Questo documento descrive l'audit logging per l'autorità di certificazione pubblica. Google Cloud i servizi generano audit log che registrano le attività amministrative e di accesso all'interno delle tue Google Cloud risorse. Per ulteriori informazioni su Cloud Audit Logs, consulta quanto segue:
- Tipi di audit log
- Struttura della voce di audit log
- Archiviazione e routing degli audit log
- Riepilogo dei prezzi di Cloud Logging
- Abilita gli audit log di accesso ai dati
Nome servizio
Gli audit log dell'Public Certificate Authority utilizzano il nome servizio publicca.googleapis.com.
Filtra per questo servizio:
protoPayload.serviceName="publicca.googleapis.com"
Metodi per tipo di autorizzazione
Ogni autorizzazione IAM ha una proprietà type, il cui valore è un enum
che può essere uno dei quattro valori: ADMIN_READ, ADMIN_WRITE,
DATA_READ o DATA_WRITE. Quando chiami un metodo,
l'Public Certificate Authority genera un audit log la cui categoria dipende dalla
proprietà type dell'autorizzazione richiesta per eseguire il metodo.
I metodi che richiedono un'autorizzazione IAM con il valore della proprietà
type corrispondente a DATA_READ, DATA_WRITE o ADMIN_READ generano
audit log degli Accessi ai dati.
I metodi che richiedono un'autorizzazione IAM con il valore della proprietà type
ADMIN_WRITE generano
audit log delle Attività di amministrazione.
| Tipo di autorizzazione | Metodi |
|---|---|
DATA_WRITE |
google.cloud.security.publicca.v1.PublicCertificateAuthorityService.CreateExternalAccountKeygoogle.cloud.security.publicca.v1alpha1.PublicCertificateAuthorityService.CreateExternalAccountKeygoogle.cloud.security.publicca.v1beta1.PublicCertificateAuthorityService.CreateExternalAccountKey |
Audit log dell'interfaccia API
Per informazioni su come e quali autorizzazioni vengono valutate per ogni metodo, consulta la documentazione di Identity and Access Management per lPublic Certificate Authority.
google.cloud.security.publicca.v1.PublicCertificateAuthorityService
I seguenti audit log sono associati ai metodi appartenenti a
google.cloud.security.publicca.v1.PublicCertificateAuthorityService.
CreateExternalAccountKey
- Metodo:
google.cloud.security.publicca.v1.PublicCertificateAuthorityService.CreateExternalAccountKey - Tipo di audit log: accesso ai dati
- Autorizzazioni:
publicca.externalAccountKeys.create - DATA_WRITE
- Il metodo è un'operazione a lunga esecuzione o in streaming:
no.
- Filtra per questo metodo:
protoPayload.methodName="google.cloud.security.publicca.v1.PublicCertificateAuthorityService.CreateExternalAccountKey"
google.cloud.security.publicca.v1alpha1.PublicCertificateAuthorityService
I seguenti audit log sono associati ai metodi appartenenti a
google.cloud.security.publicca.v1alpha1.PublicCertificateAuthorityService.
CreateExternalAccountKey
- Metodo:
google.cloud.security.publicca.v1alpha1.PublicCertificateAuthorityService.CreateExternalAccountKey - Tipo di audit log: accesso ai dati
- Autorizzazioni:
publicca.externalAccountKeys.create - DATA_WRITE
- Il metodo è un'operazione a lunga esecuzione o in streaming:
no.
- Filtra per questo metodo:
protoPayload.methodName="google.cloud.security.publicca.v1alpha1.PublicCertificateAuthorityService.CreateExternalAccountKey"
google.cloud.security.publicca.v1beta1.PublicCertificateAuthorityService
I seguenti audit log sono associati ai metodi appartenenti a
google.cloud.security.publicca.v1beta1.PublicCertificateAuthorityService.
CreateExternalAccountKey
- Metodo:
google.cloud.security.publicca.v1beta1.PublicCertificateAuthorityService.CreateExternalAccountKey - Tipo di audit log: accesso ai dati
- Autorizzazioni:
publicca.externalAccountKeys.create - DATA_WRITE
- Il metodo è un'operazione a lunga esecuzione o in streaming:
no.
- Filtra per questo metodo:
protoPayload.methodName="google.cloud.security.publicca.v1beta1.PublicCertificateAuthorityService.CreateExternalAccountKey"
Log di controllo disponibili
Per lPublic Certificate Authority sono disponibili i seguenti tipi di log di controllo:
-
Audit log degli accessi ai dati
Include "data write" che scrive i dati forniti dall'utente.
Per ricevere gli audit log di accesso ai dati, devi abilitarli esplicitamente.
Per descrizioni più dettagliate dei tipi di log di controllo, vedi Tipi di log di controllo.
Formato degli audit log
Le voci del log di controllo includono i seguenti oggetti:
La voce di log stessa, che è un oggetto di tipo
LogEntry. Di seguito vengono riportati alcuni campi utili:logNamecontiene l'ID risorsa e il tipo di log di controllo.resourcecontiene il target dell'operazione sottoposta ad audit.timeStampcontiene l'ora dell'operazione sottoposta ad audit.- Il campo
protoPayloadcontiene le informazioni sottoposte ad audit.
I dati di audit log, che sono un oggetto
AuditLogcontenuto nel campoprotoPayloaddella voce di log.Informazioni di audit facoltative e specifiche del servizio, che sono un oggetto specifico del servizio. Per le integrazioni precedenti, questo oggetto è contenuto nel campo
serviceDatadell'oggettoAuditLog; le integrazioni successive utilizzano il campometadata.
