Audit Logging

Cette page explique comment utiliser les journaux d'audit avec VPC Service Controls.

Par défaut, VPC Service Controls consigne tous les accès refusés en raison de violations des règles de sécurité dans Cloud Logging. Les enregistrements du journal d'audit sont stockés de manière sécurisée dans l'infrastructure Google et sont accessibles à des fins d'analyse ultérieure. Chaque enregistrement généré est prévu pour un destinataire unique. Seul ce destinataire a accès à l'enregistrement, et ce dernier n'est visible par aucune autre entité. Un destinataire peut correspondre à un projet, un dossier ou une organisation.

Le contenu du journal d'audit est disponible par projet dans Google Cloud Console. Le journal d'audit de VPC Service Controls est écrit dans le flux de journalisation "Ressource auditée" et disponible dans Cloud Logging.

Création des enregistrements du journal d'audit

Chaque requête refusée en raison d'une violation des règles de sécurité peut engendrer plusieurs enregistrements d'audit. Ces enregistrements générés sont identiques, mais s'adressent à des destinataires différents. Généralement, chaque requête contient un certain nombre d'URL de ressources, et chacune de ces ressources possède un propriétaire (un projet, un dossier ou une organisation). L'API VPC Service Controls détermine les propriétaires des ressources impliquées dans la requête échouée et génère un enregistrement pour chacune d'elle.

Contenu des enregistrements du journal d'audit

Chaque enregistrement du journal d'audit contient des informations qui peuvent être classées en deux grandes catégories : les informations sur l'appel initial et les informations sur les violations des règles de sécurité. Ces informations sont fournies par l'API VPC Service Controls de la manière suivante :

Champ du journal d'audit Signification
service_name Nom du service traitant l'appel ayant abouti à la création de l'enregistrement d'audit.
method_name Nom de l'appel de méthode ayant entraîné la violation des règles de sécurité décrite dans l'enregistrement.
authentication_info.principal_email Adresse e-mail de l'utilisateur ayant émis l'appel initial.
resource_name Destinataire prévu de cet enregistrement d'audit (il peut s'agir d'un projet, d'un dossier ou d'une organisation).
request_metadata.caller_ip Adresse IP d'origine de la requête.
request_metadata.caller_is_gce_client La valeur est "true" si l'appel d'origine a été effectué à partir d'un réseau Compute Engine, ou "false" dans le cas contraire.
request_metadata.caller_gce_network_project_number Numéro de projet correspondant au réseau Compute Engine à partir duquel l'appel initial a été effectué, le cas échéant.
request_metadata.caller_internal_gce_vnid VNID interne de l'appelant Compute Engine si l'appel a été effectué à partir d'un réseau Compute Engine.
status État général du traitement d'une opération décrite dans l'enregistrement.
metadata Instance de type protobuf google.cloud.audit.VpcServiceControlAuditMetadata, sérialisée en tant que structure JSON. Son champ "resource_names" contient la liste des URL de toutes les ressources ayant participé à la vérification échouée des règles VPC Service Controls.

Accès au journal d'audit

Le contenu du journal d'audit est disponible par projet dans Google Cloud Console. Le journal d'audit de VPC Service Controls est écrit dans le flux de journalisation "Ressource auditée" et disponible dans Cloud Logging.