סקירה כללית על יומני הביקורת של Cloud

במסמך הזה מפורטת סקירה כללית של מושגים שקשורים ליומני הביקורת של Cloud.

שירותיGoogle Cloud כותבים יומני ביקורת שבהם מתועדות פעילויות אדמין וגישות למשאבי Google Cloud . יומני ביקורת עוזרים לכם לענות על השאלות 'מי עשה מה, איפה ומתי?' ביחס למשאבי Google Cloud שלכם, באותה רמת שקיפות כמו בסביבות מקומיות. הפעלת יומני ביקורת עוזרת לגורמים בתחום האבטחה, הביקורת והתאימות לעקוב אחרי נתונים ומערכות כדי לזהות נקודות חולשה אפשריות או שימוש לרעה בנתונים חיצוניים.Google Cloud

Google Cloud שירותים שמפיקים יומני ביקורת

רשימה של Google Cloud שירותים שמספקים יומני ביקורת זמינה במאמר Google Cloud שירותים עם יומני ביקורת. בסופו של דבר, כל שירותיGoogle Cloud יספקו יומני ביקורת.

השרתים של Google Cloud MCP כותבים יומני ביקורת Data Access. יומני ביקורת של גישה לנתונים שנכתבים על ידי קריאות ל-API של שרתי Google Cloud MCP הם ספציפיים לשירות ומשתמשים בפורמט SERVICE_NAME.googleapis.com/mcp. כדי להפעיל את יומני הגישה לנתונים האלה, צריך להפעיל את יומני הביקורת עבור mcp.googleapis.com באובייקט IAM AuditConfig. למידע נוסף על רישום ביומני ביקורת של שרתי Google Cloud MCP, אפשר לעיין במאמר רישום ביומני ביקורת של שרתי Google Cloud MCP.

סקירה כללית של יומני ביקורת ב-Google Workspace זמינה במאמר יומני ביקורת ב-Google Workspace.

התפקידים הנדרשים

כדי לצפות ביומני ביקורת, אתם צריכים את ההרשאות והתפקידים המתאימים בניהול זהויות והרשאות גישה (IAM):

  • כדי לקבל את ההרשאות שנדרשות לגישת קריאה בלבד ליומני הביקורת Admin Activity,‏ Policy Denied ו-System Event, צריך לבקש מהאדמין להקצות לכם ב-IAM את התפקיד צפייה ביומנים (roles/logging.viewer) בפרויקט.

    אם יש לכם רק את התפקיד Logs Viewer (roles/logging.viewer), אתם לא יכולים לצפות ביומני הביקורת Data Access שנמצאים בקטגוריה _Default.

  • כדי לקבל את ההרשאות שנדרשות לגישה לכל היומנים בקטגוריות _Required ו-_Default, כולל יומני Data Access, צריך לבקש מהאדמין להקצות לכם את תפקיד ה-IAM‏ Private Logs Viewer (roles/logging.privateLogViewer) בפרויקט.

    התפקיד 'מציג יומנים פרטיים' (roles/logging.privateLogViewer) כולל את ההרשאות שכלולות בתפקיד 'מציג יומנים' (roles/logging.viewer), וגם את ההרשאות שנדרשות לקריאת יומני ביקורת גישה לנתונים בקטגוריה _Default.

במאמר בקרת גישה באמצעות IAM תוכלו לקרוא מידע נוסף על ההרשאות והתפקידים ב-IAM שחלים על הנתונים של יומני הביקורת.

סוגים של יומני ביקורת

ב-Cloud Audit Logs זמינים יומני הביקורת הבאים לכלGoogle Cloud פרויקט, תיקייה וארגון:

יומני הביקורת Admin Activity

יומני הביקורת של Admin Activity הם רשומות ביומן שנכתבות על ידי קריאות ל-API שמבוצעות על ידי משתמשים או פעולות אחרות שמשנות את ההגדרות או את המטא-נתונים של משאבים. לדוגמה, ביומנים האלה מתועד מתי משתמשים יוצרים מכונות וירטואליות או משנים הרשאות של ניהול זהויות והרשאות גישה (IAM).

יומני הביקורת Admin Activity תמיד נכתבים, ואי אפשר להגדיר, להחריג או להשבית אותם. גם אם משביתים את Cloud Logging API, עדיין נוצרים יומני ביקורת של Admin Activity.

רשימה של שירותים שכותבים יומני ביקורת של פעילות אדמין ומידע מפורט על הפעילויות שיוצרות את היומנים האלה זמינים במאמר Google Cloud שירותים עם יומני ביקורת.

