Audit logging di Secure Web Proxy

Questo documento descrive l'audit logging per Secure Web Proxy. Google Cloud i servizi generano audit log che registrano le attività di amministratore e di accesso per le tue Google Cloud risorse. Per ulteriori informazioni su Cloud Audit Logs, consulta le seguenti pagine:

Cloud Audit Logs

Cloud Audit Logs per Secure Web Proxy monitora le seguenti attività e modifiche:

  • Informazioni relative alle chiamate API effettuate alla configurazione dell'infrastruttura e del proxy, alla creazione e alla modifica delle policy e ai controlli di monitoraggio. Per acquisire le interazioni, Cloud Audit Logs utilizza i comandi di Google Cloud CLI, l'API Network Services, e l' API Network Security.

  • Informazioni relative alla creazione ed eliminazione delle istanze di Secure Web Proxy, alla modifica delle impostazioni e all'applicazione degli aggiornamenti. Google Cloud i log della console acquisiscono l'attività della console correlata alla configurazione di Secure Web Proxy.

  • Informazioni dettagliate sulle modifiche apportate all'infrastruttura di Secure Web Proxy.

  • Dettagli sulle modifiche apportate alle impostazioni del proxy, alle regole e ai parametri di Secure Web Proxy che ne determinano il comportamento.

  • Record delle modifiche ai privilegi utente e ai controlli dell'accesso in Secure Web Proxy.

  • Documentazione sulle modifiche alle policy, inclusa l'acquisizione dei dettagli pre-modifica e post-modifica.

Tipi di audit log

Secure Web Proxy scrive due tipi di audit log: audit log delle attività di amministrazione e audit log di accesso ai dati. Per ulteriori informazioni sui vari tipi di audit log, consulta Tipi di audit log.

Audit log delle attività di amministrazione

Gli audit log delle attività di amministrazione registrano le chiamate API e altre azioni amministrative che modificano la configurazione o i metadati delle risorse di Secure Web Proxy. Gli audit log delle attività di amministrazione sono sempre abilitati.

Questi log contengono informazioni sulle seguenti operazioni:

  • Creazione, aggiornamento o eliminazione delle risorse Gateway, GatewaySecurityPolicy, GatewaySecurityPolicyRule, TlsInspectionPolicy e UrlList.
  • Modifica delle policy IAM (Identity and Access Management) sulle risorse di Secure Web Proxy.

Audit log degli accessi ai dati

L'audit logging di accesso ai dati non è attivato per impostazione predefinita per Secure Web Proxy. Per abilitare gli audit log di accesso ai dati per Secure Web Proxy, consulta Abilitare gli audit log.

Formato degli audit log

Cloud Audit Logs di Secure Web Proxy segue la struttura standard Google Cloud degli audit log. Ogni voce di log è un oggetto di tipo LogEntry.

Una voce di log contiene i seguenti campi chiave:

  • logName: contiene l'ID risorsa e indica il tipo di audit log, activity o data_access.

  • resource: specifica il target dell'operazione sottoposta ad audit.

  • timeStamp: specifica l'ora in cui si è verificata l'operazione sottoposta ad audit.

  • protoPayload: contiene le informazioni di audit principali e viene archiviato all'interno di un oggetto AuditLog.

    L'oggetto AuditLog all'interno di protoPayload contiene i seguenti campi:

    • serviceName: specifica il nome del Google Cloud servizio. Per le operazioni di Secure Web Proxy, in genere è networkservices.googleapis.com.

    • methodName: identifica il nome del metodo API chiamato, ad esempio CreateGateway o UpdatePolicy.

    • resourceName: indica il nome completo della risorsa su cui viene eseguita l'azione.

    • status, authenticationInfo e authorizationInfo: forniscono ulteriori dettagli standard sul risultato dell'operazione.

Per ulteriori informazioni sugli altri campi in questi oggetti e su come interpretar li, consulta Comprendere gli audit log.

Nome log

I nomi degli audit log di Secure Web Proxy includono identificatori di risorse che indicano the Google Cloud progetto, cartella o organizzazioneproprietaria degli audit log. Questi nomi degli audit log indicano anche se un log contiene dati degli audit log Attività di amministrazione, Accesso ai dati, Evento di sistema o Policy negata.

Di seguito sono riportati i nomi degli audit log, incluse le variabili per gli identificatori delle risorse:

  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Ruoli e autorizzazioni

Per visualizzare gli audit log di Secure Web Proxy, assicurati di disporre dei seguenti ruoli e autorizzazioni:

  • Per i log delle attività di amministrazione: ruolo Visualizzatore log (roles/logging.viewer) o un ruolo personalizzato con l' logging.logEntries.list autorizzazione.

