Sebagian atau seluruh informasi di halaman ini mungkin tidak berlaku untuk Cloud de Confiance dari S3NS. Lihat Perbedaan dengan Google Cloud untuk mengetahui detail selengkapnya.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Ringkasan Cloud Audit Logs

Dokumen ini memberikan ringkasan konseptual tentang Cloud Audit Logs.

Cloud de Confiance by S3NS Layanan menulis log audit yang mencatat aktivitas administratif dan akses dalam Cloud de Confiance resource Anda. Log audit membantu Anda menjawab "siapa yang melakukan apa, di mana, dan kapan?" dalam Cloud de Confiance resource dengan tingkat transparansi yang sama seperti di lingkungan lokal. Mengaktifkan log audit membantu entitas keamanan, audit, dan kepatuhan Anda memantau Cloud de Confiance data dan sistem untuk mengetahui kemungkinan kerentanan atau penyalahgunaan data eksternal.

Cloud de Confiance by S3NS Layanan yang menghasilkan log audit

Untuk mengetahui daftar Cloud de Confiance layanan yang menyediakan log audit, lihat Cloud de Confiance by S3NS layanan dengan log audit. Semua Cloud de Confiance layanan pada akhirnya akan menyediakan log audit.

Server Google Cloud MCP menulis log audit Akses Data. Log audit Akses Data yang ditulis oleh panggilan API server Google Cloud MCP bersifat khusus layanan dan menggunakan format SERVICE_NAME.googleapis.com/mcp. Anda dapat mengaktifkan log Akses Data ini dengan mengaktifkan logging audit untuk mcp.googleapis.com di objek IAM AuditConfig. Untuk mengetahui informasi selengkapnya tentang logging audit untuk server Google Cloud MCP, lihat Logging audit server Google Cloud MCP.

Peran yang diperlukan

Untuk melihat log audit, Anda harus memiliki peran dan izin Identity and Access Management (IAM) yang sesuai:

Untuk mendapatkan izin yang diperlukan guna mendapatkan akses hanya baca ke log audit Aktivitas Admin, Kebijakan Ditolak, dan Peristiwa Sistem, minta administrator untuk memberi Anda peran IAM Logs Viewer (roles/logging.viewer) di project Anda.

Jika hanya memiliki peran Logs Viewer (roles/logging.viewer), Anda tidak dapat melihat log audit Akses Data yang ada di bucket _Default.

Untuk mendapatkan izin yang diperlukan guna mendapatkan akses ke semua log di bucket _Required dan _Default, termasuk log Akses Data, minta administrator untuk memberi Anda peran IAM Private Logs Viewer (roles/logging.privateLogViewer) di project Anda.

Peran Private Logs Viewer (roles/logging.privateLogViewer) mencakup izin yang ada di peran Logs Viewer (roles/logging.viewer), dan izin yang diperlukan untuk membaca log audit Akses Data di bucket _Default.

Untuk mengetahui informasi selengkapnya tentang peran dan izin IAM yang berlaku untuk data log audit, lihat Kontrol akses dengan IAM.

Jenis log audit

Cloud Audit Logs menyediakan log audit berikut untuk setiap Cloud de Confiance project, folder, dan organisasi:

Log audit Aktivitas Admin
Log audit Akses Data
Log audit Peristiwa Sistem
Log audit Kebijakan Ditolak

Log audit Aktivitas Admin

Log audit Aktivitas Admin adalah entri log yang ditulis oleh panggilan API yang dilakukan pengguna atau tindakan lain yang mengubah konfigurasi atau metadata resource. Misalnya, log ini mencatat saat pengguna membuat instance VM atau mengubah izin Identity and Access Management.

Log audit Aktivitas Admin selalu ditulis; Anda tidak dapat mengonfigurasi, mengecualikan, atau menonaktifkannya. Meskipun Anda menonaktifkan Cloud Logging API, log audit Aktivitas Admin tetap dibuat.

Untuk mengetahui daftar layanan yang menulis log audit Aktivitas Admin dan informasi detail tentang aktivitas yang menghasilkan log tersebut, lihat Cloud de Confiance by S3NS Layanan dengan log audit.

Log audit Akses Data

Log audit Akses Data adalah entri log yang ditulis oleh panggilan API yang membaca konfigurasi atau metadata resource. Log audit Akses Data juga ditulis oleh panggilan API yang dilakukan pengguna untuk membuat, mengubah, atau membaca data resource yang diberikan pengguna.

