Comprendre les journaux d'audit

Cette page décrit en détail les entrées des journaux d'audit Cloud : leur structure, leur lecture et leur interprétation.

Cloud Audit Logging gère les journaux d'audit suivants pour chaque projet, dossier et organisation sur le cloud :

  • Journaux d'audit pour les activités d'administration
  • Journaux d'audit pour l'accès aux données
  • Journaux d'audit pour les événements système
  • Journaux d'audit des refus de règles

Pour découvrir Cloud Audit Logging, consultez la page Cloud Audit Logging.

Format des entrées du journal d'audit

Une entrée de journal d'audit est un type d'entrée de journal de Cloud Logging. Comme toutes les entrées du journal Logging, une entrée du journal d'audit est stockée dans un objet LogEntry. Ce qui distingue une entrée de journal d'audit des autres entrées de journal est le champ protoPayload. Dans les entrées du journal d'audit, le champ protoPayload de l'entrée de journal contient un objet AuditLog qui stocke les données de journalisation d'audit.

En résumé, chaque entrée de journal d'audit est caractérisée par les informations suivantes :

  • Le projet, le dossier ou l'organisation propriétaire de l'entrée de journal.
  • La ressource à laquelle l'entrée de journal s'applique. Ces informations sont constituées d'un type de ressource issu de la liste de ressources surveillées et de valeurs supplémentaires indiquant une instance spécifique. Par exemple, vous pouvez afficher les entrées des journaux d'audit provenant d'une seule instance de VM Compute Engine ou de toutes les instances de VM.
  • Un horodatage
  • Un service : les services sont des produits Google Cloud individuels, tels que Compute Engine, Cloud SQL ou Pub/Sub. Chaque service est identifié par son nom : compute.googleapis.com correspond à Compute Engine, cloudsql.googleapis.com à Cloud SQL, et ainsi de suite. Ces informations sont répertoriées dans le champ protoPayload.serviceName de l'entrée du journal d'audit.

    Les types de ressources appartiennent à un seul service, mais un service peut avoir plusieurs types de ressources. Pour obtenir une liste des services et des ressources, consultez la section Mapper des services sur des ressources.

  • Charge utile, de type protoPayload. La charge utile de chaque entrée de journal d'audit est un objet de type AuditLog, qui définit un ensemble de champs spécifiques aux journaux d'audit Cloud, tels que serviceName et authenticationInfo. Il comporte également un champ facultatif, serviceData, que certains services Google Cloud utilisent pour répertorier les informations spécifiques au service dans l'entrée du journal d'audit. Pour obtenir la liste des services Google Cloud utilisant ce champ, consultez la section Données d'audit spécifiques au service.

  • Un nom du journal : les entrées des journaux d'audit sont associées aux journaux des projets, des dossiers et des organisations. Les noms de ces journaux sont répertoriés ci-dessous :

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Dans un projet, un dossier ou une organisation, ces noms de journal sont généralement abrégés en activity, data_access, system_event et policy.

Exemple d'entrée de journal d'audit

Cette section utilise un exemple d'entrée de journal d'audit pour expliquer comment y trouver les informations les plus importantes.

L'exemple suivant est une entrée du journal d'audit des activités d'administration écrite par Resource Manager pour enregistrer une modification apportée à une stratégie Identity and Access Management (IAM) dans un projet PROJECT_ID my-gcp-project-id. Par souci de concision, certaines parties de l'entrée de journal sont omises et certains champs sont mis en évidence :

    {
      protoPayload: {
        @type: "type.googleapis.com/google.cloud.audit.AuditLog",
        status: {},
        authenticationInfo: {
          principalEmail: "user@example.com"
        },
        serviceName: "appengine.googleapis.com",
        methodName: "SetIamPolicy",
        authorizationInfo: [...],
        serviceData: {
          @type: "type.googleapis.com/google.appengine.legacy.AuditData",
          policyDelta: { bindingDeltas: [
              action: "ADD",
              role: "roles/logging.privateLogViewer",
              member: "user:user@example.com"
          ], }
        },
        request: {
          resource: "my-gcp-project-id",
          policy: { bindings: [...], }
        },
        response: {
          bindings: [
            {
              role: "roles/logging.privateLogViewer",
              members: [ "user:user@example.com" ]
            }
          ],
        }
      },
      insertId: "53179D9A9B559.AD6ACC7.B40604EF",
      resource: {
        type: "gae_app",
        labels: { project_id: "my-gcp-project-id" }
      },
      timestamp: "2019-05-27T16:24:56.135Z",
      severity: "NOTICE",
      logName: "projects/my-gcp-project-id/logs/cloudaudit.googleapis.com%2Factivity",
    }

