Cloud-Audit-Logs

Google Cloud-Dienste schreiben Audit-Logs, um Ihnen Antworten auf Fragen wie whoWer hat was, wo und wann getan?“ zu liefern. innerhalb Ihrer Google Cloud-Ressourcen.

Cloud-Audit-Logging ermöglicht die Nutzung von Prüfpfaden in Google Cloud durch Sicherheits-, Prüf- und Compliance-Instanzen. Mit Cloud-Audit-Logging können Sie für Ihr Unternehmen die gleiche Transparenz in Bezug auf administrative Aktivitäten und Zugriffe auf Daten in Google Cloud wie in lokalen Umgebungen herstellen. Mithilfe von Audit-Logs kann das Google Cloud-Supportteam Probleme mit Ihrem Konto beheben.

Audit-Logs generierende Google-Dienste

Eine Liste der Google Cloud-Dienste, die Audit-Logs bereitstellen, finden Sie unter Google-Dienste mit Audit-Logs. Alle Google Cloud-Dienste stellen letztendlich Audit-Logs bereit.

Arten von Audit-Logs

Cloud-Audit-Logging legt für jedes Google Cloud-Projekt, jeden Ordner und jede Organisation die folgenden Audit-Logs an:

Audit-Logs zur Administratoraktivität

Audit-Logs zu Administratoraktivitäten enthalten Logeinträge für API-Aufrufe oder andere Aktionen, die die Konfiguration oder die Metadaten von Ressourcen ändern. Diese Logs werden beispielsweise aufgezeichnet, wenn Nutzer VM-Instanzen erstellen oder Berechtigungen der Identitäts- und Zugriffsverwaltung ändern.

Audit-Logs zu Administratoraktivitäten werden immer geschrieben Sie können sie nicht konfigurieren, ausschließen oder deaktivieren. Selbst wenn Sie die Cloud Logging API deaktivieren, werden weiterhin Audit-Logs zu Administratoraktivitäten generiert.

Audit-Logs zum Datenzugriff

Audit-Logs zum Datenzugriff enthalten API-Aufrufe, die die Konfiguration oder Metadaten von Ressourcen lesen, sowie nutzergesteuerte API-Aufrufe, die von Nutzern bereitgestellte Ressourcendaten erstellen, ändern oder lesen.

Öffentlich verfügbare Ressourcen, die die Richtlinien für die Identitäts- und Zugriffsverwaltung allAuthenticatedUsers oder allUsers haben, generieren keine Audit-Logs. Für Ressourcen, auf die ohne Anmeldung in einem Google Cloud-, Google Workspace-, Cloud Identity- oder Drive Enterprise-Konto zugegriffen werden kann, werden keine Audit-Logs generiert. So werden Endnutzeridentitäten und -informationen geschützt.

Audit-Logs für den Datenzugriff sind – mit Ausnahme von BigQuery-Datenzugriffslogs – standardmäßig deaktiviert, da Audit-Logs sehr groß sein können. Wenn Sie Audit-Logs zum Datenzugriff für andere Google Cloud-Dienste als BigQuery schreiben möchten, müssen Sie diese explizit aktivieren. Wenn Sie die Logs aktivieren, wird Ihrem Cloud-Projekt möglicherweise die zusätzliche Log-Nutzung in Rechnung gestellt. Eine Anleitung zum Aktivieren und Konfigurieren von Audit-Logs zum Datenzugriff finden Sie unter Datenzugriffslogs konfigurieren.

Audit-Logs zu Systemereignissen

Audit-Logs zu Systemereignissen enthalten Logeinträge für Google Cloud-Aktionen, durch die die Konfiguration von Ressourcen geändert wird. Audit-Logs zu Systemereignissen werden von Google-Systemen generiert nicht durch eine direkte Nutzeraktion.

Audit-Logs zu Systemereignissen werden immer geschrieben. Sie können sie nicht konfigurieren, ausschließen oder deaktivieren.