Resource yang tersedia secara publik yang memiliki kebijakan Identity and Access Management allAuthenticatedUsers atau allUsers tidak menghasilkan log audit. Resource yang dapat diakses tanpa login ke akun Cloud de Confiance tidak menghasilkan log audit. Hal ini membantu melindungi identitas dan informasi pengguna akhir.

Log audit Akses Data—kecuali log audit Akses Data BigQuery—dinonaktifkan secara default karena log audit dapat menjadi cukup besar. Jika Anda ingin log audit Akses Data ditulis untuk layanan selain Cloud de Confiance BigQuery, Anda harus mengaktifkannya secara eksplisit. Log audit Akses Data ditulis ke Cloud de Confiance project yang datanya diakses. Mengaktifkan log ini dapat menyebabkan project Anda dikenai biaya untuk penggunaan log tambahan. Cloud de Confiance Untuk mengetahui petunjuk cara mengaktifkan dan mengonfigurasi log audit Akses Data, lihat Mengaktifkan log audit Akses Data.

Untuk mengetahui daftar layanan yang menulis log audit Akses Data dan informasi detail tentang aktivitas yang menghasilkan log tersebut, lihat Cloud de Confiance by S3NS Layanan dengan log audit.

Log audit Akses Data disimpan di _Default bucket log, kecuali jika Anda telah merutekannya ke tempat lain. Untuk mengetahui informasi selengkapnya, lihat bagian Menyimpan dan merutekan log audit di halaman ini.

Log audit Peristiwa Sistem

Log audit Peristiwa Sistem adalah entri log yang ditulis oleh Cloud de Confiance sistem yang mengubah konfigurasi resource. Log audit Peristiwa Sistem tidak didorong oleh tindakan pengguna langsung. Misalnya, log audit Peristiwa Sistem ditulis saat VM otomatis ditambahkan ke atau dihapus dari grup instance terkelola (MIG) karena penskalaan otomatis.

Log audit Peristiwa Sistem selalu ditulis; Anda tidak dapat mengonfigurasi, mengecualikan, atau menonaktifkannya.

Untuk mengetahui daftar layanan yang menulis log audit Peristiwa Sistem dan informasi detail tentang aktivitas yang menghasilkan log tersebut, lihat Cloud de Confiance by S3NS Layanan dengan log audit.

Log audit Kebijakan Ditolak

Log audit Kebijakan Ditolak adalah entri log yang ditulis saat layanan Cloud de Confiance by S3NS menolak akses ke pengguna atau akun layanan karena pelanggaran kebijakan keamanan.

Log audit Kebijakan Ditolak dibuat secara default dan project Anda Cloud de Confiance dikenai biaya untuk penyimpanan log. Anda tidak dapat menonaktifkan log audit Kebijakan Ditolak, tetapi Anda dapat menggunakan filter pengecualian untuk mencegah log audit Kebijakan Ditolak disimpan di Cloud Logging.

Untuk mengetahui daftar layanan yang menulis log audit Kebijakan Ditolak dan informasi detail tentang aktivitas yang menghasilkan log tersebut, lihat Cloud de Confiance by S3NS Layanan dengan log audit.

Struktur entri log audit

Setiap entri log audit di Cloud Logging adalah objek dengan jenis LogEntry. Yang membedakan entri log audit dari entri log lainnya adalah kolom protoPayload; kolom ini berisi objek AuditLog yang menyimpan data logging audit.

Untuk memahami cara membaca dan menafsirkan entri log audit, serta contoh entri log audit, lihat Memahami log audit.

Nama log

Nama log Cloud Audit Logs mencakup hal berikut:

ID resource yang menunjukkan Cloud de Confiance project atau entity Cloud de Confiance lain yang memiliki log audit.
String cloudaudit.googleapis.com.
String yang menunjukkan apakah log berisi data logging audit Aktivitas Admin, Akses Data, Kebijakan Ditolak, atau Peristiwa Sistem.

Berikut adalah nama log audit, termasuk variabel untuk ID resource:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Factivity
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Identitas pemanggil di log audit

Log audit mencatat identitas yang melakukan operasi yang dicatat dalam log pada Cloud de Confiance resource. Identitas pemanggil disimpan di AuthenticationInfo kolom AuditLog objek.

Logging audit tidak menyamarkan alamat email utama pemanggil untuk akses yang berhasil atau untuk operasi tulis apa pun.

Untuk operasi hanya baca yang gagal dengan error "permission denied", Logging Audit mungkin menyamarkan alamat email utama pemanggil, kecuali jika pemanggil adalah akun layanan.