Voici la requête utilisée pour sélectionner l'exemple d'entrée de journal d'audit ci-dessus. Il peut être utilisé dans l'explorateur de journaux, l'API Logging ou Google Cloud CLI. L'identifiant du projet est compris dans le nom du journal et la requête est rapide, car le champ logName est indexé :

    resource.type = "gae_app"
    logName = "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity"

Si vous recherchez des journaux d'audit à partir d'une seule instance d'un type de ressource, tel que gce_instance, ajoutez un qualificateur d'instance :

    resource.type = "gce_instance"
    resource.instance_id = "INSTANCE_ID"
    logName = "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity"

Interpréter l'exemple d'entrée de journal d'audit

Dans l'exemple d'entrée de journal d'audit ci-dessus, les champs protoPayload, insertId, resource, timestamp, severity et logName font partie de l'objet LogEntry. La valeur du champ protoPayload est un objet AuditLog. Il encapsule les données des journaux d'audit.

En examinant l'exemple d'entrée du journal d'audit ci-dessus, vous pouvez avoir quelques questions :

  • S'agit-il d'une entrée de journal d'audit ? Oui, pour deux raisons :

    • Le champ protoPayload.@type correspond à type.googleapis.com/google.cloud.audit.AuditLog.

    • Le champ logName inclut le domaine cloudaudit.googleapis.com.

  • Quel service a écrit le journal d'audit ? Le journal a été écrit par App Engine. Ces informations sont répertoriées dans le champ protoPayload.serviceName de l'entrée du journal d'audit.

  • Quelle opération est en cours d'audit ? SetIamPolicy, comme indiqué dans le champ protoPayload.methodName, est en cours d'audit. Vous trouverez plus d'informations sur l'opération auditée dans l'objet AuditData dans protoPayload.serviceData.

  • Quelle ressource est en cours d'audit ? Une application exécutée dans App Engine, associée à un projet Google Cloud my-gcp-project-id, est en cours d'audit. Vous pouvez la déterminer à partir du champ resource, qui spécifie le type de ressource gae_app et l'identifiant du projet my-gcp-project-id. Dans cet exemple, vous trouverez des détails sur le type de ressource dans la liste des types de ressources surveillées.

Pour plus d'informations, consultez le type LogEntry, le type AuditLog et le type IAM AuditData.

Entrées de journal d'audit de grande taille ou de longue durée

Une seule opération auditée est divisée en plusieurs entrées de journal si l'opération s'exécute de manière asynchrone ou si elle génère un enregistrement AuditLog volumineux. Lorsqu'il existe plusieurs entrées de journal pour la même opération, l'objet LogEntry contient un champ operation et les entrées correspondant à la même opération affichent la même valeur pour LogEntry.operation.id et LogEntry.operation.producer.

Dans l'exemple précédent d'entrée de journal d'audit, le champ operation n'est pas présent, ce qui signifie que toutes les informations d'audit sont contenues dans une seule entrée de journal.

Données d'audit spécifiques au service

Certains services étendent les informations stockées dans leur journal d'audit AuditLog en plaçant une structure de données supplémentaire dans le champ serviceData du journal d'audit. Le tableau suivant répertorie les services qui utilisent le champ serviceData et fournit un lien vers leur type AuditData.

