このドキュメントでは、Secure Web Proxy の監査ロギングについて説明します。 Google Cloud サービス は、リソース の管理アクティビティとアクセス アクティビティを記録する監査ログを生成します。 Google Cloud Cloud Audit Logs の詳細については、次のページをご覧ください。
Cloud Audit Logs
Secure Web Proxy の Cloud Audit Logs は、次のアクティビティと変更を追跡します。
インフラストラクチャとプロキシの設定、ポリシーの作成と変更、モニタリング チェックに対して行われた API 呼び出しに関連する情報。インタラクションをキャプチャするため、Cloud Audit Logs は Google Cloud CLI コマンド、 Network Services API、 および Network Security APIを使用します。
Secure Web Proxy インスタンスの作成と削除、 設定の変更、更新の適用に関連する情報。 Google Cloud コンソールログ には、Secure Web Proxy の構成に関連するコンソール アクティビティが記録されます。
Secure Web Proxy インフラストラクチャに加えられた変更に関する分析情報。
Secure Web Proxy の動作を決定する Secure Web Proxy の設定、ルール、パラメータに加えられた調整の詳細。
Secure Web Proxy 内のユーザー権限とアクセス制御の変更の記録。
編集前後の詳細のキャプチャなど、ポリシーの変更に関するドキュメント。
監査ログの種類
Secure Web Proxy は、管理アクティビティ監査ログとデータアクセス監査ログの 2 種類の監査ログを書き込みます。さまざまな監査ログタイプの詳細については、 監査ログの種類をご覧ください。
管理アクティビティ監査ログ
管理アクティビティ監査ログには、Secure Web Proxy リソースの構成またはメタデータを変更する API 呼び出し やその他の管理アクションが記録されます。管理アクティビティ ログは常に有効です。
これらのログには、次のオペレーションに関する情報が含まれています。
Gateway、GatewaySecurityPolicy、GatewaySecurityPolicyRule、TlsInspectionPolicy、UrlListリソースの作成、更新、削除。- Secure Web Proxy リソースの Identity and Access Management(IAM)ポリシーの変更。
データアクセス監査ログ
データアクセス監査ロギングは、Secure Web Proxy では デフォルトで有効になっていません。Secure Web Proxy でデータアクセス監査ログを有効にするには、 監査ログを有効にするをご覧ください。
監査ログ形式
Secure Web Proxy Cloud Audit Logs は、標準の Google Cloud 監査
ログ構造に準拠しています。各ログエントリは LogEntry タイプのオブジェクトです。
ログエントリには、次のキーフィールドが含まれています。
logName: リソース ID が含まれ、監査ログのタイプ(activityまたはdata_access)を示します。resource: 監査対象のオペレーションのターゲットを指定します。timeStamp: 監査対象のオペレーションが発生した時刻を指定します。protoPayload: プライマリ監査情報が含まれており、AuditLogオブジェクトに保存されます。protoPayload内のAuditLogオブジェクトには、次のフィールドが含まれています。serviceName: サービスの名前を指定します。 Google Cloud Secure Web Proxy オペレーションの場合、通常はnetworkservices.googleapis.comです。methodName: 呼び出された API メソッドの名前(CreateGateway、UpdatePolicyなど)を識別します。resourceName: 操作対象のリソースの完全な名前を示します。status、authenticationInfo、authorizationInfo: オペレーションの結果に関する追加の標準詳細情報を提供します。
これらのオブジェクトの他のフィールドと、その解釈方法について は、 監査ログについてをご覧ください。
ログ名
Secure Web Proxy 監査ログ名には、監査ログを所有する プロジェクト、フォルダ、組織を示すリソース識別子が含まれています。 Google Cloud これらの監査ログ名は、ログに管理アクティビティ、データアクセス、システム イベント、ポリシー拒否の監査ロギングデータが含まれているかどうかを示します。
リソース識別子の変数を含む監査ログ名は次のとおりです。
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy
ロールと権限
Secure Web Proxy 監査ログを表示するには、次のロールと権限があることを確認してください。
管理アクティビティ ログの場合: ログ閲覧者ロール (
roles/logging.viewer) またはlogging.logEntries.list権限を持つカスタムロール。データアクセス ログの場合: プライベート ログ閲覧者ロール (