Selain kondisi yang tercantum di atas, hal berikut berlaku untuk layanan tertentu Cloud de Confiance services:

BigQuery: Identitas dan alamat IP pemanggil, serta beberapa nama resource, disamarkan dari log audit, kecuali jika kondisi tertentu terpenuhi.
Cloud Storage: Saat log penggunaan Cloud Storage diaktifkan, Cloud Storage akan menulis data penggunaan ke bucket Cloud Storage, yang menghasilkan log audit Akses Data untuk bucket tersebut. Log audit Akses Data yang dihasilkan memiliki identitas pemanggil yang disamarkan.

Kebijakan Organisasi: Bagian dari alamat email pemanggil mungkin disamarkan dan diganti dengan tiga karakter titik ....

Alamat IP pemanggil di log audit

Alamat IP pemanggil disimpan di kolom RequestMetadata.callerIp objek AuditLog:

Untuk pemanggil dari internet, alamatnya adalah alamat IPv4 atau IPv6 publik.
Untuk panggilan yang dilakukan dari dalam jaringan produksi internal dari satu Cloud de Confiance by S3NS layanan ke layanan lain, callerIp disamarkan menjadi "private". Hal ini mencakup panggilan yang dilakukan oleh akun layanan milik Google (agen layanan) meskipun dimulai oleh pengguna, atau panggilan yang dimulai oleh infrastruktur internal Google.
Untuk pemanggil dari VM Compute Engine dengan alamat IP eksternal, callerIp adalah alamat eksternal VM. Hal ini berlaku untuk VM standar dan VM yang dikelola Google, seperti node Google Kubernetes Engine. Dalam alur multi-layanan (misalnya, Cloud Logging memanggil Cloud KMS), kecuali jika delegasi identitas eksplisit ada, layanan mungkin menyebarkan asal pemanggil langsung dan alamat eksternal dapat muncul, bukan "private".
Untuk pemanggil dari VM Compute Engine tanpa alamat IP eksternal, jika VM berada di organisasi atau project yang sama dengan resource yang diakses, callerIp adalah alamat IPv4 internal VM. Jika tidak, callerIp akan disamarkan menjadi "gce-internal-ip". Untuk mengetahui informasi selengkapnya, lihat Ringkasan jaringan VPC.

Melihat log audit

Anda dapat membuat kueri untuk semua log audit atau membuat kueri untuk log berdasarkan nama log auditnya. Nama log audit mencakup ID resource project Cloud de Confiance , folder, akun penagihan, atau organisasi yang informasi logging auditnya ingin Anda lihat. Kueri Anda dapat menentukan kolom LogEntry yang diindeks. Untuk mengetahui informasi selengkapnya tentang cara membuat kueri log Anda, lihat Membuat kueri di Logs Explorer.

Sebagian besar log audit dapat dilihat di Cloud Logging menggunakan konsolCloud de Confiance , Google Cloud CLI, atau Logging API. Namun, untuk log audit terkait penagihan, Anda hanya dapat menggunakan Google Cloud CLI atau Logging API.

Konsol

Di Cloud de Confiance konsol, Anda dapat menggunakan Logs Explorer untuk mengambil entri log audit untuk Cloud de Confiance project, folder, atau organisasi Anda:

Di Cloud de Confiance konsol, buka halaman Logs Explorer:
Buka Logs Explorer

Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Logging.
Pilih organisasi, folder, atau project Cloud de Confiance yang sudah ada.
Untuk menampilkan semua log audit, masukkan salah satu kueri berikut ke kolom editor kueri, lalu klik Run query:
```
logName:"cloudaudit.googleapis.com"
```
```
protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog"
```
Agar dapat menampilkan log audit untuk jenis log audit dan resource tertentu, di panel Query builder, lakukan langkah berikut ini:
- Di Resource type, pilih resource Cloud de Confiance yang log auditnya ingin Anda lihat.
- Di Log name, pilih jenis log audit yang ingin dilihat:
  - Untuk log audit Aktivitas Admin, pilih activity.
  - Untuk log audit Akses Data, pilih data_access.
  - Untuk log audit Peristiwa Sistem, pilih system_event.
  - Untuk log audit Kebijakan Ditolak, pilih policy.
- Klik Run query.
Jika Anda tidak melihat opsi ini, berarti tidak ada log audit dengan jenis tersebut yang tersedia di project Cloud de Confiance , folder, atau organisasi.

Jika mengalami masalah saat mencoba melihat log di Logs Explorer, lihat informasi pemecahan masalah.

