이 페이지에서는 Cloud 감사 로그의 로그 항목 구조, 읽는 방법, 해석 방법에 대해 자세히 설명합니다.
Cloud 감사 로그는 각 Google Cloud 프로젝트, 폴더, 조직에 대해 다음 감사 로그를 제공합니다.
- 관리자 활동 감사 로그
- 데이터 액세스 감사 로그
- 시스템 이벤트 감사 로그
- 정책 거부 감사 로그
Cloud 감사 로그의 일반적인 개요는 Cloud 감사 로그를 참조하세요.
감사 로그 항목의 형식
감사 로그 항목은 Cloud Logging 로그 항목 유형입니다. 모든 Logging 로그 항목과 마찬가지로 감사 로그 항목도 LogEntry 객체에 저장됩니다. 감사 로그 항목과 다른 로그 항목의 차이점은 protoPayload 필드입니다. 감사 로그 항목에는 로그 항목의 protoPayload 필드에 감사 로깅 데이터가 저장되는 AuditLog 객체가 있습니다.
즉, 모든 감사 로그 항목은 다음 정보로 특성화됩니다.
- 로그 항목을 소유한 프로젝트, 폴더 또는 조직
- 로그 항목이 적용되는 리소스. 이 정보는 모니터링 리소스 목록의 리소스 유형과 특정 인스턴스를 나타내는 추가 값으로 구성됩니다. 예를 들어 단일 Compute Engine VM 인스턴스 또는 모든 VM 인스턴스의 감사 로그 항목을 볼 수 있습니다.
- 타임스탬프
서비스: 서비스는 Compute Engine, Cloud SQL 또는 Pub/Sub와 같은 개별 Google Cloud 제품입니다. 각 서비스는 이름으로 식별됩니다. 즉, Compute Engine 이름은
compute.googleapis.com이고, Cloud SQL 이름은cloudsql.googleapis.com입니다. 이 정보는 감사 로그 항목의protoPayload.serviceName필드에 나열됩니다.리소스 유형은 하나의 서비스에 속하지만 한 서비스가 여러 리소스 유형을 가질 수 있습니다. 서비스 및 리소스 목록은 서비스를 리소스에 매핑을 참조하세요.
protoPayload유형인 페이로드 각 감사 로그 항목의 페이로드는AuditLog유형의 객체로,serviceName및authenticationInfo와 같이 Cloud 감사 로그와 관련된 필드 집합을 정의합니다. Google Cloud 서비스에서 서비스별 정보를 감사 로그 항목으로 나열하는 데 사용하는metadata필드(선택사항)도 포함합니다. 일부 Google Cloud 서비스는 여전히 이전serviceData필드를 사용하여 서비스별 정보를 나열합니다.serviceData필드를 사용하는 서비스 목록은 서비스별 감사 데이터를 참조하세요.로그 이름: 감사 로그 항목은 프로젝트, 폴더, 조직 내의 로그에 속합니다. 로그 이름은 다음과 같이 나열됩니다.
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Factivity billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fdata_access billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fpolicy organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy
프로젝트, 폴더, 조직 내에서 이러한 로그 이름은 일반적으로 activity ,data_access ,system_event, policy로 축약되어 표시됩니다.
샘플 감사 로그 항목
이 섹션에서는 샘플 감사 로그 항목을 사용하여 감사 로그 항목에 포함된 가장 중요한 정보를 찾는 방법에 대해 설명합니다.
다음 샘플은 PROJECT_ID my-gcp-project-id로 Identity and Access Management(IAM) 정책 변경사항을 기록하기 위해 App Engine에서 작성하는 관리자 활동 감사 로그 항목입니다. 간략한 설명을 위해 로그 항목 중 일부를 생략하고 필드 몇 개를 강조표시하였습니다.
{
protoPayload: {
@type: "type.googleapis.com/google.cloud.audit.AuditLog",
status: {},
authenticationInfo: {
principalEmail: "user@example.com"
},
serviceName: "appengine.googleapis.com",
methodName: "SetIamPolicy",
authorizationInfo: [...],
serviceData: {
@type: "type.googleapis.com/google.appengine.legacy.AuditData",
policyDelta: { bindingDeltas: [
action: "ADD",
role: "roles/logging.privateLogViewer",
member: "user:user@example.com"
], }
},
request: {
resource: "my-gcp-project-id",
policy: { bindings: [...], }
},
response: {
bindings: [
{
role: "roles/logging.privateLogViewer",
members: [ "user:user@example.com" ]
}
],
}
},
insertId: "53179D9A9B559.AD6ACC7.B40604EF",
resource: {
type: "gae_app",
labels: { project_id: "my-gcp-project-id" }
},
timestamp: "2019-05-27T16:24:56.135Z",
severity: "NOTICE",
logName: "projects/my-gcp-project-id/logs/cloudaudit.googleapis.com%2Factivity",
}
위의 감사 로그 항목 샘플을 선택하는 데 사용된 쿼리는 다음과 같습니다.
