Informations relatives aux journaux d'audit

Cette page décrit les journaux d'audit créés par Memorystore pour Memcached dans le cadre de Cloud Audit Logging.

Aperçu

Les services Google Cloud alimentent des journaux d'audit pour vous aider à déterminer qui fait quoi, où et quand. Chaque projet Cloud contient uniquement les journaux d'audit liés aux ressources directement intégrées au projet. Chacune des autres entités (y compris les dossiers, les organisations et les comptes de facturation) ne contient que les journaux d'audit qui la concernent.

Pour découvrir Cloud Audit Logging, consultez la page Cloud Audit Logging. Pour approfondir vos connaissances sur Cloud Audit Logs, consultez la page Comprendre les journaux d'audit.

Cloud Audit Logging gère trois journaux d'audit pour chaque projet, dossier et organisation Cloud :

  • Journaux d'audit pour les activités d'administration
  • Journaux d'audit pour l'accès aux données
  • Journaux d'audit d'événements système

Memorystore pour Memcached écrit des journaux d'audit pour les activités d'administration, qui enregistrent les opérations modifiant la configuration ou les métadonnées d'une ressource. Vous ne pouvez pas les désactiver.

Memorystore pour Memcached n'écrit des journaux d'audit pour l'accès aux données que si l'option est explicitement activée. Ils contiennent des appels d'API qui lisent la configuration ou les métadonnées des ressources, et des appels d'API pilotés par l'utilisateur qui créent, modifient ou lisent des données de ressources fournies par l'utilisateur. Les journaux d'audit pour l'accès aux données n'enregistrent pas les opérations d'accès aux données sur les ressources partagées publiquement (accessibles à tous les utilisateurs ou à tous les utilisateurs authentifiés) ou accessibles sans connexion à Google Cloud.

Memorystore pour Memcached n'écrit pas de journaux d'audit pour les événements système.

Opérations auditées

Le tableau suivant récapitule les opérations d'API correspondant à chaque type de journal d'audit dans Memorystore pour Memcached :

Catégorie de journal d'audit Opérations Memorystore pour Memcached
Activité d'administration Opérations sur les instances :
  • CreateInstance
  • DeleteInstance
  • UpdateInstance
Accès aux données (ADMIN_READ, lecture administrateur) Opérations sur les instances :
  • GetInstance
  • ListInstances

Format des journaux d'audit

Les entrées des journaux d'audit, qui peuvent être affichées dans Cloud Logging à l'aide de la visionneuse de journaux, de l'API Cloud Logging ou de l'outil de ligne de commande gcloud, comprennent les objets suivants :

  • L'entrée de journal proprement dite, qui est un objet de type LogEntry. Les champs utiles sont les suivants :

    • logName, qui contient l'identification du projet et le type du journal d'audit
    • resource, qui contient la cible de l'opération faisant l'objet d'un audit
    • timeStamp, qui indique l'heure à laquelle l'opération auditée a été effectuée
    • protoPayload contient l'autorité de certification racine
  • Les données de journalisation d'audit, qui correspondent à un objet AuditLog inclus dans le champ protoPayload de l'entrée de journal.

  • Un objet (facultatif) de type "informations d'audit propres au service", consigné dans le champ serviceData de l'objet AuditLog. Pour en savoir plus, consultez la section Données d'audit spécifiques au service.

Pour en savoir plus sur les autres champs de ces objets, ainsi que sur leur interprétation, consultez la page Comprendre les journaux d'audit.

Nom du journal

Les noms de ressources Cloud Audit Logging indiquent l'entité ou le projet dont ils dépendent. En outre, ils précisent si les journaux contiennent des données sur les activités d'administration, sur l'accès aux données ou sur les événements système. Les exemples ci-dessous présentent respectivement la structure des noms des journaux concernant les activités d'administration d'un projet et celle des noms des journaux concernant l'accès aux données d'une organisation. Les variables désignent les identifiants de projet et d'organisation.

projects/project-id/logs/cloudaudit.googleapis.com%2Factivity
organizations/organization-id/logs/cloudaudit.googleapis.com%2Fdata_access

Nom du service

Les journaux d'audit Memorystore pour Memcached utilisent le nom de service memcache.googleapis.com.