Untuk mengetahui informasi selengkapnya tentang pembuatan kueri menggunakan Logs Explorer, lihat Membuat kueri di Logs Explorer.

gcloud

Google Cloud CLI menyediakan antarmuka command line ke Logging API. Berikan ID resource yang valid di setiap nama log. Misalnya, jika kueri Anda menyertakan PROJECT_ID, project ID yang Anda berikan harus merujuk pada projectCloud de Confiance yang saat ini dipilih.

Untuk membaca entri log audit level project Cloud de Confiance , jalankan perintah berikut:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

Untuk membaca entri log audit level folder, jalankan perintah berikut:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

Untuk membaca entri log audit level organisasi, jalankan perintah berikut:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

Untuk membaca entri log audit level akun Penagihan Cloud Anda, jalankan perintah berikut:

gcloud logging read "logName : billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com" \
    --billing-account=BILLING_ACCOUNT_ID

Tambahkan flag --freshness ke perintah Anda untuk membaca log yang berusia lebih dari 1 hari.

Untuk mengetahui informasi selengkapnya tentang penggunaan gcloud CLI, lihat gcloud logging read.

REST

Untuk membuat kueri data log menggunakan Cloud Logging API, gunakan entries.list metode.

Menyimpan dan merutekan log audit

Cloud Logging menggunakan bucket log sebagai container yang menyimpan dan mengatur data log Anda. Untuk setiap akun penagihan, Cloud de Confiance project, folder, dan organisasi, Logging otomatis membuat dua bucket log, _Required dan _Default, serta sink dengan nama yang sesuai.

Bucket _Required Cloud Logging menyimpan log audit Aktivitas Admin dan log audit Peristiwa Sistem. Anda tidak dapat mencegah log audit Aktivitas Admin atau Peristiwa Sistem disimpan. Anda juga tidak dapat mengonfigurasi sink yang merutekan entri log ke bucket _Required.

Log audit Aktivitas Admin dan log audit Peristiwa Sistem selalu disimpan di bucket _Required dalam project tempat log dibuat.

Jika Anda merutekan log audit Aktivitas Admin dan log audit Peristiwa Sistem ke project lain, log tersebut tidak akan diteruskan melalui sink _Default atau _Required project tujuan. Oleh karena itu, log ini tidak disimpan di bucket log _Default atau bucket log _Required project tujuan. Untuk menyimpan log ini, buat sink log di project tujuan. Untuk mengetahui informasi selengkapnya, lihat Merutekan log ke tujuan yang didukung.

Bucket _Default, secara default, menyimpan log audit Akses Data yang diaktifkan serta log audit Kebijakan Ditolak. Untuk mencegah log audit Akses Data disimpan di bucket _Default, Anda dapat menonaktifkannya. Untuk mencegah log audit Kebijakan Ditolak disimpan di bucket _Default, Anda dapat mengecualikannya dengan mengubah filter sink-nya.

Anda juga dapat merutekan entri log audit ke bucket Cloud Logging yang ditentukan pengguna di tingkat project atau ke tujuan yang didukung di luar Logging menggunakan sink. Cloud de Confiance Untuk mengetahui petunjuk cara merutekan log, lihat Merutekan log ke tujuan yang didukung.

Saat mengonfigurasi filter sink log, Anda harus menentukan jenis log audit yang ingin dirutekan; untuk contoh pemfilteran, lihat Kueri logging keamanan.

Jika Anda ingin merutekan entri log audit untuk organisasi Cloud de Confiance , folder, atau akun penagihan, dan untuk turunannya, lihat Ringkasan sink gabungan.

Retensi log audit

Untuk mengetahui detail tentang berapa lama entri log disimpan oleh Logging, lihat informasi retensi di Kuota dan batasan: Periode retensi log.

Kontrol akses

Peran dan izin IAM menentukan kemampuan Anda untuk mengakses data log audit di Logging API, Logs Explorer, dan Google Cloud CLI.

Untuk mengetahui informasi mendetail tentang peran dan izin IAM yang Anda mungkin perlukan, lihat Kontrol akses dengan IAM.

Kuota dan batasan

Untuk mengetahui detail tentang batas penggunaan logging, termasuk ukuran maksimum log audit, lihat Kuota dan batasan.

Langkah berikutnya

Pelajari cara me mbaca dan memahami log audit.
Pelajari cara mengaktifkan log audit Akses Data.
Tinjau praktik terbaik untuk Cloud Audit Logs.