Cloud Audit Logs 的最佳做法

本文档推荐了一系列审核日志记录任务,以帮助您的组织维持安全性并最大限度地降低风险。

本文档并未详尽列出所有建议。相反,它的目标是 以帮助您了解审核日志活动的范围并制定计划 。

各部分均介绍了关键操作,并包含一些深入内容的链接。

了解 Cloud Audit Logs

大多数 Google Cloud 服务都提供审核日志。 Cloud Audit Logs 为每个应用提供以下类型的审核日志 Google Cloud 项目、文件夹和组织:

审核日志类型 可配置 应收款
管理员活动审核日志 否;始终写入
数据访问审核日志
政策拒绝审核日志 是;则可以排除这些日志,避免将其写入日志存储分区
系统事件审核日志 否;始终写入

数据访问审核日志(BigQuery 除外)默认处于停用状态。如果您想为 Google Cloud 写入数据访问审核日志 则必须明确启用它们;有关详情,请参阅 配置数据访问审核日志 页面。

如需了解 Google Cloud 审核日志记录的整体情况,请参阅 Cloud Audit Logs 概览

控制对日志的访问权限

由于审核日志数据的敏感性,为贵组织的用户配置适当的访问控制功能尤为重要。

根据您的合规性和使用要求,请按如下方式设置这些访问控制:

设置 IAM 权限

IAM 权限角色决定了访问审核日志的权限 Logging API 中的数据, Logs ExplorerGoogle Cloud CLI。使用 IAM 授予对特定 Google Cloud 存储桶的精细访问权限,并防止对其他资源进行不必要的访问。

您授予用户的基于权限的角色取决于他们的 审核相关职能部门。例如,您可以向首席技术官授予广泛的管理员权限,而开发者团队成员可能只需要日志查看权限。关于应将哪些角色 授予贵组织的用户的权限,请参阅 为审核日志记录配置角色

设置 IAM 权限时,请采用 最小权限,因此您可以只授予用户对您的资源的必要访问权限:

  • 移除所有非必要用户。
  • 向重要用户授予正确和最低的权限。

如需了解有关设置 IAM 权限的说明,请参阅 管理对项目、文件夹和组织的访问权限

配置日志视图

Logging 收到的所有日志(包括审核日志)都会写入称为日志存储分区的存储容器。借助日志视图,您可以控制有权访问您的日志存储桶中的日志的人员。

由于日志存储分区可以包含多个 Google Cloud 项目的日志, 您可能需要控制不同的用户可以 查看日志。创建自定义日志视图,以便获得更精细的访问权限 对存储分区的控制

有关创建和管理日志视图的说明,请参阅 在日志存储桶上配置日志视图

设置日志字段级访问权限控制

通过字段级访问权限控制,您可以对用户隐藏各个 LogEntry 字段 让您可以更精细地控制 用户可以访问的数据与隐藏整个 LogEntry日志视图相比,字段级访问权限控制可以隐藏 LogEntry 的单个字段。例如,您可能希望从组织中的大多数用户隐去外部用户的个人身份信息(例如日志条目载荷中包含的电子邮件地址)。

如需了解如何配置字段级访问权限控制,请参阅 配置字段级访问权限

配置数据访问审核日志

启用新的 Google Cloud 服务时,请评估是否启用 数据访问审核日志

数据访问审核日志可帮助 Google 支持团队排查您的账号问题。因此,我们建议您尽可能启用数据访问审核日志。

如需为所有服务启用所有审核日志,请按照 更新 Identity and Access Management (IAM) 政策的说明 配置 审核政策

定义组织级数据访问权限政策并启用“数据”后 访问审核日志,使用测试 Google Cloud 项目来验证 配置审核日志收集 组织中的 Google Cloud 生产环境项目。

如需了解如何启用数据访问审核日志,请参阅启用数据访问审核日志

控制日志的存储方式

您可以配置组织存储分区的各个方面,还可以创建 用户定义的存储分区来集中或细分日志存储空间。根据您的合规性和使用要求,您可能需要按如下方式自定义日志存储空间:

  • 选择日志的存储位置。
  • 定义数据保留期限。
  • 使用客户管理的加密密钥 (CMEK) 保护您的日志。

选择日志的存储位置

在 Logging 中,存储分区是区域级资源,即基础设施 用于存储、索引和搜索日志的代码库位于 地理位置

您的组织可能需要将其日志数据存储在特定区域中。选择存储日志的区域时的主要因素包括 满足贵组织的延迟时间、可用性或合规性要求。

要自动将特定存储区域应用于新的 在您的组织中创建的 _Default_Required 个存储分区,您可以执行以下操作: 配置默认资源位置。

如需了解如何配置默认资源位置,请参阅 为组织配置默认设置

定义数据保留期限

Cloud Logging 根据适用于保留日志的日志存储分区类型的保留规则保留日志。

为满足合规性要求,请配置 Cloud Logging,将日志保留期限设为 1 到 3650 天。自定义保留规则适用于存储分区中的所有日志,无论日志类型如何或日志是否从其他位置复制过。

