Informationen zum Audit-Logging von Resource Manager

Auf dieser Seite werden die Audit-Logs beschrieben, die von Resource Manager als Teil der Cloud-Audit-Logs erstellt werden.

Übersicht

Die Logs werden von Google Cloud Platform-Diensten gefüllt. Sie geben Auskunft darüber, welcher Nutzer "was, wann und wo" gemacht hat. GCP-Projekte enthalten jeweils nur die Audit-Logs für Ressourcen, die sich direkt im Projekt befinden. Andere Entitäten wie Ordner, Organisationen und Rechnungskonten enthalten jeweils eigene Audit-Logs.

Einen allgemeinen Überblick über Cloud-Audit-Logs finden Sie unter Cloud-Audit-Logs. Vertiefende Informationen zu Cloud-Audit-Logs finden Sie unter Audit-Logs verstehen.

Cloud-Audit-Logs verwaltet drei Audit-Logs für jedes GCP-Projekt, jeden Ordner und jede Organisation:

  • Audit-Logs zur Administratoraktivität
  • Audit-Logs zum Datenzugriff
  • Audit-Logs zu Systemereignissen

Resource Manager schreibt Audit-Logs zur Administratoraktivität, in denen Vorgänge aufgezeichnet werden, bei denen die Konfiguration oder die Metadaten einer Ressource geändert werden. Administratoraktivitäts-Audit-Logs werden immer generiert und können nicht deaktiviert werden.

Resource Manager schreibt nur dann Audit-Logs zum Datenzugriff, wenn dies explizit aktiviert ist. Audit-Logs zum Datenzugriff enthalten API-Aufrufe, die die Konfiguration oder Metadaten von Ressourcen lesen, sowie nutzergesteuerte API-Aufrufe, die von Nutzern bereitgestellte Ressourcendaten erstellen, ändern oder lesen. In Audit-Logs zum Datenzugriff werden keine Datenzugriffsvorgänge für Ressourcen aufgezeichnet, die öffentlich freigegeben (für alle Nutzer oder alle authentifizierte Nutzer verfügbar) oder ohne Anmeldung bei der GCP zugänglich sind.

Audit-Logs zu Systemereignissen stehen für Resource Manager nicht zur Verfügung.

Geprüfte Vorgänge

Die folgende Zusammenfassung zeigt, welche API-Vorgänge den einzelnen Audit-Logtypen in Resource Manager entsprechen:

Audit-Logkategorie Resource Manager-Vorgänge
Administratoraktivitäten-Logs (ADMIN_WRITE)
  • UpdateContactInfo

v2beta1:

  • cloudresourcemanager.v2beta1.folders.create
  • cloudresourcemanager.v2beta1.folders.delete
  • cloudresourcemanager.v2beta1.folders.move
  • cloudresourcemanager.v2beta1.folders.patch
  • cloudresourcemanager.v2beta1.folders.setIamPolicy
  • cloudresourcemanager.v2beta1.folders.undelete

v2:

  • cloudresourcemanager.v2.folders.create
  • cloudresourcemanager.v2.folders.delete
  • cloudresourcemanager.v2.folders.move
  • cloudresourcemanager.v2.folders.patch
  • cloudresourcemanager.v2.folders.setIamPolicy
  • cloudresourcemanager.v2.folders.undelete

v1beta1:

  • cloudresourcemanager.v1beta1.organizations.setIamPolicy
  • cloudresourcemanager.v1beta1.organizations.update
  • cloudresourcemanager.v1beta1.projects.create
  • cloudresourcemanager.v1beta1.projects.delete
  • cloudresourcemanager.v1beta1.projects.setIamPolicy
  • cloudresourcemanager.v1beta1.projects.undelete
  • cloudresourcemanager.v1beta1.projects.update

v1:

