Sie können Verbindungsversuche zu VM-Instanzen überwachen, für die OS Login aktiviert ist. Rufen Sie dazu Audit-Logs der OS Logins auf. Diese Audit-Logs sind immer aktiviert und können nicht über Datenzugriffskonfigurationen deaktiviert werden.
Mit dem Google Workspace Admin SDK können Sie außerdem OS Login-bezogene Ereignisse und Aktivitäten verfolgen, z. B. das Hinzufügen, Löschen oder Aktualisieren von SSH-Schlüsseln und das Löschen von POSIX-Informationen.
Hinweise
-
Richten Sie die Authentifizierung ein, falls Sie dies noch nicht getan haben.
Bei der Authentifizierung wird Ihre Identität für den Zugriff auf Google Cloud Dienste und APIs überprüft.
Zur Ausführung von Code oder Beispielen aus einer lokalen Entwicklungsumgebung können Sie sich bei Compute Engine authentifizieren. Wählen Sie dazu eine der folgenden Optionen aus:
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
After installing the Google Cloud CLI, initialize it by running the following command:
gcloud initIf you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
- Set a default region and zone.
Rufen Sie in der Google Cloud Console die Seite Log-Explorer auf.
Geben Sie im Feld Query die folgende Abfrage ein:
protoPayload.serviceName="oslogin.googleapis.com"
Wenn das gewünschte Ereignis vor mehr als einer Stunde aufgetreten ist, legen Sie einen benutzerdefinierten Zeitraum fest. Klicken Sie dazu auf das Uhrsymbol und geben Sie einen benutzerdefinierten Bereich ein.
Klicken Sie auf Abfrage ausführen. Die Ergebnisse werden im Abschnitt Abfrageergebnisse angezeigt.
Klicken Sie auf den Erweiterungspfeil neben jedem Ergebnis, um detaillierte Informationen aufzurufen.
Weitere Informationen zu den Arten von Audit-Logs für OS Login und deren Bedeutung finden Sie im Abschnitt Audit-Logs zu OS Login prüfen dieses Dokuments.
Sehen Sie sich Cloud-Audit-Logs mit dem Befehl
gcloud logging readan:gcloud logging read --freshness=TIME 'protoPayload.serviceName="oslogin.googleapis.com"'
Ersetzen Sie
TIMEdurch die Abfragezeit. Zum Beispiel fragt1hLogeinträge aus der letzten Stunde ab. Weitere Informationen zu Datums- und Uhrzeitformaten finden Sie unter gcloud topic datetimes.Die Ergebnisanzeige.
Weitere Informationen zu den Arten von Audit-Logs für OS Login und deren Bedeutung finden Sie im Abschnitt Audit-Logs zu OS Login prüfen dieses Dokuments.
- Bei Verbindungen mit Bestätigung in zwei Schritten wird eine erfolgreiche Verbindung sowohl durch einen erfolgreichen
CheckPolicy-Aufruf als auch durch einen erfolgreichenContinueSession-Aufruf angezeigt. - Bei Verbindungen ohne Bestätigung in zwei Schritten gibt eine erfolgreiche Antwort an, dass der Nutzer eine Verbindung zur VM hergestellt hat.
- Logging-Abfragesprache, um Ihre Audit-Log-Abfragen für OS Login anzupassen
- Mehr darüber erfahren, wie SSH-Verbindungen zu Linux-VMs in Compute Engine funktionieren
OS Login-Audit-Logs aufrufen
Fragen Sie Cloud-Audit-Logs ab, um eine Liste der OS Login-Audit-Logs aufzurufen.
