Informations de journalisation d'audit Cloud Source Repositories

Cette page décrit les journaux d'audit créés par Cloud Source Repositories dans le cadre des journaux d'audit Cloud.

Aperçu

Les services Google Cloud alimentent des journaux d'audit pour vous aider à déterminer qui fait quoi, où et quand. Chaque projet Cloud contient uniquement les journaux d'audit relatifs aux ressources directement intégrées au sein du projet. Chacune des autres entités (y compris les dossiers, les organisations et les comptes de facturation) ne contient que les journaux d'audit qui la concernent.

Cloud Source Repositories écrit et fournit par défaut des journaux d'audit relatifs aux activités d'administration, incluant les opérations de modification de la configuration ou des métadonnées d'une ressource.

Cloud Source Repositories écrit, mais ne fournit pas par défaut, des journaux d'audit relatifs à l'accès aux données, enregistrant les appels d'API qui créent, modifient ou consultent les données fournies par l'utilisateur.

Les journaux d'audit d'accès aux données sont divisés en différentes catégories :

  • Accès aux données (ADMIN_READ, lecture administrateur) correspond aux opérations de lecture de la configuration ou des métadonnées d'une ressource.

    Par défaut, Cloud Source Repositories ne fournit pas d'informations sur les opérations de type "lecture administrateur".

  • Accès aux données (DATA_READ, lecture de données) correspond aux opérations de lecture des données fournies par l'utilisateur à partir d'une ressource.

    Par défaut, Cloud Source Repositories ne fournit pas d'informations sur les opérations de type "lecture de données".

  • Accès aux données (DATA_WRITE, écriture de données) correspond aux opérations d'écriture des données fournies par l'utilisateur sur une ressource.

    Par défaut, Cloud Source Repositories ne fournit pas d'informations sur les opérations de type "écriture de données".

Les informations d'audit qui ne sont pas fournies par défaut peuvent être configurées. Pour plus de détails, consultez la rubrique Configurer les journaux d'accès aux données.

Opérations auditées

Le tableau suivant récapitule les opérations d'API correspondant à chaque type de journal d'audit dans Cloud Source Repositories :

Catégorie de journaux d'audit Opérations Cloud Source Repositories
Journaux des activités d'administration SourceRepo.UpdateProjectConfig
SourceRepo.UpdateRepoSourceRepo.CreateRepoSourceRepo.DeleteRepoSourceRepo.SetIamPolicy
Journaux d'accès aux données (ADMIN_READ) SourceRepo.GetProjectConfig
SourceRepo.ListReposSourceRepo.GetRepoSourceRepo.GetIamPolicy
Journaux d'accès aux données (DATA_READ) GitProtocol.LsRemote
GitProtocol.UploadPackBrowser.Access
Journaux d'accès aux données (DATA_WRITE) GitProtocol.ReceivePack

Format des journaux d'audit

Les entrées des journaux d'audit, qui peuvent être affichées dans Stackdriver Logging à l'aide de la visionneuse de journaux, de l'API ou de la commande SDK gcloud logging, comprennent les objets suivants :

  • L'entrée de journal proprement dite, qui est un objet de type LogEntry. Les champs utiles sont les suivants :

    • logName, qui contient l'identification du projet et le type du journal d'audit
    • resource, qui contient la cible de l'opération faisant l'objet d'un audit
    • timeStamp, qui indique l'heure à laquelle l'opération auditée a été effectuée
    • protoPayload, qui contient les informations auditées
  • Les informations d'audit, qui correspondent à un objet AuditLog inclus dans le champ protoPayload de l'entrée de journal.

  • Un objet (facultatif) de type "informations d'audit propres au service", consigné dans le champ serviceData de l'objet AuditLog. Pour en savoir plus, consultez la section Données d'audit spécifiques au service.

Pour découvrir les autres champs de ces objets, des exemples de contenu de ces champs et des exemples de requêtes sur les informations contenues dans ces objets, consultez l'article Types de données des journaux d'audit.

Nom du journal

Les noms des journaux Cloud Audit Logging indiquent le nom de l'entité ou du projet dont ils dépendent. En outre, ils précisent s'ils contiennent des informations relatives aux activités d'administration ou à l'accès aux données. Les deux exemples ci-dessous présentent respectivement la structure des noms des journaux concernant les activités d'administration d'un projet et celle des noms des journaux d'accès aux données d'une organisation.

projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity
organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access

Nom du service

Les journaux d'audit Cloud Source Repositories utilisent le nom de service sourcerepo.googleapis.com.

Pour en savoir plus sur les services de journalisation, consultez la section Mapper des services sur des ressources.

Types de ressources

Les journaux d'audit Cloud Source Repositories utilisent le type de ressource csr_repository pour tous les journaux d'audit.

Pour la liste complète, consultez la rubrique Types de ressources surveillés.

