Journaux d'audit Secure Web Proxy

Ce document décrit la journalisation des audits pour Secure Web Proxy.Les services Google Cloud génèrent des journaux d'audit qui enregistrent les activités d'administration et d'accès pour vos ressources Google Cloud . Pour en savoir plus sur Cloud Audit Logs, consultez les pages suivantes :

Cloud Audit Logs

Cloud Audit Logs pour le proxy Web sécurisé suit les activités et les modifications suivantes :

Informations liées aux appels d'API effectués pour la configuration de l'infrastructure et du proxy, la création et la modification de règles, et les vérifications de surveillance. Pour capturer les interactions, Cloud Audit Logs utilisent les commandes Google Cloud CLI, l'API Network Services et l'API Network Security.
Informations sur la création et la suppression d'instances Secure Web Proxy, la modification des paramètres et l'application des mises à jour.Les journaux de la console Google Cloud capturent l'activité de la console liée à la configuration de Secure Web Proxy.
Informations sur les modifications apportées à l'infrastructure Secure Web Proxy.
Détails sur les ajustements apportés aux paramètres, règles et paramètres du proxy Web sécurisé qui déterminent son comportement.
Enregistrements des modifications apportées aux droits d'accès et aux contrôles d'accès des utilisateurs dans le proxy Web sécurisé.
Documentation sur les modifications apportées aux règles, y compris la capture des détails avant et après modification.

Types de journaux d'audit

Le proxy Web sécurisé écrit deux types de journaux d'audit : les journaux d'audit des activités d'administration et les journaux d'audit des accès aux données. Pour en savoir plus sur les différents types de journaux d'audit, consultez Types de journaux d'audit.

Journaux d'audit pour les activités d'administration

Les journaux d'audit des activités d'administration enregistrent les appels d'API et les autres actions d'administration qui modifient la configuration ou les métadonnées de vos ressources Secure Web Proxy. Les journaux d'activité d'administration sont toujours activés.

Ces journaux contiennent des informations sur les opérations suivantes :

Créer, mettre à jour ou supprimer des ressources Gateway, GatewaySecurityPolicy, GatewaySecurityPolicyRule, TlsInspectionPolicy et UrlList.
Modifier les stratégies de Identity and Access Management (IAM) sur les ressources Secure Web Proxy.

Journaux d'audit pour l'accès aux données

La journalisation d'audit des accès aux données n'est pas activée par défaut pour Secure Web Proxy. Pour activer les journaux d'audit des accès aux données pour Secure Web Proxy, consultez Activer les journaux d'audit.

Format des journaux d'audit

Les journaux d'audit Cloud du proxy Web sécurisé suivent la structure standard des journaux d'audit Google Cloud . Chaque entrée de journal est un objet de type LogEntry.

Une entrée de journal contient les champs clés suivants :

logName : contient l'ID de ressource et indique le type de journal d'audit, activity ou data_access.
resource : spécifie la cible de l'opération faisant l'objet d'un audit.
timeStamp : spécifie l'heure à laquelle l'opération auditée a eu lieu.
protoPayload : contient les principales informations d'audit et est stocké dans un objet AuditLog.

L'objet AuditLog dans protoPayload contient les champs suivants :
- serviceName : spécifie le nom du service Google Cloud . Pour les opérations Secure Web Proxy, cette valeur est généralement networkservices.googleapis.com.
- methodName : identifie le nom de la méthode API qui a été appelée, comme CreateGateway ou UpdatePolicy.
- resourceName : indique le nom complet de la ressource sur laquelle l'action est effectuée.
- status, authenticationInfo et authorizationInfo : fournissent des informations standards supplémentaires sur le résultat de l'opération.

Pour en savoir plus sur les autres champs de ces objets et sur leur interprétation, consultez Comprendre les journaux d'audit.

Nom du journal

Les noms des journaux d'audit Secure Web Proxy incluent des identifiants de ressources qui désignent le projet, le dossier ou l'organisation Google Cloud dont ils dépendent. Ces noms de journaux d'audit indiquent également si un journal contient des données de journalisation d'audit sur les activités d'administration, l'accès aux données, les événements système ou les refus de règles.

Voici les noms des journaux d'audit incluant des variables pour les identifiants de ressource :

  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Rôles et autorisations

Pour afficher les journaux d'audit du proxy Web sécurisé, assurez-vous de disposer des rôles et autorisations suivants :

Pour les journaux d'activité d'administration : rôle Lecteur de journaux (roles/logging.viewer) ou rôle personnalisé disposant de l'autorisation logging.logEntries.list.
Pour les journaux d'accès aux données : rôle Lecteur de journaux privés (roles/logging.privateLogViewer) ou rôle personnalisé avec l'autorisation logging.privateLogEntries.list.

