Cloud 감사 로그 개요

이 문서에서는 Cloud 감사 로그의 개념 개요를 설명합니다.

Google Cloud 서비스는 Google Cloud 리소스 내의 관리 활동과 액세스를 기록하는 감사 로그를 작성합니다. 감사 로그는 온프레미스 환경과 투명성 수준이 동일한 Google Cloud 리소스 내에서 '누가 언제 어디서 무엇을 했는가?'라는 질문에 답하는 데 도움을 줍니다. 감사 로그를 사용 설정하면 보안, 감사, 규정 준수 항목이 Google Cloud 데이터 및 시스템에서 취약점 발생 또는 외부 데이터 오용 가능성을 모니터링할 수 있습니다.

감사 로그를 생성하는 Google 서비스

감사 로그를 제공하는 Google Cloud 서비스 목록은 감사 로그를 생성하는 Google 서비스를 참조하세요. 모든 Google Cloud 서비스는 감사 로그를 제공합니다.

감사 로그 유형

Cloud 감사 로그는 각 Cloud 프로젝트, 폴더, 조직에 대해 다음 감사 로그를 제공합니다.

관리자 활동 감사 로그

관리자 활동 감사 로그에는 API 호출이나 리소스의 구성 또는 메타데이터를 수정하는 기타 작업과 관련된 로그 항목이 포함됩니다. 예를 들어 사용자가 VM 인스턴스를 만들거나 Identity and Access Management 권한을 변경하면 로그가 기록됩니다.

관리자 활동 감사 로그는 항상 기록되며 구성하거나 제외하거나 사용 중지할 수 없습니다. Cloud Logging API를 사용 중지해도 관리자 활동 감사 로그는 계속 생성됩니다.

데이터 액세스 감사 로그

데이터 액세스 감사 로그에는 리소스의 구성 또는 메타데이터를 읽는 API 호출뿐만 아니라 사용자가 제공한 리소스 데이터를 생성, 수정 또는 읽는 사용자 주도 API 호출도 포함됩니다.

ID 및 액세스 관리 정책 allAuthenticatedUsers 또는 allUsers가 있는 공개적으로 사용 가능한 리소스는 감사 로그를 생성하지 않습니다. Google Cloud, Google Workspace, Cloud ID 또는 기업용 Drive 계정에 로그인하지 않고 액세스할 수 있는 리소스는 감사 로그를 생성하지 않습니다. 이를 통해 최종 사용자 ID와 정보를 보호할 수 있습니다.

데이터 액세스 감사 로그(BigQuery 데이터 액세스 감사 로그 제외)는 감사가 상당히 클 수 있으므로 기본적으로 중지되어 있습니다. BigQuery 이외의 Google Cloud 서비스에 대해 데이터 액세스 감사 로그를 작성하려면 로그를 명시적으로 사용 설정해야 합니다. 이 로그를 사용 설정하면 추가 로그 사용량에 따라 요금이 Cloud 프로젝트에 청구될 수 있습니다. 데이터 액세스 감사 로그를 사용 설정하고 구성하는 방법은 데이터 액세스 로그 구성을 참조하세요.

시스템 이벤트 감사 로그

시스템 이벤트 감사 로그는 리소스 구성을 수정하는 Google Cloud 작업의 로그 항목을 포함합니다. 시스템 이벤트 감사 로그는 Google 시스템에서 사용 설정되며 사용자의 직접적인 작업을 통해서는 사용 설정되지 않습니다.

시스템 이벤트 감사 로그는 항상 기록되며, 구성하거나 제외하거나 사용 중지할 수 없습니다.

정책 거부 감사 로그

정책 거부 감사 로그는 보안 정책 위반으로 인해 Google Cloud 서비스가 사용자 또는 서비스 계정에 대해 액세스를 거부할 때 기록됩니다. 보안 정책은 Cloud Logging에 정책 거부 감사 로그를 제공하는 VPC 서비스 제어에 의해 결정됩니다.

기본적으로 정책 거부 감사 로그가 생성되며 Cloud 프로젝트에 로그 스토리지에 대한 요금이 청구됩니다. 정책 거부 감사 로그를 중지할 수 없지만 제외 필터를 사용하여 정책 거부 감사 로그가 수집되어 Cloud Logging에 저장되지 않게 할 수 있습니다.

감사 로그 항목 구조

Cloud Logging의 모든 감사 로그 항목은 LogEntry 유형의 객체입니다. 감사 로그 항목과 다른 로그 항목의 차이점은 protoPayload 필드입니다. 이 필드에는 감사 로깅 데이터를 저장하는 AuditLog 객체가 있습니다.

