Il est possible que certaines ou toutes les informations de cette page ne s'appliquent pas au cloud de confiance par S3NS.

Cette page a été traduite par l'API Cloud Translation.

Présentation de Cloud Audit Logs

Ce document présente les concepts liés à Cloud Audit Logs.

Les servicesTrusted Cloud by S3NS écrivent des journaux d'audit qui enregistrent les activités d'administration et les accès dans vos ressources Trusted Cloud . Les journaux d'audit vous aident à répondre aux questions "qui a fait quoi, où et quand ?" au sein de vos Trusted Cloud ressources avec le même niveau de transparence que dans les environnements sur site. L'activation des journaux d'audit permet à vos entités de sécurité, d'audit et de conformité de surveiller les données et les systèmesTrusted Cloud afin de détecter d'éventuelles failles ou un usage abusif des données externes.

ServicesTrusted Cloud by S3NS générant des journaux d'audit

Pour obtenir la liste des Trusted Cloud services qui fournissent des journaux d'audit, consultez la section Trusted Cloud by S3NS Services avec journaux d'audit. À terme, tous les servicesTrusted Cloud fourniront des journaux d'audit.

Rôles requis

Pour afficher les journaux d'audit, vous devez disposer des autorisations et des rôles IAM (Identity and Access Management) appropriés :

Pour obtenir les autorisations dont vous avez besoin pour accéder en lecture seule aux journaux d'audit des activités d'administration, des refus de règles et des événements système, demandez à votre administrateur de vous accorder le rôle IAM Lecteur de journaux (roles/logging.viewer) sur votre projet.

Si vous ne disposez que du rôle "Lecteur de journaux" (roles/logging.viewer), vous ne pouvez pas afficher les journaux d'audit d'accès aux données qui se trouvent dans le bucket _Default.

Pour obtenir les autorisations dont vous avez besoin pour accéder à tous les journaux des buckets _Required et _Default, y compris les journaux d'accès aux données, demandez à votre administrateur de vous accorder le rôle IAM Lecteur de journaux privés (roles/logging.privateLogViewer) sur votre projet.

Le rôle Lecteur de journaux privés (roles/logging.privateLogViewer) inclut les autorisations contenues dans le rôle Lecteur de journaux (roles/logging.viewer) et celles nécessaires pour lire les journaux d'audit d'accès aux données dans le bucket _Default.

Pour en savoir plus sur les autorisations et les rôles IAM qui s'appliquent aux données des journaux d'audit, consultez la page Contrôle des accès avec IAM.

Types de journaux d'audit

Cloud Audit Logs gère les journaux d'audit suivants pour chaque projet, dossier et organisationTrusted Cloud :

Journaux d'audit pour les activités d'administration
Journaux d'audit pour l'accès aux données
Journaux d'audit d'événements système
Journaux d'audit des refus de règles

Journaux d'audit pour les activités d'administration

Les journaux d'audit des activités d'administration sont des entrées de journal écrites par des appels d'API gérés par l'utilisateur ou d'autres actions qui modifient la configuration ou les métadonnées des ressources. Par exemple, ils enregistrent les actions de création d'instances de VM ou de modification des autorisations IAM (Identity and Access Management).

Les journaux d'audit des activités d'administration sont toujours écrits. Vous ne pouvez pas les configurer ni les désactiver. Même si vous désactivez l'API Cloud Logging, les journaux d'audit des activités d'administration sont toujours générés.

Pour obtenir la liste des services qui génèrent des journaux d'audit des activités d'administration et des informations détaillées sur les activités qui génèrent ces journaux, consultez la section ServicesTrusted Cloud by S3NS avec journaux d'audit.

Journaux d'audit pour l'accès aux données

Les journaux d'audit des accès aux données sont des entrées de journal écrites par des appels d'API qui lisent la configuration ou les métadonnées des ressources. Ils sont également écrits par des appels d'API pilotés par l'utilisateur qui créent, modifient ou lisent des données de ressources fournies par l'utilisateur.

Les ressources accessibles au public dont les stratégies Identity and Access Management allAuthenticatedUsers ou allUsers ne génèrent pas de journaux d'audit. Les ressources accessibles sans connexion à un Trusted Cloud ne génèrent pas de journaux d'audit. Cela permet de protéger les identités et les informations des utilisateurs finaux.

