Cloud Audit Logging

Cloud Audit Logging permet de gérer trois journaux d'audit pour chaque projet, dossier et organisation Google Cloud : le journal des activités d'administration, le journal de l'accès aux données et le journal des événements système. Les services Google Cloud génèrent des entrées dans ces journaux d'audit pour vous aider à déterminer qui fait quoi, où et quand dans vos ressources Google Cloud.

Pour obtenir la liste des services Google Cloud qui génèrent des journaux d'audit, accédez à la section Services Google avec journaux d'audit. À terme, tous les services Google Cloud fourniront des journaux d'audit.

Journaux d'audit pour les activités d'administration

Les journaux de type "Activités d'administration" contiennent des entrées relatives aux appels d'API et aux autres opérations d'administration qui modifient la configuration ou les métadonnées des ressources. Par exemple, ces journaux enregistrent les actions de création d'instance de VM ou de modification des autorisations Cloud IAM (Identity and Access Management).

Pour afficher ces journaux, vous devez disposer du rôle Cloud IAM Logging/Visionneuse de journaux ou Projet/Lecteur.

Les journaux d'audit des activités d'administration sont toujours écrits. Vous ne pouvez pas les configurer ni les désactiver. L'utilisation des journaux d'audit pour vos activités d'administration est gratuite. Pour en savoir plus sur les limitations de l'enregistrement, consultez la section Quotas et limites.

Journaux d'audit pour l'accès aux données

Les journaux d'audit pour l'accès aux données contiennent des appels d'API qui lisent la configuration ou les métadonnées des ressources, et des appels d'API pilotés par l'utilisateur qui créent, modifient ou lisent des données de ressources fournies par l'utilisateur. Les journaux d'audit pour l'accès aux données n'enregistrent pas les opérations d'accès aux données sur les ressources partagées publiquement (accessibles à tous les utilisateurs ou à tous les utilisateurs authentifiés) ou accessibles sans connexion à Google Cloud.

Pour afficher ces journaux, vous devez disposer des rôles Cloud IAM Logging/Visionneuse de journaux privés ou Projet/Propriétaire.

Les journaux d'audit pour l'accès aux données sont désactivés par défaut, car ils peuvent être volumineux. Ils doivent être activés explicitement pour être renseignés. L'activation de ces journaux peut entraîner une facturation pour "utilisation de journaux supplémentaires dans le cadre de votre projet". Pour obtenir des instructions sur l'activation et la configuration des journaux d'audit pour l'accès aux données, consultez la section Configurer les journaux d'accès aux données.

Pour en savoir plus sur les limitations de l'enregistrement, consultez la section Quotas et limites. Pour en savoir plus sur les coûts engendrés, consultez la page Tarifs.

Journaux d'audit d'événements système

Les journaux d'audit des événements système contiennent des entrées associées aux actions d'administration de Google Cloud qui modifient la configuration des ressources. Les journaux d'audit des événements système sont générés par les systèmes Google. Ils ne sont pas pilotés directement par l'utilisateur.

Pour afficher ces journaux, vous devez disposer du rôle Cloud IAM Logging/Visionneuse de journaux ou Projet/Lecteur.

Les journaux d'audit des événements système sont toujours écrits. Vous ne pouvez pas les configurer, ni les désactiver. L'utilisation de ces journaux d'audit est gratuite. Pour en savoir plus sur les limitations de l'enregistrement, consultez la section Quotas et limites.

Structure des entrées des journaux d'audit

Dans Cloud Logging, chaque entrée de journal est un objet de type LogEntry. Une entrée de journal d'audit se distingue des autres entrées de journal par le champ protoPayload. Ce champ contient un objet AuditLog qui stocke les données de journalisation d'audit.

Pour comprendre comment lire et interpréter les entrées du journal d'audit, consultez la section Comprendre les journaux d'audit.

Afficher les journaux d'audit

Pour rechercher et afficher des journaux d'audit, vous devez connaître l'identifiant de l'organisation, du dossier ou du projet Google Cloud dont vous souhaitez consulter les informations de journalisation d'audit. Vous pouvez également spécifier d'autres champs LogEntry indexés, comme resource.type. Pour en savoir plus, consultez la section Trouver des entrées de journal rapidement.

