Sensible Aktionen werden immer in die Plattformlogs des Sensitive Actions Service geschrieben. Außerdem bietet Google Cloud eine Zusammenfassung vertraulicher Aktionen über Advisory Notifications.
Die Benachrichtigung enthält Links, über die Sie die ersten drei einzelnen Aktionen jedes Typs in den Plattformprotokollen aufrufen können. Sie benötigen eine geeignete Identity and Access Management-Rolle, z. B. roles/logs.viewer, um Cloud Logging-Logs aufrufen zu können.
Wenn es mehr als drei vertrauliche Aktionen eines bestimmten Typs gibt, enthält die Benachrichtigung möglicherweise auch einen Link, über den Sie alle Aktionen im Protokoll ansehen können. Dieser Link wird jedoch nicht in allen Fällen bereitgestellt. Einige sensible Aktionen, z. B. das Hinzufügen eines SSH-Schlüssels auf Projektebene, können in mehreren verschiedenen Projekten in Ihrer Organisation ausgeführt werden. In diesem Fall kann Google Ihnen keinen einzelnen Logging-Link zur Verfügung stellen, über den Sie alle vertraulichen Aktionen aufrufen können, da Logging immer auf eine bestimmte Ressource (Projekt, Ordner oder Organisation) beschränkt ist.
Alle Logs zu vertraulichen Aktionen in der Organisation ansehen
Wenn Sie alle Logs zu sensiblen Aktionen in Ihrer Organisation sehen möchten, können Sie einen Logging-Bucket einrichten, um diese Logs zusammenzufassen.
Verwenden Sie die folgende Abfrage, um alle Logs für vertrauliche Aktionen in den Bucket aufzunehmen:
logName:sensitiveaction.googleapis.com%2Faction
Sie können weitere Begriffe hinzufügen, wenn Sie nur bestimmte Arten von Protokollen für vertrauliche Aktionen wie AND "add_ssh_key" benötigen.
Benachrichtigungen für Protokolle zu sensiblen Aktionen einrichten
Wenn Sie häufiger Benachrichtigungen zu vertraulichen Aktionen erhalten möchten, können Sie eine logbasierte Benachrichtigung konfigurieren. Mit der folgenden Abfrage werden beispielsweise alle Logs für vertrauliche Aktionen abgeglichen:
logName:sensitiveaction.googleapis.com%2Faction
Nächste Schritte
- Weitere Informationen zu Audit-Logging.