Panoramica di Cloud Audit Logs

Questo documento fornisce una panoramica concettuale di Cloud Audit Logs.

Google Cloud i servizi scrivono audit log che registrano le attività amministrative e gli accessi all'interno delle tue Google Cloud risorse. Gli audit log ti aiutano a rispondere alla domanda "Chi ha fatto cosa, dove e quando?" all'interno delle tue Google Cloud risorse con lo stesso livello di trasparenza degli ambienti on-premise. L'abilitazione degli audit log consente alle tue entità di sicurezza, controllo e conformità di monitorare Google Cloud i dati e i sistemi per individuare possibili vulnerabilità o uso improprio dei dati esterni.

Google Cloud Servizi che producono audit log

Per un elenco dei Google Cloud servizi che forniscono audit log, consulta Google Cloud Servizi con audit log. Tutti i Google Cloud servizi forniranno audit log.

I server MCP di Google Cloud scrivono audit log di accesso ai dati. Gli audit log di accesso ai dati scritti dalle chiamate API dei server MCP di Google Cloud sono specifici del servizio e utilizzano il formato SERVICE_NAME.googleapis.com/mcp. Puoi abilitare questi log di accesso ai dati attivando l'audit logging per mcp.googleapis.com in l'oggetto IAM AuditConfig. Per saperne di più sull'audit logging per i server MCP di Google Cloud, consulta Audit logging dei server MCP di Google Cloud.

Per una panoramica degli audit log di Google Workspace, consulta Audit log di Google Workspace.

Ruoli obbligatori

Per visualizzare gli audit log, devi disporre dei ruoli e delle autorizzazioni Identity and Access Management (IAM) appropriati:

  • Per ottenere le autorizzazioni necessarie per accedere in sola lettura agli audit log Attività di amministrazione, Policy negata ed Evento di sistema, chiedi all'amministratore di concederti il ruolo IAM Visualizzatore log (roles/logging.viewer) nel tuo progetto.

    Se hai solo il ruolo Visualizzatore log (roles/logging.viewer), non puoi visualizzare gli audit log di accesso ai dati che si trovano nel bucket _Default.

  • Per ottenere le autorizzazioni necessarie per accedere a tutti i log nei _Required e _Default bucket, inclusi i log di accesso ai dati, chiedi all'amministratore di concederti il Visualizzatore log privati (roles/logging.privateLogViewer) ruolo IAM nel tuo progetto.

    Il ruolo Visualizzatore log privati (roles/logging.privateLogViewer) include le autorizzazioni contenute nel ruolo Visualizzatore log (roles/logging.viewer) e quelle necessarie per leggere gli audit log di accesso ai dati nel bucket _Default.

Per saperne di più sui ruoli e sulle autorizzazioni IAM che si applicano ai dati degli audit log, consulta Controllo dell'accesso con IAM.

Tipi di audit log

Cloud Audit Logs fornisce i seguenti audit log per ogni Google Cloud progetto, cartella e organizzazione:

Audit log delle attività di amministrazione

Gli audit log delle attività di amministrazione sono voci di log scritte da chiamate API guidate dall'utente o altre azioni che modificano la configurazione o i metadati delle risorse. Ad esempio, questi log registrano quando gli utenti creano istanze VM o modificano le autorizzazioni di Identity and Access Management.

Gli audit log delle attività di amministrazione vengono sempre scritti; non puoi configurarli, escluderli o disabilitarli. Anche se disabiliti l'API Cloud Logging, gli audit log delle attività di amministrazione vengono comunque generati.

Per un elenco dei servizi che scrivono audit log delle attività di amministrazione e informazioni dettagliate sulle attività che generano questi log, consulta Google Cloud Servizi con audit log.

Audit log degli accessi ai dati

Gli audit log degli accessi ai dati sono voci di log scritte da chiamate API che leggono la configurazione o i metadati delle risorse. Vengono scritti anche da chiamate API guidate dall'utente che creano, modificano o leggono i dati delle risorse forniti dall'utente.

Le risorse disponibili pubblicamente che hanno le policy Identity and Access Management allAuthenticatedUsers o allUsers non generano audit log. Le risorse a cui è possibile accedere senza accedere a un Google Cloud, account Google Workspace, Cloud Identity o Drive Enterprise non generano log di controllo. Ciò contribuisce a proteggere le identità e le informazioni degli utenti finali.

