本文档推荐了一系列审核日志记录任务,以帮助您的组织维护安全性并最大限度地降低风险。
本文档并未列出所有建议,其目标是帮助您了解审核日志记录活动的范围并相应地做出规划。
各部分均介绍了关键操作,并包含一些深入内容的链接。
了解 Cloud Audit Logs
大多数 Trusted Cloud 服务都可以使用审核日志。Cloud Audit Logs 会为每个Trusted Cloud 项目、结算账号、文件夹和组织提供以下类型的审核日志:
| 审核日志类型 | 可配置 | 应收款 |
|---|---|---|
| 管理员活动审核日志 | 否;始终写入 | 否 |
| 数据访问审核日志 | 是 | 是 |
| 政策拒绝审核日志 | 可以;您可以排除将这些日志写入日志存储桶 | 是 |
| 系统事件审核日志 | 否;始终写入 | 否 |
数据访问审核日志(BigQuery 除外)默认处于停用状态。如果您想针对 Trusted Cloud服务写入数据访问审核日志,则必须明确启用这些日志;有关详情,请参阅本页面上的配置数据访问审核日志。
如需了解使用Trusted Cloud进行审核日志记录的整体情况,请参阅 Cloud Audit Logs 概览。
控制对日志的访问权限
由于审核日志记录数据的敏感性,为您组织的用户配置适当的访问权限控制尤为重要。
根据您的合规性和使用要求,请按以下方式设置这些访问权限控制:
设置 IAM 权限
IAM 权限和角色决定了用户能否在 Logging API、Logs Explorer和 Google Cloud CLI 中访问审核日志数据。使用 IAM 授予对特定Trusted Cloud 存储桶的精细访问权限,并防止对其他资源的不必要访问。
您授予用户的基于权限的角色取决于他们在您组织中所拥有的审核相关职能。例如,您可以向 CTO 授予广泛的管理权限,而您的开发者团队成员可能需要日志查看权限。如需了解向您组织的用户授予哪些角色,请参阅为审核日志记录配置角色。
设置 IAM 权限时,请遵循最小权限安全原则,即仅向用户授予对您的资源的必要访问权限:
- 移除所有不必要的用户。
- 向必要用户授予正确且最少的权限。
如需了解如何设置 IAM 权限,请参阅管理对项目、文件夹和组织的访问权限。
配置日志视图
Logging 收到的所有日志(包括审核日志)都会写入名为日志存储桶的存储容器中。借助日志视图,您可以控制有权访问您的日志存储桶中的日志的人员。
由于日志存储桶可以包含来自多个项目的日志,因此您可能需要控制不同用户可以查看哪些项目的日志。 Trusted Cloud Trusted Cloud 创建自定义日志视图,可让您对这些存储桶进行更精细的访问权限控制。
如需了解如何创建和管理日志视图,请参阅在日志存储桶中配置日志视图。
设置日志字段级访问权限控制
通过字段级访问权限控制,您可以对 Trusted Cloud 项目的用户隐藏各个 LogEntry 字段,从而提供更精细的方法来控制用户可以访问的数据。与隐藏整个 LogEntry 的日志视图相比,字段级访问权限控制可以隐藏 LogEntry 的单个字段。例如,您可能希望从大多数组织用户中隐去外部用户的个人身份信息(PII),例如日志条目载荷中包含的邮箱。
如需了解如何配置字段级访问权限控制,请参阅配置字段级访问权限。
配置数据访问审核日志
启用新的 Trusted Cloud 服务时,请评估是否启用数据访问审核日志。
数据访问审核日志可帮助 Google 支持团队排查您的账号问题。因此,我们建议您尽可能启用数据访问审核日志。
如需为所有服务启用所有审核日志,请按照 Identity and Access Management (IAM) 政策更新说明使用审核政策中列出的配置进行操作。
定义组织级数据访问权限政策并启用数据访问审核日志后,请使用测试 Trusted Cloud 项目验证审核日志收集的配置,然后再在组织中创建开发者项目和生产 Trusted Cloud 项目。
