本文档介绍了 Container Security API 的审核日志记录。 Google Cloud 服务会生成审核日志,以记录 Google Cloud 资源中的管理和访问活动。如需详细了解 Cloud Audit Logs,请参阅以下内容:
备注
此 API 无法直接调用,只能通过 Google Cloud 控制台中的信息中心访问。
服务名称
Container Security API 审核日志使用服务名称 containersecurity.googleapis.com。
针对此服务的过滤条件:
protoPayload.serviceName="containersecurity.googleapis.com"
方法(按权限类型)
每个 IAM 权限都有一个 type 属性,该属性的值是一个枚举,可以是以下四个值之一:ADMIN_READ、ADMIN_WRITE、DATA_READ 或 DATA_WRITE。在您调用某个方法时,Container Security API 会生成一个审核日志,其类别取决于执行该方法所需权限的 type 属性。需要 IAM 权限且 type 属性值为 DATA_READ、DATA_WRITE 或 ADMIN_READ 的方法会生成数据访问审核日志。需要 IAM 权限且 type 属性值为 ADMIN_WRITE 的方法会生成管理员活动审核日志。
| 权限类型 | 方法 |
|---|---|
DATA_READ |
google.cloud.containersecurity.v1beta.ContainerSecurity.ListFindingsgoogle.cloud.containersecurity.v1beta.ContainerSecurity.SearchClusterFindingSummaries |
API 接口审核日志
如需了解如何针对每种方法评估权限以及评估哪些权限,请参阅 Container Security API 的 Identity and Access Management 文档。
google.cloud.containersecurity.v1beta.ContainerSecurity
以下审核日志与属于 google.cloud.containersecurity.v1beta.ContainerSecurity 的方法相关联。
ListFindings
- 方法:
google.cloud.containersecurity.v1beta.ContainerSecurity.ListFindings - 审核日志类型:数据访问
- 权限:
containersecurity.findings.list - DATA_READ
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="google.cloud.containersecurity.v1beta.ContainerSecurity.ListFindings"
SearchClusterFindingSummaries
- 方法:
google.cloud.containersecurity.v1beta.ContainerSecurity.SearchClusterFindingSummaries - 审核日志类型:数据访问
- 权限:
containersecurity.clusterSummaries.list - DATA_READ
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="google.cloud.containersecurity.v1beta.ContainerSecurity.SearchClusterFindingSummaries"
不会生成审核日志的方法
由于以下一个或多个原因,方法可能不会生成审核日志:
- 这是一种高容量方法,涉及较高的日志生成和存储费用。
- 它的审核价值较低。
- 其他审核或平台日志已提供方法覆盖功能。
以下方法不会生成审核日志:
google.cloud.location.Locations.GetLocationgoogle.cloud.location.Locations.ListLocations