Cloud-Audit-Logs – Übersicht

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Dieses Dokument bietet eine konzeptionelle Übersicht über Cloud-Audit-Logs.

Google Cloud-Dienste schreiben Audit-Logs, mit denen administrative Aktivitäten und Zugriffe in Ihren Google Cloud-Ressourcen aufgezeichnet werden. Audit-Logs helfen Ihnen dabei, in Ihren Google Cloud-Ressourcen zu ermitteln, wer was, wo und wann getan hat – mit derselben Transparenz wie in lokalen Umgebungen. Das Aktivieren von Audit-Logs hilft Ihren Sicherheits-, Auditing- und Compliance-Entitäten, Google Cloud-Daten und -Systeme auf potenzielle Sicherheitslücken oder externen Datenmissbrauch zu überwachen.

Audit-Logs generierende Google-Dienste

Eine Liste der Google Cloud-Dienste, die Audit-Logs bereitstellen, finden Sie unter Google-Dienste mit Audit-Logs. Es ist davon auszugehen, dass letztendlich alle Google Cloud-Dienste Audit-Logs bereitstellen werden.

Eine Übersicht über Audit-Logs von Google Workspace finden Sie unter Audit-Logs für Google Workspace.

Arten von Audit-Logs

Cloud-Audit-Logging legt für jedes Google Cloud-Projekt, jeden Ordner und jede Organisation die folgenden Audit-Logs an:

Audit-Logs zur Administratoraktivität

Audit-Logs zur Administratoraktivität enthalten Logeinträge für API-Aufrufe oder andere Aktionen, die die Konfiguration oder Metadaten von Ressourcen ändern. In diesen Logs wird beispielsweise aufgezeichnet, wann Nutzer VM-Instanzen erstellen oder Berechtigungen von Identity and Access Management ändern.

Audit-Logs für Administratoraktivitäten werden immer geschrieben. Sie können diese nicht konfigurieren, ausschließen oder deaktivieren. Selbst wenn Sie die Cloud Logging API deaktivieren, werden weiterhin Audit-Logs zur Administratoraktivität generiert.

Audit-Logs zum Datenzugriff

Audit-Logs zum Datenzugriff enthalten API-Aufrufe, die die Konfiguration oder Metadaten von Ressourcen lesen, sowie nutzergesteuerte API-Aufrufe, die von Nutzern bereitgestellte Ressourcendaten erstellen, ändern oder lesen.

Öffentlich verfügbare Ressourcen mit den IAM-Richtlinien allAuthenticatedUsers oder allUsers generieren keine Audit-Logs. Ressourcen, auf die ohne Anmeldung in Google Cloud, Google Workspace, Cloud Identity oder Drive Enterprise zugegriffen werden kann, generieren keine Audit-Logs. So werden Endnutzeridentitäten und -informationen geschützt.

Audit-Logs zum Datenzugriff sind – mit Ausnahme der Audit-Logs für den BigQuery-Datenzugriff – standardmäßig deaktiviert, da sie sehr groß sein können. Wenn Sie für andere Cloud-Dienste als BigQuery Audit-Logs zum Datenzugriff schreiben möchten, müssen Sie diese explizit aktivieren. Das Aktivieren der Logs kann dazu führen, dass Ihrem Cloud-Projekt die zusätzliche Lognutzung in Rechnung gestellt wird. Eine Anleitung zum Aktivieren und Konfigurieren von Audit-Logs zum Datenzugriff finden Sie unter Datenzugriffslogs konfigurieren.

Audit-Logs zu Systemereignissen

Audit-Logs zu Systemereignissen enthalten Logeinträge für Google Cloud-Aktionen, die Ressourcenkonfigurationen ändern. Audit-Logs zu Systemereignissen werden von Google-Systemen generiert und nicht durch direkte Nutzeraktionen bedingt.

Audit-Logs zu Systemereignissen werden immer geschrieben. Sie können sie nicht konfigurieren, ausschließen oder deaktivieren.

Audit-Logs zu Richtlinienverstößen

Audit-Logs zu Richtlinienverstößen werden aufgezeichnet, wenn ein Google Cloud-Dienst den Zugriff auf einen Nutzer oder ein Dienstkonto aufgrund eines Verstoßes gegen eine Sicherheitsrichtlinie verweigert. Die Sicherheitsrichtlinien werden von den VPC Service Controls bestimmt, die die Audit-Logs zu Richtlinienverstößen in Cloud Logging bereitstellen.

