Secure Web Proxy の監査ロギング

このドキュメントでは、Secure Web Proxy の監査ロギングについて説明します。 Google Cloud サービスは、 Google Cloud リソースの管理アクティビティとアクセス アクティビティを記録する監査ログを生成します。Cloud Audit Logs の詳細については、次のページをご覧ください。

Cloud Audit Logs

Secure Web Proxy の Cloud Audit Logs は、次のアクティビティと変更を追跡します。

  • インフラストラクチャとプロキシの設定、ポリシーの作成と変更、モニタリング チェックに対して行われた API 呼び出しに関連する情報。インタラクションをキャプチャするため、Cloud Audit Logs は Google Cloud CLI コマンド、Network Services APINetwork Security API を使用します。

  • Secure Web Proxy インスタンスの作成と削除、設定の変更、更新の適用に関連する情報。 Google Cloud コンソールログは、Secure Web Proxy の構成に関連するコンソール アクティビティをキャプチャします。

  • Secure Web Proxy インフラストラクチャに加えられた変更に関する分析情報。

  • Secure Web Proxy の動作を決定する Secure Web Proxy の設定、ルール、パラメータに対して行われた調整の詳細。

  • Secure Web Proxy 内のユーザー権限とアクセス制御の変更の記録。

  • 編集前後の詳細のキャプチャなど、ポリシーの変更に関するドキュメント。

監査ログの種類

Secure Web Proxy は、管理アクティビティ監査ログとデータアクセス監査ログの 2 種類の監査ログを書き込みます。さまざまな監査ログの種類の詳細については、監査ログの種類をご覧ください。

管理アクティビティ監査ログ

管理アクティビティ監査ログには、Secure Web Proxy リソースの構成やメタデータを変更する API 呼び出しなどの管理アクションが記録されます。管理アクティビティ ログは常に有効です。

これらのログには、次のオペレーションに関する情報が含まれています。

  • GatewayGatewaySecurityPolicyGatewaySecurityPolicyRuleTlsInspectionPolicyUrlList リソースの作成、更新、削除。
  • Secure Web Proxy リソースの Identity and Access Management(IAM)ポリシーの変更。

データアクセス監査ログ

Secure Web Proxy では、データアクセス監査ロギングはデフォルトで有効になっていません。Secure Web Proxy のデータアクセス監査ログを有効にするには、監査ログを有効にするをご覧ください。

監査ログ形式

Secure Web Proxy Cloud Audit Logs は、標準の Google Cloud 監査ログ構造に従います。各ログエントリは、LogEntry 型のオブジェクトです。

ログエントリには、次のキーフィールドが含まれます。

  • logName: リソース ID を含み、監査ログのタイプ(activity または data_access)を示します。

  • resource: 監査対象オペレーションのターゲットを指定します。

  • timeStamp: 監査対象オペレーションが発生した時刻を指定します。

  • protoPayload: 主要な監査情報が含まれており、AuditLog オブジェクト内に保存されます。

    protoPayload 内の AuditLog オブジェクトには次のフィールドが含まれます。

    • serviceName: Google Cloud サービスの名前を指定します。Secure Web Proxy オペレーションの場合、通常は networkservices.googleapis.com です。

    • methodName: 呼び出された API メソッドの名前(CreateGatewayUpdatePolicy など)を識別します。

    • resourceName: 処理対象のリソースの完全な名前を示します。

    • statusauthenticationInfoauthorizationInfo: オペレーションの結果に関する追加の標準の詳細を提供します。

これらのオブジェクトの他のフィールドとそれらの解釈方法については、監査ログについてをご覧ください。

ログ名

Secure Web Proxy の監査ログ名には、監査ログを所有する Google Cloud プロジェクト、フォルダ、または組織を示すリソース識別子が含まれています。これらの監査ログ名には、ログに管理アクティビティ、データアクセス、システム イベント、ポリシー拒否の監査ロギングデータが含まれているかどうかも示されます。

リソース識別子の変数を含む監査ログ名は次のとおりです。

  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

ロールと権限

Secure Web Proxy の監査ログを表示するには、次のロールと権限があることを確認してください。

  • 管理アクティビティ ログの場合: ログ閲覧者ロールroles/logging.viewer)または logging.logEntries.list 権限を持つカスタムロール。