יומני הביקורת Data Access

יומני ביקורת של Data Access הם רשומות ביומן שנכתבות על ידי קריאות ל-API שקוראות את ההגדרות או את המטא-נתונים של משאבים. הם נכתבים גם על ידי קריאות ל-API שמבוססות על פעולות של משתמשים ויוצרות, משנות או קוראות נתוני משאבים שסופקו על ידי משתמשים.

משאבים שזמינים לכולם ושיש להם כללי מדיניות של ניהול זהויות והרשאות גישה (IAM) allAuthenticatedUsers או allUsers לא יוצרים יומני ביקורת. משאבים שאפשר לגשת אליהם בלי להתחבר לחשבון Google Cloud, Google Workspace,‏ Cloud Identity או Drive Enterprise לא יוצרים יומני ביקורת. כך אנחנו מגנים על הזהויות והמידע של משתמשי הקצה.

יומני ביקורת של Data Access – למעט יומני ביקורת של Data Access ב-BigQuery – מושבתים כברירת מחדל כי הם יכולים להיות גדולים למדי. אם אתם רוצים שיומני הביקורת Data Access יתעדכנו לגבי שירותים אחרים מלבד BigQuery, אתם צריכים להפעיל אותם באופן מפורש. Google Cloud יומני הביקורת Data Access נכתבים לפרויקט Google Cloud שהגישה לנתונים שלו מתבצעת. הפעלת היומנים האלה עלולה לגרום לחיוב הפרויקט על השימוש הנוסף ביומנים. Google Cloud הוראות להפעלה ולהגדרה של יומני ביקורת של גישה לנתונים מופיעות במאמר הפעלת יומני ביקורת של גישה לנתונים.

רשימה של שירותים שכותבים יומני ביקורת של גישה לנתונים ומידע מפורט על הפעילויות שיוצרות את היומנים האלה מופיעים במאמר Google Cloud שירותים עם יומני ביקורת.

יומני הביקורת Data Access מאוחסנים בקטגוריה ביומן _Default, אלא אם הגדרתם להעביר אותם למקום אחר. מידע נוסף מופיע בקטע אחסון וניתוב של יומני ביקורת בדף הזה.

יומני הביקורת System Event

יומני הביקורת System Event הם רשומות ביומן שנכתבות על ידי מערכות שמשנות את ההגדרות של משאבים. Google Cloud יומני הביקורת System Event לא מבוססים על פעולה ישירה של משתמש. לדוגמה, יומן ביקורת של אירועי מערכת נכתב כשמכונות וירטואליות מתווספות או מוסרות באופן אוטומטי מקבוצות של מופעי מכונה מנוהלים (MIG) בגלל התאמה אוטומטית לעומס.

יומני הביקורת System Event תמיד נכתבים, ואי אפשר להגדיר, להחריג או להשבית אותם.

רשימה של שירותים שכותבים יומני ביקורת של אירועים במערכת ומידע מפורט על הפעילויות שיוצרות את היומנים האלה זמינים במאמר בנושא Google Cloud שירותים עם יומני ביקורת.

יומני הביקורת Policy Denied

יומני ביקורת של מדיניות שנדחתה הם רשומות ביומן שנכתבות כש Google Cloud שירות דוחה גישה של משתמש או חשבון שירות בגלל הפרה של מדיניות אבטחה.

יומני הביקורת Policy Denied נוצרים כברירת מחדל, והחיוב על אחסון היומנים מתבצע בפרויקטGoogle Cloud . אי אפשר להשבית את יומני הביקורת Policy Denied, אבל אפשר להשתמש במסנני החרגה כדי למנוע את האחסון של יומני הביקורת Policy Denied ב-Cloud Logging.

רשימה של שירותים שכותבים יומני ביקורת מסוג Policy Denied ומידע מפורט על הפעילויות שיוצרות את היומנים האלה זמינים במאמר בנושא Google Cloud שירותים עם יומני ביקורת.

המבנה של רשומה ביומן הביקורת

כל רשומה ביומן הביקורת ב-Cloud Logging היא אובייקט מסוג LogEntry. מה שמבדיל בין רשומה ביומן ביקורת לבין רשומות אחרות ביומן הוא השדה protoPayload. השדה הזה מכיל אובייקט מסוג AuditLog שבו מאוחסנים נתוני יומן הביקורת.

כדי להבין איך לקרוא ולפרש רשומות ביומן הביקורת, ולראות דוגמה לרשומה ביומן הביקורת, אפשר לעיין במאמר הסבר על יומני הביקורת.

