Cette page a été traduite par l'API Cloud Translation.
Switch to English

Cloud Audit Logging

Les journaux d'audit Cloud fournissent les journaux d'audit suivants pour chaque projet, dossier et organisation Cloud:

  • Journaux d'audit pour les activités d'administration
  • Journaux d'audit pour l'accès aux données
  • Journaux d'audit pour les événements système
  • Journaux d'audit des refus de règles

Les services Google Cloud génèrent des entrées dans ces journaux d'audit pour vous aider à déterminer qui fait quoi, où et quand dans vos ressources Google Cloud.

Les ressources accessibles au public disposant des stratégies de gestion de l'authentification et des accès allAuthenticatedUsers ou allUsers ne génèrent pas de journaux d'audit. Cela permet de protéger les identités et les informations des utilisateurs finaux.

Pour obtenir la liste des services Google Cloud qui génèrent des journaux d'audit, accédez à la section Services Google avec journaux d'audit. À terme, tous les services Google Cloud fourniront des journaux d'audit.

Journaux d'audit pour les activités d'administration

Les journaux d'audit des activités d'administration contiennent des entrées relatives aux appels d'API et aux autres opérations qui modifient la configuration ou les métadonnées des ressources. Par exemple, ces journaux enregistrent les actions de création d'instance de VM ou de modification des autorisations IAM (Identity and Access Management).

Pour afficher ces journaux, vous devez disposer du rôle IAM Logging/Lecteur de journaux ou Projet/Lecteur.

Les journaux d'audit des activités d'administration sont toujours écrits. Vous ne pouvez pas les configurer ni les désactiver. L'utilisation des journaux d'audit pour vos activités d'administration est gratuite. Pour en savoir plus sur les limitations de l'enregistrement, consultez la section Quotas et limites.

Journaux d'audit pour l'accès aux données

Les journaux d'audit relatifs à l'accès aux données contiennent des appels d'API qui lisent la configuration ou les métadonnées des ressources, et des appels d'API pilotés par l'utilisateur qui créent, modifient ou lisent des données de ressources fournies par l'utilisateur. Les journaux d'audit pour l'accès aux données n'enregistrent pas les opérations d'accès aux données sur les ressources partagées publiquement (accessibles à tous les utilisateurs ou à tous les utilisateurs authentifiés) ou accessibles sans connexion à Google Cloud.

Pour afficher ces journaux, vous devez disposer du rôle IAM Logging/Lecteur des journaux privés ou Projet/Propriétaire.

Les journaux d'audit pour l'accès aux données, sauf ceux relatifs à l'accès aux données BigQuery, sont désactivés par défaut, car les journaux d'audit peuvent être très volumineux. Si vous souhaitez que les journaux d'audit d'accès aux données soient écrits pour des services Google Cloud autres que BigQuery, vous devez les activer explicitement. L'activation de ces journaux peut entraîner une facturation pour "utilisation de journaux supplémentaires dans le cadre de votre projet Cloud". Pour obtenir des instructions sur l'activation et la configuration des journaux d'audit pour l'accès aux données, consultez la section Configurer les journaux d'accès aux données.

Pour en savoir plus sur les limites d'utilisation de la journalisation, consultez la section Quotas et limites. Pour en savoir plus sur les coûts susceptibles de vous être facturés, consultez la page Tarifs de la suite d'opérations Google Cloud: Cloud Logging.

Journaux d'audit d'événements système

Les journaux d'audit des événements système contiennent des entrées associées aux actions Google Cloud qui modifient la configuration des ressources. Les journaux d'audit des événements système sont générés par les systèmes Google. Ils ne sont pas pilotés directement par l'utilisateur.

Pour afficher ces journaux, vous devez disposer du rôle IAM Logging/Lecteur de journaux ou Projet/Lecteur.

Les journaux d'audit des événements système sont toujours écrits. Vous ne pouvez pas les configurer ni les désactiver. L'utilisation de ces journaux d'audit est gratuite. Pour en savoir plus sur les limitations de l'enregistrement, consultez la section Quotas et limites.

Journaux d'audit des refus de règles

Cloud Logging enregistre les journaux d'audit pour les stratégies refusées lorsqu'un service Google Cloud refuse l'accès à un utilisateur ou à un compte de service en raison d'un non-respect des règles de sécurité.

Pour afficher ces journaux, vous devez disposer du rôle IAM Logging/Lecteur de journaux ou Projet/Lecteur.

