Audit logging di Secure Web Proxy

Questo documento descrive l'audit logging per Secure Web Proxy.I servizi Google Cloud generano audit log che registrano le attività amministrative e di accesso per le tue risorse Google Cloud . Per saperne di più su Cloud Audit Logs, consulta le seguenti pagine:

Cloud Audit Logs

Cloud Audit Logs per Secure Web Proxy monitora le seguenti attività e modifiche:

  • Informazioni relative alle chiamate API effettuate alla configurazione dell'infrastruttura e del proxy, alla creazione e alla modifica delle policy e ai controlli di monitoraggio. Per acquisire le interazioni, Cloud Audit Logs utilizza i comandi Google Cloud CLI, l'API Network Services e l'API Network Security.

  • Informazioni relative alla creazione ed eliminazione di istanze Secure Web Proxy, alla modifica delle impostazioni e all'applicazione degli aggiornamenti.I log della console acquisiscono l'attività della console correlata alla configurazione di Secure Web Proxy. Google Cloud

  • Approfondimenti sulle modifiche apportate all'infrastruttura di Secure Web Proxy.

  • Dettagli sugli aggiustamenti apportati alle impostazioni, alle regole e ai parametri di Secure Web Proxy che ne determinano il comportamento.

  • Record delle modifiche ai privilegi utente e ai controlli dell'accesso all'interno di Secure Web Proxy.

  • Documentazione sulle modifiche alle policy, inclusa l'acquisizione dei dettagli pre-modifica e post-modifica.

Tipi di audit log

Secure Web Proxy scrive due tipi di audit log: audit log Attività di amministrazione e audit log Accesso ai dati. Per ulteriori informazioni sui vari tipi di audit log, vedi Tipi di audit log.

Audit log delle attività di amministrazione

Gli audit log per le attività di amministrazione registrano le chiamate API e altre azioni amministrative che modificano la configurazione o i metadati delle risorse Secure Web Proxy. I log delle attività di amministrazione sono sempre abilitati.

Questi log contengono informazioni sulle seguenti operazioni:

  • Creazione, aggiornamento o eliminazione delle risorse Gateway, GatewaySecurityPolicy, GatewaySecurityPolicyRule, TlsInspectionPolicy e UrlList.
  • Modifica delle policy IAM (Identity and Access Management) sulle risorse Secure Web Proxy.

Audit log degli accessi ai dati

Il logging degli audit log di accesso ai dati non è attivato per impostazione predefinita per Secure Web Proxy. Per abilitare gli audit log di accesso ai dati per Secure Web Proxy, consulta Abilitare i log di controllo.

Formato degli audit log

I log di controllo di Cloud Audit Logs di Secure Web Proxy seguono la struttura standard dei log di controllo. Google Cloud Ogni voce di log è un oggetto di tipo LogEntry.

Una voce di log contiene i seguenti campi chiave:

  • logName: contiene l'ID risorsa e indica il tipo di audit log, activity o data_access.

  • resource: specifica il target dell'operazione sottoposta ad audit.

  • timeStamp: specifica l'ora in cui è stata eseguita l'operazione sottoposta ad audit.

  • protoPayload: contiene le informazioni di audit principali ed è archiviato all'interno di un oggetto AuditLog.

    L'oggetto AuditLog all'interno di protoPayload contiene i seguenti campi:

    • serviceName: specifica il nome del servizio Google Cloud . Per le operazioni di Secure Web Proxy, in genere è networkservices.googleapis.com.

    • methodName: identifica il nome del metodo API chiamato, ad esempio CreateGateway o UpdatePolicy.

    • resourceName: indica il nome completo della risorsa su cui viene eseguita l'azione.

    • status, authenticationInfo e authorizationInfo: fornisci dettagli standard aggiuntivi sul risultato dell'operazione.

Per saperne di più sugli altri campi in questi oggetti e su come interpretarli, consulta Comprendere i log di controllo.

Nome log

I nomi dei log di controllo di Secure Web Proxy includono identificatori di risorse che indicano il Google Cloud progetto, la cartella o l'organizzazione proprietaria degli audit log. Questi nomi di audit log indicano anche se un log contiene dati di audit logging relativi ad attività di amministrazione, accesso ai dati, eventi di sistema o Policy negata.

Di seguito sono riportati i nomi degli audit log, incluse le variabili per gli identificatori delle risorse:

  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Ruoli e autorizzazioni

Per visualizzare i log di controllo di Secure Web Proxy, assicurati di disporre dei seguenti ruoli e autorizzazioni:

  • Per i log delle attività di amministrazione: ruolo Logs Viewer (roles/logging.viewer) o un ruolo personalizzato con l'autorizzazione logging.logEntries.list.

