Audit-Logging für Secure Web Proxy

In diesem Dokument wird das Audit-Logging für Secure Web Proxy beschrieben. Google Cloud -Dienste generieren Audit-Logs, in denen Verwaltungs- und Zugriffsaktivitäten für Ihre Google Cloud -Ressourcen aufgezeichnet werden. Weitere Informationen zu Cloud-Audit-Logs finden Sie auf den folgenden Seiten:

Cloud-Audit-Logs

Cloud-Audit-Logs für Secure Web Proxy erfasst die folgenden Aktivitäten und Änderungen:

  • Informationen zu den API-Aufrufen, die an die Infrastruktur und die Proxy-Einrichtung gesendet werden, zur Erstellung und Änderung von Richtlinien sowie zu Monitoring-Prüfungen. Zum Erfassen der Interaktionen werden in Cloud-Audit-Logs Google Cloud CLI-Befehle, die Network Services API und die Network Security API verwendet.

  • Informationen zum Erstellen und Löschen von Secure Web Proxy-Instanzen, zum Ändern von Einstellungen und zum Anwenden von Updates. Google Cloud Konsolenprotokolle erfassen Konsolenaktivitäten, die sich auf die Secure Web Proxy-Konfiguration beziehen.

  • Informationen zu Änderungen an der Secure Web Proxy-Infrastruktur.

  • Details zu Anpassungen an Secure Web Proxy-Einstellungen, -Regeln und -Parametern, die das Verhalten von Secure Web Proxy beeinflussen.

  • Aufzeichnungen von Änderungen an Nutzerberechtigungen und Zugriffssteuerungen im Secure Web-Proxy.

  • Dokumentation zu Richtlinienänderungen, einschließlich der Erfassung von Details vor und nach der Bearbeitung.

Arten von Audit-Logs

Secure Web Proxy schreibt zwei Arten von Audit-Logs: Audit-Logs für Administratoraktivitäten und Audit-Logs für den Datenzugriff. Weitere Informationen zu den verschiedenen Arten von Audit-Logs finden Sie unter Arten von Audit-Logs.

Audit-Logs zu Administratoraktivitäten

Audit-Logs zu Administratoraktivitäten enthalten API-Aufrufe und andere Verwaltungsaktionen, mit denen die Konfiguration oder die Metadaten Ihrer Secure Web Proxy-Ressourcen geändert werden. Administratoraktivitäts-Logs sind immer aktiviert.

Diese Logs enthalten Informationen zu den folgenden Vorgängen:

  • Erstellen, Aktualisieren oder Löschen von Gateway-, GatewaySecurityPolicy-, GatewaySecurityPolicyRule-, TlsInspectionPolicy- und UrlList-Ressourcen.
  • IAM-Richtlinien (Identity and Access Management) für Secure Web Proxy-Ressourcen ändern.

Audit-Logs zum Datenzugriff

Audit-Logs zum Datenzugriff sind für Secure Web Proxy nicht standardmäßig aktiviert. Informationen zum Aktivieren von Audit-Logs zum Datenzugriff für Secure Web Proxy finden Sie unter Audit-Logs aktivieren.

Audit-Logformat

Cloud-Audit-Logs für Secure Web Proxy folgen der Standardstruktur für Google Cloud Audit-Logs. Jeder Logeintrag ist ein Objekt vom Typ LogEntry.

Ein Logeintrag enthält die folgenden Schlüsselfelder:

  • logName: Enthält die Ressourcen-ID und gibt den Typ des Audit-Logs an, entweder activity oder data_access.

  • resource: Gibt das Ziel des geprüften Vorgangs an.

  • timeStamp: Gibt die Uhrzeit an, zu der der geprüfte Vorgang stattgefunden hat.

  • protoPayload: Enthält die primären Audit-Informationen und wird in einem AuditLog-Objekt gespeichert.

    Das AuditLog-Objekt in protoPayload enthält die folgenden Felder:

    • serviceName: Gibt den Namen des Google Cloud -Dienstes an. Bei Secure Web Proxy-Vorgängen ist dies in der Regel networkservices.googleapis.com.

    • methodName: Gibt den Namen der aufgerufenen API-Methode an, z. B. CreateGateway oder UpdatePolicy.

    • resourceName: Gibt den vollständigen Namen der Ressource an, auf die sich die Aktion bezieht.

    • status, authenticationInfo und authorizationInfo: liefern zusätzliche Standarddetails zum Ergebnis des Vorgangs.

Weitere Informationen zu anderen Feldern in diesen Objekten sowie zu deren Interpretation finden Sie unter Audit-Logs verstehen.

Logname

Die Namen von Secure Web Proxy-Audit-Logs enthalten Ressourcenkennungen, die das Google Cloud Projekt, den Ordner oder die Organisation angeben, die Inhaber der Audit-Logs ist. Diese Audit-Log-Namen geben auch an, ob ein Log Audit-Logging-Daten zu Administratoraktivitäten, Datenzugriff, Systemereignissen oder abgelehnten Richtlinien enthält.

Im Folgenden finden Sie die Namen der Audit-Logs, einschließlich Variablen für die Ressourcenkennungen:

  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Rollen und Berechtigungen

Damit Sie Secure Web Proxy-Audit-Logs aufrufen können, müssen Sie die folgenden Rollen und Berechtigungen haben:

  • Für Administratoraktivitäts-Logs: Rolle „Logs Viewer“ (roles/logging.viewer) oder eine benutzerdefinierte Rolle mit der Berechtigung logging.logEntries.list.

