סקירה כללית על יומני הביקורת של Cloud

במסמך הזה מפורטת סקירה כללית של מושגים שקשורים ליומני הביקורת של Cloud.

שירותיCloud de Confiance by S3NS כותבים יומני ביקורת שבהם מתועדות פעילויות אדמין וגישות למשאבי Cloud de Confiance . יומני ביקורת עוזרים לכם לענות על השאלות 'מי עשה מה, איפה ומתי?' ביחס למשאבי Cloud de Confiance שלכם, באותה רמת שקיפות כמו בסביבות מקומיות. הפעלת יומני ביקורת עוזרת לגורמים בתחום האבטחה, הביקורת והתאימות לעקוב אחרי נתונים ומערכות כדי לזהות נקודות חולשה אפשריות או שימוש לרעה בנתונים חיצוניים.Cloud de Confiance

Cloud de Confiance by S3NS שירותים שמפיקים יומני ביקורת

רשימה של Cloud de Confiance שירותים שמספקים יומני ביקורת זמינה במאמר Cloud de Confiance by S3NS שירותים עם יומני ביקורת. בסופו של דבר, כל שירותיCloud de Confiance יספקו יומני ביקורת.

השרתים של Google Cloud MCP כותבים יומני ביקורת Data Access. יומני ביקורת של גישה לנתונים שנכתבים על ידי קריאות ל-API של שרתי Google Cloud MCP הם ספציפיים לשירות ומשתמשים בפורמט SERVICE_NAME.googleapis.com/mcp. כדי להפעיל את יומני הגישה לנתונים האלה, צריך להפעיל את יומני הביקורת עבור mcp.googleapis.com באובייקט IAM AuditConfig. למידע נוסף על רישום ביומני ביקורת של שרתי Google Cloud MCP, אפשר לעיין במאמר רישום ביומני ביקורת של שרתי Google Cloud MCP.

התפקידים הנדרשים

כדי לצפות ביומני ביקורת, אתם צריכים את ההרשאות והתפקידים המתאימים בניהול זהויות והרשאות גישה (IAM):

  • כדי לקבל את ההרשאות שנדרשות לגישת קריאה בלבד ליומני הביקורת Admin Activity,‏ Policy Denied ו-System Event, צריך לבקש מהאדמין להקצות לכם ב-IAM את התפקיד צפייה ביומנים (roles/logging.viewer) בפרויקט.

    אם יש לכם רק את התפקיד Logs Viewer (roles/logging.viewer), אתם לא יכולים לצפות ביומני הביקורת Data Access שנמצאים בקטגוריה _Default.

  • כדי לקבל את ההרשאות שנדרשות לגישה לכל היומנים בקטגוריות _Required ו-_Default, כולל יומני Data Access, צריך לבקש מהאדמין להקצות לכם את תפקיד ה-IAM‏ Private Logs Viewer (roles/logging.privateLogViewer) בפרויקט.

    התפקיד 'מציג יומנים פרטיים' (roles/logging.privateLogViewer) כולל את ההרשאות שכלולות בתפקיד 'מציג יומנים' (roles/logging.viewer), וגם את ההרשאות שנדרשות לקריאת יומני ביקורת גישה לנתונים בקטגוריה _Default.

במאמר בקרת גישה באמצעות IAM תוכלו לקרוא מידע נוסף על ההרשאות והתפקידים ב-IAM שחלים על הנתונים של יומני הביקורת.

סוגים של יומני ביקורת

ב-Cloud Audit Logs זמינים יומני הביקורת הבאים לכלCloud de Confiance פרויקט, תיקייה וארגון:

יומני הביקורת Admin Activity

יומני הביקורת של Admin Activity הם רשומות ביומן שנכתבות על ידי קריאות ל-API שמבוצעות על ידי משתמשים או פעולות אחרות שמשנות את ההגדרות או את המטא-נתונים של משאבים. לדוגמה, ביומנים האלה מתועד מתי משתמשים יוצרים מכונות וירטואליות או משנים הרשאות של ניהול זהויות והרשאות גישה (IAM).

