Puoi monitorare i tentativi di connessione alle istanze di macchine virtuali (VM) che hanno OS Login abilitato visualizzando gli audit log di OS Login. Questi audit log sono sempre abilitati e non possono essere disabilitati utilizzando le configurazioni di accesso ai dati.
Puoi anche monitorare eventi e attività relativi a OS Login, come l'aggiunta, l'eliminazione o l'aggiornamento di una chiave SSH o l'eliminazione di informazioni POSIX con l'SDK Admin di Google Workspace.
Prima di iniziare
-
Se non l'hai ancora fatto, configura l'autenticazione.
L'autenticazione è il processo
mediante il quale la tua identità viene verificata per l'accesso a servizi e API di Google Cloud
Per eseguire codice o esempi da un ambiente di sviluppo locale, puoi autenticarti su
Compute Engine selezionando una delle seguenti opzioni:
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
After installing the Google Cloud CLI, initialize it by running the following command:
gcloud initIf you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
- Set a default region and zone.
Nella console Google Cloud , vai alla pagina Esplora log.
Nel campo Query, inserisci la seguente query:
protoPayload.serviceName="oslogin.googleapis.com"
Se l'evento che stai cercando si è verificato più di un'ora fa, imposta un intervallo di tempo personalizzato facendo clic sul simbolo dell'orologio e inserendo l'intervallo che preferisci.
Fai clic su Esegui query. I risultati vengono visualizzati nella sezione Risultati delle query.
Fai clic sulla freccia di espansione accanto a ciascun risultato per visualizzare informazioni dettagliate.
Per maggiori informazioni sui tipi di audit log di OS Login e sul loro significato, vai alla sezione Esamina gli audit log di OS Login di questo documento.
Visualizza Cloud Audit Logs utilizzando il comando
gcloud logging read:gcloud logging read --freshness=TIME 'protoPayload.serviceName="oslogin.googleapis.com"'
Sostituisci
TIMEcon il periodo di tempo per cui vuoi eseguire la query. Ad esempio,1hesegue query sulle voci di log nell'ultima ora. Per informazioni sui formati di data e ora, consulta gcloud topic datetimes.Vengono visualizzati i risultati.
Per maggiori informazioni sui tipi di audit log di OS Login e sul loro significato, vai alla sezione Esamina gli audit log di OS Login di questo documento.
- Per le connessioni con l'autenticazione a due fattori (2FA), una connessione
riuscita è indicata sia da una chiamata
CheckPolicyriuscita sia da una chiamataContinueSessionriuscita. - Per le connessioni non 2FA, una risposta positiva indica che l'utente si è connesso alla VM.
- Scopri di più sul linguaggio delle query di Logging per personalizzare le query degli audit log di OS Login.
- Scopri come funzionano le connessioni SSH alle VM Linux su Compute Engine
Visualizza gli audit log di OS Login
Per visualizzare un elenco di audit log di OS Login, esegui una query su Cloud Audit Logs.
Console
gcloud
Esamina gli audit log di OS Login
Esamina il campo
methodNamedegli audit log per conoscere i tipi di tentativi di connessione alle VM in cui è abilitato OS Login e gli utenti che li hanno avviati.Espandi la sezione
protoPayloadper visualizzare il campomethodNameper il tentativo di connessione. Per scoprire il significato di ciascun campomethodName, consulta la tabella riportata di seguito:Metodo Tipo di connessione Descrizione google.cloud.oslogin.dataplane.OsLoginDataPlaneService.ListLoginProfilesTutte le connessioni di OS Login Indica una richiesta di elencare gli utenti con profili OS Login nello stesso progetto della VM o una richiesta di ricerca del profilo di un singolo utente.
Questa chiamata si verifica quando un utente tenta di connettersi a una VM. Anche l'agente di OS Login richiama regolarmente questo metodo per aggiornare la cache di accesso.
google.cloud.oslogin.dataplane.OsLoginDataPlaneService.CheckPolicyTutte le connessioni di OS Login Indica un tentativo di connessione a una VM:
Espandi la sezione
authenticationInfoper visualizzare il campoprincipalEmail. Il campoprincipalEmailmostra l'indirizzo email dell'utente che ha provato a connettersi alla VM.google.cloud.oslogin.dataplane.OsLoginDataPlaneService.StartSessionConnessioni con l'autenticazione a due fattori di OS Login Indica una nuova sessione di autenticazione 2FA. In una chiamata StartSession, un client dichiara le proprie funzionalità al server e ottiene informazioni sulle verifiche disponibili.google.cloud.oslogin.dataplane.OsLoginDataPlaneService.ContinueSessionConnessioni con l'autenticazione a due fattori di OS Login Indica la continuazione di una sessione di autenticazione. Il client completa la verifica proposta dal server sulla chiamata o sulle richieste
StartSessionprecedenti e completa un altro tipo di verifica. Quindi, il metodoContinueSessionaccetta la risposta alla verifica o al metodo e autentica o rifiuta il tentativo di autenticazione.Proprietà degli audit log di OS Login
Le sezioni seguenti descrivono le proprietà per gli audit log. Alcune proprietà sono comuni a tutti gli audit log, mentre altre sono specifiche per i metodi
CheckPolicy,StartSessioneContinueSession.Proprietà comuni degli audit log di OS Login
Le proprietà elencate nella tabella seguente sono comuni a tutti gli audit log di OS Login.
