Questa pagina descrive come utilizzare l'audit logging con i Controlli di servizio VPC.
I Controlli di servizio VPC registrano per impostazione predefinita tutti gli accessi negati a causa di violazioni dei criteri di sicurezza. I record del log di controllo sono archiviati in modo sicuro nell'infrastruttura di Google e sono disponibili per l'analisi futura. Ogni record generato è destinato a un destinatario. Solo questo destinatario ha accesso al record e non è visibile ad altre entità. Un destinatario può essere un progetto, una cartella o un'organizzazione.
I contenuti del log di controllo sono disponibili per ogni progetto in Google Cloud Console. Il log di controllo di Controlli di servizio VPC è scritto nel flusso di log "Risorsa controllata" e disponibile in Cloud Logging.
Generazione del record del log di controllo in corso...
Ogni richiesta rifiutata a causa di una violazione del criterio di sicurezza può causare più di un record di controllo. I record generati saranno identici, ma si rivolgeranno a destinatari diversi. In genere, ogni richiesta contiene un numero di URL di risorse, ciascuna delle quali ha un proprietario (può essere un progetto, una cartella o un'organizzazione). L'API VPC Service Control determinerà i proprietari per ogni risorsa che partecipa alla richiesta in errore e genererà un record per ciascuna.
Contenuti del record del log di controllo
Ogni record del log di controllo contiene informazioni che possono essere suddivise in due categorie principali: le informazioni sulla chiamata originale e quelle sulle violazioni dei criteri di sicurezza. Viene riempito dall'API VPC Service Controls come segue:
| Campo del log di controllo | Significato |
service_name
|
Il nome del servizio che gestisce la chiamata che ha portato alla creazione di questo record di controllo. |
method_name
|
Il nome della chiamata di metodo che ha causato la violazione dei criteri di sicurezza descritta in questo record. |
authentication_info.principal_email
|
Indirizzo email dell'utente che effettua la chiamata originale. Alcuni degli indirizzi email potrebbero essere oscurati; per informazioni, vedi Identità chiamante nei log di controllo. |
resource_name
|
Destinatario previsto di questo record di controllo (può essere un progetto, una cartella o un'organizzazione). |
request_metadata.caller_ip
|
L'indirizzo IP da cui ha avuto origine la chiamata. |
request_metadata.caller_is_gce_client
|
Vero se la chiamata originale è stata effettuata da una rete Compute Engine. Falso negli altri casi. |
request_metadata.caller_gce_network_project_number
|
Numero di progetto corrispondente alla rete Compute Engine da cui è stata effettuata la chiamata originale, se la chiamata è stata effettuata da una rete Compute Engine. |
request_metadata.caller_internal_gce_vnid
|
VNID interno del chiamante Compute Engine se la chiamata è stata effettuata da una rete Compute Engine. |
status
|
Lo stato generale di gestione di un'operazione descritta in questo record. |
metadata
|
Un'istanza di tipo
protobuf google.cloud.audit.VpcServiceControlAuditMetadata, serializzata come JSON Struct. Il campo 'resource_names'
conterrà un elenco di tutti gli URL delle risorse che partecipano al controllo del criterio
Controlli di servizio VPC non riuscito.
|
Accesso al log di controllo
I contenuti del log di controllo sono disponibili per ogni progetto in Google Cloud Console. Il log di controllo di Controlli di servizio VPC è scritto nel flusso di log "Risorsa controllata" ed è disponibile in Cloud Logging.