שם יומן הביקורת

השמות של יומני הביקורת של Cloud כוללים את הרכיבים הבאים:

  • מזהי משאבים שמציינים את הפרויקט ב- Google Cloud או ישות אחרת ב- Google Cloud שיומני הביקורת בבעלותם.

  • המחרוזת cloudaudit.googleapis.com.

  • מחרוזת שמציינת אם היומן מכיל נתוני ביקורת מסוג Admin Activity,‏ Data Access,‏ Policy Denied או System Event.

אלה השמות של יומני הביקורת, כולל המשתנים שמציינים את מזהי המשאבים:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Factivity
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

זהויות של מתקשרים ביומני ביקורת

ביומני הביקורת מתועדת הזהות של מי שביצע את הפעולות שנרשמו ביומן עלGoogle Cloud המשאב. הזהות של המתקשרת או המתקשר שמורה בשדה AuthenticationInfo של אובייקטים מסוג AuditLog.

ביומני ביקורת לא מושמטת כתובת האימייל של חשבון המשתמש שביצע את הקריאה, אם הגישה הצליחה או אם בוצעה פעולת כתיבה.

בפעולות לקריאה בלבד שנכשלות עם השגיאה 'ההרשאה נדחתה', יכול להיות שיומני הביקורת יצנזרו את כתובת האימייל של חשבון המשתמש שביצע את הקריאה, אלא אם חשבון המשתמש הוא חשבון שירות.

בנוסף לתנאים שצוינו למעלה, התנאים הבאים חלים על שירותים מסוימים:Google Cloud

  • BigQuery: זהויות של מבצעי הקריאה וכתובות IP, וגם שמות של משאבים מסוימים, מוסתרים מיומני הביקורת, אלא אם מתקיימים תנאים מסוימים.

  • Cloud Storage: כשמופעלים יומני השימוש ב-Cloud Storage, המערכת כותבת את נתוני השימוש לקטגוריה של Cloud Storage, וכך נוצרים יומני ביקורת של גישה לנתונים עבור הקטגוריה. זהות המתקשר ביומן הביקורת Data Access שנוצר מוסתרת.

  • Firestore: אם נעשה שימוש באסימון אינטרנט מסוג JSON‏ (JWT) לאימות של צד שלישי, השדה thirdPartyPrincipal כולל את הכותרת ואת המטען הייעודי (payload) של האסימון. לדוגמה, יומני ביקורת של בקשות שאומתו באמצעות אימות ב-Firebase כוללים את אסימון האימות של הבקשה.

  • VPC Service Controls: ביומני ביקורת מסוג Policy Denied, מתבצעת הצנזורה הבאה:

    • יכול להיות שחלקים מכתובות האימייל של המתקשרים יוסתרו ויוחלפו בשלוש נקודות ....

    • חלק מכתובות האימייל של המתקשרים ששייכות לדומיין google.com הוסרו והוחלפו ב-google-internal.

  • מדיניות הארגון: יכול להיות שחלקים מכתובות האימייל של המתקשרים יוסתרו ויוחלפו בשלוש נקודות ....

כתובת ה-IP של מבצע הקריאה ביומני הביקורת

כתובת ה-IP של מבצע הקריאה שמורה בשדה RequestMetadata.callerIp של האובייקט AuditLog:

  • אם מבצע הקריאה מגיע מהאינטרנט, הכתובת היא כתובת IPv4 או IPv6 ציבורית.
  • בשיחות שמתבצעות מתוך רשת הייצור הפנימית משירותGoogle Cloud אחד לשירות אחר, ה-callerIp מצונזר ל'פרטי'.
  • למתקשר ממכונה וירטואלית ב-Compute Engine עם כתובת IP חיצונית, הערך של callerIp הוא הכתובת החיצונית של המכונה הווירטואלית.
  • אם המתקשר הוא ממכונת VM ב-Compute Engine ללא כתובת IP חיצונית, והמכונה הווירטואלית נמצאת באותו ארגון או פרויקט כמו המשאב שאליו יש גישה, אז callerIp היא כתובת ה-IPv4 הפנימית של המכונה הווירטואלית. אחרת, הערך callerIp מצונזר ל-gce-internal-ip. מידע נוסף זמין במאמר סקירה כללית על רשת VPC.

