审核日志

本页面介绍如何搭配使用审核日志与 VPC Service Controls。

默认情况下,VPC Service Controls 会将所有因违反安全政策而被拒绝的访问记录到 Cloud Logging。审核日志记录安全地存储在 Google 基础架构中,可供未来分析使用。 每条生成的记录都有一个接收方。只有此接收方才能访问该记录,该记录对任何其他实体不可见。接收方可以是项目、文件夹或组织。

审核日志的内容在 Google Cloud Console 中按项目提供。VPC Service Controls 审核日志写入“已审核资源”日志记录流,并在 Cloud Logging 中提供。

生成审核日志记录

因违反安全政策而被拒绝的每个请求可能会产生多条审核记录。这些生成的记录是相同的,但发送到不同的接收方。通常,每个请求包含多个资源网址。每个此类资源都有一个所有者(所有者可以是项目、文件夹或组织)。VPC Service Control API 将为失败请求所涉及的每个资源确定所有者,并为每个所有者生成一个记录。

审核日志记录内容

每个审核日志记录包含的信息主要可分为两大类:关于原始调用的信息以及关于违反安全政策的信息。VPC Service Controls API 会填充其内容,如下所示:

审核日志字段 含义
service_name 负责处理导致创建此审核记录的调用的服务的名称。
method_name 造成本记录中描述的安全政策违规的方法调用的名称。
authentication_info.principal_email 发出原始调用的用户的电子邮件地址。
resource_name 此审核记录的预期接收方(可能是项目、文件夹或组织)。
request_metadata.caller_ip 发出调用的 IP 地址。
request_metadata.caller_is_gce_client 如果原始调用是从 Compute Engine 网络发出的,则为 true; 否则为 false。
request_metadata.caller_gce_network_project_number 如果原始调用是从 Compute Engine 网络发出的,则为发出该调用的 Compute Engine 网络相对应的项目编号。
request_metadata.caller_internal_gce_vnid 如果调用是从 Compute Engine 网络发出的,则为 Compute Engine 调用方的内部 VNID。
status 此记录中描述的操作的总体处理状态。
metadata google.cloud.audit.VpcServiceControlAuditMetadata protobuf 类型的实例,序列化为 JSON Struct。其“resource_names”字段将包含失败的 VPC Service Controls 政策检查所涉及的所有资源网址的列表。

访问审核日志

审核日志的内容在 Google Cloud Console 中按项目提供。VPC Service Controls 审核日志写入“已审核资源”日志记录流,并在 Cloud Logging 中提供。