敏感操作始终会写入 敏感操作服务平台日志。 此外, Google Cloud 还会通过 Advisory Notifications 提供敏感操作的摘要。
通知中提供了用于在平台日志中查看每种类型的前三项单独操作的链接。您需要拥有适当的
Identity and Access Management 角色(例如
roles/logs.viewer),才能查看 Cloud Logging 日志。
如果特定类型的敏感操作超过三项,通知可能还会提供一个链接,用于在 Logging 中查看所有操作。不过,并非所有情况下都会提供此链接。某些敏感操作(例如添加项目级 SSH 密钥)可能会在组织中的多个不同项目中发生。在这种情况下,Google 无法为您提供单个 Logging 链接来查看所有敏感操作,因为 Logging 始终限定于特定资源(项目、文件夹或组织)。
查看组织中的所有敏感操作日志
如果您想查看组织中的所有敏感操作日志,可以 设置一个 Logging 存储桶来 汇总这些日志。
使用以下查询将所有敏感操作日志纳入存储桶:
logName:sensitiveaction.googleapis.com%2Faction
如果您只想要某些类型的敏感操作
日志(例如 AND "add_ssh_key"),可以添加其他术语。
为敏感操作日志设置提醒
如果您想更频繁地收到有关敏感操作的提醒,可以 配置基于日志的提醒。例如,使用以下查询来匹配所有敏感操作日志:
logName:sensitiveaction.googleapis.com%2Faction
后续步骤
- 了解审核日志记录。