  • cloudresourcemanager.v1.folders.clearOrgPolicy
  • cloudresourcemanager.v1.folders.setOrgPolicy
  • cloudresourcemanager.v1.organizations.clearOrgPolicy
  • cloudresourcemanager.v1.organizations.setIamPolicy
  • cloudresourcemanager.v1.organizations.setOrgPolicy
  • cloudresourcemanager.v1.projects.clearOrgPolicy
  • cloudresourcemanager.v1.projects.create
  • cloudresourcemanager.v1.projects.delete
  • cloudresourcemanager.v1.projects.setIamPolicy
  • cloudresourcemanager.v1.projects.setOrgPolicy
  • cloudresourcemanager.v1.projects.undelete
  • cloudresourcemanager.v1.projects.update
Datenzugriffs-Logs (ADMIN_READ)
  • GetContactInfo

v2beta1:

  • cloudresourcemanager.v2beta1.folders.get
  • cloudresourcemanager.v2beta1.folders.getIamPolicy
  • cloudresourcemanager.v2beta1.folders.list

v2:

  • cloudresourcemanager.v2.folders.get
  • cloudresourcemanager.v2.folders.getIamPolicy
  • cloudresourcemanager.v2.folders.list

v1beta1:

  • cloudresourcemanager.v1beta1.organizations.get
  • cloudresourcemanager.v1beta1.organizations.getIamPolicy
  • cloudresourcemanager.v1beta1.projects.get
  • cloudresourcemanager.v1beta1.projects.getIamPolicy

v1:

  • cloudresourcemanager.v1.folders.getEffectiveOrgPolicy
  • cloudresourcemanager.v1.folders.getOrgPolicy
  • cloudresourcemanager.v1.folders.listAvailableOrgPolicyConstraints
  • cloudresourcemanager.v1.folders.listOrgPolicies
  • cloudresourcemanager.v1.organizations.get
  • cloudresourcemanager.v1.organizations.getEffectiveOrgPolicy
  • cloudresourcemanager.v1.organizations.getIamPolicy
  • cloudresourcemanager.v1.organizations.getOrgPolicy
  • cloudresourcemanager.v1.organizations.listAvailableOrgPolicyConstraints
  • cloudresourcemanager.v1.organizations.listOrgPolicies
  • cloudresourcemanager.v1.projects.get
  • cloudresourcemanager.v1.projects.getEffectiveOrgPolicy
  • cloudresourcemanager.v1.projects.getIamPolicy
  • cloudresourcemanager.v1.projects.listAvailableOrgPolicyConstraints
  • cloudresourcemanager.v1.projects.listOrgPolicies

Die Vorgänge GetContactInfo und UpdateContactInfo unterstützen den Dienst ContactInfo für die Datenschutz-Grundverordnung (DSGVO) der EU. Mit diesen Vorgängen werden Kontaktdaten für einen EU-Bevollmächtigten und einen Datenschutzbeauftragten aktualisiert bzw. abgerufen. Diese können in der Google Cloud Platform Console auf der Seite Datenschutz und Sicherheit der GCP geändert werden.

Audit-Logformat

Audit-Logeinträge, die Sie mit der Loganzeige, der Stackdriver Logging API oder dem Cloud SDK in Stackdriver Logging ansehen können, enthalten folgende Objekte:

  • Den Logeintrag selbst, ein Objekt vom Typ LogEntry. Nützliche Felder sind unter anderem:

    • logName: Enthält die Projektkennung und den Audit-Log-Typ
    • resource: Enthält das Ziel des geprüften Vorgangs
    • timeStamp: Enthält die Uhrzeit des geprüften Vorgangs
    • protoPayload: Enthält die Informationen zum geprüften Vorgang
  • Die Audit-Logging-Daten, die ein Objekt vom Typ AuditLog sind, das im Feld protoPayload des Logeintrags angegeben ist.

  • Optionale dienstspezifische Auditinformationen. Dabei handelt es sich um ein dienstspezifisches Objekt im Feld serviceData des Objekts AuditLog. Weitere Informationen finden Sie unter Dienstspezifische Auditdaten.

Informationen zu anderen Feldern in diesen Objekten sowie zu deren Interpretation finden Sie unter Audit-Logs verstehen.