로그 탐색기, Logging API, Google Cloud CLI에서 사용할 수 있습니다.
프로젝트 식별자는 로그 이름에 있으며 logName 필드의 색인이 생성되어 있으므로 쿼리 속도가 빠릅니다.
resource.type = "gae_app"
logName = "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity"
gce_instance와 같은 리소스 유형의 단일 인스턴스에서 감사 로그를 찾고 있다면 인스턴스 한정자를 추가합니다.
resource.type = "gce_instance"
resource.instance_id = "INSTANCE_ID"
logName = "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity"
샘플 감사 로그 항목의 해석
위의 감사 로그 항목 샘플에 표시된 protoPayload, insertId, resource, timestamp, severity, logName 필드는 LogEntry 객체의 일부입니다. protoPayload 필드의 값인 AuditLog 객체는 감사 로깅 데이터를 캡슐화합니다.
위의 감사 로그 항목 샘플을 살펴볼 때 다음과 같은 점이 궁금할 수 있습니다.
감사 로그 항목인가요? 두 가지 방법으로 감사 로그인지 확인할 수 있습니다.
protoPayload.@type필드는type.googleapis.com/google.cloud.audit.AuditLog입니다.logName필드는cloudaudit.googleapis.com도메인을 포함합니다.
어떤 서비스에서 감사 로그를 작성했나요? App Engine에서 로그를 작성했으며 이 정보는 감사 로그 항목의
protoPayload.serviceName필드에 나열됩니다.어떤 작업이 감사되나요?
protoPayload.methodName필드에 지정된 대로SetIamPolicy가 감사됩니다. 감사 대상 작업에 대한 추가 정보는protoPayload.serviceData의AuditData객체에 있습니다.어떤 리소스가 감사되나요? Google Cloud 프로젝트
my-gcp-project-id와 연결된 App Engine에서 실행되는 애플리케이션이 감사됩니다. 이 리소스는 리소스 유형gae_app과 프로젝트 식별자my-gcp-project-id가 지정된resource필드에서 결정할 수 있습니다. 이 예시에서는 모니터링 리소스 유형 목록의 리소스 유형에 대한 세부정보를 찾을 수 있습니다.
자세한 내용은 LogEntry 유형, AuditLog 유형, IAM AuditData 유형을 참조하세요.
대용량 또는 장기 실행 감사 로그 항목
작업이 비동기식으로 실행되거나 대용량의 AuditLog 레코드가 생성될 경우 감사 대상 작업 하나가 여러 로그 항목으로 분할됩니다. 동일한 작업에 대한 로그 항목이 여러 개 있으면 LogEntry 객체에 operation 필드가 포함되고 동일한 작업의 로그 항목은 LogEntry.operation.id와 LogEntry.operation.producer 값이 같습니다.
앞의 감사 로그 항목 샘플에는 operation 필드가 표시되지 않았는데, 이는 모든 감사 정보가 단일 로그 항목에 포함되어 있다는 의미입니다.
서비스별 감사 데이터
일부 서비스는 감사 로그의 serviceData 필드에 보충 데이터 구조를 배치하여 AuditLog에 저장된 정보를 확장합니다. 다음 표에는 serviceData 필드를 사용하는 서비스와 AuditData 유형으로 연결되는 링크가 나와 있습니다.
감사 로그 보기
모든 감사 로그를 쿼리하거나 감사 로그 이름별로 로그를 쿼리할 수 있습니다. 감사 로그 이름에는 감사 로깅 정보를 보려는 Google Cloud 프로젝트, 폴더, 결제 계정 또는 조직의 리소스 식별자가 포함됩니다.
쿼리에서 색인이 생성된 LogEntry 필드를 지정할 수 있으며 SQL 쿼리를 지원하는 로그 애널리틱스 페이지를 사용하는 경우 쿼리 결과를 차트로 볼 수 있습니다.