יומני הביקורת Admin Activity תמיד נכתבים, ואי אפשר להגדיר, להחריג או להשבית אותם. גם אם משביתים את Cloud Logging API, עדיין נוצרים יומני ביקורת של Admin Activity.

רשימה של שירותים שכותבים יומני ביקורת של פעילות אדמין ומידע מפורט על הפעילויות שיוצרות את היומנים האלה זמינים במאמר Cloud de Confiance by S3NS שירותים עם יומני ביקורת.

יומני הביקורת Data Access

יומני ביקורת של Data Access הם רשומות ביומן שנכתבות על ידי קריאות ל-API שקוראות את ההגדרות או את המטא-נתונים של משאבים. הם נכתבים גם על ידי קריאות ל-API שמבוססות על פעולות של משתמשים ויוצרות, משנות או קוראות נתוני משאבים שסופקו על ידי משתמשים.

משאבים שזמינים לכולם ושיש להם כללי מדיניות של ניהול זהויות והרשאות גישה (IAM) allAuthenticatedUsers או allUsers לא יוצרים יומני ביקורת. למשאבים שאפשר לגשת אליהם בלי להתחבר לחשבון Cloud de Confiance לא נוצרים יומני ביקורת. כך אנחנו מגנים על הזהויות והמידע של משתמשי הקצה.

יומני ביקורת של Data Access – למעט יומני ביקורת של Data Access ב-BigQuery – מושבתים כברירת מחדל כי הם יכולים להיות גדולים למדי. אם אתם רוצים שיומני הביקורת Data Access יתעדכנו לגבי שירותים אחרים מלבד BigQuery, אתם צריכים להפעיל אותם באופן מפורש. Cloud de Confiance יומני הביקורת Data Access נכתבים לפרויקט Cloud de Confiance שהגישה לנתונים שלו מתבצעת. הפעלת היומנים האלה עלולה לגרום לחיוב הפרויקט על השימוש הנוסף ביומנים. Cloud de Confiance הוראות להפעלה ולהגדרה של יומני ביקורת של גישה לנתונים מופיעות במאמר הפעלת יומני ביקורת של גישה לנתונים.

רשימה של שירותים שכותבים יומני ביקורת של גישה לנתונים ומידע מפורט על הפעילויות שיוצרות את היומנים האלה מופיעים במאמר Cloud de Confiance by S3NS שירותים עם יומני ביקורת.

יומני הביקורת Data Access מאוחסנים בקטגוריה ביומן _Default, אלא אם הגדרתם להעביר אותם למקום אחר. מידע נוסף מופיע בקטע אחסון וניתוב של יומני ביקורת בדף הזה.

יומני הביקורת System Event

יומני הביקורת System Event הם רשומות ביומן שנכתבות על ידי מערכות שמשנות את ההגדרות של משאבים. Cloud de Confiance יומני הביקורת System Event לא מבוססים על פעולה ישירה של משתמש. לדוגמה, יומן ביקורת של אירועי מערכת נכתב כשמכונות וירטואליות מתווספות או מוסרות באופן אוטומטי מקבוצות של מופעי מכונה מנוהלים (MIG) בגלל התאמה אוטומטית לעומס.

יומני הביקורת System Event תמיד נכתבים, ואי אפשר להגדיר, להחריג או להשבית אותם.

רשימה של שירותים שכותבים יומני ביקורת של אירועים במערכת ומידע מפורט על הפעילויות שיוצרות את היומנים האלה זמינים במאמר בנושא Cloud de Confiance by S3NS שירותים עם יומני ביקורת.

יומני הביקורת Policy Denied

יומני ביקורת של מדיניות שנדחתה הם רשומות ביומן שנכתבות כש Cloud de Confiance by S3NS שירות דוחה גישה של משתמש או חשבון שירות בגלל הפרה של מדיניות אבטחה.

יומני הביקורת Policy Denied נוצרים כברירת מחדל, והחיוב על אחסון היומנים מתבצע בפרויקטCloud de Confiance . אי אפשר להשבית את יומני הביקורת Policy Denied, אבל אפשר להשתמש במסנני החרגה כדי למנוע את האחסון של יומני הביקורת Policy Denied ב-Cloud Logging.