צפייה ביומני ביקורת

תוכלו לשלוח שאילתה על כל יומני הביקורת, או לשלוח שאילתה על יומנים מסוימים לפי שם יומן הביקורת שלהם. השם של יומן הביקורת כולל את מזהה המשאב של Google Cloud הפרויקט, התיקייה, החשבון לחיוב או הארגון שבמידע של יומני הביקורת שלהם רוצים לצפות. אפשר להגדיר בשאילתות את השדות LogEntry שנוספו לאינדקס. למידע נוסף על שליחת שאילתות על היומנים, ראו יצירת שאילתות ב-Logs Explorer.

בעזרת הכלי Logs Explorer אפשר להציג רשומות יומן בודדות. אם אתם רוצים להשתמש ב-SQL כדי לנתח קבוצות של רשומות ביומן, אתם יכולים להשתמש בדף Log Analytics. למידע נוסף:

אפשר לצפות ברוב יומני הביקורת ב-Cloud Logging באמצעותGoogle Cloud המסוף, Google Cloud CLI או Logging API. עם זאת, כדי לצפות ביומני ביקורת שקשורים לחיוב, אפשר להשתמש רק ב-Google Cloud CLI או ב-Logging API.

המסוף

ב Google Cloud מסוף, תוכלו להשתמש ב-Logs Explorer כדי לאחזר את הרשומות ביומן הביקורת של Google Cloud הפרויקט, התיקייה או הארגון:

  1. במסוף Google Cloud , נכנסים לדף Logs Explorer:

    כניסה אל Logs Explorer

    אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שכותרת המשנה שלה היא Logging.

  2. בוחרים פרויקט, תיקייה או ארגון קיימים Google Cloud .

  3. כדי להציג את כל יומני הביקורת, מזינים אחת מהשאילתות הבאות בשדה עורך השאילתות ולוחצים על Run query:

    logName:"cloudaudit.googleapis.com"

    protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog"

  4. כדי להציג את יומני הביקורת למשאב וסוג יומן ביקורת ספציפיים, בחלונית Query builder, מבצעים את הפעולות הבאות:

    • בקטע Resource Type, בוחרים את המשאב שרוצים לראות את יומני הביקורת שלו. Google Cloud

    • בקטע Log name, בוחרים את סוג יומן הביקורת שרוצים לראות:

      • ליומני הביקורת Admin Activity בוחרים באפשרות activity.
      • ליומני הביקורת Data Access בוחרים באפשרות data_access.
      • ליומני הביקורת System Event בוחרים באפשרות system_event.
      • ליומני הביקורת Policy Denied בוחרים באפשרות policy.

    • לוחצים על Run query.

    אם האפשרויות האלה לא מוצגות, המשמעות היא שאין יומני ביקורת מאותו סוג ב Google Cloud פרויקט, בתיקייה או בארגון.

    לא הצלחתם לצפות ביומנים ב-Logs Explorer? פתרון בעיות

    מידע נוסף על שליחת שאילתות באמצעות Logs Explorer מופיע במאמר יצירת שאילתות ב-Logs Explorer.

gcloud

הכלי Google Cloud CLI מספק גישה ל-Logging API באמצעות ממשק שורת הפקודה (CLI). חשוב לציין מזהה משאב תקין בכל אחד משמות היומנים. לדוגמה, אם שאילתה כוללת את השדה PROJECT_ID, מזהה הפרויקט שאתם מציינים חייב להתייחס לפרויקטGoogle Cloud שבחרתם.

כדי לקרוא את הרשומות ביומן הביקורת ברמת הפרויקט, מריצים את הפקודה הבאה: Google Cloud 

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

כדי לקרוא את הרשומות ביומן הביקורת ברמת התיקייה, מריצים את הפקודה הבאה:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

כדי לקרוא את הרשומות ביומן הביקורת ברמת הארגון, מריצים את הפקודה הבאה:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

כדי לקרוא את הרשומות ביומן הביקורת ברמת החשבון לחיוב ב-Cloud, מריצים את הפקודה הבאה:

gcloud logging read "logName : billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com" \
    --billing-account=BILLING_ACCOUNT_ID

כדי לקרוא את הרשומות ביומן שנרשמו לפני יותר מיום אחד, מוסיפים לפקודה את הדגל --freshness.

למידע נוסף על השימוש ב-CLI של gcloud:‏ gcloud logging read.

REST

כשיוצרים את השאילתות, חשוב לציין מזהה משאב תקין בכל אחד משמות היומנים. לדוגמה, אם שאילתה כוללת את השדה PROJECT_ID, מזהה הפרויקט שאתם מציינים חייב להתייחס לפרויקטGoogle Cloud שבחרתם.