Gli audit log degli accessi ai dati, tranne quelli di BigQuery, sono disabilitati per impostazione predefinita perché possono essere abbastanza grandi. Se vuoi che gli audit log degli accessi ai dati vengano scritti per Google Cloud servizi diversi da BigQuery, devi abilitarli esplicitamente. Gli audit log degli accessi ai dati vengono scritti nel Google Cloud progetto a cui si accede ai dati. L'abilitazione di questi log potrebbe comportare l'addebito al tuo Google Cloud progetto dell'utilizzo aggiuntivo dei log. Per istruzioni su come abilitare e configurare gli audit log degli accessi ai dati, consulta Abilita gli audit log degli accessi ai dati.

Per un elenco dei servizi che scrivono audit log degli accessi ai dati e informazioni dettagliate sulle attività che generano questi log, consulta Google Cloud Servizi con audit log.

Gli audit log degli accessi ai dati vengono archiviati nel _Default bucket di log a meno che tu'li abbia instradati altrove. Per saperne di più, consulta la sezione Archiviazione e routing degli audit log di questa pagina.

Audit log degli eventi di sistema

Gli audit log degli eventi di sistema sono voci di log scritte da Google Cloud sistemi che modificano la configurazione delle risorse. Gli audit log degli eventi di sistema non sono guidati dall'azione diretta dell'utente. Ad esempio, viene scritto un audit log degli eventi di sistema quando le VM vengono aggiunte o rimosse automaticamente dai gruppi di istanze gestite (MIG) a causa della scalabilità automatica.

Gli audit log degli eventi di sistema vengono sempre scritti; non puoi configurarli, escluderli o disabilitarli.

Per un elenco dei servizi che scrivono audit log degli eventi di sistema e informazioni dettagliate sulle attività che generano questi log, consulta Google Cloud Servizi con audit log.

Audit log negati da criteri

Gli audit log negati da criteri sono voci di log scritte quando un Google Cloud servizio nega l'accesso a un utente o a un service account a causa di una violazione delle policy di sicurezza.

Gli audit log negati da criteri vengono generati per impostazione predefinita e al tuo Google Cloud progetto viene addebitato l'archiviazione dei log. Non puoi disabilitare gli audit log negati da criteri, ma puoi utilizzare i filtri di esclusione per impedire che vengano archiviati in Cloud Logging.

Per un elenco dei servizi che scrivono audit log negati da criteri e informazioni dettagliate sulle attività che generano questi log, consulta Google Cloud Servizi con audit log.

Struttura delle voci di log di controllo

Ogni voce di log degli audit log in Cloud Logging è un oggetto di tipo LogEntry. Ciò che distingue una voce degli audit log dalle altre voci di log è il campo protoPayload; questo campo contiene un AuditLog oggetto che memorizza i dati di audit logging.

Per capire come leggere e interpretare le voci di audit log e per un esempio di voce di audit log, consulta Informazioni sugli audit log.

Nome log

I nomi dei log di Cloud Audit Logs includono:

  • Identificatori di risorse che indicano il Google Cloud progetto o un'altra Google Cloud entità proprietaria degli audit log.

  • La stringa cloudaudit.googleapis.com.

  • Una stringa che indica se il log contiene dati degli audit log Attività di amministrazione, Accesso ai dati, Policy negata o Evento di sistema.

Di seguito sono riportati i nomi degli audit log, incluse le variabili per gli identificatori delle risorse:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Factivity
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Identità del chiamante negli audit log

Gli audit log registrano l'identità che ha eseguito le operazioni registrate sulla Google Cloud risorsa. L'identità del chiamante è contenuta nel AuthenticationInfo campo degli AuditLog oggetti.

L'audit logging non oscura l'indirizzo email principale del chiamante per nessun accesso riuscito o per nessuna operazione di scrittura.

Per le operazioni di sola lettura che non riescono a causa di un errore "Autorizzazione negata", l'audit logging potrebbe oscurare l'indirizzo email principale del chiamante, a meno che il chiamante non sia un account di servizio.

Oltre alle condizioni elencate sopra, si applica quanto segue a determinati Google Cloud servizi:

  • BigQuery: le identità e gli indirizzi IP del chiamante, nonché alcuni nomi delle risorse, vengono oscurati dagli audit log, a meno che non vengano soddisfatte determinate condizioni.

  • Cloud Storage: quando i log di utilizzo di Cloud Storage sono abilitati, Cloud Storage scrive i dati di utilizzo nel bucket Cloud Storage, che genera audit log di accesso ai dati per il bucket. L'identità del chiamante dell'audit log di accesso ai dati generato viene oscurata.

  • Firestore: se è stato utilizzato un token JWT (JSON Web Token) per l'autenticazione di terze parti, il thirdPartyPrincipal campo include l'intestazione e il payload del token. Ad esempio, gli audit log per richieste autenticate con Firebase Authentication includono il token di autenticazione della richiesta.