Proprietà Valore serviceNameoslogin.googleapis.comresourceNameUna stringa contenente il numero del progetto che indica a quale richiesta di accesso appartiene l'audit log. Ad esempio, projects/myproject12345.severityIl livello di gravità del messaggio di log. Ad esempio, INFOoWARNING. Per scoprire di più sui livelli di gravità, consulta LogSeverity.authenticationInfo.principalEmailL'indirizzo email dell'utente autenticato dal metodo. request.numericProjectIdIl numero di progetto del progetto Google Cloud . Proprietà degli audit log
ListLoginProfilesLe proprietà elencate nella tabella seguente si applicano agli audit log
ListLoginProfiles.Proprietà Valore methodNamegoogle.cloud.oslogin.dataplane.OsLoginDataPlaneService.ListLoginProfilesrequest.@typetype.googleapis.com/google.cloud.oslogin.dataplane.ListLoginProfilesRequestProprietà degli audit log
CheckPolicyLe proprietà elencate nella tabella seguente si applicano agli audit log
CheckPolicy.Proprietà Valore methodNamegoogle.cloud.oslogin.dataplane.OsLoginDataPlaneService.CheckPolicyrequest.@typetype.googleapis.com/google.cloud.oslogin.dataplane.CheckPolicyRequestrequest.policyL'autorizzazione in fase di controllo. LOGIN, che verifica se l'utente è autorizzato ad accedere alla VM, oADMIN_LOGIN, che verifica se l'utente è autorizzato ad avere accesso amministrativo alla VM.response.successIl risultato del controllo LOGINoADMIN_LOGINrequest.policy.trueofalse, a seconda che l'utente sia autorizzato per la policy specificata.Proprietà degli audit log
StartSessionLe proprietà elencate nella tabella seguente si applicano agli audit log
StartSessionper le VM in cui è abilitata l'autenticazione a due fattori (2FA) per OS Login.Proprietà Valore methodNamegoogle.cloud.oslogin.dataplane.OsLoginDataPlaneService.StartSessionrequest.@typetype.googleapis.com/google.cloud.oslogin.dataplane.StartSessionRequestrequest.supportedChallengeTypesL'elenco dei tipi di verifica o dei metodi di autenticazione a due fattori (2FA) tra cui puoi scegliere. response.authenticationStatusStato della sessione. Uno dei valori Authenticated,Challenge requiredoChallenge pending.response.sessionIdUna stringa ID che identifica in modo univoco la sessione. Questo ID sessione viene passato alla chiamata ContinueSessionnella sequenza.response.challengesL'insieme di verifiche che puoi tentare di passare durante questo round di autenticazione. Al massimo, una di queste verifiche è stata avviata e ha lo stato READY. Le altre sono fornite come opzioni che l'utente può specificare come alternativa alla verifica principale proposta.Proprietà degli audit log
ContinueSessionLe proprietà elencate nella tabella seguente si applicano agli audit log
ContinueSessionper le VM in cui è abilitata l'autenticazione a due fattori (2FA) per OS Login.Proprietà Valore methodNamegoogle.cloud.oslogin.dataplane.OsLoginDataPlaneService.ContinueSessionrequest.sessionIdUna stringa ID che identifica in modo univoco la sessione precedente. Questo ID sessione viene passato dalla chiamata StartSession.request.@typetype.googleapis.com/google.cloud.oslogin.dataplane.ContinueSessionRequestrequest.challengeIdUna stringa ID che identifica la verifica da avviare o eseguire. Questo ID deve appartenere a un tipo di verifica restituito dalla chiamata response.challengesnella rispostaStartSession.request.actionL'azione da intraprendere per completare la verifica. response.authenticationStatusStato della sessione. Ad esempio, Authenticated,Challenge requiredoChallenge pending.response.challenges.statusSUCCESSindica che un utente si è collegato correttamente alla VM.response.challengesL'insieme di verifiche che puoi tentare di passare in questo round di autenticazione. Al massimo, una di queste verifiche è stata avviata e ha lo stato READY. Le altre sono fornite come opzioni che l'utente può specificare come alternativa alla verifica principale proposta.Passaggi successivi
Salvo quando diversamente specificato, i contenuti di questa pagina sono concessi in base alla licenza Creative Commons Attribution 4.0, mentre gli esempi di codice sono concessi in base alla licenza Apache 2.0. Per ulteriori dettagli, consulta le norme del sito di Google Developers. Java è un marchio registrato di Oracle e/o delle sue consociate.
Ultimo aggiornamento 2025-07-15 UTC.
-