Les journaux d'audit pour l'accès aux données, à l'exception de ceux de BigQuery, sont désactivés par défaut, car leur taille peut être assez importante. Si vous souhaitez que les journaux d'audit des accès aux données soient écrits pour des Trusted Cloud services autres que BigQuery, vous devez les activer explicitement. L'activation de ces journaux peut entraîner une facturation pour l'utilisation de journaux supplémentaires dans votre Trusted Cloud projet. Pour savoir comment activer et configurer les journaux d'audit pour l'accès aux données, consultez la page Activer les journaux d'audit des accès aux données.

Pour obtenir la liste des services qui génèrent des journaux d'audit pour l'accès aux données et des informations détaillées sur les activités qui génèrent ces journaux, consultez la section ServicesTrusted Cloud by S3NS avec journaux d'audit.

Les journaux d'audit des accès aux données sont stockés dans le bucket de journaux _Default, sauf si vous les avez acheminés ailleurs. Pour en savoir plus, consultez la section Stocker et router les journaux d'audit de cette page.

Journaux d'audit des événements système

Les journaux d'audit des événements système sont des entrées de journal écrites par les Trusted Cloud systèmes qui modifient la configuration des ressources. Les journaux d'audit des événements système ne sont pas pilotés directement par l'utilisateur. Par exemple, un journal d'audit des événements système est écrit lorsque des VM sont automatiquement ajoutées ou supprimées de groupes d'instances gérés (MIG) en raison de l'autoscaling.

Les journaux d'audit des événements système sont toujours écrits. Vous ne pouvez pas les configurer ni les désactiver.

Pour obtenir la liste des services qui génèrent des journaux d'audit des événements système et des informations détaillées sur les activités qui génèrent ces journaux, consultez la section ServicesTrusted Cloud by S3NS avec journaux d'audit.

Journaux d'audit des refus de règles

Les journaux d'audit des refus de règles sont des entrées de journal écrites lorsqu'un Trusted Cloud by S3NS service refuse l'accès à un utilisateur ou à un compte de service en raison d'un non-respect des règles de sécurité.

Les journaux d'audit des refus de règles sont générés par défaut et leur stockage est facturé à votre projetTrusted Cloud . Vous ne pouvez pas désactiver les journaux d'audit des refus de règles, mais vous pouvez utiliser des filtres d'exclusion pour empêcher leur stockage dans Cloud Logging.

Pour obtenir la liste des services qui génèrent des journaux d'audit des refus de règles et des informations détaillées sur les activités qui génèrent ces journaux, consultez la section ServicesTrusted Cloud by S3NS avec journaux d'audit.

Structure des entrées des journaux d'audit

Dans Cloud Logging, chaque entrée de journal d'audit est un objet de type LogEntry. Une entrée de journal d'audit se distingue des autres entrées de journal par le champ protoPayload. Ce champ contient un objet AuditLog qui stocke les données de journalisation d'audit.

Pour savoir comment lire et interpréter les entrées du journal d'audit, et pour obtenir un exemple d'entrée de journal d'audit, consultez la section Comprendre les journaux d'audit.

Nom du journal

Les noms de journaux Cloud Audit Logs incluent les suivants :

Identifiants de ressources indiquant le projet Trusted Cloud ou toute autre entité Trusted Cloud dont ils dépendent.
Correspond à la chaîne cloudaudit.googleapis.com.
Chaîne indiquant si le journal contient des données de journalisation d'audit sur les activités d'administration, l'accès aux données, les refus de règles ou les événements système.

Voici les noms des journaux d'audit incluant des variables pour les identifiants de ressource :

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Factivity
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Identités de l'appelant dans les journaux d'audit

Les journaux d'audit enregistrent l'identité ayant effectué les opérations consignées sur la ressourceTrusted Cloud . L'identité de l'appelant est conservée dans le champ AuthenticationInfo des objets AuditLog.

La journalisation d'audit ne masque pas l'adresse e-mail principale de l'appelant pour tout accès réussi ni pour toute opération d'écriture.

Pour les opérations en lecture seule qui échouent avec une erreur "autorisation refusée", la journalisation d'audit peut masquer l'adresse e-mail principale de l'appelant, sauf si l'appelant est un compte de service.

