보안 웹 프록시 감사 로깅

이 문서에서는 Secure Web Proxy의 감사 로깅을 설명합니다. Google Cloud 서비스는 Google Cloud 리소스의 관리 및 액세스 활동을 기록하는 감사 로그를 생성합니다. Cloud 감사 로그에 대한 자세한 내용은 다음 페이지를 참고하세요.

Cloud 감사 로그

보안 웹 프록시용 Cloud 감사 로그는 다음 활동과 변경사항을 추적합니다.

  • 인프라 및 프록시 설정, 정책 생성 및 수정, 모니터링 검사에 대한 API 호출 관련 정보. 상호작용을 캡처하기 위해 Cloud 감사 로그는 Google Cloud CLI 명령어, 네트워크 서비스 API, 네트워크 보안 API를 사용합니다.

  • 보안 웹 프록시 인스턴스 만들기 및 삭제, 설정 수정, 업데이트 적용과 관련된 정보입니다. Google Cloud 콘솔 로그는 보안 웹 프록시 구성과 관련된 콘솔 활동을 캡처합니다.

  • 보안 웹 프록시 인프라 변경사항에 대한 유용한 정보

  • 보안 웹 프록시 동작을 구성하는 보안 웹 프록시 설정, 규칙, 매개변수에 대한 조정에 관한 세부정보입니다.

  • 보안 웹 프록시 내에서 사용자 권한 및 액세스 제어에 대한 수정사항 기록

  • 사전 편집 및 사후 편집 세부정보 캡처를 비롯한 정책 수정에 관한 문서

감사 로그 유형

보안 웹 프록시는 관리자 활동 감사 로그와 데이터 액세스 감사 로그라는 두 가지 유형의 감사 로그를 작성합니다. 다양한 감사 로그 유형에 대한 자세한 내용은 감사 로그 유형을 참고하세요.

관리자 활동 감사 로그

관리자 활동 감사 로그는 보안 웹 프록시 리소스의 구성 또는 메타데이터를 수정하는 API 호출 및 기타 관리 작업을 기록합니다. 관리자 활동 로그는 항상 사용 설정되어 있습니다.

이러한 로그에는 다음 작업에 관한 정보가 포함됩니다.

  • Gateway, GatewaySecurityPolicy, GatewaySecurityPolicyRule, TlsInspectionPolicy, UrlList 리소스 생성, 업데이트, 삭제
  • 보안 웹 프록시 리소스의 ID 및 액세스 관리 (IAM) 정책 수정

데이터 액세스 감사 로그

데이터 액세스 감사 로깅은 보안 웹 프록시에서 기본적으로 활성화되지 않습니다. 보안 웹 프록시에 데이터 액세스 감사 로그를 사용 설정하려면 감사 로그 사용 설정을 참고하세요.

감사 로그 형식

보안 웹 프록시 Cloud 감사 로그는 표준 Google Cloud 감사 로그 구조를 따릅니다. 각 로그 항목은 LogEntry 유형의 객체입니다.

로그 항목에는 다음 주요 필드가 포함됩니다.

  • logName: 리소스 ID를 포함하고 감사 로그 유형(activity 또는 data_access)을 나타냅니다.

  • resource: 감사 대상 작업을 지정합니다.

  • timeStamp: 감사된 작업이 발생한 시간을 지정합니다.

  • protoPayload: 기본 감사 정보를 포함하며 AuditLog 객체 내에 저장됩니다.

    protoPayload 내의 AuditLog 객체에는 다음 필드가 포함됩니다.

    • serviceName: Google Cloud 서비스의 이름을 지정합니다. 보안 웹 프록시 작업의 경우 일반적으로 networkservices.googleapis.com입니다.

    • methodName: 호출된 API 메서드의 이름을 식별합니다(예: CreateGateway 또는 UpdatePolicy).

    • resourceName: 작업이 수행되는 리소스의 전체 이름을 나타냅니다.

    • status, authenticationInfo, authorizationInfo: 작업 결과에 관한 추가 표준 세부정보를 제공합니다.

이러한 객체의 다른 필드와 필드 해석 방법에 대한 자세한 내용은 감사 로그 이해를 참고하세요.

로그 이름

보안 웹 프록시 감사 로그 이름에는 감사 로그를 소유한 Google Cloud 프로젝트, 폴더 또는 조직을 나타내는 리소스 식별자가 포함됩니다. 이러한 감사 로그 이름은 로그에 관리자 활동, 데이터 액세스, 시스템 이벤트 또는 정책 거부 감사 로깅 데이터가 포함되어 있는지 여부도 나타냅니다.

다음은 리소스 식별자 변수를 포함한 감사 로그 이름입니다.

  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

역할 및 권한

보안 웹 프록시 감사 로그를 보려면 다음 역할과 권한이 있어야 합니다.

