Cloud-Audit-Logging mit Cloud Storage

Auf dieser Seite erhalten Sie zusätzliche Informationen zur Verwendung von Cloud-Audit-Logging in Verbindung mit Cloud Storage. Mit Cloud-Audit-Logging können Sie Logs für API-Vorgänge generieren, die in Cloud Storage ausgeführt werden. Informationen zum Einrichten von Cloud-Audit-Logs finden Sie unter Datenzugriffslogs konfigurieren.

Logdaten

Cloud-Audit-Logging bietet zwei Arten von Logs:

  • Administratoraktivitätslogs: Protokollieren Vorgänge, bei denen die Konfiguration oder die Metadaten eines Projekts, Buckets oder Objekts geändert wurden.

  • Datenzugriffslogs: Protokollieren Vorgänge, bei denen Objekte geändert oder Projekte, Buckets oder Objekte gelesen wurden. Es gibt mehrere Unterarten von Datenzugriffs-Logs:

    • ADMIN_READ: Protokolliert Vorgänge, bei denen die Konfiguration oder die Metadaten eines Projekts, Buckets oder Objekts gelesen wurden.

    • DATA_READ: Protokolliert Lesevorgänge für Objekte.

    • DATA_WRITE: Protokolliert Vorgänge, bei denen Objekte erstellt oder geändert wurden.

Die folgende Tabelle enthält eine Übersicht der Cloud Storage-Vorgänge, die von den einzelnen Log-Typen protokolliert werden:

Log-Eintragstyp Untertyp Vorgänge
Administratoraktivität
  • Buckets erstellen
  • Buckets löschen
  • IAM-Richtlinien festlegen/ändern
  • Objekt-ACLs festlegen/ändern
  • Bucket-Metadaten aktualisieren
Datenzugriff ADMIN_READ
  • Bucket-Metadaten abrufen
  • IAM-Richtlinien abrufen
  • Objekt-ACLs abrufen
  • Buckets auflisten
DATA_READ
  • Objektdaten abrufen
  • Objektmetadaten abrufen
  • Objekte auflisten
  • Objekte kopieren/zusammenstellen1
DATA_WRITE
  • Objekte erstellen
  • Objekte löschen2
  • Nicht-ACL-Objektmetadaten aktualisieren2
  • Objekte kopieren/zusammenstellen1

1 Kopier- und Zusammenstellungsvorgänge sind nicht atomar. Es werden jeweils Daten gelesen und geschrieben. Deshalb werden auch zwei Logeinträge erstellt.

2 Cloud-Audit-Logging erfasst keine Aktionen, die von der Funktion zur Verwaltung des Objektlebenszyklus ausgeführt werden. Informationen zu Alternativen, die diese Aktionen protokollieren, finden Sie unter Optionen zum Verfolgen von Lebenszyklusaktionen.

Cloud Storage-Logs verwenden ein AuditLog-Objekt und befolgen dasselbe Format wie andere Logs von Cloud-Audit-Logging. Die Logs enthalten zum Beispiel folgende Informationen:

  • Nutzer, der die Anfrage gestellt hat, einschließlich E-Mail-Adresse
  • Name der Ressource, für die die Anfrage gestellt wurde
  • Ergebnis der Anfrage

Log-Einstellungen

Logs für Cloud Storage-Vorgänge werden vom storage.googleapis.com-Dienst generiert.

Logs für Administratoraktivitäten werden standardmäßig erfasst. Diese Logs werden nicht auf Ihr Log-Aufnahmekontingent angerechnet.

Datenzugriffs-Logs für Cloud Storage-Vorgänge werden standardmäßig nicht erfasst. Informationen zum Aktivieren von Logs für Datenzugriffsvorgänge finden Sie unter Datenzugriffs-Logs konfigurieren. Im Gegensatz zu Logs für Administratoraktivitäten werden Datenzugriffs-Logs auf Ihr Log-Aufnahmekontingent angerechnet. Dies kann Auswirkungen auf Ihre Logging-Gebühren in Stackdriver haben.

Log-Zugriff

Die folgenden Nutzer können Logs für Administratoraktivitäten ansehen:

Die folgenden Nutzer können Datenzugriffs-Logs ansehen:

  • Projektinhaber
  • Nutzer mit der IAM-Rolle Betrachter privater Logs
  • Nutzer mit der IAM-Berechtigung logging.privateLogEntries.list

Weitere Informationen finden Sie unter IAM-Mitglieder einem Projekt hinzufügen.

Logs ansehen

Logs, die zu Cloud Storage gehören, werden mit dem Ressourcentyp GCS bucket kategorisiert.

Sie können eine Zusammenfassung der Audit-Logs für Ihr Projekt im Aktivitäten-Stream der Google Cloud Platform Console ansehen. Eine ausführlichere Version der Logs finden Sie in der Loganzeige.

Eine Anleitung zum Filtern von Logs in der Loganzeige finden Sie in der Übersicht zu Cloud-Audit-Logs.

Lognamen

Cloud-Audit-Logging verwendet Standardnamen für alle Audit-Logs. Informationen zur Struktur von Lognamen sowie Beispiele zu ihrer Verwendung in Logergebnisfiltern finden Sie unter Audit-Logs ansehen.

Beschränkungen

Die folgenden Einschränkungen gelten für Cloud-Audit-Logging in Verbindung mit Cloud Storage:

Weitere Informationen

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...