Ce document présente les concepts liés à Cloud Audit Logs.
Les services Google Cloud écrivent des journaux d'audit qui enregistrent les activités d'administration et les accès aux ressources Google Cloud. Les journaux d'audit vous aident à répondre aux questions "qui a fait quoi, où et quand ?". au sein de vos ressources Google Cloud avec le même niveau de transparence que dans les environnements sur site. L'activation des journaux d'audit permet à vos entités de sécurité, d'audit et de conformité de surveiller les données et les systèmes Google Cloud afin de détecter d'éventuelles failles ou un usage abusif des données externes.
Services Google générant des journaux d'audit
Pour obtenir la liste des services Google Cloud qui fournissent des journaux d'audit, consultez la page Services Google avec journaux d'audit. À terme, tous les services Google Cloud fourniront des journaux d'audit.
Pour obtenir une présentation des journaux d'audit Google Workspace, consultez la section Journaux d'audit pour Google Workspace.
Types de journaux d'audit
Cloud Audit Logs fournit les journaux d'audit suivants pour chaque projet, dossier et organisation Google Cloud:
- Journaux d'audit pour les activités d'administration
- Journaux d'audit pour l'accès aux données
- Journaux d'audit d'événements système
- Journaux d'audit des refus de règles
Journaux d'audit pour les activités d'administration
Les journaux d'audit de type "Activités d'administration" contiennent des entrées liées aux appels d'API et aux autres opérations d'administration qui modifient la configuration ou les métadonnées des ressources. Par exemple, ces journaux enregistrent les actions de création d'instance de VM ou de modification des autorisations Cloud IAM (Identity and Access Management).
Les journaux d'audit des activités d'administration sont toujours écrits. Vous ne pouvez pas les configurer ni les désactiver. Même si vous désactivez l'API Cloud Logging, les journaux d'audit des activités d'administration sont toujours générés.
Pour obtenir la liste des services qui écrivent des journaux d'audit pour les activités d'administration, ainsi que des informations détaillées sur les activités qui les génèrent, consultez la section Services Google Cloud avec journaux d'audit.
Journaux d'audit des accès aux données
Les journaux d'audit relatifs à l'accès aux données contiennent des appels d'API qui lisent la configuration ou les métadonnées des ressources, et des appels d'API pilotés par l'utilisateur qui créent, modifient ou lisent des données de ressources fournies par l'utilisateur.
Les ressources accessibles au public dont les stratégies Identity and Access Management allAuthenticatedUsers
ou allUsers
ne génèrent pas de journaux d'audit. Les ressources accessibles sans connexion à un compte Google Cloud, Google Workspace, Cloud Identity ou Drive Enterprise ne génèrent pas de journaux d'audit. Cela permet de protéger les identités et les informations des utilisateurs finaux.
Les journaux d'audit pour l'accès aux données, à l'exception de ceux de BigQuery, sont désactivés par défaut, car leur taille peut être assez importante. Si vous souhaitez que les journaux d'audit des accès aux données soient écrits pour les services Google Cloud autres que BigQuery, vous devez les activer explicitement. L'activation des journaux peut entraîner la facturation de frais d'utilisation de journaux supplémentaires dans votre projet Google Cloud. Pour savoir comment activer et configurer les journaux d'audit des accès aux données, consultez Activer les journaux d'audit des accès aux données.
Pour obtenir la liste des services qui écrivent des journaux d'audit des accès aux données, ainsi que des informations détaillées sur les activités qui les génèrent, consultez la section Services Google Cloud avec journaux d'audit.
Journaux d'audit d'événements système
Les journaux d'audit des événements système contiennent des entrées associées aux actions d'administration de Google Cloud qui modifient la configuration des ressources. Les journaux d'audit des événements système sont activés par les systèmes Google. Ils ne sont pas pilotés directement par l'utilisateur.
Les journaux d'audit des événements système sont toujours écrits. Vous ne pouvez pas les configurer ni les désactiver.
Pour obtenir la liste des services qui écrivent des journaux d'audit des événements système et des informations détaillées sur les activités qui les génèrent, consultez la section Services Google Cloud avec journaux d'audit.