Audit-Logs über Richtlinien verweigert werden standardmäßig generiert und Ihrem Cloud-Speicher wird der Logspeicher in Rechnung gestellt. Sie können die Audit-Logs zu Richtlinienverstößen nicht deaktivieren, können jedoch Ausschlussfilter nutzen, um zu verhindern, dass Audit-Logs zu Richtlinienverstößen in Cloud Logging aufgenommen und gespeichert werden.

Struktur von Audit-Logeinträgen

Jeder Audit-Logeintrag in Cloud Logging ist ein Objekt vom Typ LogEntry. Ein Audit-Logeintrag unterscheidet sich von anderen Logeinträgen durch das Feld protoPayload. Dieses Feld enthält ein AuditLog-Objekt, das die Audit-Logging-Daten speichert.

Informationen zum Lesen und Interpretieren von Audit-Logeinträgen sowie ein Beispiel für einen Audit-Logeintrag finden Sie unter Audit-Logs verstehen.

Logname

Lognamen von Cloud-Audit-Logs enthalten Ressourcenkennungen, die das Cloud-Projekt oder eine andere Google Cloud-Entität angeben, die der Inhaber der Audit-Logs ist. Außerdem zeigen sie an, ob das Log Audit-Logging-Daten zu Administratoraktivitäten, Datenzugriff, Richtlinienverweigerung oder Audit-Systemereignissen enthält.

Im Folgenden finden Sie die Namen der Audit-Logs, einschließlich Variablen für die Ressourcenkennungen:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Factivity
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Aufruferidentitäten in Audit-Logs

Audit-Logs zeichnen die Identität auf, die die protokollierten Vorgänge für die Google Cloud-Ressource durchgeführt hat. Die Identität des Aufrufers wird im Feld AuthenticationInfo von AuditLog-Objekten gespeichert.

Beim Audit-Logging wird die Haupt-E-Mail-Adresse des Aufrufers bei erfolgreichem Zugriff oder Schreibvorgängen nicht entfernt.

Bei schreibgeschützten Vorgängen, die mit dem Fehler „Berechtigung verweigert“ fehlschlagen, führt Audit-Logging die folgenden Tests aus:

  • Befindet sich der Aufrufer in derselben Organisation wie die protokollierte Ressource?
  • Ist der Anrufer ein Dienstkonto?

Wenn die Antwort auf einen Test wahr ist, wird im Audit-Logging die Haupt-E-Mail-Adresse des Aufrufers nicht entfernt. Wenn die Antwort auf alle Tests „false“ lautet, wird die Adresse im Audit-Logging entfernt.

Zusätzlich zu den oben genannten Bedingungen gilt für bestimmte Google Cloud-Dienste Folgendes:

  • Legacy App Engine API: Identitäten werden nicht erfasst.

  • BigQuery: Aufrufer-IDs und IP-Adressen sowie einige Ressourcennamen werden aus den Audit-Logs entfernt, sofern bestimmte Bedingungen nicht erfüllt sind.

  • Cloud Storage: Wenn Cloud Storage-Nutzungslogs aktiviert sind, schreibt Cloud Storage Nutzungsdaten in den Cloud Storage-Bucket, der Audit-Logs zum Datenzugriff für den Bucket generiert. Die Aufrufer-ID des Datenzugriffs-Audit-Logs wurde entfernt.

  • Firestore: Wurde ein JSON Web Token (JWT) für die Authentifizierung von Drittanbietern verwendet, enthält das thirdPartyPrincipal-Feld den Header und die Nutzlast des Tokens. Beispiel: Audit-Logs für Anfragen, die mit Firebase Authentication authentifiziert wurden, enthalten das Authentifizierungstoken dieser Anfrage.

  • VPC Service Controls: Bei Audit-Logs zu Richtlinienverstößen wird Folgendes entfernt:

    • Teile der E-Mail-Adressen des Anrufers werden möglicherweise entfernt und durch drei Punkte ... ersetzt.

    • Einige Anrufer-E-Mail-Adressen aus der Domain google.com werden entfernt und durch google-internal ersetzt.

Wenn Sie Audit-Logs über die Seite „Aktivitäten“ der Google Cloud Console aufrufen, wird User (anonymized) für alle Logeinträge angezeigt, in denen die Identität entfernt wurde oder leer ist.