Nom du service

Les journaux d'audit Secure Web Proxy, en particulier pour les opérations et configurations de passerelle, utilisent le nom de service networkservices.googleapis.com.

Pour filtrer les résultats pour ce service, utilisez les éléments suivants :

protoPayload.serviceName="networkservices.googleapis.com"

Vous pouvez également filtrer les journaux d'audit du proxy Web sécurisé par type de ressource pour la passerelle :

resource.type="networkservices.googleapis.com/Gateway"

Consulter les journaux d'audit

Vous pouvez interroger tous les journaux d'audit Secure Web Proxy ou des journaux spécifiques selon leur nom de journal d'audit. Le nom du journal d'audit inclut l'identifiant de ressource du projet, du dossier, du compte de facturation ou de l'organisation Google Cloud pour lesquels vous souhaitez afficher les informations de journalisation d'audit. Vos requêtes peuvent spécifier des champs LogEntry indexés. Si vous utilisez la page Analyse de journaux, qui est compatible avec les requêtes SQL, vous pouvez afficher les résultats de votre requête sous forme de graphique.

Pour en savoir plus sur l'interrogation de journaux, consultez les pages suivantes :

Vous pouvez afficher les journaux d'audit dans Cloud Logging à l'aide de la consoleGoogle Cloud , de Google Cloud CLI ou de l'API Logging.

Console

Dans la console Google Cloud , vous pouvez utiliser l'explorateur de journaux pour récupérer les entrées du journal d'audit de votre projet, dossier ou organisation Google Cloud .

Dans la console Google Cloud , accédez à la page Explorateur de journaux.

Accéder à l'explorateur de journaux
Sélectionnez votre projet, dossier ou organisation. Google Cloud
Pour afficher tous les journaux d'audit Secure Web Proxy, saisissez la requête générale suivante dans le champ de l'éditeur de requête, puis cliquez sur Exécuter la requête :
```
logName:"cloudaudit.googleapis.com"
resource.type="networkservices.googleapis.com/Gateway"
```
Vous pouvez également utiliser le générateur de requêtes pour afficher les journaux d'audit d'une ressource et d'un type de journal d'audit spécifiques. Pour ce faire :
1. Pour Type de ressource, sélectionnez networkservices.googleapis.com/Gateway.
2. Dans Nom du journal, sélectionnez le type de journal d'audit que vous souhaitez afficher. Seuls les types de journaux disponibles dans votre projet sont listés.
  - Pour les journaux d'audit pour les activités d'administration, sélectionnez activity.
  - Pour les journaux d'audit des accès aux données, sélectionnez data_access.
  - Pour les journaux d'audit des événements système, sélectionnez system_event.
  - Pour les journaux d'audit des refus de règles, sélectionnez policy.
3. Cliquez sur Exécuter la requête.

Si vous rencontrez des problèmes lors de la tentative d'affichage de journaux dans l'explorateur de journaux, consultez les informations de dépannage.

Pour en savoir plus sur l'utilisation de l'explorateur de journaux pour effectuer des requêtes, consultez la page Créer des requêtes dans l'explorateur de journaux.

gcloud

Google Cloud CLI fournit une interface de ligne de commande à l'API Logging. Spécifiez un identifiant de ressource valide dans chaque nom de journal.

Pour lire les entrées de journal d'audit Secure Web Proxy au niveau du projet, utilisez la commande gcloud logging read.

gcloud logging read 'logName:projects/PROJECT_ID/logs/cloudaudit.googleapis.com AND resource.type="networkservices.googleapis.com/Gateway"' \
    --project=PROJECT_ID

Remplacez PROJECT_ID par l'ID de votre projet Google Cloud.

Ajoutez le flag --freshness à votre commande pour lire les journaux datant de plus d'un jour.

API

Pour afficher les entrées de journal d'audit de votre proxy Web sécurisé à l'aide de l'API Cloud Logging, spécifiez le PROJECT_ID approprié dans le champ resourceNames et filtrez les résultats.

Par exemple, pour utiliser l'API Logging afin d'afficher les entrées de journal d'audit au niveau d'un projet, procédez comme suit :

Sur la page de la méthode entries.list, accédez à la section Essayer cette API.

Pour Request body (Corps de la requête), saisissez l'extrait suivant :

{
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com AND
  resource.type=\"networkservices.googleapis.com/Gateway\""
}