Journaux d'audit des refus de règles
Les journaux d'audit des refus de règles sont enregistrés lorsqu'un service Google Cloud refuse l'accès à un utilisateur ou à un compte de service en raison d'une violation des règles de sécurité.
Les journaux d'audit des refus de règles sont générés par défaut, et le stockage des journaux est facturé sur votre projet Google Cloud. Vous ne pouvez pas désactiver les journaux d'audit des refus de règles, mais vous pouvez utiliser des filtres d'exclusion pour empêcher leur stockage dans Cloud Logging.
Pour obtenir la liste des services qui génèrent des journaux d'audit des refus de règles et des informations détaillées sur les activités qui génèrent ces journaux, consultez Services Google Cloud avec journaux d'audit.
Structure des entrées des journaux d'audit
Dans Cloud Logging, chaque entrée de journal d'audit est un objet de type LogEntry
. Une entrée de journal d'audit se distingue des autres entrées de journal par le champ protoPayload
. Ce champ contient un objet AuditLog
qui stocke les données de journalisation d'audit.
Pour comprendre comment lire et interpréter les entrées de journal d'audit et pour découvrir un exemple d'entrée de journal d'audit, consultez Comprendre les journaux d'audit.
Nom du journal
Les noms de journaux Cloud Audit Logs sont les suivants:
Identifiants de ressources indiquant le projet Google Cloud ou une autre entité Google Cloud propriétaire des journaux d'audit.
Correspond à la chaîne
cloudaudit.googleapis.com
.Chaîne indiquant si le journal contient des données de journaux d'audit d'activités d'administration, d'accès aux données, de règles refusées ou d'événements système.
Voici les noms des journaux d'audit incluant des variables pour les identifiants de ressource :
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Factivity billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fdata_access billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fpolicy organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy
Identités de l'appelant dans les journaux d'audit
Les journaux d'audit enregistrent l'identité ayant effectué les opérations consignées sur la ressource Google Cloud. L'identité de l'appelant est conservée dans le champ AuthenticationInfo
des objets AuditLog.
Les journaux d'audit ne masquent pas l'adresse e-mail principale de l'appelant pour un accès réussi ou une opération d'écriture.
Pour les opérations en lecture seule qui échouent et renvoient une erreur "Autorisation refusée", les journaux d'audit peuvent masquer l'adresse e-mail principale de l'appelant, sauf si l'appelant est un compte de service.
Outre les conditions listées ci-dessus, les éléments suivants s'appliquent à certains services Google Cloud:
Ancienne API App Engine : les identités ne sont pas collectées.
BigQuery: les identités et les adresses IP des appelants ainsi que certains noms de ressources sont masqués dans les journaux d'audit, sauf si certaines conditions sont remplies.
Cloud Storage : lorsque les journaux d'utilisation de Cloud Storage sont activés, Cloud Storage écrit les données d'utilisation dans le bucket Cloud Storage, qui génère des journaux d'audit pour l'accès aux données de ce bucket. L'identité de l'appelant dans le journal d'audit des accès aux données généré est masquée.
Firestore : si un jeton Web JSON (JWT) a été utilisé pour l'authentification tierce, le champ
thirdPartyPrincipal
inclut l'en-tête et la charge utile du jeton. Par exemple, les journaux d'audit des requêtes authentifiées avec Firebase Authentication incluent le jeton d'authentification de cette requête.VPC Service Controls: pour les journaux d'audit des refus de règles, le masquage suivant se produit:
Certaines parties des adresses e-mail de l'appelant peuvent être masquées et remplacées par trois caractères de point
...
.Certaines adresses e-mail d'appelant appartenant au domaine
google.com
sont masquées et remplacées pargoogle-internal
.
Règle d'administration : Certaines parties des adresses e-mail des appelants peuvent être masquées et remplacées par trois caractères
...
.
Adresse IP de l'appelant dans les journaux d'audit
L'adresse IP de l'appelant figure dans le champ RequestMetadata.caller_ip
de l'objet AuditLog
:
- Pour un appelant depuis Internet, il s'agit d'une adresse IPv4 ou IPv6 publique.
- Pour les appels effectués à partir du réseau de production interne de Google d'un service Google Cloud à un autre, les appelants sont masqués.
