Informationen zum Audit-Logging von Resource Manager

Auf dieser Seite werden die Audit-Logs beschrieben, die von Resource Manager als Teil der Cloud-Audit-Logs erstellt werden.

Überblick

Google Cloud-Dienste schreiben Audit-Logs, um Ihnen Antworten auf Fragen wie "Wer hat was wo und wann getan?" zu liefern. Ihre Google Cloud-Projekte enthalten jeweils nur die Audit-Logs für Ressourcen, die sich direkt im Projekt befinden. Andere Entitäten wie Ordner, Organisationen und Rechnungskonten enthalten jeweils eigene Audit-Logs.

Einen allgemeinen Überblick über Cloud-Audit-Logs finden Sie unter Cloud-Audit-Logging. Detaillierte Informationen zu Cloud-Audit-Logs finden Sie unter Audit-Logs verstehen.

Cloud-Audit-Logs legt für jedes Google Cloud-Projekt, jeden Ordner und jede Organisation drei Audit-Logs an:

  • Audit-Logs zur Administratoraktivität
  • Audit-Logs zum Datenzugriff
  • Audit-Logs zu Systemereignissen

Resource Manager schreibt Audit-Logs zur Administratoraktivität, in denen Vorgänge aufgezeichnet werden, bei denen die Konfiguration oder die Metadaten einer Ressource geändert werden. Sie können Audit-Logs für Administratoraktivitäten nicht deaktivieren.

Resource Manager schreibt nur dann Audit-Logs zum Datenzugriff, wenn dies explizit aktiviert ist. Audit-Logs zum Datenzugriff enthalten API-Aufrufe, die die Konfiguration oder Metadaten von Ressourcen lesen, sowie nutzergesteuerte API-Aufrufe, die von Nutzern bereitgestellte Ressourcendaten erstellen, ändern oder lesen. In Audit-Logs zum Datenzugriff werden keine Datenzugriffsvorgänge für Ressourcen aufgezeichnet, die öffentlich freigegeben (für alle Nutzer oder alle authentifizierten Nutzer verfügbar) oder ohne Anmeldung bei Google Cloud zugänglich sind.

Resource Manager schreibt keine Audit-Logs zu Systemereignissen.

Geprüfte Vorgänge

Die folgende Zusammenfassung zeigt, welche API-Vorgänge den einzelnen Audit-Logtypen in Resource Manager entsprechen:

Audit-Logkategorie Resource Manager-Vorgänge
Administratoraktivitäten-Logs (ADMIN_WRITE)
  • UpdateContactInfo

v2beta1:

  • cloudresourcemanager.v2beta1.folders.create
  • cloudresourcemanager.v2beta1.folders.delete
  • cloudresourcemanager.v2beta1.folders.move
  • cloudresourcemanager.v2beta1.folders.patch
  • cloudresourcemanager.v2beta1.folders.setIamPolicy
  • cloudresourcemanager.v2beta1.folders.undelete

v2:

  • cloudresourcemanager.v2.folders.create
  • cloudresourcemanager.v2.folders.delete
  • cloudresourcemanager.v2.folders.move
  • cloudresourcemanager.v2.folders.patch
  • cloudresourcemanager.v2.folders.setIamPolicy
  • cloudresourcemanager.v2.folders.undelete

v1beta1:

  • cloudresourcemanager.v1beta1.organizations.setIamPolicy
  • cloudresourcemanager.v1beta1.organizations.update
  • cloudresourcemanager.v1beta1.projects.create
  • cloudresourcemanager.v1beta1.projects.delete
  • cloudresourcemanager.v1beta1.projects.setIamPolicy
  • cloudresourcemanager.v1beta1.projects.undelete
  • cloudresourcemanager.v1beta1.projects.update

v1:

