Journaux d'audit Secure Web Proxy

Ce document décrit la journalisation des audits pour Secure Web Proxy. Google Cloud Les services génèrent des journaux d'audit qui enregistrent les activités d'administration et d'accès pour vos Google Cloud ressources. Pour en savoir plus sur Cloud Audit Logs, consultez les pages suivantes :

Cloud Audit Logs

Cloud Audit Logs pour Secure Web Proxy suit les activités et les modifications suivantes :

  • Informations liées aux appels d'API effectués vers l'infrastructure et la configuration du proxy, à la création et à la modification de stratégies, ainsi qu'aux vérifications de surveillance. Pour capturer les interactions, Cloud Audit Logs utilise les commandes Google Cloud CLI , l'API Network Services et l'API Network Security.

  • Informations liées à la création et à la suppression d'instances Secure Web Proxy, à la modification des paramètres et à l'application de mises à jour. Google Cloud Les journaux de la console capturent l'activité de la console liée à la configuration de Secure Web Proxy.

  • Insights sur les modifications apportées à l'infrastructure Secure Web Proxy.

  • Détails sur les ajustements apportés aux paramètres, aux règles et aux paramètres de Secure Web Proxy qui déterminent son comportement.

  • Enregistrements des modifications apportées aux droits des utilisateurs et aux contrôles d'accès dans Secure Web Proxy.

  • Documentation sur les modifications de stratégies, y compris la capture des détails avant et après modification.

Types de journaux d'audit

Secure Web Proxy écrit deux types de journaux d'audit : les journaux d'audit des activités d'administration et les journaux d'audit des accès aux données. Pour en savoir plus sur les différents types de journaux d'audit, consultez la section Types de journaux d'audit.

Journaux d'audit pour les activités d'administration

Les journaux d'audit des activités d'administration enregistrent les appels d'API et d'autres actions d'administration qui modifient la configuration ou les métadonnées de vos ressources Secure Web Proxy. Les journaux d'activité d'administration sont toujours activés.

Ces journaux contiennent des informations sur les opérations suivantes :

  • Création, mise à jour ou suppression des ressources Gateway, GatewaySecurityPolicy, GatewaySecurityPolicyRule, TlsInspectionPolicy et UrlList.
  • Modification des stratégies de Identity and Access Management (IAM) sur les ressources Secure Web Proxy.

Journaux d'audit pour l'accès aux données

La journalisation d'audit pour l'accès aux données n'est pas activée par défaut pour Secure Web Proxy. Pour activer les journaux d'audit pour l'accès aux données pour Secure Web Proxy, consultez la section Activer les journaux d'audit.

Format des journaux d'audit

Les journaux d'audit Cloud pour Secure Web Proxy suivent la structure standard des journaux d'audit Google Cloud . Chaque entrée de journal est un objet de type LogEntry.

Une entrée de journal contient les champs clés suivants :

  • logName: contient l'ID de ressource et indique le type de journal d'audit, activity ou data_access.

  • resource: spécifie la cible de l'opération auditée.

  • timeStamp: spécifie l'heure à laquelle l'opération auditée s'est produite.

  • protoPayload: contient les informations d'audit principales et est stocké dans un objet AuditLog.

    L'objet AuditLog dans protoPayload contient les champs suivants :

    • serviceName: spécifie le nom du Google Cloud service. Pour les opérations Secure Web Proxy, il s'agit généralement de networkservices.googleapis.com.

    • methodName: identifie le nom de la méthode API appelée, par exemple CreateGateway ou UpdatePolicy.

    • resourceName: indique le nom complet de la ressource sur laquelle l'action est effectuée.

    • status, authenticationInfo et authorizationInfo : fournissent des détails standards supplémentaires sur le résultat de l'opération.

Pour en savoir plus sur les autres champs de ces objets, ainsi que sur leur interprétation , consultez la page Comprendre les journaux d'audit.

Nom du journal

Les noms des journaux d'audit Secure Web Proxy incluent des identifiants de ressource qui indiquent le Google Cloud projet, le dossier ou l'organisation qui possède les journaux d'audit. Ces noms de journaux d'audit indiquent également si un journal contient des données de journalisation d'audit sur les activités d'administration, l'accès aux données, les événements système ou les refus de règles.

Voici les noms des journaux d'audit incluant des variables pour les identifiants de ressource :

  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Rôles et autorisations

Pour afficher les journaux d'audit Secure Web Proxy, assurez-vous de disposer des rôles et autorisations suivants :

  • Pour les journaux d'activité d'administration : rôle Lecteur de journaux (roles/logging.viewer) ou rôle personnalisé avec l'autorisation logging.logEntries.list.