  • 관리자 활동 로그의 경우: 로그 뷰어 역할(roles/logging.viewer) 또는 logging.logEntries.list 권한이 있는 커스텀 역할

  • 데이터 액세스 로그: 비공개 로그 뷰어 역할(roles/logging.privateLogViewer) 또는 logging.privateLogEntries.list 권한이 있는 커스텀 역할

서비스 이름

Secure Web Proxy 감사 로그(특히 게이트웨이 작업 및 구성의 경우)는 networkservices.googleapis.com 서비스 이름을 사용합니다.

이 서비스를 필터링하려면 다음을 사용하세요.

protoPayload.serviceName="networkservices.googleapis.com"

또한 게이트웨이의 리소스 유형별로 보안 웹 프록시 감사 로그를 필터링할 수 있습니다.

resource.type="networkservices.googleapis.com/Gateway"

감사 로그 보기

모든 보안 웹 프록시 감사 로그를 쿼리하거나 감사 로그 이름별로 특정 로그를 쿼리할 수 있습니다. 감사 로그 이름에는 감사 로깅 정보를 보려는 Google Cloud 프로젝트, 폴더, 결제 계정 또는 조직의 리소스 식별자가 포함됩니다. 쿼리에서 색인이 생성된 LogEntry 필드를 지정할 수 있습니다. SQL 쿼리를 지원하는 로그 애널리틱스 페이지를 사용하는 경우 쿼리 결과를 차트로 볼 수 있습니다.

로그 쿼리에 대한 자세한 내용은 다음 페이지를 참조하세요.

Google Cloud 콘솔, Google Cloud CLI 또는 Logging API를 사용하여 Cloud Logging에서 감사 로그를 볼 수 있습니다.

콘솔

Google Cloud 콘솔에서 로그 탐색기를 사용하여 Google Cloud 프로젝트, 폴더 또는 조직의 감사 로그 항목을 검색할 수 있습니다.

  1. Google Cloud 콘솔에서 로그 탐색기 페이지로 이동합니다.

    로그 탐색기로 이동

  2. Google Cloud 프로젝트, 폴더 또는 조직을 선택합니다.

  3. 모든 보안 웹 프록시 감사 로그를 표시하려면 쿼리 편집기 필드에 다음 일반 쿼리를 입력한 후 쿼리 실행을 클릭합니다.

    logName:"cloudaudit.googleapis.com"
resource.type="networkservices.googleapis.com/Gateway"

    또는 쿼리 빌더를 사용하여 특정 리소스 및 감사 로그 유형에 대한 감사 로그를 표시하려면 다음 단계를 따르세요.

    1. 리소스 유형으로 networkservices.googleapis.com/Gateway를 선택합니다.

    2. 로그 이름에서 확인할 감사 로그 유형을 선택합니다. 프로젝트에서 사용할 수 있는 로그 유형만 나열됩니다.

      • 관리자 활동 감사 로그의 경우 activity를 선택합니다.
      • 데이터 액세스 감사 로그의 경우 data_access를 선택합니다.
      • 시스템 이벤트 감사 로그의 경우 system_event를 선택합니다.
      • 정책 거부 감사 로그의 경우 policy를 선택합니다.

    3. 쿼리 실행을 클릭합니다.

로그 탐색기에서 로그를 확인하려고 할 때 문제가 발생하는 경우 문제 해결 세부정보를 참고하세요.

로그 탐색기를 사용한 쿼리에 대한 상세 설명은 로그 탐색기에서 쿼리 빌드를 참조하세요.

gcloud

Google Cloud CLI는 Logging API에 명령줄 인터페이스를 제공합니다. 각 로그 이름에 유효한 리소스 식별자를 지정합니다.

프로젝트 수준 보안 웹 프록시 감사 로그 항목을 읽으려면 gcloud logging read 명령어를 사용합니다.

gcloud logging read 'logName:projects/PROJECT_ID/logs/cloudaudit.googleapis.com AND resource.type="networkservices.googleapis.com/Gateway"' \
    --project=PROJECT_ID

PROJECT_ID를 Google Cloud프로젝트 ID로 바꿉니다.

1일이 지난 로그를 읽으려면 명령어에 --freshness 플래그를 추가합니다.

API

Cloud Logging API를 사용하여 보안 웹 프록시 감사 로그 항목을 보려면 resourceNames 필드에 적절한 PROJECT_ID를 지정하고 결과를 필터링합니다.

예를 들어 Logging API를 사용하여 프로젝트 수준의 감사 로그 항목을 보려면 다음 단계를 따르세요.

  1. entries.list 메서드 페이지에서 API 사용해 보기 섹션으로 이동합니다.

  2. 요청 본문에 다음 스니펫을 입력합니다.

    {
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com AND
  resource.type=\"networkservices.googleapis.com/Gateway\""
}

    PROJECT_ID를 Google Cloud프로젝트 ID로 바꿉니다.

  3. 실행을 클릭합니다.

다음 단계