  • cloudresourcemanager.v1.folders.clearOrgPolicy
  • cloudresourcemanager.v1.folders.setOrgPolicy
  • cloudresourcemanager.v1.organizations.clearOrgPolicy
  • cloudresourcemanager.v1.organizations.setIamPolicy
  • cloudresourcemanager.v1.organizations.setOrgPolicy
  • cloudresourcemanager.v1.projects.clearOrgPolicy
  • cloudresourcemanager.v1.projects.create
  • cloudresourcemanager.v1.projects.delete
  • cloudresourcemanager.v1.projects.setIamPolicy
  • cloudresourcemanager.v1.projects.setOrgPolicy
  • cloudresourcemanager.v1.projects.undelete
  • cloudresourcemanager.v1.projects.update
Datenzugriffs-Logs (ADMIN_READ)
  • GetContactInfo

v2beta1:

  • cloudresourcemanager.v2beta1.folders.get
  • cloudresourcemanager.v2beta1.folders.getIamPolicy
  • cloudresourcemanager.v2beta1.folders.list

v2:

  • cloudresourcemanager.v2.folders.get
  • cloudresourcemanager.v2.folders.getIamPolicy
  • cloudresourcemanager.v2.folders.list

v1beta1:

  • cloudresourcemanager.v1beta1.organizations.get
  • cloudresourcemanager.v1beta1.organizations.getIamPolicy
  • cloudresourcemanager.v1beta1.projects.get
  • cloudresourcemanager.v1beta1.projects.getIamPolicy

v1:

  • cloudresourcemanager.v1.folders.getEffectiveOrgPolicy
  • cloudresourcemanager.v1.folders.getOrgPolicy
  • cloudresourcemanager.v1.folders.listAvailableOrgPolicyConstraints
  • cloudresourcemanager.v1.folders.listOrgPolicies
  • cloudresourcemanager.v1.organizations.get
  • cloudresourcemanager.v1.organizations.getEffectiveOrgPolicy
  • cloudresourcemanager.v1.organizations.getIamPolicy
  • cloudresourcemanager.v1.organizations.getOrgPolicy
  • cloudresourcemanager.v1.organizations.listAvailableOrgPolicyConstraints
  • cloudresourcemanager.v1.organizations.listOrgPolicies
  • cloudresourcemanager.v1.projects.get
  • cloudresourcemanager.v1.projects.getEffectiveOrgPolicy
  • cloudresourcemanager.v1.projects.getIamPolicy
  • cloudresourcemanager.v1.projects.listAvailableOrgPolicyConstraints
  • cloudresourcemanager.v1.projects.listOrgPolicies

Die Vorgänge GetContactInfo und UpdateContactInfo unterstützen den Dienst ContactInfo für die Datenschutz-Grundverordnung (DSGVO) der EU. Mit diesen Vorgängen werden Kontaktdaten für einen EU-Bevollmächtigten und einen Datenschutzbeauftragten aktualisiert bzw. abgerufen. Diese können in der Google Cloud Console auf der Seite Datenschutz und Sicherheit der Google Cloud geändert werden.

Audit-Logformat

Audit-Logeinträge, die in Stackdriver Logging mit der Loganzeige, der Stackdriver Logging API oder dem gcloud-Befehlszeilentool aufgerufen werden können, umfassen die folgenden Objekte:

  • Den Logeintrag selbst. Dabei handelt es sich um ein Objekt vom Typ LogEntry. Nützliche Felder sind unter anderem:

    • logName enthält die Projektkennung und den Audit-Logtyp
    • resource enthält das Ziel zum geprüften Vorgang
    • timeStamp enthält die Uhrzeit des geprüften Vorgangs
    • protoPayload enthält die geprüften Informationen
  • Die Audit-Logdaten, bei denen es sich um ein AuditLog-Objekt handelt, das sich im Feld protoPayload des Logeintrags befindet.

  • Optionale dienstspezifische Auditinformationen. Dabei handelt es sich um ein dienstspezifisches Objekt im Feld serviceData des AuditLog-Objekts. Weitere Informationen finden Sie unter Dienstspezifische Auditdaten.

Informationen zu anderen Feldern in diesen Objekten sowie zu deren Interpretation finden Sie unter Audit-Logs verstehen.