Voici les noms des journaux d'audit :

       projects/project-id/logs/cloudaudit.googleapis.com%2Factivity
       projects/project-id/logs/cloudaudit.googleapis.com%2Fdata_access
       projects/project-id/logs/cloudaudit.googleapis.com%2Fsystem_event

       folders/folder-id/logs/cloudaudit.googleapis.com%2Factivity
       folders/folder-id/logs/cloudaudit.googleapis.com%2Fdata_access
       folders/folder-id/logs/cloudaudit.googleapis.com%2Fsystem_event

       organizations/organization-id/logs/cloudaudit.googleapis.com%2Factivity
       organizations/organization-id/logs/cloudaudit.googleapis.com%2Fdata_access
       organizations/organization-id/logs/cloudaudit.googleapis.com%2Fsystem_event
    

Les exemples ci-dessous utilisent des requêtes au niveau du projet. Si vous souhaitez consulter les journaux d'audit au niveau de l'organisation ou du dossier, remplacez le nom ou les identifiants appropriés de journal d'audit au niveau de l'organisation ou du dossier, tels qu'ils apparaissent dans les noms des journaux d'audit.

Plusieurs options s'offrent à vous pour afficher les entrées de votre journal d'audit.

Cloud Console

Vous pouvez récupérer les entrées de journaux d'audit de votre projet Google Cloud à l'aide de la visionneuse de journaux de Cloud Console. Procédez comme suit :

  1. Accédez à la page Logging > Journaux (Visionneuse de journaux) de la suite d'opérations Google Cloud dans Cloud Console :

    Accéder à la page Visionneuse de journaux

  2. Sélectionnez un projet Google Cloud existant en haut de la page ou créez-en un.

  3. Dans le premier menu déroulant, sélectionnez le type de ressource dont vous souhaitez afficher les journaux d'audit.

  4. Dans le deuxième menu déroulant, sélectionnez le type de journal que vous souhaitez afficher : activity pour les journaux d'audit pour les activités d'administration, data_access pour les journaux d'audit pour l'accès aux données et system_events pour les journaux pour les événements système.

    Si vous ne voyez aucune de ces options, aucun journal d'audit de ce type n'est disponible dans le projet.

Si vous souhaitez limiter une recherche existante aux seuls journaux d'audit, procédez comme suit :

  1. Dans la zone de filtre de recherche, cliquez sur la flèche du menu déroulant (▾), puis sélectionnez Convertir en filtre avancé.

  2. Dans la zone de texte qui s'affiche, ajoutez la requête suivante sous la ligne resource.type. Notez que le project-id que vous indiquez doit faire référence au projet Google Cloud actuellement sélectionné. Sinon, la requête ne fonctionnera pas.

            logName = ("projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"
                OR "projects/project-id/logs/cloudaudit.googleapis.com%2Fsystem_events"
                OR "projects/project-id/logs/cloudaudit.googleapis.com%2Fdata_access")
        

    Si vous souhaitez afficher tous les journaux d'audit disponibles pour votre projet, n'incluez que les éléments ci-dessus dans votre requête. Pour en savoir plus sur les requêtes, consultez la page Requêtes de journaux avancées.

API

Pour consulter vos entrées de journal d'audit à l'aide de l'API Logging, procédez comme suit :

  1. Accédez à la section Essayer cette API dans la documentation de la méthode entries.list.

  2. Insérez les éléments suivants dans la partie Corps de la requête du formulaire Essayer cette API. En cliquant sur ce formulaire prérempli, vous remplissez automatiquement le corps de la requête, mais vous devez fournir un ID de projet project-id valide pour chaque nom de journal.

              {
                "resourceNames": [
                  "projects/project-id"
                ],
                "pageSize": 5,
                "filter": "logName=(projects/project-id/logs/cloudaudit.googleapis.com%2Factivity OR projects/project-id/logs/cloudaudit.googleapis.com%2Fsystem_events OR projects/project-id/logs/cloudaudit.googleapis.com%2Fdata_access)"
              }
        
  3. Cliquez sur Exécuter.

Pour en savoir plus sur les requêtes, consultez la page Requêtes de journaux avancées.