Console
gcloud
OS Login-Audit-Logs prüfen
Prüfen Sie das Feld
methodNameder Audit-Logs, um mehr über die Arten von Verbindungsversuchen zu VMs mit aktiviertem OS Login und die Nutzer zu erfahren, die diese Verbindungsversuche initiiert haben.Maximieren Sie den Abschnitt
protoPayload, um das FeldmethodNamefür den Verbindungsversuch aufzurufen. Informationen zur Bedeutung der einzelnen FeldermethodNamefinden Sie in der folgenden Tabelle:Methode Verbindungstyp Beschreibung google.cloud.oslogin.dataplane.OsLoginDataPlaneService.ListLoginProfilesAlle OS Login-Verbindungen Gibt an, dass die Nutzer mit OS Login-Profilen im selben Projekt wie die VM aufgelistet werden sollen, oder dass das Profil eines einzelnen Nutzers aufgerufen werden soll.
Dieser Aufruf erfolgt, wenn ein Nutzer versucht, eine Verbindung zu einer VM herzustellen. Der OS Login-Agent ruft diese Methode auch regelmäßig auf, um den Anmelde-Cache zu aktualisieren.
google.cloud.oslogin.dataplane.OsLoginDataPlaneService.CheckPolicyAlle OS Login-Verbindungen Gibt einen Verbindungsversuch zu einer VM an:
Maximieren Sie den Abschnitt
authenticationInfo, um das FeldprincipalEmailanzuzeigen. Das FeldprincipalEmailzeigt die E-Mail-Adresse des Nutzers an, der versucht hat, eine Verbindung zur VM herzustellen.google.cloud.oslogin.dataplane.OsLoginDataPlaneService.StartSessionOS Login-2FA-Verbindungen Gibt eine neue 2FA-Authentifizierungssitzung an. Bei einem StartSession-Aufruf deklariert ein Client seine Funktionen gegenüber dem Server und erhält Informationen zu den verfügbaren Identitätsbestätigungen.google.cloud.oslogin.dataplane.OsLoginDataPlaneService.ContinueSessionOS Login-2FA-Verbindungen Gibt eine Fortsetzung einer Authentifizierungssitzung an. Der Client schließt die vom Server vorgeschlagene Identitätsbestätigung bei dem vorherigen
StartSession-Aufruf oder den vorherigen Anfragen ab und führt einen anderen Typ der Identitätsbestätigung durch. Anschließend akzeptiert die MethodeContinueSessiondie Antwort auf die Identitätsbestätigung oder Methode und authentifiziert oder lehnt den Authentifizierungsversuch entweder ab.Attribute des OS Login-Audit-Logs
In folgenden Abschnitten werden die Attribute für Audit-Logs beschrieben. Einige Attribute gelten für alle Audit-Logs, andere für die Methoden
CheckPolicy,StartSessionundContinueSession.Allgemeine Attribute von OS Login-Audit-Logs
Die in der folgenden Tabelle aufgeführten Attribute gelten für alle OS Login-Audit-Logs.
Attribut Wert serviceNameoslogin.googleapis.comresourceNameEin String mit der Projektnummer, die angibt, zu welcher Anmeldeanfrage das Audit-Log gehört. Beispiel: projects/myproject12345.severityDer Schweregrad der Lognachricht. Beispiel: INFOoderWARNING. Weitere Informationen zu Schweregraden finden Sie unter LogSeverity.authenticationInfo.principalEmailDie E-Mail-Adresse des Nutzers, der von der Methode authentifiziert wird. request.numericProjectIdDie Projektnummer des Google Cloud-Projekts. ListLoginProfilesAudit-LogattributeDie in der folgenden Tabelle aufgeführten Attribute gelten für
ListLoginProfiles-Audit-Logs.Attribut Wert methodNamegoogle.cloud.oslogin.dataplane.OsLoginDataPlaneService.ListLoginProfilesrequest.@typetype.googleapis.com/google.cloud.oslogin.dataplane.ListLoginProfilesRequestCheckPolicyAudit-LogattributeDie in der folgenden Tabelle aufgeführten Attribute gelten für