Pour en savoir plus sur les services de journalisation, consultez la section Mapper des services à des ressources.

Types de ressources

Tous les journaux d'audit Memorystore pour Memcached utilisent le type de ressource audited_resource, car de nombreux types de ressources différents peuvent être surveillés.

Pour une liste complète, consultez la page Types de ressources surveillées.

Activer les journaux d'audit

Les journaux d'audit pour les activités d'administration sont toujours activés. Vous ne pouvez pas les désactiver.

Les journaux d'audit pour l'accès aux données sont désactivés par défaut et ne sont pas écrits à moins d'être explicitement activés (à l'exception de ceux pour BigQuery, qui ne peuvent pas être désactivés).

Pour savoir comment activer les journaux pour des opérations liées à l'accès aux données, consultez la page Configurer les journaux pour l'accès aux données.

Les journaux d'audit pour l'accès aux données que vous configurez peuvent avoir une incidence sur la tarification des journaux dans Cloud Logging. Consultez la section Tarifs ci-après.

Autorisations relatives aux journaux d'audit

Les autorisations et rôles Cloud IAM (Cloud Identity and Access Management) dont vous disposez déterminent les journaux d'audit que vous pouvez afficher ou exporter. Les journaux sont consignés dans les projets et dans certaines autres entités, par exemple des organisations, des dossiers et des comptes de facturation Cloud. Pour en savoir plus, consultez la page Comprendre les rôles.

Pour afficher les journaux relatifs aux activités d'administration, vous devez disposer d'un des rôles Cloud IAM suivants dans le projet qui contient vos journaux d'audit :

Pour afficher les journaux d'audit relatifs à l'accès aux données, vous devez disposer d'un des rôles suivants dans le projet qui contient les journaux d'audit :

Si vous utilisez des journaux d'audit pour une entité autre qu'un projet, telle qu'une organisation, vous devez changer les rôles au niveau du projet pour des rôles appropriés au niveau de l'organisation.

Afficher les journaux

Pour rechercher et afficher les journaux d'audit, vous devez connaître l'identifiant du projet, du dossier ou de l'organisation Cloud correspondants. Vous pouvez également spécifier d'autres champs LogEntry indexés, comme resource.type. Pour en savoir plus, consultez la section Trouver des entrées de journal rapidement.

Les noms de journaux d'audit sont indiqués ci-dessous et incluent des variables correspondant aux identifiants du projet, du dossier ou de l'organisation Cloud. Lorsque vous créez des requêtes, vous devez remplacer les variables par des valeurs valides. Par exemple, si votre requête inclut un élément project-id, l'identifiant de projet que vous fournissez doit faire référence au projet Cloud actuellement sélectionné.

   projects/project-id/logs/cloudaudit.googleapis.com%2Factivity
   projects/project-id/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/project-id/logs/cloudaudit.googleapis.com%2Fsystem_event

   folders/folder-id/logs/cloudaudit.googleapis.com%2Factivity
   folders/folder-id/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/folder-id/logs/cloudaudit.googleapis.com%2Fsystem_event

   organizations/organization-id/logs/cloudaudit.googleapis.com%2Factivity
   organizations/organization-id/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/organization-id/logs/cloudaudit.googleapis.com%2Fsystem_event

Les exemples ci-dessous utilisent des requêtes au niveau d'un projet. Pour consulter les journaux d'audit au niveau d'une organisation ou d'un dossier, spécifiez des noms et identifiants de journaux d'audit appropriés pour les niveaux "organisation" et "dossier".

Plusieurs options s'offrent à vous pour afficher les entrées de votre journal d'audit.

