本文件說明由 VPC Service Controls 建立的稽核記錄,該記錄屬於 Cloud 稽核記錄的一部分。
總覽
Google Cloud 服務會寫入稽核記錄,協助您瞭解 Google Cloud 資源中有關「人事時地物」的問題。
您的 Google Cloud 專案只包含直接隸屬於 Google Cloud 專案的資源稽核記錄。資料夾、機構和帳單帳戶等其他 Google Cloud 資源也各有其專屬的稽核記錄。
如需 Cloud 稽核記錄的概要總覽,請參閱「Cloud 稽核記錄總覽」。如要進一步瞭解稽核記錄格式,請參閱「瞭解稽核記錄」。
可用的稽核記錄
VPC Service Controls 提供下列類型的稽核記錄:
-
政策遭拒的稽核記錄
指出使用者或服務帳戶因違反安全政策而遭拒存取權的時間。「Policy Denied」稽核記錄中的服務名稱和方法名稱,代表使用者或服務帳戶遭拒絕存取的資源名稱。
您無法停用政策拒絕稽核記錄。不過,您可以將下列項目新增至
_Default接收器的 排除篩選器,藉此排除「政策遭拒」稽核記錄:LOG_ID("cloudaudit.googleapis.com/policy")。您也可以 停用 Cloud Logging 的_Default接收器,避免記錄檔轉送至_Default值區。
如需稽核記錄類型的完整說明,請參閱「稽核記錄類型」。
已稽核的作業
下表摘要列出與 VPC Service Controls 中每個稽核記錄類型對應的 API 作業:
| 稽核記錄類別 | VPC Service Controls 方法 |
|---|---|
| 政策遭拒的稽核記錄 | 支援與 VPC Service Controls 整合的服務方法。 |
稽核記錄內容
每筆稽核記錄都包含兩大類別的資訊:原始呼叫的相關資訊,以及安全性政策違規相關資訊。VPC Service Controls API 會在下列欄位中填入這些資訊:
| 稽核記錄欄位 | 說明 |
|---|---|
serviceName |
服務範圍限制存取權的服務。對這項服務提出的要求違反了 VPC Service Controls 檢查,因此產生了這份稽核記錄。 |
methodName
|
針對此記錄所述違反安全性政策的方法呼叫,提供其名稱。通常,methodName 是與 serviceName 欄位中指定的 Google Cloud 服務相關聯的方法。 |
authenticationInfo.principalEmail
|
提出要求的使用者或服務帳戶電子郵件地址。 部分電子郵件地址可能會遭到遮蓋。詳情請參閱「稽核記錄中的呼叫端身分」。 |
resourceName
|
在用戶端原始要求中指定的 Google Cloud 資源。resourceName 可以是專案、資料夾、機構,或 Google Cloud 值區等資源。 |
requestMetadata.callerIp |
呼叫端的 IP 位址。
如果呼叫來自網際網路, 如果呼叫來自 Compute Engine VM, 如果呼叫來自 Google 內部實際工作環境網路,則這個欄位的值為 |
request_metadata.caller_network
|
呼叫端的網路名稱。只有在網路主機專案屬於與存取資源相同的 Google Cloud 機構或專案時,才會設定這個值。詳情請參閱「虛擬私有雲網路」。 |
status
|
記錄中所述的作業整體處理狀態。 |
metadata
|
安全性政策違規資訊。 |
metadata.resourceNames |
記錄中所述安全性政策違規事件涉及的資源名稱。 |
metadata.dryRun
|
如果稽核記錄是用於模擬政策檢查,則為 True 的布林值。 |
metadata.vpcServiceControlsUniqueId
|
記錄中所述 VPC Service Controls 違規的專屬 ID。 |
metadata.violationReason
|
違規原因。舉例來說,RESOURCE_NOT_IN_SAME_SERVICE_PERIMETER 表示所存取的資源不屬於同一個服務範圍。 |
metadata.securityPolicyInfo
|
發生違規行為的服務範圍名稱,以及該範圍所屬機構的唯一識別碼。 |
metadata.egressViolations
|
輸出違規通常會發生在要求失敗時,因為來源受到服務範圍保護,而目標資源則位於範圍外。來源可以是專案或虛擬私有雲網路。 |
metadata.ingressViolations |
違規類型。這類違規通常發生在要求嘗試存取受服務邊界保護的目標資源時。來源可以是專案或虛擬私有雲網路。這個欄位包含說明入口違規的結構。 |
metadata.accessLevels
|
隸屬於同一項存取政策的機構下,所有相符的存取層級。這些存取層級可能未在違規範圍內指定,因此可能會導致 NO_MATCHING_ACCESS_LEVEL 違規。 |
metadata.intermediateServices
|
要求鏈結中涉及的服務清單。如果是使用者發起的要求,這個欄位會留空。 |
metadata.deviceState
|
啟用裝置政策時,建立要求的裝置狀態。這個欄位的預設值為 Unknown。 |