Les journaux d'audit pour les règles refusées sont générés par défaut et votre projet Cloud est facturé pour le stockage des journaux. Vous pouvez utiliser les exclusions de journaux pour exclure de Cloud Logging les journaux de refus des règles. Pour en savoir plus sur les limites d'utilisation de la journalisation, consultez la section Quotas et limites. Pour en savoir plus sur les coûts susceptibles de vous être facturés, consultez la page Tarifs de la suite d'opérations de Google Cloud: Cloud Logging.

Structure des entrées des journaux d'audit

Dans Cloud Logging, chaque entrée de journal d'audit est un objet de type LogEntry. Une entrée de journal d'audit se distingue des autres entrées de journal par le champ protoPayload. Ce champ contient un objet AuditLog qui stocke les données de journalisation d'audit.

Pour comprendre comment lire et interpréter les entrées du journal d'audit, consultez la section Comprendre les journaux d'audit.

Afficher les journaux d'audit

Pour rechercher et afficher les journaux d'audit, vous devez connaître l'identifiant de l'organisation, du dossier ou du projet Cloud concerné. Vous pouvez également spécifier d'autres champs LogEntry indexés, comme resource.type. Pour en savoir plus, consultez la section Trouver des entrées de journal rapidement.

Les noms de journaux d'audit sont indiqués ci-dessous. Ils incluent des variables correspondant aux identifiants de l'organisation, du dossier ou du projet Cloud :

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Plusieurs options s'offrent à vous pour afficher les entrées de vos journaux d'audit.

Console

Vous pouvez utiliser l'explorateur de journaux de Cloud Console pour récupérer les entrées du journal d'audit de votre projet Cloud :

  1. Dans Cloud Console, accédez à la page Journaux > Explorateur de journaux.

    Accéder à la page Explorateur de journaux

  2. Sur la page Explorateur de journaux, sélectionnez un projet Cloud existant.

  3. Dans le volet Générateur de requêtes, procédez comme suit :

    • Dans Ressource, sélectionnez le type de ressource Google Cloud dont vous souhaitez afficher les journaux d'audit.

    • Dans Nom du journal, sélectionnez le type de journal d'audit que vous souhaitez afficher :

      • Pour les journaux d'audit pour les activités d'administration, sélectionnez activity.
      • Pour les journaux d'audit des accès aux données, sélectionnez data_access.
      • Pour les journaux d'audit des événements système, sélectionnez system_event.
      • Pour les journaux d'audit des refus de règles, sélectionnez policy.

    Si ces options ne sont pas visibles, cela signifie qu'aucun journal d'audit de ce type n'est disponible dans le projet Cloud.

    Pour en savoir plus sur l'utilisation du nouvel explorateur de journaux pour effectuer des requêtes, consultez la page Créer des requêtes de journal.

gcloud

L'outil de ligne de commande gcloud fournit une interface de ligne de commande à l'API Cloud Logging. Fournissez un ID PROJECT_ID, FOLDER_ID ou ORGANIZATION_ID valide dans chacun des noms de journaux.

Pour lire les entrées de journal d'audit au niveau du projet Google Cloud, exécutez la commande suivante :

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" --project=PROJECT_ID

Pour lire les entrées de journal d'audit au niveau d'un dossier, exécutez la commande suivante :

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" --folder=FOLDER_ID

Pour lire les entrées de journal d'audit au niveau de l'organisation, exécutez la commande suivante :

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" --organization=ORGANIZATION_ID

Pour plus d'informations sur l'utilisation de l'outil gcloud, consultez la page Lire des entrées de journal.

API

Lorsque vous créez des requêtes, remplacez les variables par des valeurs valides. Spécifiez des noms et identifiants de journaux d'audit appropriés au niveau d'un projet, d'un dossier ou d'une organisation, comme indiqué dans les noms des journaux d'audit. Par exemple, si votre requête inclut un PROJECT_ID, l'identifiant de projet que vous fournissez doit faire référence au projet Cloud actuellement sélectionné.

Pour consulter les entrées de journal d'audit à l'aide de l'API Logging, procédez comme suit :

  1. Accédez à la section Essayer cette API dans la documentation de la méthode entries.list.

  2. Insérez les éléments suivants dans la partie Corps de la requête du formulaire Essayer cette API. En cliquant sur ce formulaire prérempli, vous remplissez automatiquement le corps de la requête mais vous devez fournir un ID de projet PROJECT_ID valide pour chaque nom de journal.

    {
      "resourceNames": [
        "projects/PROJECT_ID"
      ],
      "pageSize": 5,
      "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
    }
    
  3. Cliquez sur Exécuter.

Pour en savoir plus sur les requêtes, consultez la page Langage de requête Logging.

