이 페이지에서는 Cloud 감사 로그의 로그 항목 구조, 읽는 방법, 해석 방법에 대해 자세히 설명합니다.
Cloud 감사 로그는 각 Google Cloud 프로젝트, 폴더, 조직에 대해 다음 감사 로그를 제공합니다.
- 관리자 활동 감사 로그
- 데이터 액세스 감사 로그
- 시스템 이벤트 감사 로그
- 정책 거부 감사 로그
Cloud 감사 로그의 일반적인 개요는 Cloud 감사 로그를 참조하세요.
감사 로그 항목의 형식
감사 로그 항목은 Cloud Logging 로그 항목 유형입니다. 모든 Logging 로그 항목과 마찬가지로 감사 로그 항목도 LogEntry
객체에 저장됩니다. 감사 로그 항목과 다른 로그 항목의 차이점은 protoPayload
필드입니다. 감사 로그 항목에는 로그 항목의 protoPayload
필드에 감사 로깅 데이터가 저장되는 AuditLog
객체가 있습니다.
즉, 모든 감사 로그 항목은 다음 정보로 특성화됩니다.
- 로그 항목을 소유한 프로젝트, 폴더 또는 조직
- 로그 항목이 적용되는 리소스. 이 정보는 모니터링 리소스 목록의 리소스 유형과 특정 인스턴스를 나타내는 추가 값으로 구성됩니다. 예를 들어 단일 Compute Engine VM 인스턴스 또는 모든 VM 인스턴스의 감사 로그 항목을 볼 수 있습니다.
- 타임스탬프
서비스: 서비스는 Compute Engine, Cloud SQL 또는 Pub/Sub와 같은 개별 Google Cloud 제품입니다. 각 서비스는 이름으로 식별됩니다. 즉, Compute Engine 이름은
compute.googleapis.com
이고, Cloud SQL 이름은cloudsql.googleapis.com
입니다. 이 정보는 감사 로그 항목의protoPayload.serviceName
필드에 나열됩니다.리소스 유형은 하나의 서비스에 속하지만 한 서비스가 여러 리소스 유형을 가질 수 있습니다. 서비스 및 리소스 목록은 서비스를 리소스에 매핑을 참조하세요.
protoPayload
유형인 페이로드 각 감사 로그 항목의 페이로드는AuditLog
유형의 객체로,serviceName
및authenticationInfo
와 같이 Cloud 감사 로그와 관련된 필드 집합을 정의합니다. Google Cloud 서비스에서 서비스별 정보를 감사 로그 항목으로 나열하는 데 사용하는metadata
필드(선택사항)도 포함합니다. 일부 Google Cloud 서비스는 여전히 이전serviceData
필드를 사용하여 서비스별 정보를 나열합니다.serviceData
필드를 사용하는 서비스 목록은 서비스별 감사 데이터를 참조하세요.로그 이름: 감사 로그 항목은 결제 계정, 프로젝트, 폴더, 조직 내의 로그에 속합니다. 다음 표에는 로그 이름이 나와 있습니다.
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Factivity billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fdata_access billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fpolicy organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy
결제 계정, 프로젝트, 폴더 또는 조직 내에서 이러한 로그 이름은 일반적으로 activity, data_access, system_event, policy로 축약되어 표시됩니다.
샘플 감사 로그 항목
이 섹션에서는 샘플 감사 로그 항목을 사용하여 감사 로그 항목에 포함된 가장 중요한 정보를 찾는 방법에 대해 설명합니다.
다음 샘플은 PROJECT_ID my-gcp-project-id
로 Identity and Access Management(IAM) 정책 변경사항을 기록하기 위해 App Engine에서 작성하는 관리자 활동 감사 로그 항목입니다.
간략한 설명을 위해 로그 항목 중 일부를 생략하고 필드 몇 개를 강조표시하였습니다.
{ protoPayload: { @type: "type.googleapis.com/google.cloud.audit.AuditLog", status: {}, authenticationInfo: { principalEmail: "user@example.com" }, serviceName: "appengine.googleapis.com", methodName: "SetIamPolicy", authorizationInfo: [...], serviceData: { @type: "type.googleapis.com/google.appengine.legacy.AuditData", policyDelta: { bindingDeltas: [ action: "ADD", role: "roles/logging.privateLogViewer", member: "user:user@example.com" ], } }, request: { resource: "my-gcp-project-id", policy: { bindings: [...], } }, response: { bindings: [ { role: "roles/logging.privateLogViewer", members: [ "user:user@example.com" ] } ], } }, insertId: "53179D9A9B559.AD6ACC7.B40604EF", resource: { type: "gae_app", labels: { project_id: "my-gcp-project-id" } }, timestamp: "2019-05-27T16:24:56.135Z", severity: "NOTICE", logName: "projects/my-gcp-project-id/logs/cloudaudit.googleapis.com%2Factivity", }
이전 감사 로그 항목 샘플을 선택하는 데 사용된 쿼리는 다음과 같습니다. 이 쿼리는 로그 탐색기, Logging API 또는 Google Cloud CLI에서 사용할 수 있습니다. 프로젝트 식별자는 로그 이름에 있습니다.
