Informationen zum Audit-Logging in Cloud Source Repositories

Auf dieser Seite werden die Audit-Logs beschrieben, die von Cloud Source Repositories als Teil der Cloud-Audit-Logs erstellt wurden.

Überblick

Google Cloud-Dienste schreiben Audit-Logs, um Ihnen Antworten auf Fragen wie "Wer hat was wo und wann getan?" zu liefern. Ihre Cloud-Projekte enthalten jeweils nur die Audit-Logs für Ressourcen, die sich direkt im Projekt befinden. Andere Entitäten wie Ordner, Organisationen und Rechnungskonten enthalten jeweils eigene Audit-Logs.

Cloud Source Repositories schreibt Audit-Logs für Administratoraktivitäten und stellt diese standardmäßig bereit. Dazu gehören Vorgänge, bei denen die Konfiguration oder Metadaten einer Ressource geändert werden.

Cloud Source Repositories schreibt Audit-Logs für den Datenzugriff, in denen API-Aufrufe zum Erstellen, Ändern oder Lesen der von Nutzern bereitgestellten Daten aufgezeichnet werden. Diese werden nicht standardmäßig bereitgestellt.

Audit-Logs für den Datenzugriff fallen in verschiedene Kategorien:

  • Datenzugriff (ADMIN_READ): Vorgänge, bei denen die Konfiguration oder Metadaten einer Ressource gelesen werden

    Cloud Source Repositories stellt standardmäßig keine Informationen zu Administratorlesevorgängen zur Verfügung.

  • Datenzugriff (DATA_READ): Vorgänge, bei denen die vom Nutzer bereitgestellten Daten aus einer Ressource gelesen werden

    Cloud Source Repositories stellt standardmäßig keine Informationen zu Datenlesevorgängen zur Verfügung.

  • Datenzugriff (DATA_WRITE): Vorgänge, bei denen die vom Nutzer bereitgestellten Daten in eine Ressource geschrieben werden

    Cloud Source Repositories stellt standardmäßig keine Informationen zu Datenschreibvorgängen zur Verfügung.

Auditinformationen, die nicht standardmäßig zur Verfügung gestellt werden, können konfiguriert werden. Einzelheiten finden Sie unter Datenzugriffs-Logs konfigurieren.

Geprüfte Vorgänge

In der folgenden Tabelle wird zusammengefasst, welche API-Vorgänge den verschiedenen Arten von Audit-Logs in Cloud Source Repositories entsprechen:

Audit-Log-Kategorie Cloud Source Repositories-Vorgänge
Administratoraktivität SourceRepo.UpdateProjectConfig
SourceRepo.UpdateRepo
SourceRepo.CreateRepo
SourceRepo.DeleteRepo
SourceRepo.SetIamPolicy
Datenzugriff (ADMIN_READ) SourceRepo.GetProjectConfig
SourceRepo.ListRepos
SourceRepo.GetRepo
SourceRepo.GetIamPolicy
Datenzugriff (DATA_READ) GitProtocol.LsRemote
GitProtocol.UploadPack
Browser.Access
Datenzugriff (DATA_WRITE) GitProtocol.ReceivePack

Audit-Logformat

Audit-Logeinträge, die in Cloud Logging mit der Loganzeige, der API oder dem SDK gcloud logging-Befehl aufgerufen werden können, umfassen die folgenden Objekte:

  • Den Logeintrag selbst. Dabei handelt es sich um ein Objekt vom Typ LogEntry. Nützliche Felder sind unter anderem:

    • logName enthält die Projektkennung und den Audit-Logtyp
    • resource enthält das Ziel zum geprüften Vorgang
    • timeStamp enthält die Uhrzeit des geprüften Vorgangs
    • protoPayload enthält die geprüften Informationen
  • Die Auditinformationen, bei denen es sich um ein AuditLog-Objekt handelt, werden im Feld protoPayload des Logeintrags gespeichert.

  • Optionale dienstspezifische Auditinformationen. Sie ist ein dienstspezifisches Objekt im Feld serviceData des AuditLog-Objekts. Einzelheiten finden Sie unter Dienstspezifische Auditdaten.

Informationen zu anderen Feldern in diesen Objekten, Beispielinhalten dieser Felder und Beispielabfragen für Informationen in den Objekten finden Sie unter Audit-Logdatentypen.

Logname

Lognamen von Cloud-Audit-Logs geben über das Projekt oder eine andere Entität Aufschluss, das bzw. die der Inhaber der Audit-Logs ist, und zeigen außerdem an, ob das Log Administratoraktivitäts- oder Datenzugriffsinformationen enthält. Im folgenden Beispiel werden Lognamen für die Administratoraktivitätslogs eines Projekts und für die Datenzugriffslogs einer Organisation angezeigt.

projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity
organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access

Dienstname

Audit-Logs in Cloud Source Repositories verwenden den Dienstnamen sourcerepo.googleapis.com.

Weitere Informationen zu Logging-Diensten finden Sie unter Dienste Ressourcen zuordnen.

Ressourcentypen

Audit-Logs in Cloud Source Repositories verwenden den Ressourcentyp csr_repository für alle Audit-Logs.