Logname

Ressourcennamen von Cloud-Audit-Logs geben über das Projekt Aufschluss oder über eine andere Entität, die Inhaber der Audit-Logs ist, und zeigen außerdem an, ob das Log Audit-Logging-Daten zur Administratoraktivität, zum Datenzugriff oder zu Systemereignissen enthält. Im folgenden Beispiel werden Lognamen für die Audit-Logs zur Administratoraktivität eines Projekts und für die Audit-Logs zum Datenzugriff einer Organisation angezeigt.

projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity
organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access

Dienstname

Die Audit-Logs von Resource Manager verwenden den Dienstnamen cloudresourcemanager.googleapis.com.

Weitere Informationen zu Logging-Diensten finden Sie unter Dienste Ressourcen zuordnen.

Ressourcentypen

Die Audit-Logs von Resource Manager verwenden bei allen Audit-Logs den Ressourcentyp project.

Eine vollständige Liste finden Sie unter Überwachte Ressourcentypen.

Audit-Logging aktivieren

Administratoraktivitäts-Audit-Logs werden immer generiert und können nicht deaktiviert werden.

Audit-Logs zum Datenzugriff sind standardmäßig deaktiviert und werden nur geschrieben, wenn sie explizit aktiviert sind. Ausnahme: Audit-Logs zum Datenzugriff für BigQuery, die nicht deaktiviert werden können.

Eine Anleitung zum Aktivieren einiger oder aller Ihrer Audit-Logs zum Datenzugriff finden Sie unter Datenzugriffslogs konfigurieren.

Die von Ihnen konfigurierten Audit-Logs zum Datenzugriff können sich auf Ihre Logpreise in Stackdriver auswirken. Lesen Sie dazu den Abschnitt Preise auf dieser Seite.

Berechtigungen für Audit-Logs

Welche Audit-Logs Sie ansehen oder exportieren können, wird durch Berechtigungen und Rollen von Cloud Identity and Access Management (Cloud IAM) bestimmt. Logs sind in Projekten und in einigen anderen Entitäten wie Organisationen, Ordnern und Rechnungskonten enthalten. Weitere Informationen finden Sie unter Rollen verstehen.

Zum Ansehen von Audit-Logs zur Administratoraktivität benötigen Sie eine der folgenden Cloud IAM-Rollen im Projekt, das die Audit-Logs enthält:

Wenn Sie sich Audit-Logs zum Datenzugriff ansehen möchten, müssen Sie in dem Projekt, das Ihre Audit-Logs enthält, eine der folgenden Rollen haben:

Wenn die verwendeten Audit-Logs nicht aus einem Projekt, sondern einer Entität wie einer Organisation stammen, ändern Sie die Projektrollen in geeignete Organisationsrollen.

Logs ansehen

Sie haben mehrere Möglichkeiten, Ihre Audit-Logeinträge aufzurufen:

Einfache Oberfläche

Sie können Ihre Audit-Logeinträge über die einfache Oberfläche der Loganzeige in der GCP Console abrufen. Dazu gehen Sie so vor:

  1. Rufen Sie in der GCP Console die Seite Stackdriver Logging > Logs (Loganzeige) auf:

    Zur Loganzeige

  2. Wählen Sie oben auf der Seite ein vorhandenes GCP-Projekt aus oder erstellen Sie ein neues Projekt.

  3. Wählen Sie im ersten Drop-down-Menü die Ressource aus, deren Audit-Logs angezeigt werden sollen. Sie können eine bestimmte Ressource oder Global für alle Ressourcen auswählen.

  4. Wählen Sie im zweiten Drop-down-Menü den Logtyp aus, den Sie anzeigen möchten: activity für Audit-Logs zur Administratoraktivität, data_access für Audit-Logs zum Datenzugriff und system_events für Audit-Logs zu Systemereignissen.

    Wenn keine dieser Optionen angezeigt wird, sind im Projekt keine Audit-Logs dieses Typs verfügbar.

Erweiterte Oberfläche

Zum Abrufen der Audit-Logeinträge nutzen Sie die erweiterte Oberfläche der Loganzeige der GCP Console. Dazu gehen Sie so vor:

  1. Rufen Sie in der GCP Console die Seite Stackdriver Logging > Logs (Loganzeige) auf:

    Zur Loganzeige

  2. Wählen Sie oben auf der Seite ein vorhandenes GCP-Projekt aus oder erstellen Sie ein neues Projekt.

  3. Wählen Sie im ersten Drop-down-Menü die Ressource aus, deren Audit-Logs angezeigt werden sollen. Sie können eine bestimmte Ressource oder Global für alle Ressourcen auswählen.