- Pour un appelant à partir d'une VM Compute Engine avec une adresse IP externe, caller_ip est l'adresse externe de la VM.
- Pour un appelant à partir d'une VM Compute Engine sans adresse IP externe, si la VM se trouve dans la même organisation ou le même projet que la ressource consultée, caller_ip est l'adresse IPv4 interne de la VM. Sinon, le champ "caller_ip" est masqué et correspond à "gce-internal-ip". Pour en savoir plus, consultez la page Présentation du réseau VPC.
Afficher les journaux d'audit
Vous pouvez interroger tous les journaux d'audit ou interroger les journaux selon leur nom de journal d'audit. Le nom du journal d'audit inclut l'identifiant de ressource du projet, du dossier, du compte de facturation ou de l'organisation Google Cloud dont vous souhaitez afficher les informations de journalisation d'audit.
Vos requêtes peuvent spécifier des champs LogEntry
indexés. Si vous utilisez la page Log Analytics, qui est compatible avec les requêtes SQL, vous pouvez afficher les résultats de votre requête sous forme de graphique.
Pour en savoir plus sur l'interrogation de journaux, consultez les pages suivantes :
- Créer des requêtes dans l'explorateur de journaux
- Créer des requêtes à l'aide de SQL
- Exemples de requêtes pour des insights sur la sécurité.
Console
Vous pouvez utiliser l'explorateur de journaux de la console Google Cloud pour récupérer les entrées du journal d'audit de votre projet, dossier ou organisation Google Cloud :
-
Dans la console Google Cloud, sélectionnez Logging, puis Explorateur de journaux, ou cliquez sur le bouton suivant :
Sélectionnez un projet, une organisation ou un dossier Google Cloud existant.
Pour afficher tous les journaux d'audit, saisissez l'une des requêtes suivantes dans le champ de l'éditeur de requête, puis cliquez sur Exécuter la requête :
logName:"cloudaudit.googleapis.com"
protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog"
Pour afficher les journaux d'audit d'une ressource et d'un type de journal d'audit spécifiques, accédez au volet Générateur de requêtes et procédez comme suit :
Dans Type de ressource, sélectionnez la ressource Google Cloud dont vous souhaitez afficher les journaux d'audit.
Dans Nom du journal, sélectionnez le type de journal d'audit que vous souhaitez afficher :
- Pour les journaux d'audit pour les activités d'administration, sélectionnez activity.
- Pour les journaux d'audit des accès aux données, sélectionnez data_access.
- Pour les journaux d'audit des événements système, sélectionnez system_event.
- Pour les journaux d'audit des refus de règles, sélectionnez policy.
Cliquez sur Exécuter la requête.
Si ces options ne sont pas visibles, cela signifie qu'aucun journal d'audit de ce type n'est disponible dans le projet, le dossier ou l'organisation Google Cloud.
Si vous rencontrez des problèmes lors de la tentative d'affichage de journaux dans l'explorateur de journaux, consultez les informations de dépannage.
Pour en savoir plus sur l'utilisation de l'explorateur de journaux pour effectuer des requêtes, consultez la page Créer des requêtes dans l'explorateur de journaux. Pour en savoir plus sur la synthèse des entrées de journal dans l'explorateur de journaux à l'aide de Duet AI, consultez la page Synthétiser des entrées de journal avec l'assistance de Dut AI.
gcloud
Google Cloud CLI fournit une interface de ligne de commande à l'API Logging. Fournissez un identifiant de ressource valide dans chacun des noms de journaux. Par exemple, si votre requête inclut un PROJECT_ID, l'identifiant de projet que vous fournissez doit faire référence au projet Google Cloud actuellement sélectionné.
Pour lire les entrées de journal d'audit au niveau du projet Google Cloud, exécutez la commande suivante :
gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \ --project=PROJECT_ID
Pour lire les entrées de journal d'audit au niveau d'un dossier, exécutez la commande suivante :
gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \ --folder=FOLDER_ID
Pour lire les entrées de journal d'audit au niveau de l'organisation, exécutez la commande suivante :
gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \ --organization=ORGANIZATION_ID
Pour lire les entrées de journal d'audit au niveau de votre compte de facturation Cloud, exécutez la commande suivante :
gcloud logging read "logName : billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com" \ --billing-account=BILLING_ACCOUNT_ID
Ajoutez l'option --freshness
à votre commande pour lire les journaux datant de plus d'une journée.
