读取 Access Transparency 日志

本页面介绍 Access Transparency 日志条目的内容。

Access Transparency 日志详情

Access Transparency 可为您提供有关 Google 员工在您的 Google Cloud Platform 组织中所采取操作的日志。借助 Access Transparency 日志以及 Cloud Audit Logs 日志(其中记录了您自己的内部成员所采取的操作),您可以了解何人何时在何处执行了哪些操作。

Access Transparency 日志可以与现有的安全信息和事件管理 (SIEM) 工具集成,以自动审核这些操作。这些日志以及 Cloud Audit Logs 日志均可在 Google Cloud Platform Console 中查看。

Access Transparency 日志条目包含以下类型的信息:

  • 受影响的资源和操作。
  • 操作的执行时间。
  • 执行该操作的原因(例如,与客户支持请求有关的案例号)。
  • 有关对数据采取操作的用户的数据(例如,Google 员工的所在地)。

设置 Access Transparency

要配置 Access Transparency 日志,请参阅 Access Transparency 概览

查看 Access Transparency 日志

为 GCP 组织配置 Access Transparency 后,通过为用户或组分配私密日志查看者角色来设置控件,控制哪些人可以访问 Access Transparency 日志。如需了解详情,请参阅 Logging 访问控制指南

要了解如何在日志查看器中查看 Access Transparency 日志,请参阅查看日志

您可以使用 Stackdriver API 或使用 Cloud Functions 来监控日志。要使用此功能,请参阅 Stackdriver Monitoring 文档

可选:创建一个基于日志的指标,然后设置一项提醒政策,以便及时了解这些审核日志中呈现的问题。

Access Transparency 日志示例

以下是一个 Access Transparency 日志条目的示例。

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/[BUCKET_NAME]/objects/foo123"
    }
  ]
 }
 logName:  "projects/[PROJECT_NAME]/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

日志字段说明

字段 说明
insertId 日志的唯一标识符。
@type Access Transparency 日志标识符。
principalOfficeCountry 可以是国家/地区的 ISO 3166-1 两字母国家/地区代码(如果访问者在该国家/地区拥有永久办公地点)、?? (如果位置未知)或大洲的三字符标识符(如果 Google 员工身处低人口国家/地区)。
principalEmployingEntity 雇佣了访问者的 Google 实体(例如 Google LLC)。
principalPhysicalLocationCountry 可以是发起访问的国家/地区的 ISO 3166-1 两字母国家/地区代码、?? (如果位置未知)或大洲的三字符标识符(如果 Google 员工身处低人口国家/地区)。
product 被访问的客户 GCP 产品。
reason:detail 原因的详细信息,例如支持服务工单 ID。
reason:type 访问原因类型(例如 CUSTOMER_INTIATED_SUPPORT))。
accesses:methodName 所发起访问的访问(例如 GoogleInternal.Read)。
accesses:resourceName 被访问资源的名称
logName 日志位置的名称。
operation:id 日志集群 ID。
receiveTimestamp 日志记录流水线接收访问的时间。
project_id 与被访问资源相关联的项目。
type 被访问资源的类型(例如 project)。
severity 日志严重性。
timestamp 写入日志的时间。

理由原因代码

原因 说明
CUSTOMER_INTIATED_SUPPORT 客户发起的支持,例如,Case Number: ####
GOOGLE_INITIATED_SERVICE Google 发起了执行系统管理和问题排查的访问,包括:
  • 从服务中断和系统故障中进行备份和恢复
  • 调查以确认客户未受到可疑服务问题的影响
  • 修复技术问题,例如存储故障或数据损坏
THIRD_PARTY_DATA_REQUEST Google 通过客户发起的访问来响应法律要求或司法程序,包括当响应要求 Google 访问其数据的客户的司法程序时。请注意,在这种情况下,如果 Google 无法以合法方式告知客户此类要求或程序,则 Access Transparency 日志可能不可用。
GOOGLE_INITIATED_REVIEW Google 发起了针对安全性、欺诈、滥用或合规性目的访问,包括:
  • 确保客户帐号和数据的安全性
  • 确认数据是否受到可能影响帐号安全的事件(例如,恶意软件感染)的影响
  • 确认客户是否按照 Google 服务条款使用 Google 服务
  • 调查其他用户和客户的投诉,或是否存在其他滥用行为的迹象
  • 检查 Google 服务的使用是否符合相关合规性制度(例如,反洗钱条例)
此页内容是否有用?请给出您的反馈和评价:

发送以下问题的反馈:

此网页
Stackdriver Logging
需要帮助?请访问我们的支持页面