רשימה של שירותים שכותבים יומני ביקורת מסוג Policy Denied ומידע מפורט על הפעילויות שיוצרות את היומנים האלה זמינים במאמר בנושא Cloud de Confiance by S3NS שירותים עם יומני ביקורת.

המבנה של רשומה ביומן הביקורת

כל רשומה ביומן הביקורת ב-Cloud Logging היא אובייקט מסוג LogEntry. מה שמבדיל בין רשומה ביומן ביקורת לבין רשומות אחרות ביומן הוא השדה protoPayload. השדה הזה מכיל אובייקט מסוג AuditLog שבו מאוחסנים נתוני יומן הביקורת.

כדי להבין איך לקרוא ולפרש רשומות ביומן הביקורת, ולראות דוגמה לרשומה ביומן הביקורת, אפשר לעיין במאמר הסבר על יומני הביקורת.

שם יומן הביקורת

השמות של יומני הביקורת של Cloud כוללים את הרכיבים הבאים:

  • מזהי משאבים שמציינים את הפרויקט ב- Cloud de Confiance או ישות אחרת ב- Cloud de Confiance שיומני הביקורת בבעלותם.

  • המחרוזת cloudaudit.googleapis.com.

  • מחרוזת שמציינת אם היומן מכיל נתוני ביקורת מסוג Admin Activity,‏ Data Access,‏ Policy Denied או System Event.

אלה השמות של יומני הביקורת, כולל המשתנים שמציינים את מזהי המשאבים:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Factivity
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

זהויות של מתקשרים ביומני ביקורת

ביומני הביקורת מתועדת הזהות של מי שביצע את הפעולות שנרשמו ביומן עלCloud de Confiance המשאב. הזהות של המתקשרת או המתקשר שמורה בשדה AuthenticationInfo של אובייקטים מסוג AuditLog.

ביומני ביקורת לא מושמטת כתובת האימייל של חשבון המשתמש שביצע את הקריאה, אם הגישה הצליחה או אם בוצעה פעולת כתיבה.

בפעולות לקריאה בלבד שנכשלות עם השגיאה 'ההרשאה נדחתה', יכול להיות שיומני הביקורת יצנזרו את כתובת האימייל של חשבון המשתמש שביצע את הקריאה, אלא אם חשבון המשתמש הוא חשבון שירות.

בנוסף לתנאים שצוינו למעלה, התנאים הבאים חלים על שירותים מסוימים:Cloud de Confiance

  • BigQuery: זהויות של מבצעי הקריאה וכתובות IP, וגם שמות של משאבים מסוימים, מוסתרים מיומני הביקורת, אלא אם מתקיימים תנאים מסוימים.

  • Cloud Storage: כשמופעלים יומני השימוש ב-Cloud Storage, המערכת כותבת את נתוני השימוש לקטגוריה של Cloud Storage, וכך נוצרים יומני ביקורת של גישה לנתונים עבור הקטגוריה. זהות המתקשר ביומן הביקורת Data Access שנוצר מוסתרת.

  • מדיניות הארגון: יכול להיות שחלקים מכתובות האימייל של המתקשרים יוסתרו ויוחלפו בשלוש נקודות ....

כתובת ה-IP של מבצע הקריאה ביומני הביקורת

כתובת ה-IP של מבצע הקריאה שמורה בשדה RequestMetadata.callerIp של האובייקט AuditLog:

  • אם מבצע הקריאה מגיע מהאינטרנט, הכתובת היא כתובת IPv4 או IPv6 ציבורית.
  • בשיחות שמתבצעות מתוך רשת הייצור הפנימית משירותCloud de Confiance by S3NS אחד לשירות אחר, ה-callerIp מצונזר ל'פרטי'.
  • למתקשר ממכונה וירטואלית ב-Compute Engine עם כתובת IP חיצונית, הערך של callerIp הוא הכתובת החיצונית של המכונה הווירטואלית.
  • אם המתקשר הוא ממכונת VM ב-Compute Engine ללא כתובת IP חיצונית, והמכונה הווירטואלית נמצאת באותו ארגון או פרויקט כמו המשאב שאליו יש גישה, אז callerIp היא כתובת ה-IPv4 הפנימית של המכונה הווירטואלית. אחרת, הערך callerIp מצונזר ל-gce-internal-ip. מידע נוסף זמין במאמר סקירה כללית על רשת VPC.

