本文由【云老大】 TG@yunlaoda360 撰写
启用审计日志
- 登录Google Cloud Console:访问Google Cloud Console并使用您的Google账户登录。
- 导航到审计日志设置:在左侧导航菜单中,选择 “IAM & Admin” > “Audit Logs” 。
- 启用日志类型:选择您要启用的日志类型,包括管理活动日志、数据访问日志、系统事件日志和策略拒绝日志。管理活动日志默认已启用,记录修改资源元数据的API调用和管理操作;数据访问日志可选启用,记录用户与数据的交互;系统事件日志默认启用,记录由Google系统触发的资源配置更改;策略拒绝日志默认启用,记录由于安全策略违规而被拒绝的访问尝试。
查看审计日志
-
使用Logs Explorer查看:
-
在Google Cloud Console中,选择 “操作” > “Logging” > “Logs Explorer” 。
-
在查询构建器窗格中,选择相应的Google Cloud资源类型和日志类型。例如,要查看管理活动日志,选择活动;要查看数据访问日志,选择数据访问等。
-
可以使用以下过滤器来仅查看Cloud Search审计日志:
protoPayload.serviceName="cloudsearch.googleapis.com"
-
-
使用gcloud命令行工具查看:
-
查看项目级别的审计日志条目,运行以下命令:
bash
-
gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" --project=PROJECT_ID
- 查看文件夹级别的审计日志条目,运行以下命令:
bash gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" --folder=FOLDER_ID
- 查看组织级别的审计日志条目,运行以下命令:
bash gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" --organization=ORGANIZATION_ID ```。
配置日志导出
-
创建导出目的地:可以使用导出功能将日志导出到其他Google Cloud服务,如BigQuery、Cloud Pub/Sub或Cloud Storage。
-
创建日志转储:在Google Cloud Console中,选择 “操作” > “Logging” > “Logs Router” 。
-
创建转储:点击 “创建转储” ,命名转储并设置其目的地为所需服务,并选择创建的导出目的地。
-
设置过滤器:在 “过滤器” 框中输入相应的日志名称和过滤条件,以指定要导出的日志。例如:
resource.type="organization" logName="projects/YOUR_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity" protoPayload.methodName="SetOrgPolicy" -
保存转储。
通过以上步骤,您可以启用、查看和配置谷歌云服务器的审计日志,以便跟踪和审计云资源中的活动。Google Cloud Audit Logs提供了多种日志类型和灵活的查看、查询方式,帮助您实现透明、安全的操作审计。