로그 쿼리에 대한 자세한 내용은 다음 페이지를 참조하세요.
Google Cloud 콘솔, Google Cloud CLI 또는 Logging API를 사용하여 Cloud Logging에서 감사 로그를 볼 수 있습니다.콘솔
Google Cloud 콘솔에서 로그 탐색기를 사용하여 Google Cloud 프로젝트, 폴더 또는 조직의 감사 로그 항목을 검색할 수 있습니다.
-
Google Cloud 콘솔의 탐색 패널에서 Logging을 선택한 후 로그 탐색기를 선택합니다.
기존 Google Cloud 프로젝트, 폴더 또는 조직을 선택합니다.
모든 감사 로그를 표시하려면 쿼리 편집기 필드에 다음 쿼리 중 하나를 입력한 후 쿼리 실행을 클릭합니다.
logName:"cloudaudit.googleapis.com"
protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog"
특정 리소스 및 감사 로그 유형에 대한 감사 로그를 표시하려면 쿼리 빌더 창에서 다음을 수행합니다.
리소스 유형에서 감사 로그를 확인할 Google Cloud 리소스를 선택하세요.
로그 이름에서 확인할 감사 로그 유형을 선택합니다.
- 관리자 활동 감사 로그의 경우 activity를 선택합니다.
- 데이터 액세스 감사 로그의 경우 data_access를 선택합니다.
- 시스템 이벤트 감사 로그의 경우 system_event를 선택합니다.
- 정책 거부 감사 로그의 경우 정책을 선택합니다.
쿼리 실행을 클릭합니다.
이러한 옵션 중 어느 것도 표시되지 않으면 Google Cloud 프로젝트나 폴더, 조직에 해당 유형의 감사 로그가 없다는 의미입니다.
로그 탐색기에서 로그를 확인하려고 할 때 문제가 발생하는 경우 문제 해결 정보를 참조하세요.
로그 탐색기를 사용한 쿼리에 대한 상세 설명은 로그 탐색기에서 쿼리 빌드를 참조하세요. Gemini를 사용하여 로그 탐색기에서 로그 항목을 요약하는 방법에 대해 자세히 알아보려면 Gemini 지원으로 로그 항목 요약하기를 참조하세요.
gcloud
Google Cloud CLI는 Logging API에 명령줄 인터페이스를 제공합니다. 각 로그 이름에 유효한 리소스 식별자를 제공합니다. 예를 들어 쿼리에 PROJECT_ID가 포함된 경우 제공한 프로젝트 식별자가 현재 선택된 Google Cloud 프로젝트를 참조해야 합니다.
Google Cloud 프로젝트 수준의 감사 로그 항목을 읽으려면 다음 명령어를 실행합니다.
gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
--project=PROJECT_ID
폴더 수준의 감사 로그 항목을 읽으려면 다음 명령어를 실행합니다.
gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
--folder=FOLDER_ID
조직 수준의 감사 로그 항목을 읽으려면 다음 명령어를 실행합니다.
gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
--organization=ORGANIZATION_ID
Cloud Billing 계정 수준의 감사 로그 항목을 읽으려면 다음 명령어를 실행합니다.
gcloud logging read "logName : billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com" \
--billing-account=BILLING_ACCOUNT_ID
1일 이상 된 로그를 읽으려면 명령어에 --freshness 플래그를 추가합니다.
gcloud CLI 사용에 대한 상세 설명은 gcloud logging read를 참조하세요.
API
쿼리를 빌드할 때 각 로그 이름에 유효한 리소스 식별자를 제공합니다. 예를 들어 쿼리에 PROJECT_ID가 포함된 경우 제공한 프로젝트 식별자가 현재 선택된 Google Cloud 프로젝트를 참조해야 합니다.
예를 들어 Logging API를 사용하여 프로젝트 수준의 감사 로그 항목을 보려면 다음을 수행합니다.
entries.list메서드 문서의 API 사용해 보기 섹션으로 이동합니다.API 사용해 보기 양식의 요청 본문 부분에 다음을 입력합니다. 이 자동 입력된 양식을 클릭하면 요청 본문이 자동으로 입력되지만 각 로그 이름에 유효한 PROJECT_ID를 입력해야 합니다.
{ "resourceNames": [ "projects/PROJECT_ID" ], "pageSize": 5, "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" }실행을 클릭합니다.