Cloud-Audit-Logs

Zu Cloud-Audit-Logs gehören drei Arten von Audit-Logs für jedes Google Cloud-Projekt, jeden Ordner und jede Organisation: Audit-Logs zur Administratoraktivität, zum Datenzugriff und zu Systemereignissen. Google Cloud-Dienste schreiben Audit-Logeinträge, damit Sie für Ihre Google Cloud-Ressourcen herausfinden können, wer was wo und wann getan hat.

Eine Liste der Google Cloud-Dienste, die Audit-Logs bereitstellen, finden Sie unter Google-Dienste mit Audit-Logs. Es ist davon auszugehen, dass letztendlich alle Google Cloud-Dienste Audit-Logs bereitstellen werden.

Audit-Logs zur Administratoraktivität

Audit-Logs zur Administratoraktivität enthalten Logeinträge für API-Aufrufe oder andere Verwaltungsaktionen, die die Konfiguration oder Metadaten von Ressourcen ändern. In diesen Logs wird beispielsweise aufgezeichnet, wann Nutzer VM-Instanzen erstellen oder Berechtigungen von Cloud Identity and Access Management ändern.

Damit Sie diese Logs ansehen können, benötigen Sie die Cloud IAM-Rolle Logging/Logbetrachter oder Projekt/Betrachter.

Audit-Logs für Administratoraktivitäten werden immer geschrieben. Sie können sie nicht konfigurieren oder deaktivieren. Audit-Logs für Administratoraktivitäten sind kostenlos. Einzelheiten zu Nutzungslimits für Logging finden Sie unter Kontingente und Limits.

Audit-Logs zum Datenzugriff

Audit-Logs zum Datenzugriff enthalten API-Aufrufe, die die Konfiguration oder Metadaten von Ressourcen lesen, sowie nutzergesteuerte API-Aufrufe, die von Nutzern bereitgestellte Ressourcendaten erstellen, ändern oder lesen. In Audit-Logs zum Datenzugriff werden keine Datenzugriffsvorgänge für Ressourcen aufgezeichnet, die öffentlich freigegeben (für alle Nutzer oder alle authentifizierten Nutzer verfügbar) oder ohne Anmeldung in Google Cloud zugänglich sind.

Damit Sie diese Logs ansehen können, benötigen Sie die Cloud IAM-Rolle Logging/Betrachter privater Logs oder Projekt/Inhaber.

Da Audit-Logs zum Datenzugriff relativ groß sein können, sind sie standardmäßig deaktiviert. Damit sie geschrieben werden, müssen Sie sie explizit aktivieren. Durch das Aktivieren der Logs können Gebühren für die zusätzliche Lognutzung im Projekt anfallen. Anleitungen zum Aktivieren und Konfigurieren von Audit-Logs zum Datenzugriff finden Sie unter Datenzugriffslogs konfigurieren.

Einzelheiten zu Nutzungslimits für das Logging finden Sie unter Kontingente und Limits. Einzelheiten zu den möglicherweise anfallenden Kosten finden Sie unter Preise.

Audit-Logs zu Systemereignissen

Audit-Logs zu Systemereignissen enthalten Logeinträge für Google Cloud-Verwaltungsmaßnahmen, die die Konfiguration von Ressourcen ändern. Diese Logs werden von Google-Systemen generiert und nicht von direkten Nutzeraktionen gesteuert.

Damit Sie diese Logs ansehen können, benötigen Sie die Cloud IAM-Rolle Logging/Logbetrachter oder Projekt/Betrachter.

Audit-Logs zu Systemereignissen werden immer geschrieben. Sie können sie nicht konfigurieren oder deaktivieren. Audit-Logs für Systemereignisse sind kostenlos. Einzelheiten zu Nutzungslimits für Logging finden Sie unter Kontingente und Limits.

Struktur von Audit-Logeinträgen

Jeder Audit-Logeintrag in Stackdriver Logging ist ein Objekt vom Typ LogEntry. Ein Audit-Logeintrag unterscheidet sich von anderen Logeinträgen durch das Feld protoPayload. Dieses Feld enthält ein AuditLog-Objekt, das die Audit-Logging-Daten speichert.

Informationen zum Lesen und Interpretieren von Audit-Logeinträgen finden Sie unter Audit-Logs verstehen.