Audit-Logs ansehen

Wenn Sie Audit-Logs abfragen möchten, benötigen Sie den Namen des Audit-Logs. Dieser enthält die Ressourcenkennung des Cloud-Projekts, des Ordners, des Rechnungskontos oder der Organisation, für die Sie Audit-Logging-Informationen aufrufen möchten. In der Abfrage können Sie weitere indexierte LogEntry-Felder angeben, z. B. resource.type. Weitere Informationen zu Abfragen finden Sie unter Abfragen im Log-Explorer erstellen.

Sie können Audit-Logs in Cloud Logging über die Google Cloud Console, die Google Cloud CLI oder die Logging API aufrufen.

Console

In der Google Cloud Console können Sie den Log-Explorer verwenden, um Ihre Audit-Logeinträge für Ihr Cloud-Projekt, Ihren Ordner oder Ihre Organisation abzurufen:

  1. Rufen Sie in der Google Cloud Console die Seite Logging> Log-Explorer auf.

    Zum Log-Explorer

  2. Wählen Sie ein vorhandenes Cloud-Projekt, einen Ordner oder eine Organisation aus.

  3. Führen Sie im Bereich Query Builder folgende Schritte aus:

    • Wählen Sie unter Ressourcentyp die Google Cloud-Ressource aus, deren Audit-Logs angezeigt werden sollen.

    • Wählen Sie unter Logname den Audit-Logtyp aus, den Sie sehen möchten:

      • Wählen Sie für Audit-Logs zu Administratoraktivitäten die Option activity aus.
      • Wählen Sie für Audit-Logs zum Datenzugriff die Option data_access aus.
      • Wählen Sie für Audit-Logs zu Systemereignissen die Option system_event aus.
      • Wählen Sie für Audit-Logs zu Richtlinienverstößen die Option policy aus.

    Wenn diese Optionen nicht angezeigt werden, sind im Cloud-Projekt, im Ordner oder in der Organisation keine Audit-Logs dieses Typs verfügbar.

    Wenn beim Aufrufen von Logs im Log-Explorer Probleme auftreten, lesen Sie die Informationen zur Fehlerbehebung.

    Weitere Informationen zu Abfragen mit dem Log-Explorer finden Sie unter Abfragen im Log-Explorer erstellen.

gcloud

Die Google Cloud CLI bietet eine Befehlszeile für die Logging API. Geben Sie in jedem Lognamen eine gültige Ressourcenkennung an. Wenn die Abfrage beispielsweise eine PROJECT_ID enthält, muss sich die von Ihnen angegebene Projekt-ID auf das aktuell ausgewählte Cloud-Projekt beziehen.

Führen Sie den folgenden Befehl aus, um Ihre Audit-Logeinträge auf Google Cloud-Projektebene zu lesen:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

Führen Sie den folgenden Befehl aus, um Ihre Audit-Logeinträge auf Ordnerebene zu lesen:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

Führen Sie den folgenden Befehl aus, um Ihre Audit-Logeinträge auf Organisationsebene zu lesen:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

Führen Sie den folgenden Befehl aus, um Ihre Audit-Logeinträge auf Cloud-Rechnungskontoebene zu lesen:

gcloud logging read "logName : billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com" \
    --billing-account=BILLING_ACCOUNT_ID

Fügen Sie Ihrem Befehl das Flag --freshness hinzu, um Logs zu lesen, die mehr als einen Tag alt sind.

Weitere Informationen zur Verwendung der gcloud CLI erhalten Sie unter gcloud logging read.

API

Geben Sie beim Erstellen von Abfragen in jedem Lognamen eine gültige Ressourcenkennung an. Wenn die Abfrage beispielsweise eine PROJECT_ID enthält, muss sich die von Ihnen angegebene Projekt-ID auf das aktuell ausgewählte Cloud-Projekt beziehen.

So können Sie beispielsweise mit der Logging API Ihre Audit-Logeinträge auf Projektebene aufrufen:

  1. Rufen Sie den Abschnitt Diese API testen in der Dokumentation für die Methode entries.list auf.

  2. Geben Sie im Teil Anfragetext des Formulars Diese API testen Folgendes ein. Wenn Sie auf dieses vorausgefüllte Formular klicken, wird der Anfragetext automatisch übernommen. Sie müssen jedoch in jedem der Lognamen eine gültige PROJECT_ID angeben.