  • Per i log di accesso ai dati: ruolo Visualizzatore log privati (roles/logging.privateLogViewer) o un ruolo personalizzato con l'autorizzazione logging.privateLogEntries.list.

Nome servizio

Gli audit log di Secure Web Proxy, in particolare per le operazioni e le configurazioni del gateway, utilizzano il nome servizio networkservices.googleapis.com.

Per filtrare questo servizio, utilizza quanto segue:

protoPayload.serviceName="networkservices.googleapis.com"

Inoltre, puoi filtrare i log di controllo di Secure Web Proxy per tipo di risorsa per il gateway:

resource.type="networkservices.googleapis.com/Gateway"

Visualizza audit log

Puoi eseguire query su tutti gli audit log di Secure Web Proxy o su log specifici in base al nome. Il nome dell'audit log include l'identificatore della risorsa del progetto, della cartella, dell'account di fatturazione o dell'organizzazione Google Cloud per cui vuoi visualizzare le informazioni di audit logging. Le query possono specificare campi LogEntry indicizzati. Se utilizzi la pagina Analisi dei log, che supporta le query SQL, puoi visualizzare i risultati della query come grafico.

Per saperne di più su come eseguire query sui log, consulta le seguenti pagine:

Puoi visualizzare gli audit log in Cloud Logging utilizzando la consoleGoogle Cloud , Google Cloud CLI o l'API Logging.

Console

Nella console Google Cloud puoi utilizzare Esplora log per recuperare le voci di audit log per il progetto, la cartella o l'organizzazione Google Cloud .

  1. Nella console Google Cloud , vai alla pagina Esplora log.

    Vai a Esplora log

  2. Seleziona il progetto, la cartella o l'organizzazione Google Cloud .

  3. Per visualizzare tutti gli audit log di Secure Web Proxy, inserisci la seguente query generale nel campo dell'editor query, quindi fai clic su Esegui query:

    logName:"cloudaudit.googleapis.com"
resource.type="networkservices.googleapis.com/Gateway"

    In alternativa, per utilizzare Query Builder per visualizzare gli audit log per un tipo di risorsa e un tipo di audit log specifici, segui questi passaggi:

    1. In Tipo di risorsa, seleziona networkservices.googleapis.com/Gateway.

    2. Per Nome log, seleziona il tipo di audit log che vuoi visualizzare. Vengono elencati solo i tipi di log disponibili nel tuo progetto.

      • Per gli audit log Attività di amministrazione, seleziona activity.
      • Per gli audit log di accesso ai dati, seleziona data_access.
      • Per gli audit log degli eventi di sistema, seleziona system_event.
      • Per gli audit log Policy negata, seleziona policy.

    3. Fai clic su Esegui query.

Se riscontri problemi quando provi a visualizzare i log in Esplora log, consulta i dettagli per la risoluzione dei problemi.

Per saperne di più sull'esecuzione di query utilizzando Esplora log, consulta Crea query in Esplora log.

gcloud

Google Cloud CLI fornisce un'interfaccia a riga di comando per l'API Logging. Specifica un identificatore di risorsa valido in ogni nome di log.

Per leggere le voci di audit log di Secure Web Proxy a livello di progetto, utilizza il comando gcloud logging read.

gcloud logging read 'logName:projects/PROJECT_ID/logs/cloudaudit.googleapis.com AND resource.type="networkservices.googleapis.com/Gateway"' \
    --project=PROJECT_ID

Sostituisci PROJECT_ID con l'ID del tuo progetto Google Cloud.

Aggiungi il flag --freshness al comando per leggere i log che hanno più di un giorno.

API

Per utilizzare l'API Cloud Logging per visualizzare le voci di audit log di Secure Web Proxy, specifica il PROJECT_ID appropriato nel campo resourceNames e filtra i risultati.

Ad esempio, per utilizzare l'API Logging per visualizzare le voci di audit log a livello di progetto, segui questi passaggi:

  1. Nella pagina del metodo entries.list, vai alla sezione Prova questa API.

  2. Per Corpo della richiesta , inserisci il seguente snippet:

    {
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com AND
  resource.type=\"networkservices.googleapis.com/Gateway\""
}

    Sostituisci PROJECT_ID con l'ID del tuo progetto Google Cloud.

  3. Fai clic su Execute (Esegui).

Passaggi successivi