安全 Web 代理审核日志记录

本文档介绍了安全 Web 代理的审核日志记录。 Google Cloud 服务会生成审核日志，以记录 Google Cloud 资源的管理和访问活动。如需详细了解 Cloud Audit Logs，请参阅以下页面：

• 审核日志类型
• 审核日志条目结构
• 存储和路由审核日志
• Cloud Logging 价格摘要
• 启用数据访问审核日志

Cloud Audit Logs

Cloud Audit Logs（适用于安全 Web 代理）会跟踪以下活动和更改：

• 与对基础架构和代理设置进行的 API 调用、政策的创建和修改以及监控检查相关的信息。为了捕获这些互动，Cloud Audit Logs 会使用 Google Cloud CLI 命令、Network Services API 和 Network Security API。

• 与创建和删除 Secure Web Proxy 实例、修改设置和应用更新相关的信息。 Google Cloud 控制台日志会捕获与 Secure Web Proxy 配置相关的控制台活动。

• 有关对安全 Web 代理基础架构所做更改的数据分析。

• 有关对安全 Web 代理设置、规则和参数所做的调整的详细信息，这些设置、规则和参数会影响安全 Web 代理的行为。

• 安全 Web 代理中用户权限和访问权限控制的修改记录。

• 有关政策修改的文档，包括修改前后的详细信息。

审核日志类型

安全 Web 代理会写入两种类型的审核日志：管理员活动审核日志和数据访问审核日志。如需详细了解各种审核日志类型，请参阅审核日志类型。

管理员活动审核日志

管理员活动审核日志会记录修改安全 Web 代理资源配置或元数据的 API 调用和其他管理操作。管理员活动日志始终处于启用状态。

这些日志包含有关以下操作的信息：

• 创建、更新或删除 Gateway、GatewaySecurityPolicy、GatewaySecurityPolicyRule、TlsInspectionPolicy 和 UrlList 资源。
• 修改安全 Web 代理资源上的 Identity and Access Management (IAM) 政策。

数据访问审核日志

默认情况下，系统不会为安全 Web 代理启用数据访问审核日志记录。如需为安全 Web 代理启用数据访问审核日志，请参阅启用审核日志。

审核日志格式

安全 Web 代理 Cloud Audit Logs 遵循标准的 Google Cloud 审核日志结构。每个日志条目都是一个 LogEntry 类型的对象。

日志条目包含以下关键字段：

• logName：包含资源 ID 并指明审核日志的类型，即 activity 或 data_access。

• resource：指定所审核操作的目标。

• timeStamp：指定所审核操作发生的时间。

• protoPayload：包含主要审核信息，并存储在 AuditLog 对象中。

  protoPayload 中的 AuditLog 对象包含以下字段：

  • serviceName：指定 Google Cloud 服务的名称。 对于 Secure Web Proxy 操作，此值通常为 networkservices.googleapis.com。

  • methodName：用于标识所调用 API 方法的名称，例如 CreateGateway 或 UpdatePolicy。

  • resourceName：表示正在执行操作的资源的完整名称。

  • status、authenticationInfo 和 authorizationInfo：提供有关操作结果的其他标准详细信息。

如需详细了解上述对象中的其他字段以及如何解读这些字段，请参阅了解审核日志。

日志名称

安全 Web 代理审核日志名称包含资源标识符，用于指明审核日志所属的 Google Cloud 项目、文件夹或组织。这些审核日志名称还指明了日志是包含管理员活动、数据访问、系统事件还是政策拒绝审核日志记录数据。

以下是审核日志名称，包括资源标识符的变量：

  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

角色与权限

如需查看安全 Web 代理审核日志，请确保您拥有以下角色和权限：

• 对于管理员活动日志：Logs Viewer 角色 (roles/logging.viewer) 或具有 logging.logEntries.list 权限的自定义角色。

• 对于数据访问日志：Private Logs Viewer 角色 (roles/logging.privateLogViewer) 或具有 logging.privateLogEntries.list 权限的自定义角色。

服务名称

安全 Web 代理审核日志（尤其是针对网关操作和配置的审核日志）使用 networkservices.googleapis.com 服务名称。

如需过滤此服务，请使用以下命令：

protoPayload.serviceName="networkservices.googleapis.com"

此外，您还可以按网关的资源类型过滤安全 Web 代理审核日志：

resource.type="networkservices.googleapis.com/Gateway"

查看审核日志

您可以查询所有安全 Web 代理审核日志，也可以按审核日志名称查询特定日志。审核日志名称包含您要查看审核日志记录信息的 Google Cloud 项目、文件夹、结算账号或组织的资源标识符。您的查询可以指定已编入索引的 LogEntry 字段。如果您使用支持 SQL 查询的 Log Analytics 页面，则可以以图表形式查看查询结果。

如需详细了解如何查询日志，请参阅以下页面：

• 在 Logs Explorer 中构建查询
• 在 Log Analytics 中查询和查看日志
• 安全性数据分析的示例查询

您可以使用Google Cloud 控制台、Google Cloud CLI 或 Logging API 查看 Cloud Logging 中的审核日志。

gcloud logging read 'logName:projects/PROJECT_ID/logs/cloudaudit.googleapis.com AND resource.type="networkservices.googleapis.com/Gateway"' \
    --project=PROJECT_ID

后续步骤

• 日志和指标概览
• 查看代理交易日志