Secure Web Proxy 稽核記錄

本文說明 Secure Web Proxy 的稽核記錄功能。 Google Cloud 服務會產生稽核記錄，用於記錄 Google Cloud 資源的管理和存取活動。如要進一步瞭解 Cloud 稽核記錄，請參閱下列頁面：

• 稽核記錄類型
• 稽核記錄項目結構
• 儲存及轉送稽核記錄
• Cloud Logging 定價摘要
• 啟用資料存取稽核記錄

Cloud 稽核記錄

安全網路 Proxy 的 Cloud 稽核記錄會追蹤下列活動和變更：

• 與基礎架構和 Proxy 設定、政策建立和修改，以及監控檢查相關的 API 呼叫資訊。如要擷取互動，Cloud 稽核記錄會使用 Google Cloud CLI 指令、Network Services API 和 Network Security API。

• 建立及刪除 Secure Web Proxy 執行個體、修改設定和套用更新的相關資訊。 Google Cloud 控制台記錄：擷取與 Secure Web Proxy 設定相關的控制台活動。

• 深入瞭解 Secure Web Proxy 基礎架構的變更。

• Secure Web Proxy 設定、規則和參數的調整詳細資料，這些設定、規則和參數會影響 Secure Web Proxy 的行為。

• Secure Web Proxy 內使用者權限和存取權控管的修改記錄。

• 政策修改相關文件，包括編輯前後的詳細資料。

稽核記錄類型

安全網頁 Proxy 會寫入兩種稽核記錄：管理員活動稽核記錄和資料存取稽核記錄。如要進一步瞭解各種稽核記錄類型，請參閱「稽核記錄類型」。

管理員活動稽核記錄

管理員活動稽核記錄會記錄 API 呼叫，以及修改 Secure Web Proxy 資源設定或中繼資料的其他管理動作。管理員活動記錄永遠處於啟用狀態。

這些記錄包含下列作業的相關資訊：

• 建立、更新或刪除 Gateway、GatewaySecurityPolicy、GatewaySecurityPolicyRule、TlsInspectionPolicy 和 UrlList 資源。
• 修改 Secure Web Proxy 資源的身分與存取權管理 (IAM) 政策。

資料存取稽核記錄

Secure Web Proxy 預設不會啟用資料存取稽核記錄。如要為 Secure Web Proxy 啟用資料存取稽核記錄，請參閱「啟用稽核記錄」。

稽核記錄格式

Secure Web Proxy Cloud 稽核記錄遵循標準 Google Cloud 稽核記錄結構。每個記錄項目都是 LogEntry 類型的物件。

記錄項目包含下列重要欄位：

• logName：包含資源 ID，並指出稽核記錄類型，可以是 activity 或 data_access。

• resource：指定稽核作業的目標。

• timeStamp：指定稽核作業發生的時間。

• protoPayload：包含主要稽核資訊，並儲存在 AuditLog 物件中。

  protoPayload 中的 AuditLog 物件包含下列欄位：

  • serviceName：指定 Google Cloud 服務的名稱。 如果是 Secure Web Proxy 作業，這通常是 networkservices.googleapis.com。

  • methodName：識別呼叫的 API 方法名稱，例如 CreateGateway 或 UpdatePolicy。

  • resourceName：表示要執行的資源完整名稱。

  • status、authenticationInfo 和 authorizationInfo：提供作業結果的額外標準詳細資料。

如要進一步瞭解這些物件中的其他欄位，以及如何解讀這些資料，請參閱「瞭解稽核記錄」。

記錄檔名稱

安全網頁 Proxy 稽核記錄名稱包含資源 ID，指出擁有稽核記錄的 Google Cloud 專案、資料夾或機構。這些稽核記錄名稱也會指出記錄是否包含管理員活動、資料存取、系統事件或政策遭拒稽核記錄資料。

以下是稽核記錄名稱，包括資源 ID 的變數：

  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

角色和權限

如要查看 Secure Web Proxy 稽核記錄，請確認您具備下列角色和權限：

• 管理員活動記錄：「記錄檢視者」角色 (roles/logging.viewer) 或具備 logging.logEntries.list 權限的自訂角色。

• 資料存取記錄：私密記錄檢視者角色 (roles/logging.privateLogViewer) 或具備 logging.privateLogEntries.list 權限的自訂角色。

服務名稱

Secure Web Proxy 稽核記錄 (尤其是閘道作業和設定) 會使用 networkservices.googleapis.com 服務名稱。

如要篩選此服務，請使用下列指令：

protoPayload.serviceName="networkservices.googleapis.com"

此外，您也可以依閘道的資源類型篩選 Secure Web Proxy 稽核記錄：

resource.type="networkservices.googleapis.com/Gateway"

查看稽核記錄

您可以查詢所有安全網頁 Proxy 稽核記錄，也可以依稽核記錄名稱查詢特定記錄。稽核記錄名稱包含您要查看稽核記錄資訊的 Google Cloud 專案、資料夾、帳單帳戶或機構的資源 ID。查詢可以指定已建立索引的 LogEntry 欄位。如果您使用支援 SQL 查詢的「記錄檔分析」頁面，就能以圖表形式查看查詢結果。

如要進一步瞭解如何查詢記錄，請參閱下列頁面：

• 透過 Logs Explorer 建構查詢
• 在記錄檔分析查詢及查看記錄檔
• 安全性深入分析查詢範例

使用Google Cloud 控制台、Google Cloud CLI 或 Logging API，在 Cloud Logging 中查看稽核記錄。

gcloud logging read 'logName:projects/PROJECT_ID/logs/cloudaudit.googleapis.com AND resource.type="networkservices.googleapis.com/Gateway"' \
    --project=PROJECT_ID

後續步驟

• 記錄和指標總覽
• 查看 Proxy 交易記錄