Audit Logging

Questa pagina descrive come utilizzare l'audit logging con i Controlli di servizio VPC.

I Controlli di servizio VPC registrano per impostazione predefinita tutti gli accessi negati a causa di violazioni dei criteri di sicurezza. I record del log di controllo sono archiviati in modo sicuro nell'infrastruttura di Google e sono disponibili per l'analisi futura. Ogni record generato è destinato a un destinatario. Solo questo destinatario ha accesso al record e non è visibile ad altre entità. Un destinatario può essere un progetto, una cartella o un'organizzazione.

I contenuti del log di controllo sono disponibili per ogni progetto in Google Cloud Console. Il log di controllo di Controlli di servizio VPC è scritto nel flusso di log "Risorsa controllata" e disponibile in Cloud Logging.

Generazione del record del log di controllo in corso...

Ogni richiesta rifiutata a causa di una violazione del criterio di sicurezza può causare più di un record di controllo. I record generati saranno identici, ma si rivolgeranno a destinatari diversi. In genere, ogni richiesta contiene un numero di URL di risorse, ciascuna delle quali ha un proprietario (può essere un progetto, una cartella o un'organizzazione). L'API VPC Service Control determinerà i proprietari per ogni risorsa che partecipa alla richiesta in errore e genererà un record per ciascuna.

Contenuti del record del log di controllo

Ogni record del log di controllo contiene informazioni che possono essere suddivise in due categorie principali: le informazioni sulla chiamata originale e quelle sulle violazioni dei criteri di sicurezza. Viene riempito dall'API VPC Service Controls come segue:

Campo del log di controllo Significato
service_name Il nome del servizio che gestisce la chiamata che ha portato alla creazione di questo record di controllo.
method_name Il nome della chiamata di metodo che ha causato la violazione dei criteri di sicurezza descritta in questo record.
authentication_info.principal_email Indirizzo email dell'utente che effettua la chiamata originale.
Alcuni degli indirizzi email potrebbero essere oscurati; per informazioni, vedi Identità chiamante nei log di controllo.
resource_name Destinatario previsto di questo record di controllo (può essere un progetto, una cartella o un'organizzazione).
request_metadata.caller_ip L'indirizzo IP da cui ha avuto origine la chiamata.
request_metadata.caller_is_gce_client Vero se la chiamata originale è stata effettuata da una rete Compute Engine. Falso negli altri casi.
request_metadata.caller_gce_network_project_number Numero di progetto corrispondente alla rete Compute Engine da cui è stata effettuata la chiamata originale, se la chiamata è stata effettuata da una rete Compute Engine.
request_metadata.caller_internal_gce_vnid VNID interno del chiamante Compute Engine se la chiamata è stata effettuata da una rete Compute Engine.
status Lo stato generale di gestione di un'operazione descritta in questo record.
metadata Un'istanza di tipo protobuf google.cloud.audit.VpcServiceControlAuditMetadata, serializzata come JSON Struct. Il campo 'resource_names' conterrà un elenco di tutti gli URL delle risorse che partecipano al controllo del criterio Controlli di servizio VPC non riuscito.

Accesso al log di controllo

I contenuti del log di controllo sono disponibili per ogni progetto in Google Cloud Console. Il log di controllo di Controlli di servizio VPC è scritto nel flusso di log "Risorsa controllata" ed è disponibile in Cloud Logging.