GCP Cloud LoggingとCloud Audit Logs

GCP

はじめに

Cloud Loggingは色々なログをクエリで検索するための機能。
Cloud Audit LogsはGCPの監査ログであって、そういう機能があるわけではない。

Cloud Audit Logsを確認したいなら、Cloud Loggingから確認する。

Cloud Audit Logs  |  Cloud Logging  |  Google Cloud

監査ログの種類

項目内容
activity管理アクティビティ監査ログには、リソースの構成またはメタデータを変更する API 呼び出しやその他の管理アクションに関するログエントリが含まれます。
data_accessデータアクセス監査ログには、リソースの構成やメタデータを読み取る API 呼び出しや、ユーザー提供のリソースデータの作成、変更、読み取りを行うユーザー主導の API 呼び出しが含まれます。
system_eventシステム イベント監査ログには、リソースの構成を変更する Google Cloud 管理アクションのログエントリが含まれます。システム イベント監査ログは Google システムによって生成されます。直接的なユーザーのアクションによっては生成されません。

監査ログの確認方法

オペレーション – ロギングからログエクスプローラを開く。
リソースから対象のサービスを選択する。

リソースから対象のサービスを選択する。
ログ名から対象の監査ログを選択する。

クエリを実行すると監査ログが表示される。

ログのエクスポート

Cloud Loggingは以下のサービスにログをエクスポートできる。

  • Cloud Storage
  • Bigquery
  • Pub/Sub
  • Cloud Loggingのログバケット
  • Splunk

ログの転送方法についてはログシンクを作成することで、ログルーターが行う。

Cloud Logging では、監査ログ、プラットフォーム ログ、ユーザーログを含むすべてのログが Cloud Logging API に送信され、ログルーターを通過します。ログルーターは、各ログエントリを既存のルールと照合して、破棄するログエントリ、Cloud Logging で取り込む(保存する)ログエントリ、ログシンクを使用してサポートされている宛先にルーティングするログエントリを決定します。

https://cloud.google.com/logging/docs/routing/overview?hl=ja

シンクの作成

例えば、gceインスタンスのログのみを選択する場合は以下。
フィルタについてはエクスプローラーのクエリと同じ内容でよい様子。

Bigquery側を除くとテーブルが作成されていることが確認できる。

コメント

タイトルとURLをコピーしました