稽核記錄格式
稽核記錄項目包含下列物件:
記錄項目本身,屬於
LogEntry類型的物件。實用的欄位包括:logName包含資源 ID 和稽核記錄類型。resource包含稽核作業的目標。timeStamp包含稽核作業的時間。protoPayload包含稽核的資訊。
稽核記錄資料,這是儲存在記錄項目
protoPayload欄位中的AuditLog物件。選用的服務專屬稽核資訊,這是服務專屬物件。對於較早的整合,這個物件會保留在
AuditLog物件的serviceData欄位中;較新的整合會使用metadata欄位。
如要瞭解這些物件的其他欄位,以及如何解讀這些資料,請參閱「瞭解稽核記錄」一文。
記錄檔名稱
Cloud 稽核記錄的記錄名稱會包含資源 ID,指出擁有稽核記錄的Google Cloud 專案或其他 Google Cloud 實體,以及記錄中是否包含管理員活動、資料存取、政策拒絕或系統事件稽核記錄資料。
以下是稽核記錄名稱,包括資源 ID 的變數:
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Factivity billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fdata_access billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fpolicy organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy
服務名稱
VPC Service Controls 稽核記錄會使用與 VPC Service Controls 整合的服務名稱。
如需所有 Cloud Logging API 服務名稱及其對應的受控資源類型清單,請參閱「將服務對應至資源」。
資源類型
VPC Service Controls 稽核記錄會使用與 VPC Service Controls 整合的服務支援的資源類型。
如需所有 Cloud Logging 受控資源類型清單和說明資訊,請參閱「受控資源類型」。
來電者身分
呼叫端的 IP 位址會保留在 AuditLog 物件的 RequestMetadata.caller_ip 欄位中。記錄可能會遮蓋特定的來電者身分和 IP 位址。
如要瞭解稽核記錄會遮蓋哪些資訊,請參閱「稽核記錄中的呼叫端身分」。
啟用稽核記錄
系統一律會啟用管理員活動稽核記錄,且該記錄無法停用。
權限與角色
IAM 權限和角色會決定您能否存取 Google Cloud 資源中的稽核記錄資料。
在決定要為您的用途採用哪些特定於記錄的權限和角色時,請考量以下事項:
「Logs Viewer」角色 (
roles/logging.viewer) 可讓您對「管理員活動」、「政策拒絕」和「系統事件」稽核記錄擁有唯讀存取權。如果您只有這個角色,就無法查看_Default值區中的資料存取稽核記錄。私密記錄檢視者角色
(roles/logging.privateLogViewer包含roles/logging.viewer中的權限,以及讀取_Default儲存桶中的資料存取稽核記錄的功能。請注意,如果這些私密記錄儲存在使用者定義的值區中,則任何具有這些值區記錄檔讀取權限的使用者都能讀取私密記錄。如要進一步瞭解記錄值區,請參閱「轉送和儲存空間總覽」。
如要進一步瞭解適用於稽核記錄資料的 IAM 權限和角色,請參閱「使用 IAM 控管存取權」。
查看記錄
您可以查詢所有稽核記錄,也可以依稽核記錄名稱查詢記錄。稽核記錄名稱包含您要查看稽核記錄資訊的 Google Cloud 專案、資料夾、帳單帳戶或機構的資源 ID。查詢可以指定已建立索引的 LogEntry 欄位。如要進一步瞭解如何查詢記錄檔,請參閱「在記錄檔探索工具中建構查詢」
您可以使用 Logs Explorer 查看個別記錄項目的篩選結果。如果您想使用 SQL 分析記錄項目群組,請使用「記錄檔分析」頁面。如需詳細資訊,請參閱:
您可以使用Google Cloud 控制台、Google Cloud CLI 或 Logging API,在 Cloud Logging 中查看大部分的稽核記錄。不過,如果是與帳單相關的稽核記錄,您只能使用 Google Cloud CLI 或 Logging API。
控制台
在 Google Cloud 控制台中,您可以使用「記錄檔探索工具」擷取 Google Cloud 專案、資料夾或機構組織的稽核記錄項目:
-
前往 Google Cloud 控制台的「Logs Explorer」頁面:
如果您是使用搜尋列尋找這個頁面,請選取子標題為「Logging」的結果。
選取現有的 Google Cloud 專案、資料夾或機構。
如要顯示所有稽核記錄,請在查詢編輯器欄位中輸入下列任一查詢,然後按一下「Run query」:
logName:"cloudaudit.googleapis.com"
protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog"
如要顯示特定資源和稽核記錄類型的稽核記錄,請在「Query builder」窗格中執行下列操作:
在「Resource type」中,選取您要查看稽核記錄的 Google Cloud 資源。