Pour en savoir plus sur l'utilisation de gcloud CLI, consultez la page gcloud logging read
.
API
Lors de la création de vos requêtes, fournissez un identifiant de ressource valide dans chacun des noms de journaux. Par exemple, si votre requête inclut un PROJECT_ID, l'identifiant de projet que vous fournissez doit faire référence au projet Google Cloud actuellement sélectionné.
Par exemple, pour utiliser l'API Logging afin d'afficher les entrées de journal d'audit au niveau d'un projet, procédez comme suit :
Accédez à la section Essayer cette API dans la documentation de la méthode
entries.list
.Insérez les éléments suivants dans la partie Corps de la requête du formulaire Essayer cette API. En cliquant sur ce formulaire prérempli, vous remplissez automatiquement le corps de la requête mais vous devez fournir un ID de projet PROJECT_ID valide pour chaque nom de journal.
{ "resourceNames": [ "projects/PROJECT_ID" ], "pageSize": 5, "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" }
Cliquez sur Exécuter.
Stocker et acheminer les journaux d'audit
Cloud Logging utilise des buckets de journaux comme conteneurs qui stockent et organisent les données de vos journaux. Pour chaque projet, dossier et organisation Google Cloud, Logging crée automatiquement deux buckets de journaux (_Required
et _Default
) et les récepteurs correspondants.
Les buckets Cloud Logging _Required
stockent les journaux d'audit des activités d'administration et les événements d'administration système. Vous ne pouvez pas configurer les buckets _Required
ni les données de journaux qu'ils contiennent.
Par défaut, les buckets _Default
stockent les journaux d'audit activés pour l'accès aux données, ainsi que les journaux d'audit des refus de règles. Vous pouvez désactiver les journaux d'audit des accès aux données dans les buckets _Default
. Pour empêcher que les journaux d'audit des refus de règles soient stockés dans les buckets _Default
, vous pouvez les exclure en modifiant les filtres de leurs récepteurs.
Vous pouvez également acheminer vos entrées de journal d'audit vers des buckets Cloud Logging définis par l'utilisateur au niveau du projet Google Cloud ou vers des destinations compatibles en dehors de Logging à l'aide de récepteurs. Pour savoir comment acheminer les journaux, consultez la section Router les journaux vers les destinations compatibles.
Lors de la configuration des filtres de vos récepteurs de journaux, vous devez spécifier les types de journaux d'audit que vous souhaitez acheminer. Pour obtenir des exemples de filtrage, consultez la page Requêtes de journalisation de sécurité.
Si vous souhaitez acheminer les entrées du journal d'audit pour une organisation, un dossier ou un compte de facturation Google Cloud, consultez la section Organiser et acheminer les journaux au niveau de l'organisation vers des destinations compatibles.
Conserver des journaux d'audit
Pour en savoir plus sur la durée de conservation des entrées de journal par Cloud Logging, consultez la section correspondante sur la page Quotas et limites : durée de conservation des journaux.
Contrôle des accès
Les autorisations et les rôles IAM déterminent votre capacité à accéder aux données des journaux d'audit dans l'API Logging, l'explorateur de journaux et Google Cloud CLI.
Pour plus d'informations sur les autorisations et les rôles IAM dont vous avez besoin, consultez la page Contrôle des accès avec IAM .
Quotas et limites
Pour en savoir plus sur les limites d'utilisation de la journalisation, y compris sur la taille maximale des journaux d'audit, consultez la page Quotas et limites.
Tarifs
Pour en savoir plus sur les tarifs de Cloud Logging, consultez la page Tarifs de la suite d'opérations Google Cloud : Cloud Logging.
Étapes suivantes
- Découvrez comment lire et comprendre les journaux d'audit.
- Découvrez comment activer les journaux d'audit des accès aux données.
- Consultez les bonnes pratiques d'utilisation de Cloud Audit Logs.