Audit-Logs zu Richtlinienverstößen

Audit-Logs zu Richtlinienverstößen werden aufgezeichnet, wenn ein Google Cloud-Dienst den Zugriff eines Nutzers oder Dienstkontos aufgrund eines Sicherheitsverstoßes verweigert. Die Sicherheitsrichtlinien werden von VPC Service Controls festgelegt, das die Audit-Logs zu Richtlinienverstößen in Cloud Logging bereitstellt.

Audit-Logs über Richtlinien verweigert werden standardmäßig generiert und Ihrem Cloud-Speicher wird der Logspeicher in Rechnung gestellt. Sie können Audit-Logs zu Richtlinienverstößen nicht deaktivieren, aber Sie können Ausschlussfilter verwenden, um zu verhindern, dass Audit-Logs zu Richtlinienverstößen in Cloud Logging aufgenommen und gespeichert werden.

Struktur von Audit-Logeinträgen

Jeder Audit-Logeintrag in Cloud Logging ist ein Objekt vom Typ LogEntry. Ein Audit-Logeintrag unterscheidet sich von anderen Logeinträgen durch das Feld protoPayload. Dieses Feld enthält ein AuditLog-Objekt, das die Audit-Logging-Daten speichert.

Informationen zum Lesen und Interpretieren von Audit-Logeinträgen finden Sie unter Audit-Logs verstehen.

Aufruferidentitäten in Audit-Logs

Audit-Logs zeichnen die Identität auf, die die protokollierten Vorgänge für die Google Cloud-Ressource durchgeführt hat. Die Identität des Aufrufers wird im Feld AuthenticationInfo von AuditLog-Objekten gespeichert.

Die Haupt-E-Mail-Adresse des Aufrufers wird aus einem Audit-Log entfernt, wenn der Vorgang schreibgeschützt ist und der Fehler mit dem Fehler "Berechtigung verweigert" fehlschlägt. Die einzige Ausnahme ist, dass der Aufrufer ein Dienstkonto ist, das Mitglied der mit der Ressource verknüpften Google Cloud-Organisation ist. Dann wird die E-Mail-Adresse nicht entfernt.

Zusätzlich zu den oben aufgeführten Bedingungen gilt Folgendes für bestimmte Google Cloud-Produkte:

Wenn Sie Audit-Logs über die Aktivitätsseite der Google Cloud Console aufrufen, wird User (anonymized) für alle Logeinträge angezeigt, deren Identität entfernt wurde oder leer ist.

Audit-Logs ansehen

Wenn Sie Audit-Logs suchen und ansehen möchten, müssen Sie die ID des Cloud-Projekts, des Ordners oder der Organisation kennen, für die Sie Audit-Logging-Informationen abrufen möchten. Sie können weitere indexierte LogEntry-Felder angeben, z. B. resource.type. Weitere Informationen erhalten Sie unter Logeinträge schnell finden.

Im Folgenden finden Sie die Namen der Audit-Logs. Sie enthalten Variablen für die IDs des Cloud-Projekts, des Ordners oder der Organisation.

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Sie können Audit-Logs in Cloud Logging mit der Cloud Console, dem gcloud-Befehlszeilentool oder der Logging API aufrufen.

Console

Sie können mit dem Log-Explorer in der Cloud Console die Audit-Logeinträge für Ihr Cloud-Projekt, Ihren Ordner oder Ihre Organisation abrufen:

  1. Rufen Sie in der Cloud Console die Seite Logging > Log-Explorer auf.

    Zur Seite „Log-Explorer“

  2. Wählen Sie auf der Seite Log-Explorer ein vorhandenes Cloud-Projekt, einen Ordner oder eine Organisation aus.

  3. Führen Sie im Bereich Query Builder folgende Schritte aus:

    • Wählen Sie unter Ressourcentyp die Google Cloud-Ressource aus, deren Audit-Logs angezeigt werden sollen.

    • Wählen Sie unter Logname den Audit-Logtyp aus, den Sie sehen möchten:

      • Wählen Sie für Audit-Logs zu Administratoraktivitäten die Option activity aus.
      • Wählen Sie für Audit-Logs zum Datenzugriff die Option data_access aus.
      • Wählen Sie für Audit-Logs zu Systemereignissen die Option system_event aus.
      • Wählen Sie für Audit-Logs zu Richtlinienverstößen die Option policy aus.