  • Controlli di servizio VPC: per gli audit log negati da criteri, si verifica il seguente oscuramento:

    • Alcune parti degli indirizzi email del chiamante potrebbero essere oscurate e sostituite da tre punti ....

    • Alcuni indirizzi email del chiamante appartenenti al dominio google.com vengono oscurati e sostituiti da google-internal.

  • Policy dell'organizzazione: alcune parti degli indirizzi email del chiamante potrebbero essere oscurate e sostituite da tre punti ....

Indirizzo IP del chiamante negli audit log

L'indirizzo IP del chiamante è contenuto nel campo RequestMetadata.callerIp di l'oggetto AuditLog:

  • Per un chiamante da internet, l'indirizzo è un indirizzo IPv4 o IPv6 pubblico.
  • Per le chiamate effettuate dall'interno della rete di produzione interna da un Google Cloud servizio a un altro, il callerIp viene oscurato con "private".
  • Per un chiamante da una VM di Compute Engine con un indirizzo IP esterno, callerIp è l'indirizzo esterno della VM.
  • Per un chiamante da una VM di Compute Engine senza un indirizzo IP esterno, se la VM si trova nella stessa organizzazione o nello stesso progetto della risorsa a cui è stato eseguito l'accesso, callerIp è l'indirizzo IPv4 interno della VM. In caso contrario, callerIp viene oscurato con "gce-internal-ip". Per saperne di più, consulta Panoramica della rete VPC.

Visualizzazione degli audit log

Puoi eseguire query su tutti gli audit log o su audit log specifici in base al nome. Il nome dell'audit log include l'identificatore della risorsa della cartella, dell'account di fatturazione, dell'organizzazione o del progetto Google Cloud per cui vuoi visualizzare le informazioni di audit logging. Le query possono specificare campi LogEntry indicizzati. Per saperne di più su come eseguire query sui log, consulta Crea query in Esplora log

Esplora log consente di visualizzare e filtrare singole voci di log. Se vuoi utilizzare SQL per analizzare gruppi di voci di log, usa la pagina Analisi dei log. Per saperne di più, vedi:

La maggior parte degli audit log può essere visualizzata in Cloud Logging utilizzando la consoleGoogle Cloud , Google Cloud CLI o l'API Logging. Per gli audit log relativi alla fatturazione, invece, puoi utilizzare solo Google Cloud CLI o l'API Logging.

Console

Nella console Google Cloud puoi utilizzare Esplora log per recuperare le voci di audit log per il progetto, la cartella o l'organizzazione Google Cloud :

  1. Nella Google Cloud console, vai alla pagina Esplora log:

    Vai a Esplora log

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

  2. Seleziona un progetto, una cartella o un'organizzazione Google Cloud esistente.

  3. Per visualizzare tutti gli audit log, inserisci una delle seguenti query nel campo dell'editor query, quindi fai clic su Esegui query:

    logName:"cloudaudit.googleapis.com"

    protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog"

  4. Per visualizzare gli audit log per un tipo di risorsa e un tipo di audit log specifici, nel riquadro Query Builder esegui queste operazioni:

    • In Tipo di risorsa seleziona la risorsa Google Cloud di cui vuoi visualizzare gli audit log.

    • In Nome log seleziona il tipo di audit log che vuoi visualizzare:

      • Per gli audit log Attività di amministrazione, seleziona activity.
      • Per gli audit log Accesso ai dati, seleziona data_access.
      • Per gli audit log Evento di sistema, seleziona system_event.
      • Per gli audit log Policy negata, seleziona policy.

    • Fai clic su Esegui query.

    Se non vedi queste opzioni, significa che non sono disponibili audit log di questo tipo nel progetto, nella cartella o nell'organizzazione Google Cloud .

    Se riscontri problemi quando provi a visualizzare i log in Esplora log, consulta le informazioni per la risoluzione dei problemi.

    Per saperne di più sull'esecuzione di query utilizzando Esplora log, consulta Crea query in Esplora log.

gcloud

Google Cloud CLI fornisce un'interfaccia a riga di comando per l'API Logging. Specifica un identificatore di risorsa valido in ciascuno dei nomi di log. Ad esempio, se la query include un PROJECT_ID, l'identificatore del progetto specificato deve fare riferimento al progettoGoogle Cloud attualmente selezionato.