צפייה ביומני ביקורת

תוכלו לשלוח שאילתה על כל יומני הביקורת, או לשלוח שאילתה על יומנים מסוימים לפי שם יומן הביקורת שלהם. השם של יומן הביקורת כולל את מזהה המשאב של Cloud de Confiance הפרויקט, התיקייה, החשבון לחיוב או הארגון שבמידע של יומני הביקורת שלהם רוצים לצפות. אפשר להגדיר בשאילתות את השדות LogEntry שנוספו לאינדקס. למידע נוסף על שליחת שאילתות על היומנים, ראו יצירת שאילתות ב-Logs Explorer.

אפשר לצפות ברוב יומני הביקורת ב-Cloud Logging באמצעותCloud de Confiance המסוף, Google Cloud CLI או Logging API. עם זאת, כדי לצפות ביומני ביקורת שקשורים לחיוב, אפשר להשתמש רק ב-Google Cloud CLI או ב-Logging API.

המסוף

ב Cloud de Confiance מסוף, תוכלו להשתמש ב-Logs Explorer כדי לאחזר את הרשומות ביומן הביקורת של Cloud de Confiance הפרויקט, התיקייה או הארגון:

  1. במסוף Cloud de Confiance , נכנסים לדף Logs Explorer:

    כניסה אל Logs Explorer

    אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שכותרת המשנה שלה היא Logging.

  2. בוחרים פרויקט, תיקייה או ארגון קיימים Cloud de Confiance .

  3. כדי להציג את כל יומני הביקורת, מזינים אחת מהשאילתות הבאות בשדה עורך השאילתות ולוחצים על Run query:

    logName:"cloudaudit.googleapis.com"

    protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog"

  4. כדי להציג את יומני הביקורת למשאב וסוג יומן ביקורת ספציפיים, בחלונית Query builder, מבצעים את הפעולות הבאות:

    • בקטע Resource Type, בוחרים את המשאב שרוצים לראות את יומני הביקורת שלו. Cloud de Confiance

    • בקטע Log name, בוחרים את סוג יומן הביקורת שרוצים לראות:

      • ליומני הביקורת Admin Activity בוחרים באפשרות activity.
      • ליומני הביקורת Data Access בוחרים באפשרות data_access.
      • ליומני הביקורת System Event בוחרים באפשרות system_event.
      • ליומני הביקורת Policy Denied בוחרים באפשרות policy.

    • לוחצים על Run query.

    אם האפשרויות האלה לא מוצגות, המשמעות היא שאין יומני ביקורת מאותו סוג ב Cloud de Confiance פרויקט, בתיקייה או בארגון.

    לא הצלחתם לצפות ביומנים ב-Logs Explorer? פתרון בעיות

    מידע נוסף על שליחת שאילתות באמצעות Logs Explorer מופיע במאמר יצירת שאילתות ב-Logs Explorer.

gcloud

הכלי Google Cloud CLI מספק גישה ל-Logging API באמצעות ממשק שורת הפקודה (CLI). חשוב לציין מזהה משאב תקין בכל אחד משמות היומנים. לדוגמה, אם שאילתה כוללת את השדה PROJECT_ID, מזהה הפרויקט שאתם מציינים חייב להתייחס לפרויקטCloud de Confiance שבחרתם.

כדי לקרוא את הרשומות ביומן הביקורת ברמת הפרויקט, מריצים את הפקודה הבאה: Cloud de Confiance 

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

כדי לקרוא את הרשומות ביומן הביקורת ברמת התיקייה, מריצים את הפקודה הבאה:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

כדי לקרוא את הרשומות ביומן הביקורת ברמת הארגון, מריצים את הפקודה הבאה:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

כדי לקרוא את הרשומות ביומן הביקורת ברמת החשבון לחיוב ב-Cloud, מריצים את הפקודה הבאה:

gcloud logging read "logName : billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com" \
    --billing-account=BILLING_ACCOUNT_ID

כדי לקרוא את הרשומות ביומן שנרשמו לפני יותר מיום אחד, מוסיפים לפקודה את הדגל --freshness.