    Wenn diese Optionen nicht angezeigt werden, sind im Cloud-Projekt, im Ordner oder in der Organisation keine Audit-Logs dieses Typs verfügbar.

    Weitere Informationen zu Abfragen mit dem Log-Explorer finden Sie unter Logabfragen erstellen.

gcloud

Das gcloud-Befehlszeilentool bietet eine Befehlszeile für die Cloud Logging API. Geben Sie dabei in jedem Lognamen eine gültige PROJECT_ID, FOLDER_ID oder ORGANIZATION_ID an.

Führen Sie den folgenden Befehl aus, um Ihre Audit-Logeinträge auf Google Cloud-Projektebene zu lesen:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" --project=PROJECT_ID

Führen Sie den folgenden Befehl aus, um Ihre Audit-Logeinträge auf Ordnerebene zu lesen:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" --folder=FOLDER_ID

Führen Sie den folgenden Befehl aus, um Ihre Audit-Logeinträge auf Organisationsebene zu lesen:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" --organization=ORGANIZATION_ID

Weitere Informationen zur Verwendung des gcloud-Tools finden Sie unter Logeinträge lesen.

API

Ersetzen Sie beim Erstellen Ihrer Abfragen die Variablen durch gültige Werte, ersetzen Sie den entsprechenden Audit-Lognamen oder die entsprechenden Kennungen auf Projektebene, Ordnerebene oder Organisationsebene, wie in den Audit-Lognamen aufgeführt. Wenn die Abfrage beispielsweise eine PROJECT_ID enthält, muss sich die von Ihnen angegebene Projekt-ID auf das aktuell ausgewählte Cloud-Projekt beziehen.

So rufen Sie Ihre Audit-Logeinträge mit der Logging API auf:

  1. Rufen Sie den Abschnitt Diese API testen in der Dokumentation für die Methode entries.list auf.

  2. Geben Sie im Teil Anfragetext des Formulars Diese API testen Folgendes ein. Wenn Sie auf dieses vorausgefüllte Formular klicken, wird der Anfragetext automatisch übernommen. Sie müssen jedoch in jedem der Lognamen eine gültige PROJECT_ID angeben.

    {
      "resourceNames": [
        "projects/PROJECT_ID"
      ],
      "pageSize": 5,
      "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
    }
    
  3. Klicken Sie auf Ausführen.

Weitere Informationen zu Abfragen finden Sie unter Logging-Abfragesprache.

Ein Beispiel für einen Audit-Logeintrag und wie Sie die wichtigsten Informationen darin finden, sehen Sie unter Beispiel für einen Audit-Logeintrag.

Seite "Aktivität" verwenden

Sie können die gekürzten Audit-Logeinträge in der Cloud Console auf der Seite Aktivität des Projekts, Ordners oder der Organisation aufrufen. Die tatsächlichen Audit-Logeinträge können mehr Informationen enthalten, als auf der Seite Aktivität angezeigt werden.

So zeigen Sie abgekürzte Audit-Logeinträge in der Cloud Console an:

  1. Zur Seite "Aktivität":

    Zur Seite "Aktivität"

  2. Wählen Sie in der Projektauswahl das Cloud-Projekt, den Ordner oder die Organisation aus, für die Sie Audit-Logeinträge aufrufen möchten.

  3. Wählen Sie im Bereich Filter die Einträge aus, die Sie ansehen möchten.

Auf der Seite "Aktivität" wird die Identität, die aufgezeichnete Aktionen ausführt, aus dem Audit-Logeintrag entfernt und User (anonymized) angezeigt. Weitere Informationen finden Sie auf dieser Seite unter Anruferidentitäten in Audit-Logs.

Audit-Logs speichern und weiterleiten

Cloud Logging verwendet Log-Buckets als Container, in denen Ihre Logdaten gespeichert und organisiert werden. Für jedes Cloud-Projekt, jeden Ordner und jedes Organisations-Logging werden automatisch zwei Log-Buckets erstellt, die _Required und _Default sowie die entsprechenden Senken.