  4. Klicken Sie auf den Drop-down-Pfeil (▾) ganz rechts im Suchfilterfeld und wählen Sie In erweiterten Filter umwandeln aus.

  5. Erstellen Sie einen Filter, der die gewünschten Logeinträge genauer definiert. Fügen Sie folgenden Filter hinzu, um alle Audit-Logs in Ihrem Projekt abzurufen. Geben Sie in allen Lognamen eine gültige [PROJECT_ID] an.

      logName = ("projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" OR
          OR "projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_events"
          OR "projects/[PROJECT_ID]logs/cloudaudit.googleapis.com%2Fdata_access")
    

    Weitere Informationen zu Filtern finden Sie unter Erweiterte Logfilter.

API

So sehen Sie sich Ihre Audit-Logeinträge mithilfe der Stackdriver Logging API an:

  1. Rufen Sie in der Dokumentation für die Methode entries.list den Abschnitt Diese API testen auf.

  2. Geben Sie im Teil Anfragetext des Formulars Diese API testen Folgendes ein. Wenn Sie auf dieses vorab ausgefüllte Formular klicken, wird der Anfragetext automatisch eingegeben. Sie müssen aber in allen Lognamen eine gültige [PROJECT_ID] angeben.

      {
        "resourceNames": [
          "projects/[PROJECT_ID]"
        ],
        "pageSize": 5,
        "filter": "logName=(projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_events OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access)"
      }
    
  3. Klicken Sie auf Ausführen.

Weitere Informationen zu Filtern finden Sie unter Erweiterte Logfilter.

SDK

Führen Sie den folgenden Befehl aus, um Ihre Logeinträge mithilfe des Cloud SDK zu lesen. Geben Sie in allen Lognamen eine gültige [PROJECT_ID] an.

gcloud logging read "logName=(projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_events OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access)"

Weitere Informationen zur Verwendung von Cloud SDK finden Sie unter Logeinträge lesen.

Ein Beispiel für einen Audit-Logeintrag und zum Ermitteln der wichtigsten Informationen darin finden Sie unter Audit-Logs verstehen.

Audit-Logs exportieren

Sie können Audit-Logs genauso wie andere Arten von Logs exportieren. Weitere Informationen zum Exportieren Ihrer Logs finden Sie unter Logs exportieren. Im Folgenden erfahren Sie mehr über Möglichkeiten zum Exportieren von Audit-Logs:

  • Sie können Kopien Ihrer Audit-Logs in Cloud Storage, BigQuery oder Cloud Pub/Sub exportieren, um Audit-Logs über einen längeren Zeitraum hinweg beizubehalten oder leistungsfähigere Suchfunktionen zu verwenden. Bei Verwendung von Cloud Pub/Sub haben Sie die Möglichkeit, die Logs in andere Anwendungen, andere Repositories und Systeme von Drittanbietern zu exportieren.

  • Sie können aggregierte Exportsenken erstellen, mit denen sich Logs aus bestimmten oder allen Projekten in der Organisation exportieren lassen, um Audit-Logs organisationsweit zu verwalten.

  • Wenn die aktivierten Audit-Logs zum Datenzugriff dazu führen, dass das Logkontingent Ihrer Projekte überschritten wird, können Sie die Audit-Logs zum Datenzugriff aus Logging exportieren und ausschließen. Weitere Informationen finden Sie unter Logausschlüsse.

Preis

Audit-Logs, die immer generiert werden und nicht deaktiviert werden können, einschließlich aller Audit-Logs zur Administratoraktivität, sind in Stackdriver Logging kostenlos.

Audit-Logs zum Datenzugriff, die Sie explizit anfordern, werden Ihnen jedoch in Rechnung gestellt.

Weitere Informationen zu Audit-Log-Preisen finden Sie unter Stackdriver-Preise.

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...

Dokumentation zu Resource Manager