Informationen zum Audit-Logging von Monitoring

Auf dieser Seite werden die Audit-Logs beschrieben, die von Cloud Monitoring als Teil von Cloud-Audit-Logs erstellt werden.

Überblick

Google Cloud-Dienste schreiben Audit-Logs, um Ihnen Antworten auf Fragen wie "Wer hat was wo und wann getan?" zu liefern. Ihre Cloud-Projekte enthalten jeweils nur die Audit-Logs für Ressourcen, die sich direkt im Projekt befinden. Andere Entitäten wie Ordner, Organisationen und Rechnungskonten enthalten jeweils eigene Audit-Logs.

Eine allgemeine Übersicht über Cloud-Audit-Logs finden Sie unter Cloud-Audit-Logs. Detaillierte Informationen zu Cloud-Audit-Logs finden Sie unter Audit-Logs verstehen.

Cloud-Audit-Logging legt für jedes Google Cloud-Projekt, jeden Ordner und jede Organisation drei Audit-Logs an:

  • Audit-Logs zur Administratoraktivität
  • Audit-Logs zum Datenzugriff
  • Audit-Logs zu Systemereignissen

Monitoring schreibt Audit-Logs zur Administratoraktivität, in denen Vorgänge mit Änderungen der Konfiguration oder der Metadaten einer Ressource aufgezeichnet werden. Sie können Audit-Logs zur Administratoraktivität nicht deaktivieren.

Monitoring schreibt nur dann Audit-Logs zum Datenzugriff, wenn dies explizit aktiviert ist. Audit-Logs zum Datenzugriff enthalten API-Aufrufe, die die Konfiguration oder Metadaten von Ressourcen lesen, sowie nutzergesteuerte API-Aufrufe, die von Nutzern bereitgestellte Ressourcendaten erstellen, ändern oder lesen. In Audit-Logs zum Datenzugriff werden keine Vorgänge zum Datenzugriff auf Ressourcen aufgezeichnet, die öffentlich freigegeben (für alle Nutzer oder alle authentifizierten Nutzer verfügbar) oder ohne Anmeldung in Google Cloud zugänglich sind.

Monitoring schreibt nicht Systemereignis-Audit-Logs.

Geprüfte Vorgänge

Im Folgenden ist zusammengefasst, welche API-Vorgänge den einzelnen Audit-Logtypen in Monitoring entsprechen:

Audit-Logkategorie Vorgänge in Monitoring
Administratoraktivität projects.groups.create
projects.groups.delete
projects.groups.update
projects.metricsDescriptors.create
projects.metricDescriptors.delete
monitoring.uptimeCheckConfigs.create
monitoring.uptimeCheckConfigs.delete
monitoring.uptimeCheckConfigs.update
services.create
services.delete
services.update
slos.create
slos.delete
Datenzugriff (ADMIN_READ) projects.metricDescriptors.get
projects.metricDescriptors.list
projects.groups.get
projects.groups.list
projects.groups.members.list
monitoring.uptimeCheckConfigs.list
monitoring.uptimeCheckConfigs.get
services.get
slos.get
slos.list
Datenzugriff (DATA_READ) projects.timeSeries.list
Datenzugriff (DATA_WRITE) projects.timeSeries.create
projects.collectdTimeSeries.create

Audit-Logformat

Audit-Logeinträge, die in Cloud Logging mit der Loganzeige, der Cloud Logging API oder dem gcloud-Befehlszeilentool aufgerufen werden können, umfassen die folgenden Objekte:

  • Den Logeintrag selbst. Dabei handelt es sich um ein Objekt vom Typ LogEntry. Nützliche Felder sind unter anderem:

    • logName enthält die Projektkennung und den Audit-Logtyp
    • resource enthält das Ziel zum geprüften Vorgang
    • timeStamp enthält die Uhrzeit des geprüften Vorgangs
    • protoPayload enthält die geprüften Informationen
  • Die Audit-Logging-Daten, die ein AuditLog-Objekt im Feld protoPayload des Logeintrags sind.

  • Optionale dienstspezifische Auditinformationen, die ein dienstspezifisches Objekt im Feld serviceData des AuditLog-Objekts sind. Weitere Informationen finden Sie unter Dienstspezifische Auditdaten.

Informationen zu anderen Feldern in diesen Objekten sowie zu deren Interpretation finden Sie unter Audit-Logs verstehen.