CheckPolicy-Audit-Logs.Attribut Wert methodNamegoogle.cloud.oslogin.dataplane.OsLoginDataPlaneService.CheckPolicyrequest.@typetype.googleapis.com/google.cloud.oslogin.dataplane.CheckPolicyRequestrequest.policyDie geprüfte Berechtigung. Entweder LOGIN, das prüft, ob der Nutzer berechtigt ist, sich bei der VM anzumelden, oderADMIN_LOGIN, das prüft, ob der Nutzer Administratorzugriff auf die VM hat.response.successDas Ergebnis der Prüfung von LOGINoderADMIN_LOGINrequest.policy. Entwedertrueoderfalse, je nachdem, ob der Nutzer für die angegebene Richtlinie autorisiert ist.StartSessionAudit-LogattributeDie in der folgenden Tabelle aufgeführten Attribute gelten für
StartSession-Audit-Logs für VMs, für die OS Login-2FA aktiviert ist.Attribut Wert methodNamegoogle.cloud.oslogin.dataplane.OsLoginDataPlaneService.StartSessionrequest.@typetype.googleapis.com/google.cloud.oslogin.dataplane.StartSessionRequestrequest.supportedChallengeTypesDie Liste der Identitätsbestätigungsarten oder 2FA-Methoden, zwischen denen Sie wählen können. response.authenticationStatusDer Status der Sitzung. Entweder Authenticated,Challenge required, oderChallenge pending.response.sessionIdEin ID-String, mit dem die Sitzung eindeutig identifiziert wird. Diese Sitzungs-ID wird an den Aufruf ContinueSessionin der Sequenz übergeben.response.challengesDie Identitätsbestätigungen, die Sie versuchen können, um diese Authentifizierungsrunde erfolgreich durchzuführen. Höchstens eine dieser Identitätsbestätigungen wird gestartet und hat den Status READY. Die anderen werden als Optionen angeboten. Der Nutzer kann diese als Alternative zur vorgeschlagenen primären Identitätsbestätigung verwenden.ContinueSessionAudit-LogattributeDie in der folgenden Tabelle aufgeführten Attribute gelten für
ContinueSession-Audit-Logs für VMs, für die OS Login-2FA aktiviert ist.Attribut Wert methodNamegoogle.cloud.oslogin.dataplane.OsLoginDataPlaneService.ContinueSessionrequest.sessionIdEin ID-String, mit dem die vorherige Sitzung eindeutig identifiziert wird. Diese Sitzungs-ID wird vom Aufruf StartSessionübergeben.request.@typetype.googleapis.com/google.cloud.oslogin.dataplane.ContinueSessionRequestrequest.challengeIdEin ID-String, der angibt, welche Art der Identitätsbestätigung gestartet oder durchgeführt werden soll. Diese ID muss zu einer Art der Identitätsbestätigung gehören, die vom Aufruf response.challengesin der AntwortStartSessionzurückgegeben wurde.request.actionDie erforderliche Aktion für die Herausforderung. response.authenticationStatusDer Status der Sitzung. Beispiel: Authenticated,Challenge requiredoderChallenge pending.response.challenges.statusSUCCESSgibt an, dass ein Nutzer erfolgreich mit der VM verbunden wurde.response.challengesDie Identitätsbestätigungen, die Sie versuchen können, um diese Authentifizierungsrunde erfolgreich durchzuführen. Höchstens eine dieser Identitätsbestätigungen wird gestartet und hat den Status READY. Die anderen werden als Optionen angeboten. Der Nutzer kann diese als Alternative zur vorgeschlagenen primären Identitätsbestätigung verwenden.Nächste Schritte
Sofern nicht anders angegeben, sind die Inhalte dieser Seite unter der Creative Commons Attribution 4.0 License und Codebeispiele unter der Apache 2.0 License lizenziert. Weitere Informationen finden Sie in den Websiterichtlinien von Google Developers. Java ist eine eingetragene Marke von Oracle und/oder seinen Partnern.
Zuletzt aktualisiert: 2025-04-21 (UTC).
-