本文档推荐了一系列审核日志记录任务,以帮助您的组织保持安全性并最大限度地降低风险。本文档并未列出所有建议。其目标是帮助您了解审核日志记录活动的范围,并相应地进行规划。
各部分均介绍了关键操作,并包含一些深入内容的链接。
了解 Cloud Audit Logs
审核日志适用于大多数 Google Cloud 服务。Cloud Audit Logs 会为每个 Cloud 项目、文件夹和组织提供以下类型的审核日志:
数据访问审核日志(BigQuery 除外)默认处于停用状态。如果您希望为 Google Cloud 服务写入数据访问审核日志,则必须明确启用这些日志;如需了解详情,请参阅本页面中的配置数据访问审核日志。
如需了解使用 Google Cloud 时的审核日志记录的整体情况,请参阅 Cloud Audit Logs 概览。
控制对日志的访问权限
由于审核日志数据的敏感性,请务必为组织用户配置适当的访问权限控制。
根据合规性和使用要求,设置以下访问权限控制:
设置 IAM 权限
配置日志视图
设置日志条目字段级访问权限控制
设置 IAM 权限
IAM 权限和角色决定了用户能否访问 Logging API、日志浏览器和 Google Cloud CLI 中的审核日志数据。使用 IAM 授予对特定 Google Cloud 存储分区的精细访问权限,并防止对其他资源进行不必要的访问。
您授予用户的基于权限的角色取决于其在组织中与审核相关的功能。例如,您可以授予 CTO 广泛的管理权限,而开发者团队成员可能需要日志查看权限。如需了解需要向组织用户授予哪些角色,请参阅为审核日志配置角色。
设置 IAM 权限时,请应用最小权限的安全原则,以便仅向用户授予对您的资源的必要访问权限:
移除所有非必要用户。
为基本用户授予正确且最低的权限。
如需了解如何设置 IAM 权限,请参阅管理对项目、文件夹和组织的访问权限。
配置日志视图
Logging 会将所有日志(包括审核日志)提取到名为存储分区的存储容器中。日志视图可让您控制谁有权访问日志存储分区中的日志。
由于日志存储分区可能包含来自多个 Cloud 项目的日志,因此您可能需要控制不同的用户可以查看哪些 Cloud 项目中的日志。创建自定义日志视图,以获得针对这些存储分区的更精细的访问权限控制。
如需了解如何创建和管理日志视图,请参阅配置存储桶级访问权限。
设置日志字段级访问权限控制
通过字段级访问权限控制,您可以向 Google Cloud 项目的用户隐藏各个 LogEntry 字段,从而更精细地控制用户可以访问的日志数据。与隐藏整个 LogEntry 的日志视图相比,字段级访问权限控制隐藏 LogEntry 的各个字段。例如,您可能希望从组织的大多数用户中隐去外部用户个人身份信息(例如日志条目载荷中包含的电子邮件地址)。
如需了解如何配置字段级访问权限控制,请参阅配置字段级访问权限。
配置数据访问审核日志
启用新的 Google Cloud 服务时,请评估是否启用数据访问审核日志。
数据访问审核日志可帮助 Google 支持团队排查您的帐号问题。因此,我们建议您尽可能启用数据访问审核日志。
注意:数据访问审核日志可能很大,并且可能会产生额外的存储费用。如需了解价格信息,请参阅 Google Cloud 的运维套件价格:Cloud Logging。
如需为所有服务启用所有审核日志,请按照更新 Identity and Access Management (IAM) 政策的说明,使用审核政策中列出的配置。
定义组织级数据访问政策并启用数据访问审核日志后,在组织中创建开发者和生产 Cloud 项目之前,请使用测试 Cloud 项目来验证审核日志收集的配置。
如需了解如何启用数据访问审核日志,请参阅启用数据访问审核日志。
控制日志的存储方式
您可以配置组织存储分区的各个方面,也可以创建用户定义的存储分区,以集中或细分日志存储空间。根据您的合规性和用量要求,您可能需要对日志存储进行自定义,如下所示:
选择日志的存储位置。
指定数据保留期限。
使用客户管理的加密密钥 (CMEK) 保护您的日志。
选择日志的存储位置
Logging 存储分区是区域级资源:用于存储、索引和搜索日志的基础架构位于特定地理位置。
您的组织可能需要将其日志数据存储在特定区域中。选择存储日志的区域的主要因素包括满足组织的延迟时间、可用性或合规性要求。
如需将特定存储区域自动应用于组织中创建的新 _Default 和 _Required 存储分区,您可以配置默认资源位置。
如需了解如何配置默认资源位置,请参阅为组织配置默认设置。
定义数据保留期限
Cloud Logging 根据适用于保留日志的日志存储桶类型的保留规则保留日志。
为了满足您的合规性需求,请将 Cloud Logging 配置为保留 1 天到 3650 天之间的日志。自定义保留规则适用于存储桶中的所有日志,无论日志类型如何或日志是否从其他位置复制过。