    {
      "resourceNames": [
        "projects/PROJECT_ID"
      ],
      "pageSize": 5,
      "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
    }
    
  3. Klicken Sie auf Ausführen.

Seite "Aktivität" verwenden

Sie können sich die gekürzten Audit-Logeinträge auf der Seite Aktivität Ihres Cloud-Projekts, Ihres Ordners oder Ihrer Organisation in der Google Cloud Console ansehen. Die tatsächlichen Audit-Logeinträge können mehr Informationen enthalten, als auf der Seite Aktivität angezeigt werden.

So rufen Sie in der Google Cloud Console abgekürzte Audit-Logeinträge auf:

  1. Zur Seite "Aktivität":

    Zur Seite "Aktivität"

  2. Wählen Sie in der Projektauswahl das Cloud-Projekt, den Ordner oder die Organisation aus, für die Sie Audit-Logeinträge aufrufen möchten.

  3. Wählen Sie im Bereich Filter die Einträge aus, die Sie ansehen möchten.

Auf der Seite "Aktivität" wird die Identität, die aufgezeichnete Aktionen ausführt, aus dem Audit-Logeintrag entfernt und User (anonymized) angezeigt. Weitere Informationen finden Sie unter Aufruferidentitäten in Audit-Logs auf dieser Seite.

Audit-Logs speichern und weiterleiten

Cloud Logging verwendet Log-Buckets als Container. Diese speichern und organisieren Ihre Logdaten. Für jedes Cloud-Projekt, jeden Cloud-Ordner und jede Cloud-Organisation erstellt Logging automatisch zwei Log-Buckets, _Required und _Default, und entsprechend benannte Senken.

Cloud Logging-_Required-Buckets nehmen Audit-Logs zur Administratoraktivität und Audit-Logs zu Systemereignissen auf und speichern diese. Sie können _Required-Buckets oder darin enthaltene Logdaten nicht konfigurieren.

Die _Default-Buckets nehmen standardmäßig alle aktivierten Audit-Logs zum Datenzugriff sowie zu Richtlinienverstößen auf und speichern sie. Wenn Sie verhindern möchten, dass Audit-Logs zum Datenzugriff in den _Default-Buckets gespeichert werden, können Sie sie deaktivieren. Wenn Sie verhindern möchten, dass Audit-Logs zu Richtlinienverstößen in den _Default-Buckets gespeichert werden, können Sie sie ausschließen. Ändern Sie dazu die Filter der Senken.

Sie können Ihre Audit-Logeinträge auch mithilfe von Senken an benutzerdefinierte Cloud Logging-Buckets auf Cloud-Projektebene oder an unterstützte Ziele außerhalb von Logging weiterleiten. Eine Anleitung zum Routing von Logs finden Sie unter Senken konfigurieren und verwalten.

Beim Konfigurieren der Filter Ihrer Logsenken müssen Sie die Audit-Log-Typen angeben, die Sie weiterleiten möchten. Beispiele zum Filtern finden Sie unter Sicherheits-Logging-Abfragen.

Informationen zum Weiterleiten von Audit-Logeinträgen für eine Google Cloud-Organisation, einen Google Cloud-Ordner oder ein Google Cloud-Rechnungskonto finden Sie unter Aggregierte Senken konfigurieren.

Audit-Log-Aufbewahrung

Ausführliche Informationen zur Aufbewahrungsdauer der Logeinträge in Logging finden Sie unter Kontingente und Limits: Aufbewahrungsdauer für Logs.

Zugriffssteuerung

Mit IAM-Berechtigungen und -Rollen wird festgelegt, ob Sie in der Logging API, im Log-Explorer und in der Google Cloud CLI auf Audit-Logdaten zugreifen können.

Ausführliche Informationen zu den erforderlichen IAM-Berechtigungen und -Rollen finden Sie unter Zugriffssteuerung mit IAM.

Kontingente und Limits

Einzelheiten zu den Nutzungslimits für Logging, einschließlich der maximalen Größe von Audit-Logs, finden Sie unter Kontingente und Limits.

Preise

Informationen zu den Preisen für Cloud Logging finden Sie unter Preise für die Operations-Suite von Google Cloud: Cloud Logging.

Weitere Informationen