לדוגמה, אם רוצים להשתמש ב-Logging API כדי לצפות ברשומות יומן הביקורת ברמת הפרויקט:

  1. עוברים לקטע Try this API במאמרי העזרה של ה-method entries.list.

  2. מזינים את הפרטים הבאים בקטע Request body בטופס Try this API. אם לוחצים על הטופס למילוי פרטים אוטומטי, גוף הבקשה יאוכלס בפרטים באופן אוטומטי אבל תצטרכו לציין PROJECT_ID תקין בכל אחד משמות יומני הביקורת.

    {
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}

  3. לוחצים על Execute.

אחסון וניתוב של יומני ביקורת

‫Cloud Logging משתמש בקטגוריות של יומנים כקונטיינרים שמאחסנים ומארגנים את נתוני היומנים. לכל חשבון לחיוב,Google Cloud פרויקט, תיקייה וארגון, שירות Logging יוצר באופן אוטומטי שני מאגרי יומנים, _Required ו-_Default, ויעדים{/0} עם שמות תואמים.

בדלי _Required של Cloud Logging מאוחסנים יומני הביקורת Admin Activity ויומני הביקורת System Event. אי אפשר למנוע את השמירה של יומני הביקורת Admin Activity או System Event. בנוסף, אי אפשר להגדיר את יעד הנתונים שאליו מנותבים רשומות ביומן לדלי _Required.

יומני הביקורת Admin Activity ויומני הביקורת System Event תמיד מאוחסנים בקטגוריה _Required בפרויקט שבו נוצרו היומנים.

אם אתם מעבירים את יומני הביקורת Admin Activity ו-System Event לפרויקט אחר, היומנים האלה לא עוברים דרך יעד ה-sink של פרויקט היעד _Default או _Required. לכן, היומנים האלה לא נשמרים בקטגוריית היומנים _Default או בקטגוריית היומנים _Required של פרויקט היעד. כדי לאחסן את היומנים האלה, צריך ליצור sink ביומן בפרויקט היעד. מידע נוסף זמין במאמר ניתוב יומנים ליעדים נתמכים.

כברירת מחדל, בקטגוריות _Default מאוחסנים יומני ביקורת של Data Access וגם יומני ביקורת של Policy Denied. כדי למנוע את האחסון של יומני הביקורת Data Access בקטגוריות _Default, אפשר להשבית אותם. כדי למנוע שמירה של יומני ביקורת מסוג Policy Denied במאגרי _Default, אפשר להחריג אותם על ידי שינוי המסננים של ה-sinks שלהם.

אפשר גם לנתב את הרשומות ביומן הביקורת לקטגוריות של Cloud Logging שהוגדרו על ידי המשתמשים ברמת הפרויקט Google Cloud או ליעדים נתמכים מחוץ ל-Logging באמצעות אובייקטים מסוג sink. הוראות לגבי ניתוב יומנים מופיעות במאמר ניתוב יומנים ליעדים נתמכים.

כשמגדירים את המסננים של יעד היומן, צריך לציין את סוגי יומני הביקורת שרוצים להעביר. דוגמאות לסינון מופיעות במאמר שאילתות של רישום ביומן לצורכי אבטחה.

אם רוצים להפנות רשומות ביומן ביקורת של Google Cloud ארגון, תיקייה או חשבון לחיוב, ושל המשאבים שלהם, אפשר לעיין במאמר סקירה כללית של מאגרי נתונים מצטברים.

שמירת יומן הביקורת

לפרטים על משך הזמן לשמירת רשומות ביומן על ידי Logging, ראו את פרטי השמירה במאמר מכסות ומגבלות: תקופות שמירה של יומנים.

בקרת גישה

ההרשאות והתפקידים ב-IAM קובעים את אפשרויות הגישה שלכם לנתוני יומני הביקורת ב-Logging API, בLogs Explorer וב-Google Cloud CLI.

במאמר בקרת גישה באמצעות IAM מוסבר בהרחבה על ההרשאות והתפקידים ב-IAM שאולי תצטרכו.

מכסות ומגבלות

לפרטים על מגבלות השימוש ביומנים, כולל הגדלים המקסימליים של יומני ביקורת, ראו מכסות ומגבלות.

תמחור

למידע על מחירים, אפשר לעיין בדף תמחור של Google Cloud Observability. אם אתם מעבירים נתוני יומן לשירותים אחרים, כדאי לעיין במסמכים הבאים: Google Cloud

המאמרים הבאים

  • Access Transparency מספקת יומנים של פעולות שבוצעו על ידי Google Cloud צוות Google כשניגש לתוכן Google Cloud שלכם.