Logname

Ressourcennamen von Cloud-Audit-Logs geben Aufschluss über das Projekt oder über eine andere Entität, die Inhaber der Audit-Logs ist, und zeigen außerdem an, ob das Log Audit-Logging-Daten zur Administratoraktivität, zum Datenzugriff oder zu Systemereignissen enthält. Im folgenden Beispiel sind Lognamen für die Audit-Logs zur Administratoraktivität eines Projekts und für die Audit-Logs zum Datenzugriff einer Organisation enthalten:

    projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity
    organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
    

Dienstname

Für Monitoring-Audit-Logs wird der Dienstname monitoring.googleapis.com verwendet.

Weitere Informationen zu Logging-Diensten finden Sie unter Dienste zu Ressourcen zuordnen.

Ressourcentypen

Monitoring-Audit-Logs verwenden den Ressourcentyp audited_resource für alle Audit-Logs, da viele verschiedene Arten von Ressourcen überwacht werden können.

Eine vollständige Liste finden Sie unter Überwachte Ressourcentypen.

Audit-Logging aktivieren

Audit-Logs für Administratoraktivitäten sind immer aktiviert. Sie können sie nicht deaktivieren.

Audit-Logs zum Datenzugriff sind standardmäßig deaktiviert und werden nur geschrieben, wenn sie explizit aktiviert werden. Eine Ausnahme bilden die Audit-Logs zum Datenzugriff für BigQuery, die nicht deaktiviert werden können.

Eine Anleitung zum Aktivieren einiger oder aller Audit-Logs zum Datenzugriff finden Sie unter Datenzugriffslogs konfigurieren.

Wenn Sie Audit-Logs zum Datenzugriff konfigurieren, kann sich das auf Ihre Logpreise in Cloud Logging auswirken. Lesen Sie dazu den Abschnitt "Preise" auf dieser Seite.

Berechtigungen für Audit-Logs

Welche Audit-Logs Sie ansehen oder exportieren können, wird durch Berechtigungen und Rollen von Cloud Identity and Access Management (Cloud IAM) bestimmt. Logs sind in Projekten und in einigen anderen Entitäten wie Organisationen, Ordnern und Rechnungskonten enthalten. Mehr dazu erfahren Sie unter Informationen zu Rollen.

Zum Ansehen von Audit-Logs zur Administratoraktivität benötigen Sie eine der folgenden Cloud IAM-Rollen im Projekt, das die Audit-Logs enthält:

Wenn Sie Audit-Logs zum Datenzugriff aufrufen möchten, benötigen Sie in dem Projekt, das Ihre Audit-Logs enthält, eine der folgenden Rollen:

Wenn die verwendeten Audit-Logs nicht aus einem Projekt, sondern einer Entität wie einer Organisation stammen, ändern Sie die Projektrollen in geeignete Organisationsrollen.

Logs ansehen

Wenn Sie Audit-Logs suchen und ansehen wollen, müssen Sie die ID des Google Cloud-Projekts, -Ordners oder der Google Cloud-Organisation kennen, für die Sie Audit-Logging-Informationen abrufen möchten. Sie können weitere indexierte LogEntry-Felder angeben, z. B. resource.type. Weitere Informationen erhalten Sie unter Logeinträge schnell finden.

Dies sind die Namen der Audit-Logs:

       projects/project-id/logs/cloudaudit.googleapis.com%2Factivity
       projects/project-id/logs/cloudaudit.googleapis.com%2Fdata_access
       projects/project-id/logs/cloudaudit.googleapis.com%2Fsystem_event

       folders/folder-id/logs/cloudaudit.googleapis.com%2Factivity
       folders/folder-id/logs/cloudaudit.googleapis.com%2Fdata_access
       folders/folder-id/logs/cloudaudit.googleapis.com%2Fsystem_event

       organizations/organization-id/logs/cloudaudit.googleapis.com%2Factivity
       organizations/organization-id/logs/cloudaudit.googleapis.com%2Fdata_access
       organizations/organization-id/logs/cloudaudit.googleapis.com%2Fsystem_event
    

In den folgenden Beispielen werden Abfragen auf Projektebene verwendet. Wenn Sie Audit-Logs auf Organisations- oder Ordnerebene anzeigen möchten, ersetzen Sie den Audit-Lognamen oder die IDs der entsprechenden Ordner- oder Organisationsebene wie in den Audit-Lognamen aufgeführt.

Sie haben mehrere Möglichkeiten, Ihre Audit-Logeinträge aufzurufen.

Cloud Console

Sie können die Loganzeige in der Cloud Console verwenden, um die Audit-Logeinträge für Ihr Google Cloud-Projekt abzurufen. Gehen Sie so vor:

  1. Rufen Sie in der Cloud Console die Seite Logging > Logs (Loganzeige) der Operations Suite von Google Cloud auf:

    Zur Loganzeige

  2. Wählen Sie oben auf der Seite ein vorhandenes Google Cloud-Projekt aus oder erstellen Sie ein neues Projekt.

  3. Wählen Sie im ersten Drop-down-Menü den Ressourcentyp aus, dessen Audit-Logs angezeigt werden sollen.

  4. Wählen Sie im zweiten Drop-down-Menü den gewünschten Logtyp aus: activity für Audit-Logs zur Administratoraktivität, data_access für Audit-Logs zum Datenzugriff und system_events für Systemereignislogs.