如需了解如何为日志存储桶设置保留规则,请参阅配置自定义保留规则。
使用客户管理的加密密钥保护您的审核日志
默认情况下,Cloud Logging 会对静态存储的客户内容进行加密。组织可能有高级加密要求,而默认静态加密不提供这些要求。为满足您组织的要求,您需要配置客户管理的加密密钥 (CMEK) 来控制和管理您自己的加密,而不是让 Google 管理用于保护数据的密钥加密密钥。
如需了解如何配置 CMEK,请参阅为日志存储配置 CMEK。
了解价格
Cloud Logging 价格以日志存储分区为中心,存储分区是注入和存储日志数据的 Logging 容器。
Logging 针对超出每月免费配额的注入和存储日志量收费。
配置和使用审核日志时,建议您遵循以下与价格相关的最佳做法:
您可以通过查看用量数据和设置提醒来估算帐单。
请注意,数据访问审核日志可能很大,并且可能会产生额外的存储费用。
通过排除无用的审核日志来管理您的费用。
例如,您可能排除了开发项目中的数据访问审核日志。
将日志路由到 Logging 外部时,应了解目标位置费用。
查询和查看审核日志
如果您需要进行问题排查,您必须能够快速查看日志。在 Google Cloud 控制台中,使用日志浏览器检索组织的审核日志条目:
在 Google Cloud 控制台中,转到 Logging > 日志浏览器页面。
转到日志浏览器
选择您的组织。
在查询窗格中,执行以下操作:
在资源类型中,选择要查看其审核日志的 Google Cloud 资源。
在日志名称中,选择要查看的审核日志类型:
对于管理员活动审核日志,选择 activity。
对于数据访问审核日志,选择 data_access。
对于系统事件审核日志,选择 system_event。
对于政策拒绝审核日志,选择 policy。
如果您没有看到这些选项,则表示组织中不存在该类型的审核日志。
在查询编辑器中,进一步指定您要查看的审核日志条目。如需查看常见查询示例,请参阅使用日志浏览器的示例查询。
点击运行查询。
如需详细了解如何使用日志浏览器进行查询,请参阅在日志浏览器中构建查询。
监控审核日志
您可以使用 Cloud Monitoring 在出现您描述的情况时通知您。为了向 Cloud Monitoring 提供日志中的数据,Logging 会为您提供基于日志的提醒,以便在日志中出现特定事件时向您发出通知。
配置提醒以区分需要立即调查的事件与低优先级事件。例如,如果您想了解审核日志何时记录了特定的数据访问消息,则可以创建一个基于日志的提醒,使之与消息匹配并在发出消息时通知您。
如需了解如何配置基于日志的提醒,请参阅管理基于日志的提醒。
将日志路由到支持的目的地
您的组织可能面临创建和保留审核日志的要求。使用接收器,您可以将部分或所有日志路由到以下受支持的目标位置:
Cloud Storage
Pub/Sub,包括 Splunk 等第三方
BigQuery
另一个 Cloud Logging 存储桶
提示:如需实现长期保留,请在接收日志数据之前配置接收器。
确定您需要文件夹级接收器还是组织级接收器,并使用汇总接收器路由组织或文件夹内所有 Cloud 项目的日志。例如,您可以考虑以下路由用例:
组织级接收器:如果组织使用 SIEM 管理多个审核日志,您可能需要路由组织的所有审核日志。因此,组织级接收器是合理的。
文件夹级接收器:有时您可能只想路由部门审核日志。例如,如果您有一个“Finance”文件夹和一个“IT”文件夹,您可能会发现仅路由属于“Finance”文件夹的审核日志中的值,反之亦然。
如需详细了解文件夹和组织,请参阅资源层次结构。
对用于路由日志的 Google Cloud 目的地应用与日志浏览器相同的访问权限政策。
如需了解如何创建和管理汇总接收器,请参阅整理组织级日志并将其路由到受支持的目标位置。
了解接收器目标位置中的数据格式
将审核日志路由到 Cloud Logging 以外的目的地时,请了解已发送数据的格式。
例如,如果将日志路由到 BigQuery,则 Cloud Logging 会应用规则来缩短审核日志和某些结构化载荷字段的 BigQuery 架构字段名称的长度。
如需了解和查找从 Cloud Logging 路由到受支持的目标位置的日志条目,请参阅查看接收器目标位置的日志。
复制日志条目
您可能需要与 Logging 外部的审核人员共享审核日志条目,具体取决于组织的合规性需求。如果您需要共享已存储在 Cloud Logging 存储分区中的日志条目,可以手动将它们复制到 Cloud Storage 存储分区。
将日志条目复制到 Cloud Storage 时,日志条目也会保留在复制它们的日志存储桶中。请注意,复制操作不会替换接收器,后者会将所有传入日志条目自动发送到预先选择的受支持存储目标位置(包括 Cloud Storage)。
