Audit-Logging für Secure Web Proxy

In diesem Dokument wird das Audit-Logging für Secure Web Proxy beschrieben. Google Cloud Dienste generieren Audit-Logs, in denen Administrator- und Zugriffsaktivitäten für Ihre Google Cloud Ressourcen aufgezeichnet werden. Weitere Informationen zu Cloud-Audit-Logs finden Sie auf den folgenden Seiten:

Cloud-Audit-Logs

Cloud-Audit-Logs für Secure Web Proxy verfolgen die folgenden Aktivitäten und Änderungen:

  • Informationen zu den API-Aufrufen, die an die Infrastruktur und die Proxy-Einrichtung gesendet wurden, zur Erstellung und Änderung von Richtlinien sowie zu Überprüfungen. Um die Interaktionen zu erfassen, verwendet Cloud-Audit-Logs Google Cloud CLI Befehle, die Network Services API, und die Network Security API.

  • Informationen zum Erstellen und Löschen von Secure Web Proxy-Instanzen, zum Ändern von Einstellungen und zum Anwenden von Updates. Google Cloud console-Logs erfassen Console-Aktivitäten, die mit der Secure Web Proxy Konfiguration zusammenhängen.

  • Informationen zu Änderungen an der Secure Web Proxy-Infrastruktur.

  • Details zu Anpassungen an Secure Web Proxy-Einstellungen, -Regeln und -Parametern, die das Verhalten von Secure Web Proxy beeinflussen.

  • Aufzeichnungen von Änderungen an Nutzerberechtigungen und Zugriffssteuerungen in Secure Web Proxy.

  • Dokumentation zu Richtlinienänderungen, einschließlich der Erfassung von Details vor und nach der Bearbeitung.

Typen von Audit-Logs

Secure Web Proxy schreibt zwei Arten von Audit-Logs: Audit-Logs zur Administratoraktivität und Audit-Logs zum Datenzugriff. Weitere Informationen zu den verschiedenen Audit-Logtypen finden Sie unter Typen von Audit-Logs.

Audit-Logs zur Administratoraktivität

In Audit-Logs zur Administratoraktivität werden API-Aufrufe und andere Verwaltungsaktionen aufgezeichnet, die die Konfiguration oder Metadaten Ihrer Secure Web Proxy-Ressourcen ändern. Administratoraktivitäts-Logs sind immer aktiviert.

Diese Logs enthalten Informationen zu den folgenden Vorgängen:

  • Erstellen, Aktualisieren oder Löschen von Gateway, GatewaySecurityPolicy, GatewaySecurityPolicyRule, TlsInspectionPolicy- und UrlList-Ressourcen.
  • Ändern von IAM-Richtlinien (Identity and Access Management) für Secure Web Proxy-Ressourcen.

Audit-Logs zum Datenzugriff

Das Audit-Logging zum Datenzugriff ist für Secure Web Proxy standardmäßig nicht aktiviert. Informationen zum Aktivieren von Audit-Logs zum Datenzugriff für Secure Web Proxy finden Sie unter Audit-Logs aktivieren.

Audit-Logformat

Cloud-Audit-Logs für Secure Web Proxy folgen der Standard Google Cloud audit logstruktur. Jeder Logeintrag ist ein Objekt vom Typ LogEntry.

Ein Logeintrag enthält die folgenden Schlüsselfelder:

  • logName: Enthält die Ressourcen-ID und gibt den Typ des Audit-Logs an, entweder activity oder data_access.

  • resource: Gibt das Ziel des geprüften Vorgangs an.

  • timeStamp: Gibt die Uhrzeit an, zu der der geprüfte Vorgang ausgeführt wurde.

  • protoPayload: Enthält die primären Audit-Informationen und wird in einem AuditLog-Objekt gespeichert.

    Das AuditLog-Objekt in protoPayload enthält die folgenden Felder:

    • serviceName: Gibt den Namen des Google Cloud Dienstes an. Bei Secure Web Proxy-Vorgängen ist dies in der Regel networkservices.googleapis.com.

    • methodName: Gibt den Namen der aufgerufenen API-Methode an, z. B. CreateGateway oder UpdatePolicy.

    • resourceName: Gibt den vollständigen Namen der Ressource an, auf die sich die Aktion bezieht.

    • status, authenticationInfo und authorizationInfo: enthalten zusätzliche Standarddetails zum Ergebnis des Vorgangs.

Weitere Informationen zu anderen Feldern in diesen Objekten sowie zu deren Interpretation finden Sie unter Audit-Logs verstehen.

Log name

Audit-Lognamen für Secure Web Proxy enthalten Ressourcenkennungen, die das Google Cloud Projekt, den Ordner oder die Organisation angeben, die Inhaber der Audit-Logs sind. Diese Audit-Lognamen geben auch an, ob ein Log Audit-Logging-Daten zu Administratoraktivitäten, Datenzugriff, Systemereignissen oder Richtlinienverstößen enthält.

Im Folgenden finden Sie die Namen der Audit-Logs, einschließlich Variablen für die Ressourcenkennungen:

  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Rollen und Berechtigungen

Wenn Sie Audit-Logs für Secure Web Proxy aufrufen möchten, müssen Sie die folgenden Rollen und Berechtigungen haben:

  • Für Administratoraktivitäts-Logs: Rolle „Logbetrachter“ (roles/logging.viewer) oder eine benutzerdefinierte Rolle mit der logging.logEntries.list Berechtigung.