Outre les conditions ci-dessus, les conditions suivantes s'appliquent à certains servicesTrusted Cloud :

BigQuery : les identités et les adresses IP des appelants ainsi que certains noms de ressources sont masqués au niveau des journaux d'audit, sauf si certaines conditions sont remplies.
Cloud Storage : lorsque les journaux d'utilisation de Cloud Storage sont activés, Cloud Storage écrit les données d'utilisation dans le bucket Cloud Storage, qui génère des journaux d'audit pour l'accès aux données de ce bucket. L'identité de l'appelant dans le journal d'audit des accès aux données généré est masquée.

Règles de l'organisation : des parties des adresses e-mail de l'appelant peuvent être masquées et remplacées par trois points ....

Adresse IP de l'appelant dans les journaux d'audit

L'adresse IP de l'appelant est conservée dans le champ RequestMetadata.callerIp de l'objet AuditLog :

Pour un appelant depuis Internet, l'adresse est une adresse IPv4 ou IPv6 publique.
Pour les appels effectués à partir du réseau de production interne d'un serviceTrusted Cloud by S3NS à un autre, le callerIp est masqué en "privé".
Pour un appelant à partir d'une VM Compute Engine avec une adresse IP externe, callerIp est l'adresse externe de la VM.
Pour un appelant à partir d'une VM Compute Engine sans adresse IP externe, si la VM appartient à la même organisation ou au même projet que la ressource accessible, callerIp correspond à l'adresse IPv4 interne de la VM. Sinon, l'callerIp est masqué en "gce-internal-ip". Pour en savoir plus, consultez la section Présentation du réseau VPC.

Afficher les journaux d'audit

Vous pouvez interroger tous les journaux d'audit ou interroger les journaux selon leur nom de journal d'audit. Le nom du journal d'audit inclut l'identifiant de ressource du projet, du dossier, du compte de facturation ou de l'organisation Trusted Cloud pour lesquels vous souhaitez afficher les informations de journalisation d'audit. Vos requêtes peuvent spécifier des champs LogEntry indexés. Pour en savoir plus sur l'interrogation de vos journaux, consultez Créer des requêtes dans l'explorateur de journaux.

La plupart des journaux d'audit peuvent être consultés dans Cloud Logging à l'aide de la consoleTrusted Cloud , de la Google Cloud CLI ou de l'API Logging. Toutefois, pour les journaux d'audit liés à la facturation, vous ne pouvez utiliser que la Google Cloud CLI ou l'API Logging.

Console

Dans la console Trusted Cloud , vous pouvez utiliser l'explorateur de journaux pour récupérer les entrées du journal d'audit de votre projet, dossier ou organisation Trusted Cloud :

Dans la console Trusted Cloud , accédez à la page Explorateur de journaux.
Accéder à l'explorateur de journaux

Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Logging.
Sélectionnez un projet, un dossier ou une organisation Trusted Cloud existants.
Pour afficher tous les journaux d'audit, saisissez l'une des requêtes suivantes dans le champ de l'éditeur de requête, puis cliquez sur Exécuter la requête :
```
logName:"cloudaudit.googleapis.com"
```
```
protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog"
```
Pour afficher les journaux d'audit d'une ressource et d'un type de journal d'audit spécifiques, accédez au volet Générateur de requêtes et procédez comme suit :
- Dans Type de ressource, sélectionnez la ressource Trusted Cloud dont vous souhaitez afficher les journaux d'audit.
- Dans Nom du journal, sélectionnez le type de journal d'audit que vous souhaitez afficher :
  - Pour les journaux d'audit pour les activités d'administration, sélectionnez activity.
  - Pour les journaux d'audit des accès aux données, sélectionnez data_access.
  - Pour les journaux d'audit des événements système, sélectionnez system_event.
  - Pour les journaux d'audit des refus de règles, sélectionnez policy.
- Cliquez sur Exécuter la requête.
Si ces options ne sont pas visibles, cela signifie qu'aucun journal d'audit de ce type n'est disponible dans le projet, le dossier ou l'organisation Trusted Cloud .

Si vous rencontrez des problèmes lors de la tentative d'affichage de journaux dans l'explorateur de journaux, consultez les informations de dépannage.

Si vous souhaitez en savoir plus sur l'utilisation de l'explorateur de journaux pour effectuer des requêtes, consultez Créer des requêtes dans l'explorateur de journaux.

gcloud

La Google Cloud CLI fournit une interface de ligne de commande à l'API Logging. Indiquez un identifiant de ressource valide dans chacun des noms de journaux. Par exemple, si votre requête inclut un PROJECT_ID, l'identifiant de projet que vous spécifiez doit faire référence au projetTrusted Cloud actuellement sélectionné.

