감사 로깅

이 페이지에서는 VPC 서비스 제어에서 감사 로깅을 사용하는 방법을 설명합니다.

VPC 서비스 제어는 기본적으로 보안 정책 위반으로 인해 거부된 모든 액세스를 Cloud Logging에 로깅합니다. 감사 로그 레코드는 Google 인프라에 안전하게 저장되며 추후 분석에 사용할 수 있습니다. 생성된 각 레코드의 수신자는 1명입니다. 해당 레코드는 이 수신자만 액세스할 수 있으며, 다른 모든 항목은 볼 수 없습니다. 프로젝트, 폴더 또는 조직이 수신자가 될 수 있습니다.

감사 로그 콘텐츠는 프로젝트별로 Google Cloud Console에서 사용될 수 있습니다. VPC 서비스 제어 감사 로그는 '감사를 받은 리소스' 로깅 스트림에 기록되며 Cloud Logging에서 사용될 수 있습니다.

감사 로그 레코드 생성

요청이 보안 정책 위반으로 인해 거부될 때마다 둘 이상의 감사 레코드가 생성될 수 있습니다. 생성된 레코드는 동일하지만 수신자는 서로 다릅니다. 일반적으로 각 요청에는 여러 개의 URL이 포함됩니다. 이러한 각 리소스에는 소유자가 있으며 소유자는 프로젝트, 폴더 또는 조직일 수 있습니다. VPC Service Control API는 실패한 요청에 참여한 각 리소스의 소유자를 확인하고 각각에 대한 레코드를 생성합니다.

로그 레코드 콘텐츠 감사

각 감사 로그 레코드에 포함된 정보는 원래 호출에 대한 정보와 보안 정책 위반에 대한 정보라는 두 가지 범주로 크게 나눌 수 있습니다. 이는 VPC Service Controls API가 다음과 같이 작성합니다.

감사 로그 필드 의미
service_name 이 감사 레코드를 생성한 호출을 처리한 서비스의 이름
method_name 이 레코드에 설명된 보안 정책 위반을 초래한 메소드 호출의 이름
authentication_info.principal_email 원래 호출을 실행한 사용자의 이메일 주소
resource_name 이 감사 레코드의 수신자(프로젝트, 폴더 또는 조직일 수 있음)
request_metadata.caller_ip 호출이 시작된 IP 주소
request_metadata.caller_is_gce_client 원래 호출이 Compute Engine 네트워크에서 실행된 경우 True, 그렇지 않으면 False
request_metadata.caller_gce_network_project_number 원래 호출이 Compute Engine 네트워크에서 실행된 경우 원래 호출이 실행된 Compute Engine 네트워크에 해당하는 프로젝트 번호
request_metadata.caller_internal_gce_vnid Compute Engine 네트워크에서 호출이 실행된 경우 Compute Engine 호출자의 내부 VNID
status 이 레코드에 설명된 작업의 전반적인 처리 상태
metadata google.cloud.audit.VpcServiceControlAuditMetadata protobuf 유형의 인스턴스로, JSON 구조체로 순차 나열됩니다. 실패한 VPC 서비스 제어 정책 검사에 참여한 모든 리소스 URL의 목록이 'resource_names' 필드에 포함됩니다.

감사 로그 액세스

감사 로그 콘텐츠는 프로젝트별로 Google Cloud Console에서 사용될 수 있습니다. VPC 서비스 제어 감사 로그는 '감사를 받은 리소스' 로깅 스트림에 기록되며 Cloud Logging에서 사용될 수 있습니다.