Audit-Logs ansehen

Wenn Sie Audit-Logs suchen, müssen Sie die ID des Google Cloud-Projekts, -Ordners oder der Google Cloud-Organisation kennen, für die Sie Audit-Logging-Informationen abrufen möchten. Sie können weitere indexierte LogEntry-Felder angeben, z. B. resource.type. Weitere Informationen erhalten Sie unter Logeinträge schnell finden.

Dies sind die Namen der Audit-Logs:

   projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity
   projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_event

   folders/[FOLDER_ID]/logs/cloudaudit.googleapis.com%2Factivity
   folders/[FOLDER_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/[FOLDER_ID]/logs/cloudaudit.googleapis.com%2Fsystem_event

   organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Factivity
   organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fsystem_event

Sie haben mehrere Möglichkeiten, Ihre Audit-Logeinträge aufzurufen:

Einfache Oberfläche

Sie können die Audit-Logeinträge über die einfache Oberfläche der Loganzeige in der Cloud Console abrufen. Gehen Sie so vor:

  1. Rufen Sie in der Cloud Console die Seite Stackdriver Logging > Logs (Loganzeige) auf:

    Zur Seite "Loganzeige"

  2. Wählen Sie oben auf der Seite ein vorhandenes Google Cloud-Projekt aus oder erstellen Sie ein neues Projekt.

  3. Wählen Sie im ersten Drop-down-Menü die Ressource aus, deren Audit-Logs angezeigt werden sollen. Sie können eine bestimmte Ressource oder mit Global alle Ressourcen auswählen.

  4. Wählen Sie im zweiten Drop-down-Menü den gewünschten Logtyp aus: activity für Audit-Logs zur Administratoraktivität, data_access für Audit-Logs zum Datenzugriff und system_events für Systemereignislogs.

    Wenn Sie keine dieser Optionen sehen, sind im Projekt keine Audit-Logs dieses Typs verfügbar.

Erweiterte Oberfläche

Sie können die Audit-Logeinträge über die erweiterte Oberfläche der Loganzeige in der Cloud Console abrufen. Gehen Sie so vor:

  1. Rufen Sie in der Cloud Console die Seite Stackdriver Logging > Logs (Loganzeige) auf:

    Zur Seite "Loganzeige"

  2. Wählen Sie oben auf der Seite ein vorhandenes Google Cloud-Projekt aus oder erstellen Sie ein neues Projekt.

  3. Wählen Sie im ersten Drop-down-Menü die Ressource aus, deren Audit-Logs angezeigt werden sollen. Sie können eine bestimmte Ressource oder mit Global alle Ressourcen auswählen.

  4. Klicken Sie ganz rechts im Suchfilterfeld auf den Drop-down-Pfeil (▾) und wählen Sie In erweiterten Filter umwandeln aus.

  5. Erstellen Sie eine Abfrage, die die Logeinträge, die Sie anzeigen möchten, genauer differenziert. Mit der folgenden Abfrage können Sie alle Audit-Logs in Ihrem Projekt abrufen. Geben Sie in jedem Lognamen eine gültige [PROJECT_ID] an.

      logName = ("projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity"
          OR "projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_events"
          OR "projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access")
    

    Weitere Informationen zu Abfragen finden Sie unter Erweiterte Logabfragen.

API

So prüfen Sie Ihre Audit-Logeinträge mithilfe der Logging API:

  1. Rufen Sie den Abschnitt Diese API testen in der Dokumentation für die Methode entries.list auf.

  2. Geben Sie im Teil Anfragetext des Formulars Diese API testen Folgendes ein. Wenn Sie auf dieses vorausgefüllte Formular klicken, wird der Anfragetext automatisch übernommen. Sie müssen jedoch in allen Lognamen eine gültige [PROJECT_ID] angeben.

      {
        "resourceNames": [
          "projects/[PROJECT_ID]"
        ],
        "pageSize": 5,
        "filter": "logName=(projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_events OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access)"
      }
    
  3. Klicken Sie auf Ausführen.

Weitere Informationen zu Abfragen finden Sie unter Erweiterte Logabfragen.