    Wenn Sie keine dieser Optionen sehen, sind keine Audit-Logs dieses Typs im Projekt verfügbar.

Gehen Sie so vor, wenn Sie eine bestehende Suche auf Audit-Logs beschränken möchten:

  1. Klicken Sie im Suchfilterfeld auf den Drop-down-Pfeil (▾) und wählen Sie In erweiterten Filter umwandeln aus.

  2. Fügen Sie in das daraufhin angezeigte Textfeld unterhalb der Zeile resource.type die folgende Abfrage ein. Beachten Sie, dass sich die von Ihnen bereitgestellte project-id auf das aktuell ausgewählte Google Cloud-Projekt beziehen muss. Andernfalls funktioniert die Abfrage nicht.

            logName : "projects/project-id/logs/cloudaudit.googleapis.com"
        

    Wenn Sie alle verfügbaren Audit-Logs für Ihr Projekt aufrufen möchten, fügen Sie nur das Obige in Ihre Abfrage ein. Weitere Informationen zu Abfragen finden Sie unter Erweiterte Logabfragen.

API

So prüfen Sie Ihre Audit-Log-Einträge mithilfe der Logging API:

  1. Rufen Sie den Abschnitt API testen in der Dokumentation für die Methode entries.list auf.

  2. Geben Sie im Teil Anfragetext des Formulars API testen Folgendes ein. Wenn Sie auf dieses vorausgefüllte Formular klicken, wird der Anfragetext automatisch übernommen. Sie müssen jedoch in allen Lognamen eine gültige project-id angeben.

              {
                "resourceNames": [
                  "projects/project-id"
                ],
                "pageSize": 5,
                "filter": "logName : projects/project-id/logs/cloudaudit.googleapis.com"
              }
        
  3. Klicken Sie auf Ausführen.

Weitere Informationen zu Abfragen finden Sie unter Erweiterte Logabfragen.

GCLOUD

Das Cloud SDK bietet die Befehlsgruppe gcloud logging, die eine Befehlszeile für die Cloud Logging API bereitstellt. Führen Sie den folgenden Befehl aus, um Ihre Logeinträge zu lesen. Geben Sie in jedem Lognamen eine gültige project-id an.

        gcloud logging read "logName : projects/project-id/logs/cloudaudit.googleapis.com"

Weitere Informationen zur Verwendung des gcloud-Befehlszeilentools finden Sie unter Logeinträge lesen.

Unter Audit-Logs verstehen können Sie sich ein Beispiel für einen Audit-Logeintrag ansehen und erfahren, wie Sie die wichtigsten Informationen darin finden.

Audit-Logs exportieren

Sie können Audit-Logs genauso wie andere Arten von Logs exportieren. Weitere Informationen zum Exportieren von Logs finden Sie unter Logexporte. Im Folgenden erfahren Sie mehr über die Möglichkeiten zum Exportieren von Audit-Logs:

  • Sie können Kopien von Audit-Logs in Cloud Storage, BigQuery oder Cloud Pub/Sub exportieren, um Audit-Logs über einen längeren Zeitraum hinweg aufzubewahren oder leistungsfähigere Suchfunktionen zu verwenden. Bei Verwendung von Pub/Sub haben Sie die Möglichkeit, die Logs in andere Anwendungen, andere Repositories und Drittanbietersysteme zu exportieren.

  • Verwalten Sie Ihre Audit-Logs organisationsweit, indem Sie zusammengefasste Senken erstellen, mit denen sich Logs aus beliebigen oder allen Projekten in der Organisation exportieren lassen.

  • Wenn die aktivierten Audit-Logs zum Datenzugriff dazu führen, dass Ihre Projekte ihr Logkontingent überschreiten, können Sie die Audit-Logs zum Datenzugriff aus Logging exportieren und ausschließen. Weitere Informationen finden Sie unter Logausschlüsse.

Preis

In Cloud Logging werden Ihnen Audit-Logs, die nicht deaktiviert werden können, und sämtliche Audit-Logs zur Administratoraktivität nicht in Rechnung gestellt. Audit-Logs zum Datenzugriff, die Sie explizit anfordern, werden Ihnen jedoch in Rechnung gestellt.

Weitere Informationen zu den Preisen für Audit-Logs finden Sie im Abschnitt zu den Preisen für die Operations Suite von Google Cloud.