GCLOUD

Le SDK Cloud dispose d'un groupe de commandes (gcloud logging) qui fournissent une interface de ligne de commande à l'API Cloud Logging. Pour lire vos entrées de journaux, exécutez la commande suivante. Fournissez un ID de projet (project-id) valide pour chacun des noms de journaux.

        gcloud logging read "logName=(projects/project-id/logs/cloudaudit.googleapis.com%2Factivity OR projects/project-id/logs/cloudaudit.googleapis.com%2Fsystem_events OR projects/project-id/logs/cloudaudit.googleapis.com%2Fdata_access)

Pour en savoir plus sur l'utilisation de l'outil de ligne de commande gcloud, consultez la page Lire les entrées de journal.

Pour obtenir un exemple d'entrée de journal d'audit et savoir comment y trouver les informations les plus importantes, consultez la page Comprendre les journaux d'audit.

Utiliser la page "Activité"

Vous pouvez afficher des entrées de journaux d'audit abrégées au niveau du projet dans la page Activité de votre projet dans Cloud Console. Accédez à la page Accueil > Activité. Utilisez l'option Filtre pour sélectionner les entrées à afficher. Les entrées réelles du journal d'audit peuvent contenir plus d'informations que celles affichées dans la page Activité.

Accéder à la page "Activité"

Dans la page "Activité", où l'identité associée aux actions consignées est masquée dans l'entrée du journal d'audit, la valeur User (anonymized) est affichée. Pour plus d'informations, consultez la section Identités des utilisateurs dans les journaux d'audit.

Exporter des journaux d'audit

Vous pouvez exporter des entrées de journaux d'audit vers Cloud Logging ou vers certains services Google Cloud.

Pour exporter des entrées de journaux d'audit en dehors de Logging, créez un récepteur de journaux. Envoyez au récepteur une requête qui spécifie les types de journaux d'audit que vous souhaitez exporter. Des exemples de requêtes sont présentées à la page Requêtes de journalisation de sécurité.

Si vous souhaitez exporter des entrées de journaux d'audit pour une organisation, un dossier ou un compte de facturation Google Cloud, consultez la section Exportations groupées.

Conserver des journaux d'audit

Les entrées individuelles des journaux d'audit sont conservées pendant la période spécifiée, puis supprimées. Pour en savoir plus sur la durée de conservation des entrées de journal par Logging, consultez la section idoine de la page Quotas et limites. Vous ne pouvez pas supprimer ou modifier les journaux d'audit ou leurs entrées d'une autre façon.

Type de journal d'audit Durée de conservation
Activité d'administration 400 jours
Accès aux données 30 jours
#system-event 400 jours

Vous pouvez exporter les entrées de journaux d'audit comme toutes les autres entrées de journaux Logging afin de les conserver aussi longtemps que vous le souhaitez.

Identités de l'appelant dans les journaux d'audit

Les journaux d'audit enregistrent l'identité ayant effectué les opérations consignées sur la ressource Google Cloud. L'identité de l'appelant est conservée dans le champ AuthenticationInfo des objets AuditLog.

Dans les circonstances suivantes, l'adresse e-mail principale de l'appelant est masquée au niveau des journaux d'audit si toutes ces conditions sont remplies :

  • Il s'agit d'une opération en lecture seule.
  • L'opération échoue et affiche une erreur "Autorisation refusée".
  • L'identité est un compte de service et n'est pas membre de l'organisation Google Cloud associée à la ressource. Si l'identité n'est pas un compte de service, cette condition ne s'applique pas.

Outre les conditions ci-dessus, les conditions suivantes s'appliquent à certains produits Google Cloud :

Si vous consultez des journaux d'audit à l'aide de la page Activité de Google Cloud Console, User (anonymized) s'affiche pour toutes les entrées de journal pour lesquelles l'identité est masquée ou vide.

Services Google générant des journaux d'audit

Pour obtenir la liste des services Google Cloud qui génèrent des journaux d'audit, accédez à la section Services Google avec journaux d'audit. À terme, tous les services Google Cloud fourniront des journaux d'audit.