Pour lire les entrées de journal d'audit au niveau du projet Trusted Cloud , exécutez la commande suivante :

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

Pour lire les entrées de journal d'audit au niveau d'un dossier, exécutez la commande suivante :

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

Pour lire les entrées de journal d'audit au niveau de l'organisation, exécutez la commande suivante :

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

Pour lire les entrées de journal d'audit au niveau de votre compte de facturation Cloud, exécutez la commande suivante :

gcloud logging read "logName : billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com" \
    --billing-account=BILLING_ACCOUNT_ID

Ajoutez l'option --freshness à votre commande pour lire les journaux datant de plus d'une journée.

Pour en savoir plus sur l'utilisation de la gcloud CLI, consultez gcloud logging read.

REST

Pour interroger les données de vos journaux à l'aide de l'API Cloud Logging, utilisez la méthode entries.list.

Stocker et acheminer les journaux d'audit

Cloud Logging utilise des buckets de journaux comme conteneurs qui stockent et organisent les données de vos journaux. Pour chaque compte de facturation, projetTrusted Cloud , dossier et organisation, Logging crée automatiquement deux buckets de journaux, _Required et _Default, et des récepteurs nommés de manière correspondante.

Les buckets Cloud Logging _Required stockent les journaux d'audit pour les activités d'administration et les événements système. Vous ne pouvez pas empêcher le stockage des journaux d'audit des activités d'administration ou des événements système. Vous ne pouvez pas non plus configurer le récepteur qui achemine les entrées de journal vers les buckets _Required.

Les journaux d'audit des activités d'administration et les journaux d'audit des événements système sont toujours stockés dans le bucket _Required du projet dans lequel les journaux ont été générés.

Si vous acheminez les journaux d'audit pour les activités d'administration et les journaux d'audit pour les événements système vers un autre projet, ces journaux ne passent pas par le collecteur _Default ou _Required du projet de destination. Par conséquent, ces journaux ne sont pas stockés dans le bucket de journaux _Default ni dans le bucket de journaux _Required du projet de destination. Pour stocker ces journaux, créez un récepteur de journaux dans le projet de destination. Pour en savoir plus, consultez la section Acheminer les journaux vers des destinations compatibles.

Par défaut, les buckets _Default stockent tous les journaux d'audit des accès aux données activés, ainsi que les journaux d'audit des refus de règles. Vous pouvez désactiver les journaux d'audit des accès aux données dans les buckets _Default. Pour empêcher que les journaux d'audit des refus de règles soient stockés dans les buckets _Default, vous pouvez les exclure en modifiant les filtres de leurs récepteurs.

Vous pouvez également acheminer vos entrées de journaux d'audit vers des buckets Cloud Logging définis par l'utilisateur au niveau du Trusted Cloud projet ou vers des destinations compatibles en dehors de Logging à l'aide de récepteurs. Pour obtenir des instructions sur l'acheminement des journaux, consultez la section Acheminer les journaux vers les destinations compatibles.

Lors de la configuration des filtres de vos récepteurs de journaux, vous devez spécifier les types de journaux d'audit que vous souhaitez acheminer. Pour obtenir des exemples de filtrage, consultez la page Requêtes de journalisation de sécurité.

Si vous souhaitez acheminer des entrées de journal d'audit pour une Trusted Cloud organisation, un dossier ou un compte de facturation, ainsi que pour leurs enfants, consultez la section Présentation des récepteurs agrégés.

Conserver des journaux d'audit

Pour en savoir plus sur la durée de conservation des entrées de journal par Cloud Logging, consultez la section correspondante sur la page Quotas et limites : durée de conservation des journaux.

Contrôle des accès

Les autorisations et les rôles IAM déterminent votre capacité à accéder aux données des journaux d'audit dans l'API Logging, l'explorateur de journaux et la Google Cloud CLI.

Pour en savoir plus sur les autorisations et les rôles IAM dont vous avez besoin, consultez la page Contrôle des accès avec IAM.

Quotas et limites

Pour en savoir plus sur les limites d'utilisation de la journalisation, y compris sur la taille maximale des journaux d'audit, consultez la page Quotas et limites.

Étapes suivantes

Découvrez comment lire et comprendre les journaux d'audit.
Découvrez comment activer les journaux d'audit des accès aux données.
Consultez les bonnes pratiques d'utilisation de Cloud Audit Logs.