  • Per i log di accesso ai dati: ruolo Visualizzatore log privati (roles/logging.privateLogViewer) o un ruolo personalizzato con l' logging.privateLogEntries.list autorizzazione.

Nome servizio

Gli audit log di Secure Web Proxy, in particolare per le operazioni e le configurazioni del gateway, utilizzano il nome servizio networkservices.googleapis.com.

Per filtrare per questo servizio, utilizza quanto segue:

protoPayload.serviceName="networkservices.googleapis.com"

Inoltre, puoi filtrare gli audit log di Secure Web Proxy per tipo di risorsa per il gateway:

resource.type="networkservices.googleapis.com/Gateway"

Visualizza audit log

Puoi eseguire query su tutti gli audit log di Secure Web Proxy o su audit log specifici in base al nome. Il nome dell'audit log include l'identificatore della risorsa del progetto, della cartella, dell'account di fatturazione o dell'organizzazione per cui vuoi visualizzare le informazioni di audit logging. Google Cloud Le query possono specificare i campi LogEntry indicizzati. Se utilizzi la pagina Analisi dei log, che supporta le query SQL, puoi visualizzare i risultati della query come grafico.

Per saperne di più su come eseguire query sui log, consulta le seguenti pagine:

Puoi visualizzare gli audit log in Cloud Logging utilizzando la Google Cloud console, Google Cloud CLI o l'API Logging.

Console

Nella Google Cloud console puoi utilizzare Esplora log per recuperare le voci di audit log per il Google Cloud progetto, la cartella, o l'organizzazione.

  1. Nella Google Cloud console, vai alla pagina Esplora log.

    Vai a Esplora log

  2. Seleziona il tuo Google Cloud progetto, la cartella o l'organizzazione.

  3. Per visualizzare tutti gli audit log di Secure Web Proxy, inserisci la seguente query generale nel campo dell'editor di query, quindi fai clic su Esegui query:

    logName:"cloudaudit.googleapis.com"
resource.type="networkservices.googleapis.com/Gateway"

    In alternativa, per utilizzare Query Builder per visualizzare gli audit log per un tipo di risorsa e un tipo di audit log specifici, segui questi passaggi:

    1. Per Tipo di risorsa, seleziona networkservices.googleapis.com/Gateway.

    2. In Nome log, seleziona il tipo di audit log che vuoi visualizzare. Vengono elencati solo i tipi di log disponibili nel tuo progetto.

      • Per gli audit log Attività di amministrazione, seleziona activity.
      • Per gli audit log di accesso ai dati, seleziona data_access.
      • Per gli audit log Evento di sistema, seleziona system_event.
      • Per gli audit log Policy negata, seleziona policy.

    3. Fai clic su Esegui query.

Se riscontri problemi quando provi a visualizzare i log in Esplora log, allora consulta i dettagli per la risoluzione dei problemi.

Per saperne di più sull'esecuzione di query utilizzando Esplora log, consulta Crea query in Esplora log.

gcloud

Google Cloud CLI fornisce un'interfaccia a riga di comando per l'API Logging. Specifica un identificatore di risorsa valido in ogni nome di log.

Per leggere le voci di audit log di Secure Web Proxy a livello di progetto, utilizza il gcloud logging read comando.

gcloud logging read 'logName:projects/PROJECT_ID/logs/cloudaudit.googleapis.com AND resource.type="networkservices.googleapis.com/Gateway"' \
    --project=PROJECT_ID

Sostituisci PROJECT_ID con l'ID del tuo Google Cloud progetto.

Aggiungi il --freshness flag al comando per leggere i log che hanno più di un giorno.

API

Per utilizzare l'API Cloud Logging per visualizzare le voci di audit log di Secure Web Proxy, specifica il PROJECT_ID appropriato nel campo resourceNames e filtra i risultati.

Ad esempio, per utilizzare l'API Logging per visualizzare le voci di audit log a livello di progetto, segui questi passaggi:

  1. Nella pagina del metodo entries.list, vai alla sezione Prova questa API.

  2. In Corpo della richiesta , inserisci il seguente snippet:

    {
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com AND
  resource.type=\"networkservices.googleapis.com/Gateway\""
}

    Sostituisci PROJECT_ID con l'ID del tuo Google Cloud progetto.

  3. Fai clic su Esegui.

Passaggi successivi