在「記錄名稱」中,選取要查看的稽核記錄類型:
- 如要查看管理員活動稽核記錄,請選取「活動」。
- 如要查看資料存取稽核記錄,請選取「data_access」data_access。
- 如要查看系統事件稽核記錄,請選取 system_event。
- 如要查看「政策被拒絕」稽核記錄,請選取「政策」。
點選「執行查詢」。
如果您沒有看到這些選項,表示 Google Cloud 專案、資料夾或組織中沒有該類型的稽核記錄。
如果您在嘗試在「Logs Explorer」中查看記錄檔時遇到問題,請參閱疑難排解資訊。
如要進一步瞭解如何使用記錄檔探索工具查詢,請參閱「在記錄檔探索工具中建構查詢」。
gcloud
Google Cloud CLI 提供 Logging API 的指令列介面。並在每個記錄名稱中提供有效的資源 ID。舉例來說,如果查詢包含 PROJECT_ID,則您提供的專案 ID 必須參照目前所選的Google Cloud 專案。
如要讀取 Google Cloud 專案層級稽核記錄項目,請執行下列指令:
gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
--project=PROJECT_ID
如要讀取資料夾層級稽核記錄項目,請執行下列指令:
gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
--folder=FOLDER_ID
如要讀取機構層級稽核記錄項目,請執行下列指令:
gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
--organization=ORGANIZATION_ID
如要讀取 Cloud Billing 帳戶層級稽核記錄項目,請執行下列指令:
gcloud logging read "logName : billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com" \
--billing-account=BILLING_ACCOUNT_ID
在指令中加入 --freshness 標記,即可讀取超過 1 天的記錄檔。
如要進一步瞭解如何使用 gcloud CLI,請參閱 gcloud logging read。
REST
建構查詢時,請在每個記錄名稱中提供有效的資源 ID。舉例來說,如果查詢包含 PROJECT_ID,則您提供的專案 ID 必須參照目前所選的Google Cloud 專案。
舉例來說,如要使用 Logging API 查看專案層級的稽核記錄項目,請按照下列步驟操作:
前往
entries.list方法說明文件中的「Try this API」(試用這個 API) 區段。將下列內容放入「Try this API」(試用這個 API) 表單的「Request body」(要求主體) 部分。按一下這份已預先填入資料的表單就能自動填入要求主體,但您必須在每個記錄名稱中提供有效的 PROJECT_ID。
{ "resourceNames": [ "projects/PROJECT_ID" ], "pageSize": 5, "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" }按一下 [Execute] (執行)。
查詢範例
如要使用下表中的查詢範例,請完成下列步驟:
將查詢運算式中的變數替換為您自己的專案資訊,然後使用剪貼簿圖示 content_copy 複製該運算式。
-
前往 Google Cloud 控制台的「Logs Explorer」頁面:
如果您是使用搜尋列尋找這個頁面,請選取子標題為「Logging」的結果。
啟用「Show query」以開啟查詢編輯器欄位,然後將運算式貼到查詢編輯器欄位中:
按一下 [Run query] (執行查詢)。「Query results」(查詢結果) 窗格會列出符合查詢的記錄。
如要查看 VPC Service Controls 的稽核記錄,請在 Logs Explorer 中使用以下查詢:
| 查詢說明 | 運算式 |
|---|---|
| 根據拒絕 ID 顯示的違規詳細資料 | log_id("cloudaudit.googleapis.com/policy") severity=ERROR resource.type="audited_resource" protoPayload.metadata."@type"="type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" protoPayload.metadata.vpcServiceControlsUniqueId="UNIQUE_ID" 將 |
| IP 位址違規 | log_id("cloudaudit.googleapis.com/policy") severity=ERROR resource.type="audited_resource" protoPayload.metadata."@type"="type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" protoPayload.requestMetadata.callerIp="IP_ADDRESS" 將 |