  • Für Logs zum Datenzugriff: Rolle „Betrachter privater Logs“ (roles/logging.privateLogViewer) oder eine benutzerdefinierte Rolle mit der Berechtigung logging.privateLogEntries.list.

Dienstname

Für Secure Web Proxy-Audit-Logs, insbesondere für Gateway-Vorgänge und ‑Konfigurationen, wird der Dienstname networkservices.googleapis.com verwendet.

Verwenden Sie Folgendes, um nach diesem Dienst zu filtern:

protoPayload.serviceName="networkservices.googleapis.com"

Außerdem können Sie Secure Web Proxy-Audit-Logs nach Ressourcentyp für das Gateway filtern:

resource.type="networkservices.googleapis.com/Gateway"

Audit-Logs ansehen

Sie können alle Secure Web Proxy-Audit-Logs oder bestimmte Logs nach ihrem Audit-Log-Namen abfragen. Der Audit-Logname enthält die Ressourcenkennung des Projekts, Ordners, Rechnungskontos oder der Organisation Google Cloud , für die Sie Audit-Logging-Informationen aufrufen möchten. In Ihren Abfragen können Sie indexierte LogEntry-Felder angeben. Wenn Sie die Seite Loganalysen verwenden, die SQL-Abfragen unterstützt, haben Sie die Möglichkeit, Abfrageergebnisse als Diagramm anzeigen zu lassen.

Weitere Informationen zum Abfragen Ihrer Logs finden Sie auf den folgenden Seiten:

Sie können Audit-Logs in Cloud Logging mithilfe derGoogle Cloud Console, der Google Cloud CLI oder der Logging API aufrufen.

Console

In der Google Cloud Console können Sie mit dem Log-Explorer die Audit-Logeinträge für Ihr Projekt, Ihren Ordner oder Ihre Organisation in Google Cloud abrufen.

  1. Rufen Sie in der Google Cloud Console die Seite Log-Explorer auf.

    Zum Log-Explorer

  2. Wählen Sie Ihr Google Cloud Projekt, Ihren Ordner oder Ihre Organisation aus.

  3. Wenn Sie alle Audit-Logs für Secure Web Proxy aufrufen möchten, geben Sie die folgende allgemeine Abfrage in das Feld des Abfrageeditors ein und klicken Sie dann auf Abfrage ausführen:

    logName:"cloudaudit.googleapis.com"
resource.type="networkservices.googleapis.com/Gateway"

    Alternativ können Sie so vorgehen, um mit dem Query Builder die Audit-Logs für eine bestimmte Ressource und einen bestimmten Typ von Audit-Log aufzurufen:

    1. Wählen Sie als Ressourcentyp networkservices.googleapis.com/Gateway aus.

    2. Wählen Sie unter Logname den Audit-Logtyp aus, den Sie sehen möchten. Es werden nur die Logtypen aufgeführt, die in Ihrem Projekt verfügbar sind.

      • Wählen Sie für Audit-Logs zu Administratoraktivitäten die Option activity aus.
      • Wählen Sie für Audit-Logs zum Datenzugriff die Option data_access aus.
      • Wählen Sie für Audit-Logs zu Systemereignissen die Option system_event aus.
      • Wählen Sie für Audit-Logs zu Richtlinienverstößen die Option policy aus.

    3. Klicken Sie auf Abfrage ausführen.

Wenn beim Aufrufen von Logs im Log-Explorer Probleme auftreten, lesen Sie die Informationen zur Fehlerbehebung.

Weitere Informationen zu Abfragen mit dem Log-Explorer finden Sie auf der Seite zum Erstellen von Abfragen im Log-Explorer.

gcloud

Die Google Cloud CLI bietet eine Befehlszeile für die Logging API. Geben Sie in jedem Lognamen eine gültige Ressourcenkennung an.

Verwenden Sie den Befehl gcloud logging read, um Ihre Audit-Logeinträge für Secure Web Proxy auf Projektebene zu lesen.

gcloud logging read 'logName:projects/PROJECT_ID/logs/cloudaudit.googleapis.com AND resource.type="networkservices.googleapis.com/Gateway"' \
    --project=PROJECT_ID

Ersetzen Sie PROJECT_ID durch die ID Ihres Projekts von Google Cloud.

Fügen Sie Ihrem Befehl das Flag --freshness hinzu, um Logs zu lesen, die mehr als einen Tag alt sind.

API

Wenn Sie die Cloud Logging API verwenden möchten, um Ihre Audit-Logeinträge für Secure Web Proxy aufzurufen, geben Sie die entsprechende PROJECT_ID im Feld resourceNames an und filtern Sie die Ergebnisse.

So können Sie beispielsweise mit der Logging API Ihre Audit-Logeinträge auf Projektebene aufrufen:

  1. Rufen Sie auf der Seite entries.list-Methode den Abschnitt Diese API testen auf.

  2. Geben Sie für Request body (Anfragetext) das folgende Snippet ein:

    {
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com AND
  resource.type=\"networkservices.googleapis.com/Gateway\""
}

    Ersetzen Sie PROJECT_ID durch die ID Ihres Projekts von Google Cloud.

  3. Klicken Sie auf Ausführen.

Nächste Schritte