安全 Web 代理审核日志记录

本文档介绍了 Secure Web Proxy 的审核日志记录。 Google Cloud 服务 会生成审核日志,以记录 您的 Google Cloud 资源的管理和访问活动。如需详细了解 Cloud Audit Logs,请参阅以下页面:

Cloud Audit Logs

Secure Web Proxy 的 Cloud Audit Logs 会跟踪以下活动和更改:

  • 与对基础架构和代理设置进行的 API 调用、政策的创建和修改以及监控检查相关的信息。为了捕获互动,Cloud Audit Logs 使用 Google Cloud CLI 命令、 Network Services API、 和 Network Security API

  • 与创建和删除 Secure Web Proxy 实例、修改设置和应用更新相关的信息。 Google Cloud 控制台日志会捕获与 Secure Web Proxy 配置相关的控制台活动。

  • 对 Secure Web Proxy 基础架构所做更改的洞见。

  • 有关对 Secure Web Proxy 代理设置、规则和参数所做调整的详细信息,这些调整会影响 Secure Web Proxy 的行为。

  • Secure Web Proxy 中用户权限和访问权限控制的修改记录。

  • 有关政策修改的文档,包括捕获修改前和修改后的详细信息。

审核日志类型

Secure Web Proxy 会写入两种类型的审核日志:管理员活动审核日志和数据访问审核日志。如需详细了解各种审核日志类型,请参阅 审核日志类型

管理员活动审核日志

管理员活动审核日志会记录 API 调用 和其他用于修改 您的 Secure Web Proxy 资源配置或元数据的管理操作。管理员活动日志始终处于启用状态。

这些日志包含有关以下操作的信息:

  • 创建、更新或删除 GatewayGatewaySecurityPolicyGatewaySecurityPolicyRuleTlsInspectionPolicyUrlList 资源。
  • 修改 Secure Web Proxy 资源上的 Identity and Access Management (IAM) 政策。

数据访问审核日志

数据访问审核日志记录默认情况下不会为 Secure Web Proxy 启用。如需为 Secure Web Proxy 启用数据访问审核日志,请参阅 启用审核日志

审核日志格式

Secure Web Proxy Cloud Audit Logs 遵循标准的 Google Cloud 审核 日志结构。每个日志条目都是 LogEntry 类型的对象。

日志条目包含以下键字段:

  • logName:包含资源 ID,并指明审核日志的类型,即 activitydata_access

  • resource:指定受审核操作的目标。

  • timeStamp:指定受审核操作发生的时间。

  • protoPayload:包含主要审核信息,并存储在 AuditLog 对象中。

    protoPayload 中的 AuditLog 对象包含以下字段:

    • serviceName:指定 Google Cloud 服务的名称。 对于 Secure Web Proxy 操作,这通常为 networkservices.googleapis.com

    • methodName:标识所调用 API 方法的名称,例如 CreateGatewayUpdatePolicy

    • resourceName:指明正在操作的资源的完整名称。

    • statusauthenticationInfoauthorizationInfo :提供有关操作结果的其他标准详细信息。

如需详细了解这些对象中的其他字段以及如何解读 这些字段,请参阅 了解审核日志

日志名称

Secure Web Proxy 审核日志名称包含资源标识符,指明了 审核日志所属的 Google Cloud 项目、文件夹或组织。 这些审核日志名称还指明了日志是包含管理员活动、数据访问权限、系统事件还是政策拒绝审核日志记录数据。

以下是审核日志名称,包括资源标识符的变量:

  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

角色与权限

如需查看 Secure Web Proxy 审核日志,请确保您拥有以下角色和权限:

  • 对于管理员活动日志Logs Viewer 角色roles/logging.viewer)或具有 logging.logEntries.list权限的自定义角色。

  • 对于数据访问日志Private Logs Viewer 角色 (roles/logging.privateLogViewer),或具有 logging.privateLogEntries.list 权限的自定义角色。

服务名称

Secure Web Proxy 审核日志(尤其是网关操作和配置的审核日志)使用 networkservices.googleapis.com 服务名称。

如需按此服务进行过滤,请使用以下命令:

protoPayload.serviceName="networkservices.googleapis.com"

此外,您还可以按网关的资源类型过滤 Secure Web Proxy 审核日志:

resource.type="networkservices.googleapis.com/Gateway"

查看审核日志

您可以查询所有 Secure Web Proxy 审核日志,也可以按其审核日志名称来查询特定日志。审核日志名称包含您要查看审核日志记录信息的项目、文件夹、结算账号或组织的资源 标识符。 Google Cloud 您的查询可以指定已编入索引的 LogEntry 字段。如果您使用支持 SQL 查询的 Log Analytics 页面,则可以以图表形式查看查询结果。

如需详细了解如何查询日志,请参阅以下页面:

您可以使用 Google Cloud 控制台、Google Cloud CLI 或 Logging API 查看 Cloud Logging 中的审核日志。

控制台

在 Google Cloud 控制台中,您可以使用 Logs Explorer 来检索项目、文件夹 或组织的审核日志条目。 Google Cloud

  1. 在 Google Cloud 控制台中,前往 Logs Explorer 页面。

    转到 Logs Explorer

  2. 选择您的 Google Cloud 项目、文件夹或组织。

  3. 如需显示所有 Secure Web Proxy 审核日志,请在查询编辑器字段中输入以下常规 查询,然后点击 运行查询

    logName:"cloudaudit.googleapis.com"
resource.type="networkservices.googleapis.com/Gateway"

    或者,如需使用查询构建器显示特定资源和审核日志类型的审核日志,请按以下步骤操作:

    1. 对于资源类型,请选择 networkservices.googleapis.com/Gateway

    2. 对于日志名称,请选择要查看的审核日志类型。 系统只会列出项目中可用的日志类型。

      • 对于管理员活动审核日志,请选择 activity
      • 对于数据访问审核日志,请选择 data_access
      • 对于系统事件审核日志,请选择 system_event
      • 对于政策拒绝审核日志,请选择 policy

    3. 点击运行查询

如果您在尝试从 Logs Explorer 中查看日志时遇到任何问题,请 参阅 问题排查 详细信息。

如需详细了解如何使用 Logs Explorer 进行查询,请参阅 在 Logs Explorer 中构建查询

gcloud

Google Cloud CLI 为 Logging API 提供了命令行界面。在每个日志名称中指定有效的资源标识符。

如需读取项目级 Secure Web Proxy 审核日志条目,请使用 gcloud logging read 命令

gcloud logging read 'logName:projects/PROJECT_ID/logs/cloudaudit.googleapis.com AND resource.type="networkservices.googleapis.com/Gateway"' \
    --project=PROJECT_ID

PROJECT_ID 替换为您的 Google Cloud 项目的 ID。

在命令中添加 --freshness 标志 ,以读取超过一天的日志。

API

如需使用 Cloud Logging API 查看 Secure Web Proxy 审核日志条目,请在 resourceNames 字段中指定相应的 PROJECT_ID 并过滤结果。

例如,如需使用 Logging API 查看项目级审核日志条目,请按以下步骤操作:

  1. entries.list方法 页面上,前往 试用此 API 部分。

  2. 对于 Request body ,请输入以下代码段:

    {
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com AND
  resource.type=\"networkservices.googleapis.com/Gateway\""
}

    PROJECT_ID 替换为您的 Google Cloud 项目的 ID。

  3. 点击执行

接下来怎么做?