GCLOUD

Das Cloud SDK bietet die Befehlsgruppe gcloud logging, die eine Befehlszeile für die Stackdriver Logging API bereitstellt. Führen Sie den folgenden Befehl aus, um Ihre Logeinträge zu lesen. Geben Sie dabei in jedem Lognamen eine gültige [PROJECT_ID] an.

gcloud logging read "logName=(projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_events OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access)

Weitere Informationen zur Verwendung des gcloud-Befehlszeilentools finden Sie unter Logeinträge lesen.

Seite "Aktivität" verwenden

In der Cloud Console auf der Seite Aktivität Ihres Projekts können Sie gekürzte Audit-Logeinträge auf Projektebene einsehen. Rufen Sie auf der Startseite die Seite Aktivität auf. Wählen Sie mithilfe von Filter die Einträge aus, die Sie ansehen möchten. Die tatsächlichen Audit-Logeinträge können mehr Informationen enthalten, als auf der Seite Aktivität angezeigt werden.

Zur Seite "Aktivität"

Auf der Seite "Aktivität" wird die Identität, die aufgezeichnete Aktionen ausführt, aus dem Audit-Logeintrag entfernt und User (anonymized) angezeigt. Weitere Informationen finden Sie unter Aufruferidentitäten in Audit-Logs auf dieser Seite.

Audit-Logs exportieren

Sie können Audit-Logeinträge nach Stackdriver Logging oder in bestimmte Google Cloud-Dienste exportieren.

Um Audit-Logeinträge außerhalb von Logging zu exportieren, müssen Sie eine Logsenke erstellen. Weisen Sie der Senke eine Abfrage zu, die die Audit-Logtypen angibt, die Sie exportieren möchten. Beispiele für Abfragen finden Sie unter Sicherheits-Logging-Abfragen.

Wenn Sie Audit-Logeinträge für eine Google Cloud-Organisation, einen Google Cloud-Ordner oder ein Google Cloud-Rechnungskonto exportieren möchten, prüfen Sie die aggregierten Exporte.

Audit-Log-Aufbewahrung

Die einzelnen Audit-Logeinträge werden für einen bestimmten Zeitraum gespeichert und danach gelöscht. Wenn Sie wissen möchten, wie lange Logeinträge von Logging aufbewahrt werden, lesen Sie die Informationen zur Aufbewahrung unter Kontingente und Limits. Audit-Logs und deren Einträge können nicht auf andere Weise gelöscht oder geändert werden.

Audit-Logtyp Aufbewahrungsdauer
Administratoraktivität 400 Tage
Datenzugriff 30 Tage
Systemereignis 400 Tage

Möchten Sie Ihre Audit-Logs länger aufbewahren, können Sie Audit-Logeinträge exportieren. Der Export erfolgt wie bei allen anderen Logeinträgen in Logging. Die Aufbewahrungsdauer ist dann natürlich unbegrenzt.

Aufruferidentitäten in Audit-Logs

Audit-Logs zeichnen die Identität auf, die die protokollierten Vorgänge für die Google Cloud-Ressource durchgeführt hat. Die Identität des Aufrufers wird im Feld AuthenticationInfo von AuditLog-Objekten gespeichert.

Unter den folgenden Umständen wird die primäre E-Mail-Adresse des Aufrufers aus Audit-Logs entfernt, wenn alle diese Bedingungen erfüllt sind:

  • Dies ist ein schreibgeschützter Vorgang.
  • Der Vorgang schlägt mit dem Fehler "Berechtigung verweigert" fehl.
  • Die Identität ist ein Dienstkonto, aber kein Mitglied der Google Cloud-Organisation, die mit der Ressource verknüpft ist. Wenn die Identität kein Dienstkonto ist, gilt diese Bedingung nicht.

Zusätzlich zu den oben aufgeführten Bedingungen gilt Folgendes für bestimmte Google Cloud-Produkte:

Wenn Sie Audit-Logs über die Seite Aktivität der Google Cloud Console ansehen, wird User (anonymized) für alle Logeinträge angezeigt, deren Identität entfernt oder leer ist.

Audit-Logs generierende Google-Dienste

Eine Liste der Google Cloud-Dienste, die Audit-Logs bereitstellen, finden Sie unter Google-Dienste mit Audit-Logs. Es ist davon auszugehen, dass letztendlich alle Google Cloud-Dienste Audit-Logs bereitstellen werden.