Audit logging

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Questa pagina descrive come utilizzare l'audit logging con i Controlli di servizio VPC.

Per impostazione predefinita, Controlli di servizio VPC registra tutti gli accessi rifiutati a causa di violazioni dei criteri di sicurezza di Cloud Logging. Gli audit log vengono archiviati in modo sicuro nell'infrastruttura di Google e sono disponibili per l'analisi futura. Ogni record generato è destinato a un destinatario. Solo questo destinatario ha accesso al record e non è visibile a nessun'altra entità. Un destinatario può essere un progetto, una cartella o un'organizzazione.

I contenuti del log di controllo sono disponibili per singoli progetti in Google Cloud Console. L'audit log dei Controlli di servizio VPC è scritto nello stream di logging "&Audited"; risorsa ed è disponibile in Cloud Logging.

Generazione del record del log di controllo

Ogni richiesta rifiutata a causa di una violazione dei criteri di sicurezza può comportare più di un record di controllo. Questi record generati saranno identici, ma saranno indirizzati a destinatari diversi. In generale, ogni richiesta contiene un numero di URL di risorse. Ogni risorsa ha un proprietario (che può essere un progetto, una cartella o un'organizzazione). L'API VPC Service Control determinerà i proprietari per ogni risorsa che partecipa alla richiesta in errore e genererà un record per ciascuna risorsa.

Contenuti del record del log di controllo

Ogni record del log di controllo contiene informazioni che possono essere suddivise in due categorie principali: le informazioni sulla chiamata originale e le informazioni sulle violazioni dei criteri di sicurezza. Viene riempito dall'API VPC Service Controls come segue:

Campo del log di controllo Significato
service_name Il nome del servizio che gestisce la chiamata che ha portato alla creazione di questo record di controllo.
method_name Il nome della chiamata del metodo che ha causato la violazione dei criteri di sicurezza descritta in questo record.
authentication_info.principal_email Indirizzo email dell'utente che ha effettuato la chiamata originale.
Alcuni indirizzi email potrebbero essere oscurati. Per informazioni, consulta la sezione Identità chiamante nei log di controllo.
resource_name Destinatario di questo record di controllo (può essere un progetto, una cartella o un'organizzazione).
request_metadata.caller_ip L'indirizzo IP da cui ha avuto origine la chiamata.
request_metadata.caller_is_gce_client True se la chiamata originale è stata effettuata da una rete Compute Engine. Falso negli altri casi.
request_metadata.caller_network Il nome della rete Compute Engine da cui è stata effettuata la chiamata originale, se la chiamata è stata effettuata da una rete Compute Engine.
request_metadata.caller_internal_gce_vnid VNID interno del chiamante a Compute Engine se la chiamata è stata effettuata da una rete Compute Engine.
status Lo stato generale della gestione di un'operazione descritta in questo record.
metadata Un'istanza di tipo protobuf google.cloud.audit.VpcServiceControlAuditMetadata, serializzata come JSON Struct. Il campo 'resource_names' conterrà un elenco di tutti gli URL delle risorse che partecipano al controllo del criterio Controlli di servizio VPC non riuscito.

Accedere al log di controllo

I contenuti del log di controllo sono disponibili per singoli progetti in Google Cloud Console. L'audit log dei Controlli di servizio VPC è scritto nello stream di logging "Risorsa controllata" ed è disponibile in Cloud Logging.