号问题。因此，我们建议您尽可能启用数据访问审核日志。

如需为所有服务启用所有审核日志，请按照 Identity and Access Management (IAM) 政策更新说明使用审核政策中列出的配置进行操作。

定义组织级数据访问政策并启用数据访问审核日志后，请使用 Google Cloud 测试项目验证审核日志收集的配置，然后再在组织中创建开发者和生产 Google Cloud 项目。

如需了解如何启用数据访问审核日志，请参阅启用数据访问审核日志。

控制日志的存储方式

您可以配置组织存储分区的各个方面，还可以创建用户定义的存储分区，以集中或细分日志存储空间。根据您的合规性和使用要求，您可能需要按如下方式自定义日志存储空间：

• 选择日志的存储位置。

• 定义数据保留期限。

• 使用客户管理的加密密钥 (CMEK) 保护日志。

选择日志的存储位置

在 Logging 中，存储分区是区域资源：用于存储、索引和搜索日志的基础架构位于特定的地理位置。

您的组织可能需要将其日志数据存储在特定区域中。在选择存储日志的区域时，主要的考虑因素包括满足贵组织的延迟时间、可用性或合规性要求。

如需将特定存储区域自动应用于在贵组织中创建的新 _Default 和 _Required 存储分区，您可以配置默认资源位置。

如需了解如何配置默认资源位置，请参阅为组织配置默认设置。

定义数据保留期限

Cloud Logging 根据适用于保留日志的日志存储分区类型的保留规则保留日志。

为满足您的合规性需求，请配置 Cloud Logging，将日志保留期限设为 1 到 3650 天。自定义保留规则适用于存储分区中的所有日志，无论日志类型如何或日志是否从其他位置复制过。

如需了解如何为日志存储桶设置保留规则，请参阅配置自定义保留期限。

使用客户管理的加密密钥保护审核日志

默认情况下，Cloud Logging 会对静态存储的客户内容进行加密。您的组织可能设有默认静态加密不提供的高级加密要求。为满足贵组织的要求，您可以将客户管理的加密密钥 (CMEK) 配置为控制和管理您自己的加密，而不是由 Google 管理用于保护您的数据的密钥加密密钥。

如需了解如何配置 CMEK，请参阅为日志存储空间配置 CMEK。

价格

Cloud Logging 不会对将日志路由到受支持的目标位置收费；但目标位置可能会收费。除了 _Required 日志存储桶外，Cloud Logging 会对将日志流式传输到日志存储桶以及存储时间超过日志存储桶默认保留期限的部分收费。

Cloud Logging 不会对复制日志、定义日志范围或通过日志浏览器或 Log Analytics 页面发出的查询收费。

有关详情，请参阅以下文档：

• Cloud Logging 价格摘要

• 目标位置费用：

  • Cloud Storage 价格
  • BigQuery 价格
  • Pub/Sub 价格
  • Cloud Logging 价格
• 如果您在发送 Virtual Private Cloud 流日志后又从 Cloud Logging 中排除这些日志，则需支付 VPC 流日志生成费用。

在配置和使用审核日志时，我们建议您遵循以下与价格相关的最佳实践：

• 通过查看使用情况数据和配置提醒政策来估算账单。

• 请注意，数据访问审核日志可能非常庞大，并且可能产生额外的存储成本。

• 通过排除无用的审核日志来控制费用。例如，您可能需要在开发项目中排除数据访问审核日志。

查询和查看审核日志

如果您需要进行问题排查，则必须能够快速查看日志。在 Google Cloud 控制台中，使用日志浏览器检索组织的审核日志条目：

1. 在 Google Cloud 控制台中，转到 Logs Explorer 页面。

   前往 Logs Explorer

   如果您使用搜索栏查找此页面，请选择子标题为 Logging 的结果。

2. 选择您的组织。

3. 在查询窗格中，执行以下操作：

   • 在资源类型中，选择要查看其审核日志的 Google Cloud 资源。

   • 在日志名称中，选择要查看的审核日志类型：

     • 对于管理员活动审核日志，选择 activity。
     • 对于数据访问审核日志，选择 data_access。
     • 对于系统事件审核日志，选择 system_event。
     • 对于政策拒绝审核日志，选择 policy。

     如果您没有看到这些选项，则表示该组织中没有该类型的审核日志。

   • 在查询编辑器中，进一步指定您要查看的审核日志条目。如需查看常见查询示例，请参阅使用日志浏览器的查询示例。

4. 点击运行查询。

如需详细了解如何使用日志浏览器进行查询，请参阅在日志浏览器中构建查询。

监控审核日志

您可以使用 Cloud Monitoring 在出现描述的条件时通知您。如需向 Cloud Monitoring 提供日志中的数据，Logging 允许您创建基于日志的提醒政策，以便在日志中出现特定事件时通知您。

配置提醒政策来区分需要立即调查的事件和低优先级事件。例如，如果您想了解审核日志何时记录特定数据访问消息，则可以创建一个基于日志的提醒政策来匹配该消息并在该消息出现时通知您。

如需了解如何配置基于日志的提醒政策，请参阅管理基于日志的提醒政策。

将日志路由到支持的目的地

贵组织可能需要遵守有关创建和保留审核日志的要求。借助接收器，您可以将部分或全部日志路由到以下受支持的目标位置：

• Cloud Storage

• Pub/Sub，包括 Splunk 等第三方

• BigQuery

• 另一个 Cloud Logging 存储桶

确定您需要文件夹级接收器还是组织级接收器，并使用汇总接收器将组织或文件夹内所有 Google Cloud 项目的日志转送到接收器。例如，您可以考虑以下路由用例：

• 组织级接收器：如果贵组织使用 SIEM 管理多个审核日志，则您可能需要将贵组织的所有审核日志路由到一个位置。因此，组织级接收器是有意义的。

• 文件夹级接收器：有时，您可能只希望路由部门审核日志。例如，如果您有一个“Finance”文件夹和一个“IT”文件夹，您可能只需要路由属于“Finance”文件夹的审核日志，反之亦然。

  如需详细了解文件夹和组织，请参阅资源层次结构。

对您用于路由日志的 Google Cloud 目标位置应用与日志浏览器相同的访问权限政策。

如需了解如何创建和管理汇总接收器，请参阅整理组织级日志并将其路由到支持的目标位置。

了解接收器目标位置中的数据格式

将审核日志路由到 Cloud Logging 以外的目标位置时，请了解已发送数据的格式。

例如，如果将日志路由到 BigQuery，Cloud Logging 会应用规则来缩短审核日志和某些结构化载荷字段的 BigQuery 架构字段名称。

如需了解和查找从 Cloud Logging 路由到受支持的目标位置的日志条目，请参阅查看接收器目标位置的日志。

复制日志条目

根据贵组织的合规性需求，您可能需要与 Logging 外部的审核人员共享审核日志条目。如果您需要共享已存储在 Cloud Logging 存储分区中的日志条目，可以将其手动复制到 Cloud Storage 存储分区。

将日志条目复制到 Cloud Storage 时，日志条目也会保留在复制它们的日志存储桶中。

请注意，复制操作不会替换接收器，后者会自动将所有传入的日志条目发送到预先选定的受支持存储目标位置（包括 Cloud Storage）。

如需了解如何追溯地将日志路由到 Cloud Storage，请参阅复制日志条目。