resource.type = "gae_app" logName = "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity"
gce_instance
와 같은 리소스 유형의 단일 인스턴스에서 감사 로그를 찾고 있다면 인스턴스 한정자를 추가합니다.
resource.type = "gce_instance" resource.instance_id = "INSTANCE_ID" logName = "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity"
샘플 감사 로그 항목의 해석
이전 감사 로그 항목 샘플에 표시된 protoPayload
, insertId
, resource
, timestamp
, severity
, logName
필드는 LogEntry
객체의 일부입니다. protoPayload
필드의 값인 AuditLog
객체는 감사 로깅 데이터를 캡슐화합니다.
감사 로그 항목 샘플을 살펴볼 때 다음과 같은 점이 궁금할 수 있습니다.
감사 로그 항목인가요? 두 가지 방법으로 감사 로그인지 확인할 수 있습니다.
protoPayload.@type
필드는type.googleapis.com/google.cloud.audit.AuditLog
입니다.logName
필드는cloudaudit.googleapis.com
도메인을 포함합니다.
어떤 서비스에서 감사 로그를 작성했나요? App Engine에서 로그를 작성했으며 이 정보는 감사 로그 항목의
protoPayload.serviceName
필드에 나열됩니다.어떤 작업이 감사되나요?
protoPayload.methodName
필드에 지정된 대로SetIamPolicy
가 감사됩니다. 감사 대상 작업에 대한 추가 정보는protoPayload.serviceData
의AuditData
객체에 있습니다.어떤 리소스가 감사되나요? Google Cloud 프로젝트
my-gcp-project-id
와 연결된 App Engine에서 실행되는 애플리케이션이 감사됩니다. 이 리소스는 리소스 유형gae_app
과 프로젝트 식별자my-gcp-project-id
가 지정된resource
필드에서 결정할 수 있습니다. 이 예시에서는 모니터링 리소스 유형 목록의 리소스 유형에 대한 세부정보를 찾을 수 있습니다.
자세한 내용은 LogEntry
유형, AuditLog
유형, IAM AuditData
유형을 참조하세요.
장기 실행 작업에 대한 감사 로그
장기 실행 작업인 API는 감사 로그 두 개를 내보냅니다. 하나는 API가 호출되고 작업이 시작될 때이고, 다른 하나는 작업이 완료될 때입니다.
이 경우 LogEntry
객체에는 operation
필드가 포함됩니다.
동일한 작업의 로그 항목은 LogEntry.operation.id
과 LogEntry.operation.producer
의 값이 같습니다.
작성된 첫 번째 로그 항목에는 LogEntry.operation.first=true
가 있고 완료 로그 항목에는 LogEntry.operation.last=true
가 있습니다.
작업이 즉시 완료되면 LogEntry.operation.first=true
와 LogEntry.operation.last=true
가 모두 포함된 로그 항목이 하나만 있습니다.
이 API는 작업 서비스를 구현합니다.
이 서비스는 일반적으로 호출 시 감사 로그 항목을 내보냅니다. 호출되는 API에 따라 protoPayload.methodName
은 다음 중 하나입니다.
google.longrunning.Operations.ListOperations
google.longrunning.Operations.GetOperation
google.longrunning.Operations.CancelOperation
google.longrunning.Operations.WaitOperation
google.longrunning.Operations.DeleteOperation
이 API는 장기 실행 작업에 대한 메타데이터를 반환하지만 장기 실행 작업 자체는 아니므로 LogEntry.operation
은 지정되지 않습니다.
감사되는 API에 대한 자세한 내용은 감사 로그를 생성하는 Google Cloud 서비스를 참고하세요. 감사는 서비스마다 다를 수 있습니다.
스트리밍 API 감사 로그
장기 실행 작업과 마찬가지로 스트리밍 API는 두 개의 감사 로그 항목을 내보냅니다. 하나는 API가 처음 호출될 때이고 다른 하나는 스트리밍 연결이 종료될 때입니다.
이 경우 LogEntry
객체에는 operation
필드가 포함되어 있으며 동일한 작업에 대한 로그 항목은 LogEntry.operation.id
와 LogEntry.operation.producer
의 값이 같습니다.
작성된 첫 번째 로그에는 LogEntry.operation.first=true
가 있고 완료 로그에는 LogEntry.operation.last=true
가 있습니다.
이 API는 또한 스트림이 열려 있음을 나타내기 위해 LogEntry.operation.first
또는 LogEntry.operation.last
가 설정되지 않은 연속 로그 항목을 내보낼 수 있습니다.
서비스별 감사 데이터
일부 서비스는 감사 로그 항목의 serviceData
필드에 보충 데이터 구조를 배치하여 AuditLog
에 저장된 정보를 확장합니다. 다음 표에는 serviceData
필드를 사용하는 서비스와 AuditData
유형으로 연결되는 링크가 나와 있습니다.