  • データアクセス ログの場合: プライベート ログ閲覧者ロールroles/logging.privateLogViewer)または logging.privateLogEntries.list 権限を持つカスタムロール。

サービス名

Secure Web Proxy 監査ログ(特にゲートウェイ オペレーションと構成)では、networkservices.googleapis.com サービス名が使用されます。

このサービスをフィルタするには、次の操作を行います。

protoPayload.serviceName="networkservices.googleapis.com"

また、ゲートウェイのリソースタイプで Secure Web Proxy 監査ログをフィルタすることもできます。

resource.type="networkservices.googleapis.com/Gateway"

監査ログの表示

すべての Secure Web Proxy 監査ログに対してクエリを実行することも、監査ログ名で特定のログをクエリすることもできます。監査ログ名には、監査ロギング情報を表示する Google Cloud プロジェクト、フォルダ、請求先アカウント、または組織のリソース識別子が含まれています。クエリでは、インデックス付きの LogEntry フィールドを指定できます。SQL クエリをサポートする [ログ分析] ページを使用する場合は、クエリ結果をグラフとして表示できます。

ログのクエリの詳細については、次のページをご覧ください。

Google Cloud コンソール、Google Cloud CLI、または Logging API を使用して、Cloud Logging で監査ログを表示できます。

コンソール

Google Cloud コンソールでは、ログ エクスプローラを使用して、 Google Cloud プロジェクト、フォルダ、または組織の監査ログエントリを取得できます。

  1. Google Cloud コンソールで、[ログ エクスプローラ] ページに移動します。

    [ログ エクスプローラ] に移動

  2. Google Cloud プロジェクト、フォルダ、または組織を選択します。

  3. すべての Secure Web Proxy 監査ログを表示するには、クエリエディタ フィールドに次の汎用クエリを入力し、[クエリを実行] をクリックします。

    logName:"cloudaudit.googleapis.com"
resource.type="networkservices.googleapis.com/Gateway"

    または、クエリビルダーを使用して特定のリソースと監査ログタイプの監査ログを表示する手順は次のとおりです。

    1. [リソースの種類] で [networkservices.googleapis.com/Gateway] を選択します。

    2. [ログ名] で、表示する監査ログタイプを選択します。プロジェクトで使用可能なログタイプのみが一覧表示されます。

      • 管理アクティビティ監査ログの場合は、[activity] を選択します。
      • データアクセス監査ログの場合は、[data_access] を選択します。
      • システム イベント監査ログの場合は、[system_event] を選択します。
      • ポリシー拒否監査ログの場合は、[policy] を選択します。

    3. [クエリを実行] をクリックします。

ログ エクスプローラでログを表示する際に問題が発生した場合は、トラブルシューティングの詳細をご覧ください。

ログ エクスプローラを使用したクエリの詳細については、ログ エクスプローラでクエリを作成するをご覧ください。

gcloud

Google Cloud CLI は、Logging API へのコマンドライン インターフェースを提供します。ログ名ごとに有効なリソース識別子を指定します。

プロジェクト レベルの Secure Web Proxy 監査ログエントリを読み取るには、gcloud logging read コマンドを使用します。

gcloud logging read 'logName:projects/PROJECT_ID/logs/cloudaudit.googleapis.com AND resource.type="networkservices.googleapis.com/Gateway"' \
    --project=PROJECT_ID

PROJECT_ID は、 Google Cloudプロジェクトの ID に置き換えます。

1 日以上経過したログを読み取るには、コマンドに --freshness フラグを追加します。

API

Cloud Logging API を使用して Secure Web Proxy 監査ログエントリを表示するには、resourceNames フィールドで適切な PROJECT_ID を指定し、結果をフィルタします。

たとえば、Logging API を使用してプロジェクト レベルの監査ログエントリを表示する手順は次のとおりです。

  1. entries.list メソッドのページで、[この API を試す] セクションに移動します。

  2. [リクエストの本文] に、次のスニペットを入力します。

    {
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com AND
  resource.type=\"networkservices.googleapis.com/Gateway\""
}

    PROJECT_ID は、 Google Cloudプロジェクトの ID に置き換えます。

  3. [実行] をクリックします。

次のステップ