  • Pour les journaux d'accès aux données : rôle Lecteur de journaux privés (roles/logging.privateLogViewer) ou rôle personnalisé avec l'autorisation logging.privateLogEntries.list.

Nom du service

Les journaux d'audit Secure Web Proxy, en particulier pour les opérations et configurations de passerelle, utilisent le nom de service networkservices.googleapis.com.

Pour filtrer les résultats pour ce service, utilisez les éléments suivants :

protoPayload.serviceName="networkservices.googleapis.com"

Vous pouvez également filtrer les journaux d'audit Secure Web Proxy par type de ressource pour la passerelle :

resource.type="networkservices.googleapis.com/Gateway"

Consulter les journaux d'audit

Vous pouvez interroger tous les journaux d'audit Secure Web Proxy ou des journaux spécifiques en fonction de leur nom de journal d'audit. Le nom du journal d'audit inclut l'identifiant de ressource du projet, du dossier, du compte de facturation ou de l'organisation pour lesquels vous souhaitez afficher les informations de journalisation d'audit. Google Cloud Vos requêtes peuvent spécifier des champs LogEntry indexés. Si vous utilisez la page Analyse de journaux, qui est compatible avec les requêtes SQL, vous pouvez afficher les résultats de votre requête sous forme de graphique.

Pour en savoir plus sur l'interrogation de journaux, consultez les pages suivantes :

Vous pouvez afficher les journaux d'audit dans Cloud Logging à l'aide de la Google Cloud console, Google Cloud CLI ou de l'API Logging.

Console

Dans la Google Cloud console, vous pouvez utiliser l'explorateur de journaux pour récupérer les entrées du journal d'audit de votre Google Cloud projet, dossier, ou organisation.

  1. Dans la Google Cloud console, accédez à la page Explorateur de journaux.

    Accéder à l'explorateur de journaux

  2. Sélectionnez votre Google Cloud projet, dossier ou organisation.

  3. Pour afficher tous les journaux d'audit Secure Web Proxy, saisissez la requête générale suivante dans le champ de l'éditeur de requête, puis cliquez sur Exécuter la requête :

    logName:"cloudaudit.googleapis.com"
resource.type="networkservices.googleapis.com/Gateway"

    Vous pouvez également utiliser le générateur de requêtes pour afficher les journaux d'audit d'une ressource et d'un type de journal d'audit spécifiques. Pour ce faire, procédez comme suit :

    1. Pour Type de ressource, sélectionnez networkservices.googleapis.com/Gateway.

    2. Dans Nom du journal, sélectionnez le type de journal d'audit que vous souhaitez afficher. Seuls les types de journaux disponibles dans votre projet sont listés.

      • Pour les journaux d'audit pour les activités d'administration, sélectionnez activity.
      • Pour les journaux d'audit des accès aux données, sélectionnez data_access.
      • Pour les journaux d'audit des événements système, sélectionnez system_event.
      • Pour les journaux d'audit des refus de règles, sélectionnez policy.

    3. Cliquez sur Exécuter la requête.

Si vous rencontrez des problèmes lors de la tentative d'affichage de journaux dans l'explorateur de journaux, alors consultez les informations de dépannage.

Pour en savoir plus sur l'utilisation de l'explorateur de journaux pour effectuer des requêtes, consultez la page Créer des requêtes dans l'explorateur de journaux.

gcloud

Google Cloud CLI fournit une interface de ligne de commande à l'API Logging. Spécifiez un identifiant de ressource valide dans chaque nom de journal.

Pour lire les entrées de journal d'audit Secure Web Proxy au niveau du projet, utilisez la gcloud logging read commande.

gcloud logging read 'logName:projects/PROJECT_ID/logs/cloudaudit.googleapis.com AND resource.type="networkservices.googleapis.com/Gateway"' \
    --project=PROJECT_ID

Remplacez PROJECT_ID par l'ID de votre Google Cloud projet.

Ajoutez l'--freshness indicateur à votre commande pour lire les journaux datant de plus d'un jour.

API

Pour afficher les entrées de journal d'audit Secure Web Proxy à l'aide de l'API Cloud Logging, spécifiez le PROJECT_ID approprié dans le champ resourceNames et filtrez les résultats.

Par exemple, pour utiliser l'API Logging afin d'afficher les entrées de journal d'audit au niveau d'un projet, procédez comme suit :

  1. Sur la page de la méthode entries.list, accédez à la section Essayer cette API.

  2. Pour le champ Request body (Corps de la requête), saisissez l'extrait de code suivant :

    {
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com AND
  resource.type=\"networkservices.googleapis.com/Gateway\""
}

    Remplacez PROJECT_ID par l'ID de votre Google Cloud projet.

  3. Cliquez sur Exécuter.

Étape suivante