למידע נוסף על השימוש ב-CLI של gcloud:‏ gcloud logging read.

REST

כדי להריץ שאילתות על נתוני היומנים באמצעות Cloud Logging API, משתמשים ב-method‏ entries.list.

אחסון וניתוב של יומני ביקורת

‫Cloud Logging משתמש בקטגוריות של יומנים כקונטיינרים שמאחסנים ומארגנים את נתוני היומנים. לכל חשבון לחיוב,Cloud de Confiance פרויקט, תיקייה וארגון, שירות Logging יוצר באופן אוטומטי שני מאגרי יומנים, _Required ו-_Default, ויעדים{/0} עם שמות תואמים.

בדלי _Required של Cloud Logging מאוחסנים יומני הביקורת Admin Activity ויומני הביקורת System Event. אי אפשר למנוע את השמירה של יומני הביקורת Admin Activity או System Event. בנוסף, אי אפשר להגדיר את יעד הנתונים שאליו מנותבים רשומות ביומן לדלי _Required.

יומני הביקורת Admin Activity ויומני הביקורת System Event תמיד מאוחסנים בקטגוריה _Required בפרויקט שבו נוצרו היומנים.

אם אתם מעבירים את יומני הביקורת Admin Activity ו-System Event לפרויקט אחר, היומנים האלה לא עוברים דרך יעד ה-sink של פרויקט היעד _Default או _Required. לכן, היומנים האלה לא נשמרים בקטגוריית היומנים _Default או בקטגוריית היומנים _Required של פרויקט היעד. כדי לאחסן את היומנים האלה, צריך ליצור sink ביומן בפרויקט היעד. מידע נוסף זמין במאמר ניתוב יומנים ליעדים נתמכים.

כברירת מחדל, בקטגוריות _Default מאוחסנים יומני ביקורת של Data Access וגם יומני ביקורת של Policy Denied. כדי למנוע את האחסון של יומני הביקורת Data Access בקטגוריות _Default, אפשר להשבית אותם. כדי למנוע שמירה של יומני ביקורת מסוג Policy Denied במאגרי _Default, אפשר להחריג אותם על ידי שינוי המסננים של ה-sinks שלהם.

אפשר גם לנתב את הרשומות ביומן הביקורת לקטגוריות של Cloud Logging שהוגדרו על ידי המשתמשים ברמת הפרויקט Cloud de Confiance או ליעדים נתמכים מחוץ ל-Logging באמצעות אובייקטים מסוג sink. הוראות לגבי ניתוב יומנים מופיעות במאמר ניתוב יומנים ליעדים נתמכים.

כשמגדירים את המסננים של יעד היומן, צריך לציין את סוגי יומני הביקורת שרוצים להעביר. דוגמאות לסינון מופיעות במאמר שאילתות של רישום ביומן לצורכי אבטחה.

אם רוצים להפנות רשומות ביומן ביקורת של Cloud de Confiance ארגון, תיקייה או חשבון לחיוב, ושל המשאבים שלהם, אפשר לעיין במאמר סקירה כללית של מאגרי נתונים מצטברים.

שמירת יומן הביקורת

לפרטים על משך הזמן לשמירת רשומות ביומן על ידי Logging, ראו את פרטי השמירה במאמר מכסות ומגבלות: תקופות שמירה של יומנים.

בקרת גישה

ההרשאות והתפקידים ב-IAM קובעים את אפשרויות הגישה שלכם לנתוני יומני הביקורת ב-Logging API, בLogs Explorer וב-Google Cloud CLI.

במאמר בקרת גישה באמצעות IAM מוסבר בהרחבה על ההרשאות והתפקידים ב-IAM שאולי תצטרכו.

מכסות ומגבלות

לפרטים על מגבלות השימוש ביומנים, כולל הגדלים המקסימליים של יומני ביקורת, ראו מכסות ומגבלות.

המאמרים הבאים