Activer les journaux d'audit

Les journaux d'audit pour les activités d'administration sont activés par défaut et ne peuvent pas être désactivés.

La plupart des journaux d'audit relatifs à l'accès aux données sont désactivés par défaut. Une exception est faite concernant les journaux d'audit relatifs à l'accès aux données de BigQuery, qui sont activés par défaut et ne peuvent pas être désactivés. Les journaux d'audit concernant l'accès aux données de BigQuery ne sont pas comptabilisés dans le quota de journalisation de votre projet.

Pour savoir comment activer tout ou partie des journaux d'accès aux données, consultez la rubrique Configurer les journaux d'accès aux données.

Les journaux d'accès aux données que vous configurez peuvent avoir une incidence sur le coût global des journaux dans Stackdriver. Pour en savoir plus, consultez la section Tarifs sur cette page.

Autorisations relatives aux journaux d'audit

Les autorisations et rôles Cloud IAM (Cloud Identity and Access Management) dont vous disposez déterminent les journaux d'audit que vous pouvez afficher ou exporter. Les journaux sont consignés dans les projets et dans certaines autres entités, par exemple des organisations, des dossiers et des comptes de facturation. Pour en savoir plus, consultez la page Comprendre les rôles.

Pour afficher les journaux relatifs aux activités d'administration, vous devez disposer d'un des rôles Cloud IAM suivants dans le projet qui contient vos journaux d'audit :

Pour afficher les journaux relatifs à l'accès aux données, vous devez disposer d'un des rôles suivants dans le projet qui contient vos journaux d'audit :

Si vous utilisez des journaux d'audit pour une entité autre qu'un projet, telle qu'une organisation, vous devez modifier les rôles Projet. Sélectionnez à la place des rôles "Organisation" appropriés.

Afficher les journaux

Pour afficher les journaux d'audit pour l'un de vos projets, effectuez l'une des opérations suivantes :

Pour en savoir plus, consultez les options suivantes :

Interface de base de la visionneuse

Vous pouvez utiliser l'interface de base de la visionneuse de journaux pour récupérer les entrées de vos journaux d'audit. Pour ce faire, procédez comme suit :

  1. Dans le premier menu, sélectionnez le type de ressource dont vous souhaitez afficher les journaux d'audit. Sélectionnez une ressource spécifique ou l'ensemble des ressources.
  2. Dans le deuxième menu, sélectionnez le nom du journal que vous voulez afficher : activity pour les journaux concernant les activités d'administration et data_access pour les journaux concernant l'accès aux données. Si l'une de ces options (ou les deux) ne s'affiche pas, cela signifie qu'aucun journal d'audit de ce type n'est disponible.

Interface avancée de la visionneuse

  1. Basculez sur l'interface de filtrage avancé dans la visionneuse de journaux.
  2. Créez un filtre pour spécifier le ou les types de ressources concernés et les noms des journaux que vous souhaitez consulter. Pour en savoir plus, consultez la section Récupérer des journaux d'audit.

API

Pour savoir comment lire les entrées de journal à l'aide de l'API Logging, consultez la page relative à entries.list.

SDK

Pour lire vos entrées de journaux à l'aide de l'outil de ligne de commande gcloud du SDK Cloud, consultez la page Lire les entrées de journal.

Exporter des journaux d'audit

Vous pouvez exporter les journaux d'audit de la même manière que vous exportez d'autres types de journaux. Pour plus de détails sur l'exportation des journaux, consultez la page Exporter des journaux. Voici des exemples d'applications associées à l'exportation des journaux d'audit :

  • Pour conserver les journaux d'audit pendant une période plus longue ou pour utiliser des fonctionnalités de recherche plus puissantes, vous pouvez exporter des copies des journaux d'audit vers Cloud Storage, BigQuery ou Pub/Sub. Avec Pub/Sub, vous avez la possibilité d'exporter vos journaux vers d'autres applications, d'autres dépôts, ainsi que vers des organisations tierces.

  • Pour gérer les journaux d'audit à l'échelle de votre organisation, vous pouvez créer des récepteurs d'exportation agrégés. Ces récepteurs permettent d'exporter les journaux pour un projet spécifique ou pour l'ensemble des projets de l'organisation.

  • Si les journaux d'accès aux données que vous avez activés entraînent le dépassement du quota d'attribution de journaux défini pour vos projets, vous pouvez les exporter et les exclure de Logging. Pour en savoir plus, consultez la page Exclure des journaux.

Tarifs

Stackdriver Logging ne facture pas les journaux d'audit activés par défaut, y compris tous les journaux d'activités d'administration.

Stackdriver Logging facture les journaux d'accès aux données que vous demandez explicitement.

Pour plus d'informations sur la tarification des journaux, y compris la tarification des journaux d'audit, reportez-vous aux tarifs de Stackdriver.