감사 로그 보기
모든 감사 로그를 쿼리하거나 감사 로그 이름별로 로그를 쿼리할 수 있습니다. 감사 로그 이름에는 감사 로깅 정보를 보려는 Google Cloud 프로젝트, 폴더, 결제 계정 또는 조직의 리소스 식별자가 포함됩니다.
쿼리에서 색인이 생성된 LogEntry
필드를 지정할 수 있습니다.
로그 쿼리에 대한 자세한 내용은 로그 탐색기에서 쿼리 빌드를 참고하세요.
로그 탐색기를 사용하면 개별 로그 항목을 필터링하여 볼 수 있습니다. SQL을 사용하여 로그 항목 그룹을 분석하려면 로그 애널리틱스 페이지를 사용하세요. 자세한 내용은 다음을 참고하세요.
대부분의 감사 로그는 Google Cloud 콘솔, Google Cloud CLI 또는 Logging API를 사용하여 Cloud Logging에서 볼 수 있습니다. 하지만 결제와 관련된 감사 로그의 경우 Google Cloud CLI 또는 Logging API만 사용할 수 있습니다.
콘솔
Google Cloud 콘솔에서 로그 탐색기를 사용하여 Google Cloud 프로젝트, 폴더 또는 조직의 감사 로그 항목을 검색할 수 있습니다.
-
Google Cloud 콘솔에서 로그 탐색기 페이지로 이동합니다.
검색창을 사용하여 이 페이지를 찾은 경우 부제목이 Logging인 결과를 선택합니다.
기존 Google Cloud 프로젝트, 폴더 또는 조직을 선택합니다.
모든 감사 로그를 표시하려면 쿼리 편집기 필드에 다음 쿼리 중 하나를 입력한 후 쿼리 실행을 클릭합니다.
logName:"cloudaudit.googleapis.com"
protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog"
특정 리소스 및 감사 로그 유형에 대한 감사 로그를 표시하려면 쿼리 빌더 창에서 다음을 수행합니다.
리소스 유형에서 감사 로그를 확인할 Google Cloud 리소스를 선택하세요.
로그 이름에서 확인할 감사 로그 유형을 선택합니다.
- 관리자 활동 감사 로그의 경우 activity를 선택합니다.
- 데이터 액세스 감사 로그의 경우 data_access를 선택합니다.
- 시스템 이벤트 감사 로그의 경우 system_event를 선택합니다.
- 정책 거부 감사 로그의 경우 policy를 선택합니다.
쿼리 실행을 클릭합니다.
이러한 옵션 중 어느 것도 표시되지 않으면 Google Cloud 프로젝트나 폴더, 조직에 해당 유형의 감사 로그가 없다는 의미입니다.
로그 탐색기에서 로그를 확인하려고 할 때 문제가 발생하는 경우 문제 해결 정보를 참조하세요.
로그 탐색기를 사용한 쿼리에 대한 상세 설명은 로그 탐색기에서 쿼리 빌드를 참조하세요.
gcloud
Google Cloud CLI는 Logging API에 명령줄 인터페이스를 제공합니다. 각 로그 이름에 유효한 리소스 식별자를 제공합니다. 예를 들어 쿼리에 PROJECT_ID가 포함된 경우 제공한 프로젝트 식별자가 현재 선택된 Google Cloud 프로젝트를 참조해야 합니다.
Google Cloud 프로젝트 수준의 감사 로그 항목을 읽으려면 다음 명령어를 실행합니다.
gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \ --project=PROJECT_ID
폴더 수준의 감사 로그 항목을 읽으려면 다음 명령어를 실행합니다.
gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \ --folder=FOLDER_ID
조직 수준의 감사 로그 항목을 읽으려면 다음 명령어를 실행합니다.
gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \ --organization=ORGANIZATION_ID
Cloud Billing 계정 수준의 감사 로그 항목을 읽으려면 다음 명령어를 실행합니다.
gcloud logging read "logName : billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com" \ --billing-account=BILLING_ACCOUNT_ID
1일 이상 된 로그를 읽으려면 명령어에 --freshness
플래그를 추가합니다.
gcloud CLI 사용에 대한 상세 설명은 gcloud logging read
를 참조하세요.
REST
쿼리를 빌드할 때 각 로그 이름에 유효한 리소스 식별자를 제공합니다. 예를 들어 쿼리에 PROJECT_ID가 포함된 경우 제공한 프로젝트 식별자가 현재 선택된 Google Cloud 프로젝트를 참조해야 합니다.
예를 들어 Logging API를 사용하여 프로젝트 수준의 감사 로그 항목을 보려면 다음을 수행합니다.
entries.list
메서드 문서의 API 사용해 보기 섹션으로 이동합니다.API 사용해 보기 양식의 요청 본문 부분에 다음을 입력합니다. 이 자동 입력된 양식을 클릭하면 요청 본문이 자동으로 입력되지만 각 로그 이름에 유효한 PROJECT_ID를 입력해야 합니다.
{ "resourceNames": [ "projects/PROJECT_ID" ], "pageSize": 5, "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" }
실행을 클릭합니다.