Logname

Ressourcennamen von Cloud-Audit-Logs geben über das Projekt oder über eine andere Entität, die Inhaber der Audit-Logs ist, Aufschluss und zeigen außerdem an, ob das Log Audit-Logging-Daten zur Administratoraktivität, zum Datenzugriff oder zu Systemereignissen enthält. Im folgenden Beispiel sind Lognamen für die Audit-Logs zur Administratoraktivität eines Projekts und für die Audit-Logs zum Datenzugriff einer Organisation enthalten:

projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity
organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access

Dienstname

Für Audit-Logs von Resource Manager wird der Dienstname cloudresourcemanager.googleapis.com verwendet.

Weitere Informationen zu Logging-Diensten finden Sie unter Dienste zu Ressourcen zuordnen.

Ressourcentypen

Die Audit-Logs von Resource Manager verwenden bei allen Audit-Logs den Ressourcentyp project.

Eine vollständige Liste finden Sie unter Überwachte Ressourcentypen.

Audit-Logging aktivieren

Audit-Logs für Administratoraktivitäten sind immer aktiviert. Sie können sie nicht deaktivieren.

Audit-Logs zum Datenzugriff sind standardmäßig deaktiviert und werden nur geschrieben, wenn sie explizit aktiviert werden. Eine Ausnahme bilden die Audit-Logs zum Datenzugriff für BigQuery, die nicht deaktiviert werden können.

Eine Anleitung zum Aktivieren einiger oder aller Audit-Logs für Datenzugriffe finden Sie unter Datenzugriffslogs konfigurieren.

Wenn Sie Audit-Logs zum Datenzugriff konfigurieren, kann sich das auf Ihre Logpreise in Stackdriver auswirken. Lesen Sie dazu den Abschnitt "Preise" auf dieser Seite.

Berechtigungen für Audit-Logs

Welche Audit-Logs Sie ansehen oder exportieren können, wird durch Berechtigungen und Rollen von Cloud Identity and Access Management (Cloud IAM) bestimmt. Logs sind in Projekten und in einigen anderen Entitäten wie Organisationen, Ordnern und Rechnungskonten enthalten. Mehr dazu finden Sie unter Weitere Informationen zu Rollen.

Zum Ansehen von Audit-Logs zur Administratoraktivität benötigen Sie eine der folgenden Cloud IAM-Rollen in dem Projekt, das die Audit-Logs enthält:

Wenn Sie Audit-Logs zum Datenzugriff aufrufen möchten, benötigen Sie in dem Projekt, das Ihre Audit-Logs enthält, eine der folgenden Rollen:

Wenn die verwendeten Audit-Logs nicht aus einem Projekt, sondern einer Entität wie einer Organisation stammen, ändern Sie die Projektrollen in geeignete Organisationsrollen.

Logs ansehen

Sie haben mehrere Möglichkeiten, Ihre Audit-Logeinträge aufzurufen:

Einfache Oberfläche

Sie können die Audit-Logeinträge über die einfache Oberfläche der Loganzeige in der Cloud Console abrufen. Gehen Sie so vor:

  1. Rufen Sie in der Cloud Console die Seite Stackdriver Logging > Logs (Loganzeige) auf:

    Zur Seite "Loganzeige"

  2. Wählen Sie oben auf der Seite ein vorhandenes Google Cloud-Projekt aus oder erstellen Sie ein neues Projekt.

  3. Wählen Sie im ersten Drop-down-Menü die Ressource aus, deren Audit-Logs angezeigt werden sollen. Sie können eine bestimmte Ressource oder mit Global alle Ressourcen auswählen.

  4. Wählen Sie im zweiten Drop-down-Menü den Logtyp aus, den Sie ansehen möchten: activity für Audit-Logs zur Administratoraktivität, data_access für Audit-Logs zum Datenzugriff und system_events für Audit-Logs zu Systemereignissen.

    Wenn eine dieser Optionen nicht angezeigt wird, sind im Projekt keine Audit-Logs dieses Typs verfügbar.