如需了解如何为日志存储桶设置保留规则,请参阅 配置自定义保留

使用客户管理的加密密钥保护您的审核日志

默认情况下,Cloud Logging 会对静态存储的客户内容进行加密。您的 组织可能具有高级加密要求 静态加密所不具备的功能。为满足贵组织的要求,您可以将客户管理的加密密钥 (CMEK) 配置为控制和管理您自己的加密,而不是由 Google 管理用于保护您的数据的密钥加密密钥。

如需了解如何配置 CMEK,请参阅 为日志存储配置 CMEK

价格

Cloud Logging 不会对将日志路由到受支持的目标位置收费;但目标位置可能会收费。除了 _Required 日志存储桶之外, Cloud Logging 将日志流式传输到日志存储分区和 超过日志存储桶默认保留期限的存储。

Cloud Logging 不会对复制日志、定义日志范围或通过日志浏览器Log Analytics 页面发出的查询收费。

有关详情,请参阅以下文档:

在配置和使用审核日志时,建议您采取以下措施 与定价有关的最佳实践:

  • 通过查看您的用量来估算账单 数据并配置提醒政策。

  • 请注意,数据访问审核日志可能很大, 会产生额外的存储费用。

  • 通过排除无用的审核日志来管理费用。 例如,您可以在 Google Analytics 中 开发项目。

查询和查看审核日志

如果您需要进行问题排查,则必须能够快速查看日志。在 Google Cloud 控制台中,使用日志浏览器 来检索贵组织的审核日志条目:

  1. 在 Google Cloud 控制台中,转到 Logs Explorer 页面。

    前往 Logs Explorer

    如果您使用搜索栏查找此页面,请选择子标题为 Logging 的结果。

  2. 选择您的组织。

  3. Query 窗格中,执行以下操作:

    • 资源类型中,选择要查看其审核日志的 Google Cloud 资源。

    • 日志名称中,选择要查看的审核日志类型:

      • 对于管理员活动审核日志,选择 activity
      • 对于数据访问审核日志,选择 data_access
      • 对于系统事件审核日志,选择 system_event
      • 对于政策拒绝审核日志,选择 policy

      如果您没有看到这些选项,则说明其中没有任何审核日志 类型。

    • 在查询编辑器中,进一步指定您要查看的审核日志条目。如需查看常见查询的示例,请参阅 使用日志浏览器的示例查询

  4. 点击运行查询

如需详细了解如何使用日志浏览器进行查询,请参阅在日志浏览器中构建查询

监控审核日志

您可以使用 Cloud Monitoring 在出现描述的条件时通知您。如需向 Cloud Monitoring 提供日志中的数据,Logging 允许您创建基于日志的提醒政策,以便在日志中出现特定事件时通知您。

配置提醒政策,以区分需要立即处理的事件 调查与低优先级活动。例如,如果您想知道 审核日志会记录特定的数据访问消息,您可以 基于日志的提醒政策,该策略与消息匹配,并在出现以下情况时通知您: 消息。

如需了解如何配置基于日志的提醒政策,请参阅管理基于日志的提醒政策

将日志路由到支持的目的地

您的组织可能需要创建和保留审核 日志。借助接收器,您可以路由部分或 将所有日志都保存到这些支持的目标位置:

确定需要文件夹级接收器还是组织级接收器,以及 路由来自组织内所有 Google Cloud 项目的日志,或 使用汇总接收器创建文件夹。对于 例如,您可以考虑以下路由用例:

  • 组织级接收器:如果贵组织使用 SIEM 来管理 那么您可能希望将贵组织的所有 审核日志。因此,组织级层的接收器是合理的。

  • 文件夹级接收器:有时,您可能只希望仅路由部门 审核日志。例如,如果您有“财务”标签,文件夹和 “IT”那么您可能会发现仅路由审核日志才有其价值 属于“财务”类别的反之亦然。

    如需详细了解文件夹和组织,请参阅 资源层次结构

对您在 Google Cloud 上创建的 用于在您应用于日志浏览器时路由日志。

如需了解如何创建和管理汇总接收器,请参阅 整理组织级日志并将其路由到支持的目标位置

了解接收器目标位置中的数据格式

将审核日志路由到 Cloud Logging 之外的目标位置时, 了解已发送的数据的格式。

例如,如果将日志路由到 BigQuery,Cloud Logging 应用规则来缩短以下 BigQuery 架构字段名称 审核日志,以及 结构化载荷字段。

了解和查找您路由的日志条目 将 Cloud Logging 导入支持的目标位置,请参阅 查看接收器目标位置中的日志

复制日志条目

根据贵组织的法规遵从需求,您可能需要将 使用 Logging 之外的审核工具审核日志条目。如果您需要 共享已存储在 Cloud Logging 存储分区中的日志条目, 可以手动将其复制到 Cloud Storage 存储分区。

将日志条目复制到 Cloud Storage 时,日志条目也会保留在复制它们的日志存储桶中。

请注意,复制操作不会 接收器,这些接收器会自动将所有传入日志条目发送到预设的 支持的存储目标位置,包括 Cloud Storage

如需查看有关以追溯方式将日志路由到 Cloud Storage 的说明, 请参阅复制日志条目