Audit-Logging

Auf dieser Seite wird das Audit-Logging mit VPC Service Controls beschrieben.

VPC Service Controls protokolliert standardmäßig alle Zugriffe in Cloud Logging, die aufgrund von Verstößen gegen die Sicherheitsrichtlinien verweigert werden. Die Audit-Log-Einträge werden sicher in der Google-Infrastruktur gespeichert und stehen für zukünftige Analysen zur Verfügung. Jeder generierte Eintrag richtet sich an einen bestimmten Empfänger. Der Eintrag kann nur von diesem Empfänger aufgerufen werden und ist für keine andere Entität einsehbar. Ein Empfänger kann ein Projekt, ein Ordner oder eine Organisation sein.

Der Inhalt des Audit-Logs ist projektbezogen in der Google Cloud Console verfügbar. Das VPC Service Controls-Audit-Log wird in den Logging-Stream "Geprüfte Ressource" geschrieben und ist in Cloud Logging verfügbar.

Audit-Log-Eintrag generieren

Für jede Anfrage, die aufgrund eines Verstoßes gegen die Sicherheitsrichtlinien abgelehnt wird, kann mehr als ein Audit-Eintrag erstellt werden. Diese Einträge sind identisch, richten sich jedoch an unterschiedliche Empfänger. Normalerweise enthält jede Anfrage eine Reihe von Ressourcen-URLs. Jede dieser Ressourcen hat einen Inhaber, bei dem es sich um ein Projekt, einen Ordner oder eine Organisation handeln kann. Die VPC Service Control API ermittelt die Inhaber aller Ressourcen, die Teil einer abgelehnten Anfrage sind, und generiert einen Eintrag für jede Ressource.

Inhalt von Audit-Log-Einträgen

Jeder Audit-Log-Eintrag enthält Informationen, die in zwei Hauptkategorien unterteilt werden können: Informationen zum ursprünglichen Aufruf und Informationen zu Verstößen gegen die Sicherheitsrichtlinien. Die Informationen werden wie nachfolgend beschrieben durch die VPC Service Controls API angegeben:

Audit-Log-Feld Bedeutung
service_name Der Name des Diensts, von dem der Aufruf verarbeitet wurde, der zur Erstellung dieses Audit-Eintrags geführt hat.
method_name Der Name des Methodenaufrufs, der zu dem in diesem Eintrag beschriebenen Verstoß der Sicherheitsrichtlinien geführt hat.
authentication_info.principal_email E-Mail-Adresse des Nutzers, der den ursprünglichen Aufruf ausgeführt hat.
resource_name Beabsichtigter Empfänger dieses Audit-Eintrags. Dies kann ein Projekt, ein Ordner oder eine Organisation sein.
request_metadata.caller_ip Die IP-Adresse, von der der Aufruf stammt.
request_metadata.caller_is_gce_client "Wahr", wenn der ursprüngliche Aufruf aus einem Compute Engine-Netzwerk stammt. Andernfalls "Falsch".
request_metadata.caller_gce_network_project_number Projektnummer des Compute Engine-Netzwerks, aus dem der ursprüngliche Aufruf gesendet wurde (wenn der Aufruf aus einem Compute Engine-Netzwerk stammt).
request_metadata.caller_internal_gce_vnid Interne VNID des Compute Engine-Aufrufers, wenn der Aufruf aus einem Compute Engine-Netzwerk stammt.
status Der allgemeine Status der Bearbeitung eines in diesem Eintrag beschriebenen Vorgangs.
metadata Eine Instanz des protobuf-Typs google.cloud.audit.VpcServiceControlAuditMetadata, serialisiert als JSON-Struktur. Das Feld "resource_names" (Ressourcennamen) enthält eine Liste aller Ressourcen-URLs, die im Rahmen des Verstoßes gegen die VPC Service Controls-Richtlinien überprüft werden.

Audit-Log aufrufen

Der Inhalt des Audit-Logs ist projektbezogen in der Google Cloud Console verfügbar. Das VPC Service Controls-Audit-Log wird in den Logging-Stream "Geprüfte Ressource" geschrieben und ist in Cloud Logging verfügbar.