감사 로그 항목을 읽고 해석하는 방법은 감사 로그 이해를 참조하세요.

감사 로그의 호출자 ID

감사 로그는 Google Cloud 리소스에서 로깅된 작업을 수행한 ID를 기록합니다. 호출자 ID는 AuditLog 개체의 AuthenticationInfo 필드에 보관됩니다.

작업이 읽기 전용이고 '권한 거부됨' 오류와 함께 실패하는 경우 호출자의 기본 이메일 주소가 감사 로그에서 수정됩니다. 유일한 예외는 호출자가 리소스와 연결된 Google Cloud 조직의 서비스 계정인 경우 이메일 주소가 수정되지 않는 것입니다.

위에 나열된 조건 외에도 특정 Google Cloud 제품에는 다음 사항이 적용됩니다.

Google Cloud Console 활동 페이지에서 감사 로그를 확인하면 ID가 수정되거나 비어 있는 로그 항목에 User (anonymized)가 표시됩니다.

감사 로그 보기

감사 로그를 찾아서 보려면 감사 로깅 정보를 보려는 Cloud 프로젝트, 폴더, 조직의 식별자를 알아야 합니다. 색인이 생성된 다른 LogEntry 필드(예: resource.type)를 더욱 구체적으로 지정할 수 있습니다. 자세한 내용은 로그 항목 빨리 찾기를 참조하세요.

다음은 Cloud 프로젝트, 폴더, 조직 식별자에 대한 변수가 포함된 감사 로그 이름입니다.

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Cloud Console, gcloud 명령줄 도구 또는 Logging API를 사용하여 Cloud Logging에서 감사 로그를 볼 수 있습니다.

Console

Cloud Console의 로그 탐색기를 사용하여 Cloud 프로젝트, 폴더 또는 조직의 감사 로그 항목을 검색할 수 있습니다.

  1. Cloud Console에서 Logging > 로그 탐색기 페이지로 이동합니다.

    로그 탐색기 페이지로 이동

  2. 로그 탐색기 페이지에서 기존 Cloud 프로젝트, 폴더 또는 조직을 선택합니다.

  3. 쿼리 빌더 창에서 다음을 수행합니다.

    • 리소스 유형에서 감사 로그를 확인할 Google Cloud 리소스를 선택하세요.

    • 로그 이름에서 확인할 감사 로그 유형을 선택합니다.

      • 관리자 활동 감사 로그의 경우 activity를 선택합니다.
      • 데이터 액세스 감사 로그의 경우 data_access를 선택합니다.
      • 시스템 이벤트 감사 로그의 경우 system_event를 선택합니다.
      • 정책 거부 감사 로그의 경우 정책을 선택합니다.

    이러한 옵션 중 어느 것도 표시되지 않으면 Cloud 프로젝트, 폴더 조직에 해당 유형의 감사 로그가 없다는 의미입니다.

    로그 탐색기를 사용하여 쿼리하는 방법에 대한 자세한 내용은 로그 쿼리 작성을 참조하세요.

gcloud

gcloud 명령줄 도구는 Cloud Logging API에 명령줄 인터페이스를 제공합니다. 각 로그 이름에 유효한 PROJECT_ID, FOLDER_ID 또는 ORGANIZATION_ID를 입력합니다.

Cloud 프로젝트 수준의 감사 로그 항목을 읽으려면 다음 명령어를 실행합니다.

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" --project=PROJECT_ID

폴더 수준의 감사 로그 항목을 읽으려면 다음 명령어를 실행합니다.

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" --folder=FOLDER_ID

조직 수준의 감사 로그 항목을 읽으려면 다음 명령어를 실행합니다.

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" --organization=ORGANIZATION_ID

gcloud 도구 사용에 대한 자세한 내용은 로그 항목 읽기를 참조하세요.

API

쿼리를 작성할 때 변수를 유효한 값으로 바꾸고 감사 로그 이름에 나열된 적절한 프로젝트 수준, 폴더 수준 또는 조직 수준의 감사 로그 이름 또는 식별자를 대체합니다. 예를 들어 쿼리에 PROJECT_ID가 포함된 경우 제공한 프로젝트 식별자가 현재 선택된 Cloud 프로젝트를 참조해야 합니다.

Logging API를 사용하여 감사 로그 항목을 확인하려면 다음 안내를 따르세요.