Eine vollständige Liste finden Sie unter Überwachte Ressourcentypen.

Audit-Logging aktivieren

Die Audit-Logs für Administratoraktivitäten sind standardmäßig aktiviert und können nicht deaktiviert werden.

Die meisten Audit-Logs für den Datenzugriff sind standardmäßig deaktiviert. Hiervon ausgenommen sind Audit-Logs zum Datenzugriff für BigQuery. Sie sind standardmäßig aktiviert und können nicht deaktiviert werden. Datenzugriffs-Logs für BigQuery werden nicht auf das Logging-Kontingent Ihres Projekts angerechnet.

Informationen zum Aktivieren einiger oder aller Datenzugriffs-Logs finden Sie unter Datenzugriffs-Logs konfigurieren.

Wenn Sie Logs zu Datenzugriffen konfigurieren, kann sich das auf Ihre Logpreise in der Operations-Suite von Google Cloud auswirken. Informationen dazu finden Sie im Abschnitt Preise auf dieser Seite.

Berechtigungen für Audit-Logs

Welche Audit-Logs Sie ansehen oder exportieren können, wird durch Berechtigungen und Rollen von Identity and Access Management (Cloud IAM) bestimmt. Logs sind in Projekten und in einigen anderen Entitäten wie Organisationen, Ordnern und Rechnungskonten enthalten. Weitere Informationen finden Sie unter Informationen zu Rollen.

Zum Ansehen von Logs zu Administratoraktivitäten benötigen Sie eine der folgenden IAM-Rollen in dem Projekt, das die Audit-Logs enthält:

Zum Ansehen von Datenzugriffs-Logs benötigen Sie eine der folgenden Rollen im Projekt, das Ihre Audit-Logs enthält:

Wenn die verwendeten Audit-Logs nicht aus einem Projekt, sondern einer Entität wie einer Organisation stammen, ändern Sie die Projektrollen in geeignete Organisationsrollen.

Logs ansehen

Führen Sie einen dieser Schritte durch, um Audit-Logs für eines Ihrer Projekte anzusehen:

Weitere Einzelheiten finden Sie in den Beschreibungen der folgenden Optionen:

Einfache Oberfläche

Sie können die einfache Oberfläche der Log-Anzeige verwenden, um Ihre Audit-Log-Einträge so abzurufen:

  1. Wählen Sie im ersten Menü den Ressourcentyp aus, dessen Audit-Logs Sie ansehen möchten. Wählen Sie eine bestimmte Ressource oder alle Ressourcen aus.
  2. Wählen Sie im zweiten Menü den Lognamen aus, den Sie anzeigen möchten: activity für Audit-Logs zur Administratoraktivität und data_access für Audit-Logs zum Datenzugriff. Wenn eine oder beide dieser Optionen nicht angezeigt werden, sind keine Audit-Logs dieses Typs verfügbar.

Erweiterte Anzeigeoberfläche

  1. Wechseln Sie in der Log-Anzeige zur erweiterten Filteroberfläche.
  2. Erstellen Sie einen Filter, der die gewünschten Ressourcentypen und Log-Namen angibt. Weitere Informationen finden Sie unter Audit-Logs abrufen.

API

Informationen zum Lesen von Logeinträgen mithilfe der Logging API finden Sie unter entries.list.

SDK

Informationen zum Lesen von Logeinträgen mit dem Cloud SDK-Befehlszeilentool gcloud finden Sie unter Logeinträge lesen.

Audit-Logs exportieren

Sie können Audit-Logs genau so wie andere Arten von Logs exportieren. Einzelheiten zum Exportieren Ihrer Logs finden Sie unter Logs exportieren. Im Folgenden erfahren Sie mehr über Möglichkeiten zum Exportieren von Audit-Logs:

  • Sie können Kopien von Audit-Logs in Cloud Storage, BigQuery oder Cloud Pub/Sub exportieren, um Audit-Logs über einen längeren Zeitraum hinweg zu behalten oder leistungsfähigere Suchfunktionen zu verwenden. Mit Pub/Sub haben Sie die Möglichkeit, die Logs in andere Anwendungen, andere Repositories und Systeme von Drittanbietern zu exportieren.

  • Zum organisationsübergreifenden Verwalten Ihrer Audit-Logs erstellen Sie aggregierte Senken, mit denen sich Logs aus beliebigen oder allen Projekten in der Organisation exportieren lassen.

  • Wenn die aktivierten Datenzugriffslogs dazu führen, dass Ihre Projekte ihr Logkontingent überschreiten, können Sie die Datenzugriffslogs aus Logging exportieren und ausschließen. Weitere Informationen finden Sie unter Logs ausschließen.

Preis

Audit-Logs, die standardmäßig aktiviert sind, einschließlich aller Administratoraktivitäts-Logs, sind in Cloud Logging kostenlos.

Logs zu Datenzugriffen, die Sie explizit anfordern, werden Ihnen jedoch von Cloud Logging in Rechnung gestellt.

Weitere Informationen zur Preisgestaltung für Logs, einschließlich der Preisgestaltung für Audit-Logs, finden Sie unter Preisgestaltung für die Operations-Suite von Google Cloud.