Per informazioni sugli altri campi in questi oggetti e su come interpretarli, consulta Comprendere i log di controllo.
Nome log
I nomi dei log di Cloud Audit Logs includono identificatori di risorse che indicano ilGoogle Cloud progetto o un'altra Google Cloud entità proprietaria degli audit log, oltre a specificare se il log contiene dati di audit logging per l'attività di amministrazione, l'accesso ai dati, il rifiuto dei criteri o gli eventi di sistema.
Di seguito sono riportati i nomi dei log di controllo, incluse le variabili per gli identificatori delle risorse:
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Factivity billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fdata_access billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fpolicy organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy
Abilitazione degli audit log
Gli audit log per le attività di amministrazione sono sempre abilitati; non puoi disabilitarli.
Gli audit log di accesso ai dati sono disabilitati per impostazione predefinita e non vengono scritti a meno che non vengano abilitati esplicitamente (fanno eccezione gli audit log di accesso ai dati per BigQuery, che non possono essere disabilitati).
Per informazioni sull'abilitazione di alcuni o tutti gli audit log di accesso ai dati, consulta Attivare gli audit log di accesso ai dati.
Visualizza audit log
Puoi eseguire query su tutti i log di controllo o su log specifici in base al nome del log di controllo. Il nome dell'audit log include l'identificatore della risorsa del progetto, della cartella, dell'account di fatturazione o dell'organizzazione per cui vuoi visualizzare le informazioni di audit logging. Google Cloud
Le query possono specificare campi LogEntry indicizzati e, se utilizzi la pagina Analisi dei log, che supporta le query SQL, puoi visualizzare i risultati della query come grafico.
Per ulteriori informazioni su come eseguire query sui log, consulta le seguenti pagine:
- Creare query in Esplora log.
- Eseguire query e visualizzare i log in Analisi dei log.
- Query di esempio per gli approfondimenti sulla sicurezza.
Puoi visualizzare i log di controllo in Cloud Logging utilizzando la consoleGoogle Cloud , Google Cloud CLI o l'API Logging.
Console
Nella console Google Cloud , puoi utilizzare Esplora log per recuperare le voci di audit log per il tuo progetto, la tua cartella o la tua organizzazione Google Cloud :
-
Nella Google Cloud console, vai alla pagina Esplora log:
Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.
Seleziona un progetto, una cartella o un'organizzazione Google Cloud esistente.
Per visualizzare tutti i log di controllo, inserisci una delle seguenti query nel campo dell'editor query, quindi fai clic su Esegui query:
logName:"cloudaudit.googleapis.com"
protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog"
Per visualizzare i log di controllo per un tipo di risorsa e di log di controllo specifico, nel riquadro Query Builder:
In Tipo di risorsa, seleziona la risorsa Google Cloud di cui vuoi visualizzare gli audit log.
In Nome log, seleziona il tipo di audit log che vuoi visualizzare:
- Per gli audit log delle attività di amministrazione, seleziona activity.
- Per gli audit log dell'accesso ai dati, seleziona data_access.
- Per gli audit log degli eventi di sistema, seleziona system_event.
- Per gli audit log negati da criteri, seleziona policy.
Fai clic su Esegui query.
Se non vedi queste opzioni, significa che non sono disponibili audit log di questo tipo nel progetto, nella cartella o nell'organizzazione. Google Cloud
Se riscontri problemi quando provi a visualizzare i log in Esplora log, consulta le informazioni per la risoluzione dei problemi.
Per ulteriori informazioni sull'esecuzione di query utilizzando Esplora log, vedi Creare query in Esplora log. Per informazioni sul riepilogo delle voci di log in Esplora log utilizzando Gemini, vedi Riepilogare le voci di log con l'aiuto di Gemini.
gcloud
Google Cloud CLI fornisce un'interfaccia a riga di comando per l'API Logging. Fornisci un identificatore di risorsa valido in ciascuno dei nomi dei log. Ad esempio, se la query include PROJECT_ID, l'identificatore del progetto che fornisci deve fare riferimento al progettoGoogle Cloud attualmente selezionato.
Per leggere le voci del log di controllo a livello di progetto Google Cloud , esegui il seguente comando:
gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
--project=PROJECT_ID
Per leggere le voci del log di controllo a livello di cartella, esegui il comando seguente:
gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
--folder=FOLDER_ID
Per leggere le voci di audit log a livello di organizzazione, esegui questo comando:
gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
--organization=ORGANIZATION_ID
Per leggere le voci del log di controllo a livello di account di fatturazione Cloud, esegui questo comando:
gcloud logging read "logName : billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com" \
--billing-account=BILLING_ACCOUNT_ID
Aggiungi il flag --freshness
al comando per leggere i log più vecchi di un giorno.
Per saperne di più sull'utilizzo di gcloud CLI, consulta
gcloud logging read.
API
Quando crei le query, fornisci un identificatore di risorsa valido in ciascuno dei nomi dei log. Ad esempio, se la query include PROJECT_ID, l'identificatore di progetto che fornisci deve fare riferimento al progetto Google Cloud attualmente selezionato.
Ad esempio, per utilizzare l'API Logging per visualizzare le voci di audit log a livello di progetto, procedi nel seguente modo:
Vai alla sezione Prova questa API nella documentazione del metodo
entries.list.Inserisci quanto segue nella sezione Corpo della richiesta del modulo Prova questa API. Se fai clic su questo modulo precompilato, il corpo della richiesta viene compilato automaticamente, ma devi fornire un PROJECT_ID valido in ciascuno dei nomi dei log.
{ "resourceNames": [ "projects/PROJECT_ID" ], "pageSize": 5, "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" }Fai clic su Esegui.