Cloud Logging-_Required-Buckets nehmen Audit-Logs zur Administratoraktivität und Audit-Logs zu Systemereignissen auf und speichern sie. Sie können keine _Required-Buckets oder darin enthaltene Logdaten konfigurieren.

Die _Default-Buckets erfassen und speichern standardmäßig alle aktivierten Audit-Logs zum Datenzugriff sowie für Audit-Logs zu Richtlinienverstößen. Wenn Sie verhindern möchten, dass Audit-Logs zum Datenzugriff in den _Default-Buckets gespeichert werden, können Sie sie deaktivieren. Wenn Sie verhindern möchten, dass Audit-Logs der Richtlinie "Verweigert" in den Buckets _Default gespeichert werden, können Sie sie ausschließen, indem Sie die Filter der entsprechenden Senken ändern.

Sie können Ihre Audit-Logeinträge auch an benutzerdefinierte Cloud Logging-Buckets auf Cloud-Projektebene oder an unterstützte Ziele außerhalb von Logging mithilfe von Senken weiterleiten. Eine Anleitung dazu finden Sie unter Senken konfigurieren.

Wenn Sie die Filter der Logsenken konfigurieren, müssen Sie die Audit-Logtypen angeben, die Sie weiterleiten möchten. Beispiele zum Filtern finden Sie unter Sicherheits-Logging-Abfragen.

Wenn Sie Audit-Logeinträge für eine Google Cloud-Organisation, einen Google Cloud-Ordner oder ein Google Cloud-Rechnungskonto weiterleiten möchten, lesen Sie die Informationen unter Aggregierte Senken.

Audit-Log-Aufbewahrung

Informationen darüber, wie lange Logeinträge von Logging aufbewahrt werden, finden Sie in den Aufbewahrungsregeln unter Kontingente und Limits: Logaufbewahrungszeiträume.

Zugriffssteuerung

IAM-Berechtigungen und -Rollen bestimmen, ob Sie auf Audit-Logdaten in der Logging API, dem Log-Explorer und den gcloud-Befehlszeilentool.

Berücksichtigen Sie bei der Entscheidung, welche Berechtigungen und Rollen für die Audit-Logging-Anwendungsfälle der Hauptkonten gelten:

  • roles/logging.viewer (Loganzeige) bietet Lesezugriff auf alle Features von Logging, mit Ausnahme von Access Transparency-Logs und Audit-Logs zum Datenzugriff, bei denen es sich um private Logeinträge handelt.

  • roles/logging.privateLogViewer (Betrachter privater Logs) bietet roles/logging.viewer sowie die Möglichkeit, private Logeinträge zu lesen: Access Transparency-Logs und Audit-Logs zum Datenzugriff.

Wenn private Logeinträge an einen benutzerdefinierten Bucket weitergeleitet werden, kann jedes Ressourcenmitglied mit Leseberechtigungen für diesen Bucket die Logeinträge aufrufen.

Ausführliche Informationen zu den erforderlichen IAM-Berechtigungen und -Rollen finden Sie in der Anleitung zur Zugriffssteuerung.

Kontingente und Limits

Die maximale Größe eines Audit-Logs ist in der folgenden Tabelle dargestellt. Mit diesen Werten können Sie den für ein Routingziel erforderlichen Speicherplatz schätzen.

Audit-Log Maximalgröße
Administratoraktivität 512 KiB
Datenzugriff 512 KiB
Systemereignis 512 KiB
Richtlinie abgelehnt 512 KiB

Informationen zu anderen Nutzungslimits für das Logging finden Sie unter Kontingente und Limits.

Preise

Audit-Logs zu Administratoraktivitäten und Audit-Logs zu Systemereignissen sind kostenlos.

Audit-Logs für den Datenzugriff und Audit-Logs zu Richtlinienverstößen sind kostenpflichtig.

Informationen zu den Preisen für Cloud Logging finden Sie unter Preise für die Operations-Suite von Google Cloud: Cloud Logging.

Nächste Schritte