Pour obtenir un exemple d'entrée de journal d'audit et savoir comment y trouver les informations les plus importantes, consultez la page Exemple d'entrée de journal d'audit.

Utiliser la page "Activité"

Vous pouvez afficher des entrées de journaux d'audit abrégées dans la page Activité de votre projet Cloud ou de votre organisation dans Cloud Console. Pour afficher les versions abrégées des entrées de journal d'audit, procédez comme suit :

  1. Accédez à la page Activité :

    Accéder à la page "Activité"

  2. Dans le sélecteur de projet, choisissez le projet ou l'organisation Cloud pour lequel vous souhaitez afficher les entrées des journaux d'audit.

  3. Dans le panneau Filtre, sélectionnez les entrées que vous souhaitez afficher.

Les entrées réelles du journal d'audit peuvent contenir plus d'informations que celles affichées dans la page Activité.

Dans la page "Activité", où l'identité associée aux actions consignées est masquée dans l'entrée du journal d'audit, la valeur User (anonymized) est affichée. Pour plus d'informations, consultez la section Identités des utilisateurs dans les journaux d'audit.

Exporter des journaux d'audit

Vous pouvez exporter des entrées de journal d'audit vers Cloud Logging ou vers certains services Google Cloud.

Pour exporter des entrées du journal d'audit en dehors de Logging, créez un récepteur de journaux. Envoyez au récepteur une requête qui spécifie les types de journaux d'audit que vous souhaitez exporter. Des exemples de requêtes sont présentées à la page Requêtes de journalisation de sécurité.

Si vous souhaitez exporter des entrées de journal d'audit pour une organisation, un dossier ou un compte de facturation Google Cloud, consultez la page Récepteurs agrégés.

Le tableau ci-dessous indique la taille maximale des journaux d'audit. Ces valeurs peuvent vous aider à estimer l'espace requis pour une destination d'exportation.

Journal d'audit Taille maximale
Activité d'administration 512 Kio
Accès aux données 512 Kio
Événement système 512 Kio
Règle refusée 512 Kio

Conserver des journaux d'audit

Les entrées individuelles des journaux d'audit sont conservées pendant la période spécifiée puis supprimées. Pour en savoir plus sur la durée de conservation des entrées de journal par Stackdriver Logging, consultez la section idoine de la page Quotas et limites : Durée de conservation des journaux. Vous ne pouvez pas supprimer ou modifier les entrées de journal d'audit.

Type de journal d'audit Durée de conservation
Activité d'administration 400 jours
Accès aux données 30 jours
#system-event 400 jours
Non-respect du règlement 30 jours

Vous pouvez exporter les entrées de journaux d'audit comme toutes les autres entrées de journaux Logging afin de les conserver aussi longtemps que vous le souhaitez.

Vous pouvez également configurer Cloud Logging pour conserver vos journaux entre un jour et 3 650 jours. Pour plus de détails, consultez la section Conservation personnalisée de la page "Stocker les journaux".

Identités de l'appelant dans les journaux d'audit

Les journaux d'audit enregistrent l'identité ayant effectué les opérations consignées sur la ressource Google Cloud. L'identité de l'appelant est conservée dans le champ AuthenticationInfo des objets AuditLog.

Dans les circonstances suivantes, l'adresse e-mail principale de l'appelant est masquée au niveau des journaux d'audit si toutes ces conditions sont remplies :

  • Il s'agit d'une opération en lecture seule.
  • L'opération échoue et affiche une erreur "Autorisation refusée".
  • L'identité est un compte de service et n'est pas membre de l'organisation Google Cloud associée à la ressource. Si l'identité n'est pas un compte de service, cette condition ne s'applique pas.

Outre les conditions ci-dessus, les conditions suivantes s'appliquent à certains produits Google Cloud :

Si vous consultez des journaux d'audit à l'aide de la page Activité de Google Cloud Console, User (anonymized) s'affiche pour toutes les entrées de journal pour lesquelles l'identité est masquée ou vide.

Services Google générant des journaux d'audit

Pour obtenir la liste des services Google Cloud qui génèrent des journaux d'audit, accédez à la section Services Google avec journaux d'audit. À terme, tous les services Google Cloud fourniront des journaux d'audit.

Tarifs

Les journaux d'audit des activités d'administration et les événements système sont gratuits.

Les journaux d'audit pour l'accès aux données et les journaux d'audit refusés pour les règles sont gratuits.

Pour en savoir plus sur la tarification de Cloud Logging, consultez la page Tarifs de la suite d'opérations de Google Cloud: Cloud Logging.