roles/logging.privateLogViewer)またはlogging.privateLogEntries.list権限を持つカスタムロール。
サービス名
Secure Web Proxy 監査ログ(特にゲートウェイのオペレーションと構成の場合)では、networkservices.googleapis.com サービス名が使用されます。
このサービスをフィルタするには、次のようにします。
protoPayload.serviceName="networkservices.googleapis.com"
また、ゲートウェイのリソースタイプで Secure Web Proxy 監査ログをフィルタすることもできます。
resource.type="networkservices.googleapis.com/Gateway"
監査ログの表示
すべての Secure Web Proxy 監査ログに対してクエリを実行することも、監査ログ名で特定のログをクエリすることもできます。監査ログ名には、監査ロギング情報を表示する プロジェクト、フォルダ、請求先アカウント、または組織のリソース
識別子が含まれています。
Google Cloud クエリでは、インデックス付きの LogEntry フィールドを指定できます。SQL クエリをサポートする [ログ分析] ページを使用する場合は、クエリ結果をグラフとして表示できます。
ログのクエリの詳細については、次のページをご覧ください。
コンソール、Google Cloud CLI、または Logging API を使用して、 Google Cloud Cloud Logging で監査ログを表示できます。
コンソール
コンソールでは、ログ エクスプローラを使用して、プロジェクト、フォルダ、または組織の監査ログエントリを取得できます。 Google Cloud Google Cloud
コンソールで、[**ログ エクスプローラ**] ページに移動します。 Google Cloud
プロジェクト、フォルダ、または組織を選択します。 Google Cloud
すべての Secure Web Proxy 監査ログを表示するには、クエリエディタ フィールドに次の一般的な クエリを入力し、[クエリを実行] をクリックします。
logName:"cloudaudit.googleapis.com" resource.type="networkservices.googleapis.com/Gateway"
または、クエリビルダーを使用して特定のリソースと監査ログタイプの監査ログを表示するには、次の操作を行います。
[リソースタイプ] で、 を選択します
networkservices.googleapis.com/Gateway。[**ログ名**] で、表示する監査ログタイプを選択します。プロジェクトで使用可能なログタイプのみが表示されます。
- 管理アクティビティ監査ログの場合は、[activity] を選択します。
- データアクセス監査ログの場合は、[data_access] を選択します。
- システム イベント監査ログの場合は、[system_event] を選択します。
- ポリシー拒否監査ログの場合は、[policy] を選択します。
[クエリを実行] をクリックします。
ログ エクスプローラでログを表示する際に問題が発生した場合は、 トラブルシューティングの 詳細 をご覧ください。
ログ エクスプローラを使用したクエリの詳細については、 ログ エクスプローラでクエリを作成するをご覧ください。
gcloud
Google Cloud CLI は、Logging API へのコマンドライン インターフェースを提供します。ログ名ごとに有効なリソース識別子を指定します。
プロジェクト レベルの Secure Web Proxy 監査ログエントリを読み取るには、
gcloud logging read コマンドを使用します。
gcloud logging read 'logName:projects/PROJECT_ID/logs/cloudaudit.googleapis.com AND resource.type="networkservices.googleapis.com/Gateway"' \
--project=PROJECT_ID
PROJECT_ID は、 プロジェクトの ID に置き換えます。 Google Cloud
1 日以上経過したログを読み取るには、コマンドに --freshness フラグ
を追加します。
API
Cloud Logging API を使用して Secure Web Proxy 監査ログエントリを表示するには、resourceNames フィールドに適切な PROJECT_ID を指定して、結果をフィルタします。
たとえば、Logging API を使用してプロジェクト レベルの監査ログエントリを表示する手順は次のとおりです。
entries.listメソッド ページで、[Try this API] セクションに移動します。[リクエストの本文] に次のスニペットを入力します。
{ "resourceNames": [ "projects/PROJECT_ID" ], "pageSize": 5, "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com AND resource.type=\"networkservices.googleapis.com/Gateway\"" }PROJECT_IDは、 プロジェクトの ID に置き換えます。 Google Cloud[実行] をクリックします。