本指南介绍了配置 Cloud Audit Logs 的最佳做法,以满足您的组织在安全性、调查和合规性方面的日志记录需求。
简介
Cloud Audit Logs 可帮助安全、审核和合规性实体来维护 Google Cloud 中的审核跟踪记录。借助 Cloud Audit Logs,您的企业可在 Google Cloud 中如同在本地环境中一样透明地了解管理活动以及数据的访问情况。
配置 Cloud Audit Logs
确定并应用组织级层的数据访问政策。如需了解详情,请参阅配置数据访问审核日志。
使用 Google Cloud 测试项目来验证数据访问审核日志收集的配置,然后再传递给开发者和生产项目。
采用最小权限方式来授予权限。
默认情况下,数据访问审核日志处于关闭状态。启用新的 Google Cloud 服务时,请评估是否为其启用数据访问审核日志。默认情况下,只有 BigQuery 启用了数据访问审核日志。
考虑价格影响。
在适当的 Google Cloud 资源级层为审核日志配置导出。
配置提醒来区分需要立即调查的事件和低优先级事件。
价格注意事项
请注意,数据访问审核日志可能非常庞大,并且可能产生额外的存储成本。如需了解价格信息,请参阅价格:Logging 详情。
请务必排除无用的日志记录数据。
- 例如,您不需要在开发项目中记录数据访问审核日志。
最低权限
确保您已应用适当的 Identity and Access Management 控制,通过向用户授予相应的 Cloud Logging 角色来限制哪些人可以访问审核日志。
使用为审核日志记录配置角色指南。
对您用于导出日志的 Google Cloud 目标位置应用与日志浏览器相同的访问权限政策。
查看和理解日志
如果您需要进行问题排查,则必须能够快速查看日志:
了解用于查看审核日志的选项。
- 如需了解详情,请参阅使用日志浏览器。
了解审核日志条目的格式。
- 如果要导出到 BigQuery,请了解已导出数据的格式以及如何查询已导出数据。如需了解详情,请参阅导出日志的 BigQuery 架构。
了解日记记录查询语言,并使用它来配置查询、接收器和提醒。
如需创建日志记录查询,请使用将服务映射到资源类型表格。
请对您的支持团队进行培训,让其了解如何使用审核日志记录功能来协助进行问题排查。
请确保您的支持团队可以访问审核日志。
为可能轮替的支持团队成员提供快速方法指南,帮助他们了解如何排查常见问题。
导出配置
设计汇总接收器,供您的组织查询数据,以及导出数据以便日后进行分析。
大多数导出作业都是在 Google Cloud 项目级层完成的。确定需要文件夹级层导出还是组织级层导出,以便在 IAM 组织级层或文件夹级层设置接收器,以及从组织或文件夹内的所有项目导出日志。例如,您可以根据自己的导出用例考虑这些导出级层:
组织级层导出。如果您的组织使用 SIEM 管理多个审核日志,则您可能需要导出组织的所有审核日志。因此,组织级层导出是有意义的。
文件夹级层导出。有时您可能只希望导出部门审核日志。例如,如果您有一个“Finance”文件夹和一个“IT”文件夹,您可能只需要导出属于“Finance”文件夹的审核日志,反之亦然。
如需了解详情,请参阅资源层次结构。
确定是否需要导出日志以进行长期保留;如果需要,请先设置日志接收器,然后再开始接收日志。您无法回溯性地导出在创建接收器之前写入的日志。
例如,以下
gcloud命令行工具命令会将您的整个 Google Cloud 组织中的所有管理员活动审核日志发送到单个 BigQuery 接收器:gcloud logging sinks create my-bq-sinkbigquery.googleapis.com/projects/my-project/datasets/my_dataset--log-filter='logName: "logs/cloudaudit.googleapis.com%2Factivity"' --organization=1234 --include-children
注意,您的导出内容可能会产生目标位置费用。
请遵循常见日志记录导出场景中的最佳做法。
将 Compute Engine 防火墙日志导出到与审核日志相同的接收器。