Service Type de données de service
App Engine type.googleapis.com/google.appengine.v1.AuditData
App Engine (ancien) type.googleapis.com/google.appengine.legacy.AuditData
BigQuery type.googleapis.com/google.cloud.bigquery.logging.v1.AuditData
IAM type.googleapis.com/google.iam.v1.logging.AuditData

Afficher les journaux d'audit

Pour interroger les journaux d'audit, vous devez connaître le nom du journal d'audit (qui inclut les identifiants de ressource du projet Cloud, du dossier, du compte de facturation Cloud ou de l'organisation pour lesquels vous souhaitez afficher les informations de journalisation d'audit). Dans votre requête, vous pouvez également spécifier d'autres champs LogEntry indexés, tels que resource.type. Pour en savoir plus sur l'interrogation, consultez la page Générer des requêtes dans l'explorateur de journaux.

Vous pouvez consulter les journaux d'audit dans Cloud Logging à l'aide de Cloud Console, de la CLI Google Cloud ou de l'API Logging.

Console

Dans Cloud Console, vous pouvez utiliser l'explorateur de journaux pour récupérer les entrées de votre journal d'audit concernant votre projet, votre dossier ou votre organisation Cloud:

  1. Dans Cloud Console, accédez à la page Logging> Logs Explorer (Explorateur de journaux).

    Accéder à l'explorateur de journaux

  2. Sélectionnez un projet, une organisation ou un dossier Cloud existant.

  3. Dans le volet Générateur de requêtes, procédez comme suit :

    • Dans Type de ressource, sélectionnez la ressource Google Cloud dont vous souhaitez afficher les journaux d'audit.

    • Dans Nom du journal, sélectionnez le type de journal d'audit que vous souhaitez afficher :

      • Pour les journaux d'audit pour les activités d'administration, sélectionnez activity.
      • Pour les journaux d'audit des accès aux données, sélectionnez data_access.
      • Pour les journaux d'audit des événements système, sélectionnez system_event.
      • Pour les journaux d'audit des refus de règles, sélectionnez policy.

    Si ces options ne sont pas visibles, cela signifie qu'aucun journal d'audit de ce type n'est disponible dans le projet, le dossier ou l'organisation Cloud.

    Si vous rencontrez des problèmes lors de la tentative d'affichage de journaux dans l'explorateur de journaux, consultez les informations de dépannage.

    Pour en savoir plus sur l'utilisation de l'explorateur de journaux pour effectuer des requêtes, consultez la page Créer des requêtes dans l'explorateur de journaux.

gcloud

Google Cloud CLI fournit une interface de ligne de commande à l'API Logging. Fournissez un identifiant de ressource valide dans chacun des noms de journaux. Par exemple, si votre requête inclut un PROJECT_ID, l'identifiant de projet que vous fournissez doit faire référence au projet Cloud actuellement sélectionné.

Pour lire les entrées de journal d'audit au niveau du projet Cloud, exécutez la commande suivante :

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

Pour lire les entrées de journal d'audit au niveau d'un dossier, exécutez la commande suivante :

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

Pour lire les entrées de journal d'audit au niveau de l'organisation, exécutez la commande suivante :

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

Pour lire les entrées de journal d'audit au niveau de votre compte de facturation Cloud, exécutez la commande suivante :

gcloud logging read "logName : billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com" \
    --billing-account=BILLING_ACCOUNT_ID

Ajoutez l'option --freshness à votre commande pour lire les journaux datant de plus d'une journée.

Pour en savoir plus sur l'utilisation de gcloud CLI, consultez la page gcloud logging read.

API

Lors de la création de vos requêtes, fournissez un identifiant de ressource valide dans chacun des noms de journaux. Par exemple, si votre requête inclut un PROJECT_ID, l'identifiant de projet que vous fournissez doit faire référence au projet Cloud actuellement sélectionné.

Par exemple, pour utiliser l'API Logging afin d'afficher les entrées de journal d'audit au niveau d'un projet, procédez comme suit :

  1. Accédez à la section Essayer cette API dans la documentation de la méthode entries.list.

  2. Insérez les éléments suivants dans la partie Corps de la requête du formulaire Essayer cette API. Cliquer sur ce formulaire prérempli permet de remplir automatiquement le corps de la requête. Cependant, vous devez fournir un ID de projet PROJECT_ID valide pour chaque nom de journal.

    {
      "resourceNames": [
        "projects/PROJECT_ID"
      ],
      "pageSize": 5,
      "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
    }
    
  3. Cliquez sur Exécuter.