如需了解如何启用数据访问审核日志,请参阅启用数据访问审核日志。
控制日志的存储方式
您可以配置组织的存储桶的各个方面,还可以创建用户定义的存储桶,以集中或细分日志存储空间。根据您的合规性和使用要求,您可能需要自定义日志存储空间,如下所示:
- 选择日志的存储位置。
- 使用客户管理的加密密钥 (CMEK) 保护您的日志。
选择日志的存储位置
在 Logging 中,存储桶是区域级资源:用于存储和搜索日志以及将日志编入索引的基础设施位于特定的地理位置。
您的组织可能需要将其日志数据存储在特定区域中。在选择存储日志的区域时,主要的考虑因素包括满足您的组织的延迟时间、可用性或合规性要求。
如需将特定存储区域自动应用于在组织中创建的新 _Default 和 _Required 存储桶,您可以配置默认资源位置。
如需了解如何配置默认资源位置,请参阅为组织配置默认设置。
使用客户管理的加密密钥保护审核日志
默认情况下,Cloud Logging 会对以静态方式存储的客户内容进行加密。您的组织可能设有默认静态加密不提供的高级加密要求。为满足您组织的要求,您可以将客户管理的加密密钥 (CMEK) 配置为控制和管理您自己的加密,而不是由 Google 管理用于保护您的数据的密钥加密密钥。
如需了解如何配置 CMEK,请参阅为日志存储空间配置 CMEK。
查询和查看审核日志
如果您需要进行问题排查,则必须能够快速查看日志。 在 Trusted Cloud 控制台中,使用Logs Explorer检索组织的审核日志条目:
-
在 Trusted Cloud 控制台中,转到 Logs Explorer 页面:
如果您使用搜索栏查找此页面,请选择子标题为 Logging 的结果。
选择您的组织。
在查询窗格中,执行以下操作:
在资源类型中,选择要查看其审核日志的 Trusted Cloud 资源。
在日志名称中,选择要查看的审核日志类型:
- 对于管理员活动审核日志,选择 activity。
- 对于数据访问审核日志,选择 data_access。
- 对于系统事件审核日志,选择 system_event。
- 对于政策拒绝审核日志,选择 policy。
如果您没有看到这些选项,则表示组织中没有该类型的审核日志。
在查询编辑器中,进一步指定您要查看的审核日志条目。如需了解常见查询示例,请参阅使用Logs Explorer的查询示例。
点击运行查询。
如需详细了解如何使用日志浏览器进行查询,请参阅在日志浏览器中构建查询。
将日志路由到支持的目的地
您的组织可能需要创建和保留审核日志。通过接收器,您可以将部分或全部日志路由到以下支持的目标位置:
- 另一个 Cloud Logging 存储桶
确定您需要文件夹级接收器还是组织级接收器,并使用汇总接收器路由组织或文件夹内所有 Trusted Cloud 项目中的日志。例如,您可以考虑以下路由用例:
组织级接收器:如果您的组织使用 SIEM 管理多个审核日志,则您可能需要路由组织的所有审核日志。因此,组织级接收器是有意义的。
文件夹级接收器:有时您可能只希望路由部门审核日志。例如,如果您有一个“Finance”文件夹和一个“IT”文件夹,您可能只需要路由属于“Finance”文件夹的审核日志,反之亦然。
如需详细了解文件夹和组织,请参阅资源层次结构。
对您用于路由日志的 Trusted Cloud 目标位置应用与 Logs Explorer 相同的访问权限政策。
如需了解如何创建和管理汇总接收器,请参阅整理组织级日志并将其路由到支持的目标位置。
了解接收器目标位置中的数据格式
将审核日志路由到 Cloud Logging 以外的目的地时,请了解已发送数据的格式。
如需理解和查找从 Cloud Logging 路由到受支持的目标位置的日志条目,请参阅查看接收器目标位置的日志。