  1. entries.list 메서드 문서의 API 사용해 보기 섹션으로 이동합니다.

  2. API 사용해 보기 양식의 요청 본문 부분에 다음을 입력합니다. 미리 채워진 양식을 클릭하면 요청 본문이 자동으로 입력되지만 각 로그 이름에 유효한 PROJECT_ID를 입력해야 합니다.

    {
      "resourceNames": [
        "projects/PROJECT_ID"
      ],
      "pageSize": 5,
      "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
    }
    
  3. 실행을 클릭합니다.

쿼리에 대한 자세한 내용은 Logging 쿼리 언어를 참조하세요.

감사 로그 항목의 예시와 이 항목에서 가장 중요한 정보를 찾는 방법은 샘플 감사 로그 항목을 참조하세요.

활동 페이지 사용

Cloud Console의 Cloud 프로젝트 또는 조직의 활동 페이지에서 축약된 감사 로그 항목을 볼 수 있습니다. 실제 감사 로그 항목에는 활동 페이지에 표시된 것보다 많은 정보가 포함될 수 있습니다.

Cloud Console에서 축약된 감사 로그 항목을 보려면 다음을 수행하세요.

  1. 활동 페이지로 이동합니다.

    활동 페이지로 이동

  2. 프로젝트 선택기에서 감사 로그 항목을 보려는 Google Cloud 프로젝트, 폴더 또는 조직을 선택합니다.

  3. 필터 패널에서 보려는 항목을 선택합니다.

활동 페이지에서는 로깅된 작업을 수행하는 ID가 감사 로그 항목에서 수정되며 User (anonymized)가 표시됩니다. 자세한 내용은 감사 로그의 호출자 ID를 참조하세요.

감사 로그 저장 및 라우팅

Cloud Logging은 로그 버킷을 로그 데이터를 저장하고 정리하는 컨테이너로 사용합니다. 각 클라우드 프로젝트, 폴더, 조직에 대해 Logging은 로그 버킷(_Required_Default) 두 개와 그에 맞게 이름이 지정된 싱크를 자동으로 만듭니다.

Cloud Logging _Required 버킷은 관리자 활동 감사 로그와 시스템 이벤트 감사 로그를 수집하고 저장합니다. 여기에 _Required 버킷 또는 로그 데이터를 구성할 수 없습니다.

_Default 버킷은 기본적으로 사용 설정된 데이터 액세스 감사 로그와 정책 거부 감사 로그를 수집하고 저장합니다. 데이터 액세스 감사 로그가 _Default 버킷에 저장되지 않도록 하려면 이를 사용 중지하면 됩니다. 정책 거부 감사 로그가 _Default 버킷에 저장되지 않도록 하려면 싱크의 필터를 수정하여 이를 제외하면 됩니다.

또한 클라우드 프로젝트 수준에서 사용자 정의된 Cloud Logging 버킷 또는 싱크를 사용하는 Logging 외부의 지원되는 대상으로 감사 로그 항목을 라우팅할 수 있습니다. 자세한 내용은 싱크 구성을 참조하세요.

로그 싱크 필터를 구성할 때는 라우팅하려는 감사 로그 유형을 지정해야 합니다. 필터링 예시는 보안 로깅 쿼리를 참조하세요.

Google Cloud 조직, 폴더 또는 결제 계정의 감사 로그 항목을 라우팅하려면 집계 싱크 구성을 참조하세요.

감사 로그 보관

Logging에서 로그 항목이 보관되는 기간에 대한 자세한 내용은 할당량 및 한도: 로그 보관 기간의 보관 정보를 참조하세요.

액세스 제어

IAM 권한과 역할은 Logging API, 로그 탐색기gcloud 명령줄 도구에서 감사 로그 데이터에 액세스할 수 있는 기능을 결정합니다.

필요할 수 있는 IAM 권한 및 역할에 대한 자세한 내용은 액세스 제어 가이드를 참조하세요.

할당량 및 한도

감사 로그의 최대 크기 등 로깅 사용량 한도에 대한 자세한 내용은 할당량 및 한도를 참조하세요.

가격 책정

관리자 활동 감사 로그와 시스템 이벤트 감사 로그는 무료입니다.

데이터 액세스 감사 로그와 정책 거부 감사 로그에는 요금이 청구됩니다.

Cloud Logging 가격 책정에 대한 자세한 내용은 Google Cloud 운영 제품군 가격 책정: Cloud Logging을 참조하세요.

다음 단계