  • Für Datenzugriffs-Logs: Rolle „Betrachter privater Logs“ (roles/logging.privateLogViewer) oder eine benutzerdefinierte Rolle mit der logging.privateLogEntries.list Berechtigung.

Dienstname

Für Secure Web Proxy-Audit-Logs, insbesondere für Gateway-Vorgänge und -Konfigurationen, wird der Dienstname networkservices.googleapis.com verwendet.

Verwenden Sie Folgendes, um nach diesem Dienst zu filtern:

protoPayload.serviceName="networkservices.googleapis.com"

Außerdem können Sie Secure Web Proxy-Audit-Logs nach Ressourcentyp für das Gateway filtern:

resource.type="networkservices.googleapis.com/Gateway"

Audit-Logs ansehen

Sie können alle Secure Web Proxy-Audit-Logs oder bestimmte Logs nach dem Namen des Audit-Logs abfragen. Der Audit-Logname enthält die Ressourcen kennung des Google Cloud Projekts, Ordners, Rechnungskontos oder der Organisation in, für die Sie Audit-Logging-Informationen aufrufen möchten. Für Abfragen können indexierte LogEntry-Felder angegeben werden. Wenn Sie die Seite Log Analytics verwenden, die SQL-Abfragen unterstützt, haben Sie die Möglichkeit, Abfrageergebnisse als Diagramm anzeigen zu lassen.

Weitere Informationen zum Abfragen Ihrer Logs finden Sie auf den folgenden Seiten:

Sie können Audit-Logs in Cloud Logging mithilfe der Google Cloud Console, der Google Cloud CLI oder der Logging API aufrufen.

Console

In der Google Cloud Console können Sie mit dem Log-Explorer die Audit-Logeinträge für Ihr Google Cloud Projekt, Ihren Ordner oder Ihre Organisation abrufen.

  1. Rufen Sie in der Google Cloud Console die Seite Log-Explorer auf.

    Zum Log-Explorer

  2. Wählen Sie Ihr Google Cloud Projekt, Ihren Ordner oder Ihre Organisation aus.

  3. Wenn Sie alle Secure Web Proxy-Audit-Logs aufrufen möchten, geben Sie die folgende allgemeine Abfrage in das Feld des Abfrageeditors ein und klicken Sie dann auf Abfrage ausführen:

    logName:"cloudaudit.googleapis.com"
resource.type="networkservices.googleapis.com/Gateway"

    Alternativ können Sie mit dem Abfrage-Builder die Audit-Logs für eine bestimmte Ressource und einen bestimmten Typ von Audit-Log aufrufen. Gehen Sie dazu so vor:

    1. Wählen Sie für Ressourcentyp die Option networkservices.googleapis.com/Gateway aus.

    2. Wählen Sie unter Logname den Audit-Logtyp aus, den Sie sehen möchten. Es werden nur die in Ihrem Projekt verfügbaren Logtypen aufgeführt.

      • Wählen Sie für Audit-Logs zur Administratoraktivität die Option activity aus.
      • Wählen Sie für Audit-Logs zum Datenzugriff die Option data_access aus.
      • Wählen Sie für Audit-Logs zu Systemereignissen die Option system_event aus.
      • Wählen Sie für Audit-Logs zu Richtlinienverstößen die Option policy aus.

    3. Klicken Sie auf Abfrage ausführen.

Wenn beim Aufrufen von Logs im Log-Explorer Probleme auftreten, dann lesen Sie die Informationen zur Fehlerbehebung.

Weitere Informationen zu Abfragen mit dem Log-Explorer finden Sie unter Abfragen im Log-Explorer erstellen.

gcloud

Die Google Cloud CLI bietet eine Befehlszeile für die Logging API. Geben Sie in jedem Lognamen eine gültige Ressourcenkennung an.

Verwenden Sie den gcloud logging read Befehl, um Audit-Logeinträge auf Projektebene für Secure Web Proxy zu lesen.

gcloud logging read 'logName:projects/PROJECT_ID/logs/cloudaudit.googleapis.com AND resource.type="networkservices.googleapis.com/Gateway"' \
    --project=PROJECT_ID

Ersetzen Sie PROJECT_ID durch die ID Ihres Google Cloud Projekts.

Fügen Sie Ihrem Befehl das --freshness Flag hinzu, um Logs zu lesen, die älter als ein Tag sind.

API

Wenn Sie Ihre Secure Web Proxy-Audit-Logeinträge mit der Cloud Logging API aufrufen möchten, geben Sie die entsprechende PROJECT_ID im Feld resourceNames an und filtern Sie die Ergebnisse.

So können Sie beispielsweise mit der Logging API Ihre Audit-Logeinträge auf Projektebene aufrufen:

  1. Rufen Sie auf der Seite der Methode entries.list den Abschnitt Diese API testen auf.

  2. Geben Sie für Request body (Anfragetext) den folgenden Snippet ein:

    {
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com AND
  resource.type=\"networkservices.googleapis.com/Gateway\""
}

    Ersetzen Sie PROJECT_ID durch die ID Ihres Google Cloud Projekts.

  3. Klicken Sie auf Ausführen.

Nächste Schritte