| 服務違規情形 | log_id("cloudaudit.googleapis.com/policy") severity=ERROR resource.type="audited_resource" protoPayload.metadata."@type"="type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" protoPayload.serviceName="SERVICE_NAME" 將 |
| 對範圍進行存取層級變更 | logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity" severity=NOTICE protoPayload.serviceName="accesscontextmanager.googleapis.com" protoPayload.methodName="google.identity.accesscontextmanager.v1.AccessContextManager.UpdateServicePerimeter" -protoPayload.metadata.previousState:"ACCESS_LEVEL" protoPayload.request.servicePerimeter.status.accessLevels:"ACCESS_LEVEL" 將 |
| 邊界 CRUD 作業 | logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity" severity=NOTICE protoPayload.serviceName="accesscontextmanager.googleapis.com" protoPayload.methodName=~"google.identity.accesscontextmanager.v1.AccessContextManager.*ServicePerimeter" protoPayload.request.servicePerimeter.name=~".*PERIMETER_NAME$" PERIMETER_NAME 替換為範圍名稱。 |
| 存取層級 CRUD 作業 | logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity" severity=NOTICE protoPayload.serviceName="accesscontextmanager.googleapis.com" protoPayload.methodName=~"google.identity.accesscontextmanager.v1.AccessContextManager.*AccessLevel" protoPayload.request.accessLevel.name=~".*ACCESS_LEVEL$" |
| 建立及更新入站規則的作業 | logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity" protoPayload.serviceName="accesscontextmanager.googleapis.com" protoPayload.methodName=~"google.identity.accesscontextmanager.v1.AccessContextManager.*ServicePerimeter" protoPayload.request.servicePerimeter.status.ingressPolicies:"*" |
| 建立及更新輸出規則的作業 | logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity" protoPayload.serviceName="accesscontextmanager.googleapis.com" protoPayload.methodName=~"google.identity.accesscontextmanager.v1.AccessContextManager.*ServicePerimeter" protoPayload.request.servicePerimeter.status.egressPolicies:"*" |
路由稽核記錄
您可以將稽核記錄轉送至支援的目的地,方法與轉送其他類型的記錄相同。以下是您可能需要轉送稽核記錄的原因:
如要長時間保留稽核記錄,或使用更強大的搜尋功能,您可以將稽核記錄的副本轉送至 Cloud Storage、BigQuery 或 Pub/Sub。您可以使用 Pub/Sub 將資料路由至其他應用程式、其他存放區和第三方。
如要管理整個機構的稽核記錄,您可以建立匯總接收器,從機構的任何或所有 Google Cloud 專案轉送記錄。
如需記錄轉送操作說明,請參閱「將記錄轉送至支援的目的地」。
定價
如要進一步瞭解定價資訊,請參閱 Cloud Logging 定價摘要。