Erweiterte Oberfläche

Sie können die Audit-Logeinträge über die erweiterte Oberfläche der Loganzeige in der Cloud Console abrufen. Gehen Sie so vor:

  1. Rufen Sie in der Cloud Console die Seite Stackdriver Logging > Logs (Loganzeige) auf:

    Zur Seite "Loganzeige"

  2. Wählen Sie oben auf der Seite ein vorhandenes Google Cloud-Projekt aus oder erstellen Sie ein neues Projekt.

  3. Wählen Sie im ersten Drop-down-Menü die Ressource aus, deren Audit-Logs angezeigt werden sollen. Sie können eine bestimmte Ressource oder mit Global alle Ressourcen auswählen.

  4. Klicken Sie ganz rechts im Suchfilterfeld auf den Drop-down-Pfeil (▾) und wählen Sie In erweiterten Filter umwandeln aus.

  5. Erstellen Sie eine Abfrage, in der die gewünschten Logeinträge genauer definiert werden. Mit der folgenden Abfrage können Sie alle Audit-Logs in Ihrem Projekt abrufen. Geben Sie in jedem Lognamen eine gültige [PROJECT_ID] an.

      logName = ("projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity"
          OR "projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_events"
          OR "projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access")
    

    Weitere Informationen zu Abfragen finden Sie unter Erweiterte Logabfragen.

API

So sehen Sie sich Ihre Audit-Logeinträge mithilfe der Stackdriver Logging API an:

  1. Rufen Sie den Abschnitt Diese API testen in der Dokumentation für die Methode entries.list auf.

  2. Geben Sie im Teil Anfragetext des Formulars Diese API testen Folgendes ein. Wenn Sie auf dieses vorausgefüllte Formular klicken, wird der Anfragetext automatisch übernommen. Sie müssen jedoch in allen Lognamen eine gültige [PROJECT_ID] angeben.

      {
        "resourceNames": [
          "projects/[PROJECT_ID]"
        ],
        "pageSize": 5,
        "filter": "logName=(projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_events OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access)"
      }
    
  3. Klicken Sie auf Ausführen.

Weitere Informationen zu Abfragen finden Sie unter Erweiterte Logabfragen.

gcloud

Wenn Sie Logeinträge mit dem gcloud-Befehlszeilentool lesen möchten, führen Sie den folgenden Befehl aus Geben Sie in jedem Lognamen eine gültige [PROJECT_ID] an.

gcloud logging read "logName=(projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_events OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access)"

Weitere Informationen zur Verwendung des gcloud-Befehlszeilentools finden Sie unter Logeinträge lesen.

Ein Beispiel für einen Audit-Logeintrag und wie Sie die wichtigsten Informationen darin finden, ist in Audit-Logs verstehen enthalten.

Audit-Logs exportieren

Sie können Audit-Logs genauso wie andere Arten von Logs exportieren. Weitere Informationen zum Exportieren von Logs finden Sie unter Logs exportieren. Im Folgenden erfahren Sie mehr über Möglichkeiten zum Exportieren von Audit-Logs:

  • Sie können Kopien von Audit-Logs in Cloud Storage, BigQuery oder Cloud Pub/Sub exportieren, um Audit-Logs über einen längeren Zeitraum hinweg zu behalten oder leistungsfähigere Suchfunktionen zu verwenden. Mit Pub/Sub haben Sie die Möglichkeit, die Logs in andere Anwendungen, andere Repositories und Systeme von Drittanbietern zu exportieren.

  • Sie können aggregierte Exportsenken erstellen, mit denen sich Logs aus bestimmten oder allen Projekten in der Organisation exportieren lassen, um Audit-Logs organisationsweit zu verwalten.

  • Wenn die aktivierten Audit-Logs zum Datenzugriff dazu führen, dass Ihre Projekte ihr Logkontingent überschreiten, können Sie die Audit-Logs zum Datenzugriff aus Logging exportieren und ausschließen. Weitere Informationen finden Sie unter Logausschlüsse.

Preis

In Stackdriver Logging werden Ihnen keine Audit-Logs in Rechnung gestellt, die nicht deaktiviert werden können, einschließlich aller Audit-Logs zu Administratoraktivitäten. Audit-Logs zum Datenzugriff, die Sie explizit anfordern, werden Ihnen jedoch in Rechnung gestellt.

Weitere Informationen zu Audit-Logpreisen finden Sie unter Stackdriver-Preise.