Console

Vous pouvez utiliser la visionneuse de journaux dans Cloud Console pour récupérer les entrées du journal d'audit de votre projet Cloud :

  1. Dans Cloud Console, accédez à la page Cloud Logging > Journaux (visionneuse de journaux) :

    Accéder à la page Visionneuse de journaux

  2. Dans Version classique, sélectionnez Prévisualiser la nouvelle visionneuse de journaux.

  3. Sélectionnez un projet Cloud existant.

  4. Dans le volet Générateur de requêtes, procédez comme suit :

    • Dans Ressource, sélectionnez le type de ressource Google Cloud dont vous souhaitez afficher les journaux d'audit.

    • Dans Nom du journal, sélectionnez le type de journal d'audit que vous souhaitez afficher :

    • Pour les journaux d'audit des activités d'administration, sélectionnez activity.

    • Pour les journaux d'audit d'accès aux données, sélectionnez data_access.

    • Pour les journaux d'audit des événements système, sélectionnez system_events.

    Si ces options ne sont pas visibles, aucun journal d'audit de ce type n'est disponible dans le projet Cloud.

    Pour en savoir plus sur les requêtes à l'aide de la nouvelle visionneuse de journaux, consultez la page Créer des requêtes de journal (aperçu).

API

Pour consulter vos entrées de journal d'audit à l'aide de l'API Logging, procédez comme suit :

  1. Accédez à la section Essayer cette API dans la documentation de la méthode entries.list.

  2. Insérez les éléments suivants dans la partie Corps de la requête du formulaire Essayer cette API. En cliquant sur ce formulaire prérempli, vous remplissez automatiquement le corps de la requête, mais vous devez fournir un project-id valide pour chaque nom de journal.

    {
      "resourceNames": [
        "projects/project-id"
      ],
      "pageSize": 5,
      "filter": "logName : projects/project-id/logs/cloudaudit.googleapis.com"
    }
    
  3. Cliquez sur Exécuter.

Pour en savoir plus sur les requêtes, consultez la page Langage de requête Cloud Logging.

gcloud

Le SDK Cloud dispose d'un groupe de commandes, (gcloud logging), qui fournissent une interface de ligne de commande à l'API Cloud Logging. Pour lire vos entrées de journaux, exécutez la commande suivante. Fournissez un ID de projet project-id valide pour chacun des noms de journal.

gcloud logging read "logName : projects/project-id/logs/cloudaudit.googleapis.com"

Pour en savoir plus sur l'utilisation de l'outil de ligne de commande gcloud, consultez la page Lire des entrées de journal.

Pour obtenir un exemple d'entrée de journal d'audit et savoir comment y trouver les informations les plus importantes, consultez la page Comprendre les journaux d'audit.

Exporter des journaux d'audit

Vous pouvez exporter les journaux d'audit de la même manière que vous exportez d'autres types de journaux. Pour plus de détails sur l'exportation des journaux, consultez la page Exporter des journaux. Voici des exemples d'applications associées à l'exportation des journaux d'audit :

  • Pour conserver les journaux d'audit pendant une période plus longue ou pour utiliser des fonctionnalités de recherche plus puissantes, vous pouvez exporter des copies des journaux d'audit vers Cloud Storage, BigQuery ou Pub/Sub. Avec Pub/Sub, vous avez la possibilité d'exporter vos journaux vers d'autres applications, d'autres dépôts, ainsi que vers des organisations tierces.

  • Pour gérer les journaux d'audit à l'échelle de votre organisation, vous pouvez créer des récepteurs agrégés. Ces récepteurs permettent d'exporter les journaux pour un projet spécifique ou pour l'ensemble des projets de l'organisation.

  • Si les journaux d'audit pour l'accès aux données que vous avez activés entraînent le dépassement du quota d'attribution de journaux défini pour vos projets, vous pouvez les exporter et les exclure de Cloud Logging. Pour en savoir plus, consultez la page Exclure des journaux.

Prix

Cloud Logging ne facture pas les journaux d'audit qui ne peuvent pas être désactivés, ce qui inclut tous les journaux d'audit pour les activités d'administration. Cloud Logging facture les journaux d'audit d'accès aux données que vous demandez explicitement.

Pour en savoir plus sur la tarification des journaux d'audit, consultez la page Tarifs de la suite d'opérations Google Cloud.

Étape suivante