Per leggere le voci di audit log a livello di progetto Google Cloud , esegui il comando seguente:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

Per leggere le voci di audit log a livello di cartella, esegui il comando seguente:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

Per leggere le voci di audit log a livello di organizzazione, esegui il comando seguente:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

Per leggere le voci di audit log a livello di account di fatturazione Cloud, esegui il comando seguente:

gcloud logging read "logName : billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com" \
    --billing-account=BILLING_ACCOUNT_ID

Aggiungi il flag --freshness al comando per leggere i log che hanno più di un giorno.

Per saperne di più sull'utilizzo di gcloud CLI, consulta gcloud logging read.

REST

Quando crei le query, specifica un identificatore di risorsa valido in ciascuno dei nomi di log. Ad esempio, se la query include un PROJECT_ID, l'identificatore del progetto specificato deve fare riferimento al progettoGoogle Cloud attualmente selezionato.

Ad esempio, per utilizzare l'API Logging per visualizzare le voci di audit log a livello di progetto, procedi in questo modo:

  1. Vai alla sezione Prova questa API nella documentazione del metodo entries.list.

  2. Inserisci il codice seguente nella sezione Corpo della richiesta del modulo Prova questa API. Facendo clic su questo modulo precompilato, il corpo della richiesta viene compilato automaticamente, ma devi fornire un PROJECT_ID valido in ciascuno dei nomi di log.

    {
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}

  3. Fai clic su Esegui.

Archiviazione e routing degli audit log

Cloud Logging utilizza i bucket di log come container che archiviano e organizzano i dati dei log. Per ogni account di fatturazione, Google Cloud progetto, cartella e organizzazione, Logging crea automaticamente due bucket di log, _Required e _Default, e i sink con nomi corrispondenti.

I bucket _Required di Cloud Logging archiviano gli audit log delle attività di amministrazione e gli audit log degli eventi di sistema. Non puoi impedire l'archiviazione degli audit log delle attività di amministrazione o degli eventi di sistema. Inoltre, non puoi configurare il sink che instrada le voci di log ai bucket _Required.

Gli audit log delle attività di amministrazione e gli audit log degli eventi di sistema vengono sempre archiviati nel bucket _Required del progetto in cui sono stati generati.

Se instradi gli audit log delle attività di amministrazione e gli audit log degli eventi di sistema a un progetto diverso, questi log non passano attraverso il sink _Default o _Required del progetto di destinazione. Di conseguenza, questi log non vengono archiviati nel bucket di log _Default o nel bucket di log _Required del progetto di destinazione. Per archiviare questi log, crea un sink di log nel progetto di destinazione. Per saperne di più, consulta Instrada i log verso destinazioni supportate.

Per impostazione predefinita, i bucket _Default archiviano tutti gli audit log degli accessi ai dati abilitati, nonché gli audit log negati da criteri. Per impedire l'archiviazione degli audit log degli accessi ai dati nei bucket _Default, puoi disabilitarli. Per impedire l'archiviazione di tutti gli audit log negati da criteri nei bucket _Default, puoi escluderli modificando i filtri dei relativi sink.

Puoi anche instradare le voci degli audit log ai bucket di Cloud Logging definiti dall'utente a livello di progetto o a destinazioni supportate al di fuori di Logging utilizzando i sink. Google Cloud Per istruzioni su come instradare i log, consulta Instrada i log verso destinazioni supportate.

Quando configuri i filtri dei sink di log, devi specificare i tipi di audit log che vuoi instradare. Per esempi di filtri, consulta Query di logging di sicurezza.

Se vuoi instradare le voci degli audit log per un' Google Cloud organizzazione, cartella o account di fatturazione e per i relativi elementi secondari, consulta Panoramica dei sink aggregati.

Conservazione degli audit log

Per informazioni dettagliate sulla durata di conservazione delle voci di log da parte di Logging, consulta le informazioni sulla conservazione in Quote e limiti: periodi di conservazione dei log.

Controllo degli accessi

I ruoli e le autorizzazioni IAM determinano la tua capacità di accedere ai dati degli audit log nell'API Logging, in Esplora log e in Google Cloud CLI.

Per informazioni dettagliate sui ruoli e sulle autorizzazioni IAM di cui potresti aver bisogno, consulta Controllo dell'accesso con IAM.

Quote e limiti

Per informazioni dettagliate sui limiti di utilizzo di Logging, incluse le dimensioni massime degli audit log, consulta Quote e limiti.

Prezzi

Per informazioni sui prezzi, consulta la pagina Prezzi di Google Cloud Observability. Se instradi i dati di log ad altri Google Cloud servizi, consulta i seguenti documenti:

Passaggi successivi

  • Scopri di più su Access Transparency, che fornisce i log delle azioni intraprese dal Google Cloud personale quando accede ai tuoi Google Cloud contenuti.