Afficher les journaux d'audit de VM Manager

Cette page décrit les journaux d'audit créés par VM Manager (OS Config) dans le cadre de Cloud Audit Logs.

Présentation

Les services Google Cloud alimentent des journaux d'audit pour vous aider à déterminer qui fait quoi, où et quand. Chaque projet Google Cloud contient uniquement les journaux d'audit liés aux ressources directement intégrées au projet. Chacune des autres entités (y compris les dossiers, les organisations et les comptes de facturation) ne contient que les journaux d'audit qui la concernent.

Pour découvrir les journaux d'audit Cloud, consultez la page Journaux d'audit Cloud. Pour approfondir vos connaissances sur Cloud Audit Logs, consultez la page Comprendre les journaux d'audit.

Cloud Audit Logs gère trois journaux d'audit pour chaque projet, dossier et organisation Google Cloud :

Journaux d'audit pour les activités d'administration
Journaux d'audit des accès aux données
Journaux d'audit des événements système

VM Manager n'écrit les journaux d'audit pour l'accès aux données que si l'option est explicitement activée. Ces journaux contiennent les appels d'API qui lisent la configuration ou les métadonnées des ressources, et les appels d'API pilotés par l'utilisateur qui créent, modifient ou lisent des données de ressources fournies par l'utilisateur. Les journaux d'audit des accès aux données n'enregistrent pas les opérations d'accès aux données sur les ressources partagées publiquement (accessibles à tous les utilisateurs ou à tous les utilisateurs authentifiés) ou accessibles sans connexion à Google Cloud.

VM Manager n'écrit pas de journaux d'audit pour les activités d'administration.

VM Manager n'écrit pas de journaux d'audit pour les événements système.

Opérations auditées

Le tableau suivant récapitule les opérations d'API correspondant à chaque type de journal d'audit dans VM Manager :

Catégorie de journal d'audit	Opérations de VM Manager
Journaux d'audit pour les activités d'administration	ND
Journaux d'audit pour l'accès aux données	`ExecutePatchJob` `GetPatchJob` `CancelPatchJob` `ListPatchJobs` `ListPatchJobInstanceDetails` `CreatePatchDeployment` `GetPatchDeployment` `ListPatchDeployments` `DeletePatchDeployment` `UpdatePatchDeployment` `GetVulnerabilityReport` `ListVulnerabilityReports` `GetInventory` `ListInventories` `CreateOSPolicyAssignments` `GetOSPolicyAssignments` `ListOSPolicyAssignments` `UpdateOSPolicyAssignments` `DeleteOSPolicyAssignments` `GetOSPolicyAssignmentsReport` `ListOSPolicyAssignmentsReports` `CreateGuestPolicy` `GetGuestPolicy` `ListGuestPolicies` `UpdateGuestPolicy` `DeleteGuestPolicy` `LookupEffectiveGuestPolicy`
Journaux d'audit d'événements système	ND

Format des journaux d'audit

Les entrées des journaux d'audit, qui peuvent être affichées dans Cloud Logging à l'aide de la visionneuse de journaux, de l'API Cloud Logging ou de Google Cloud CLI, comprennent les objets suivants :

L'entrée de journal proprement dite, qui est un objet de type LogEntry. Les champs utiles sont les suivants :
- logName, qui contient l'identification du projet et le type du journal d'audit
- resource, qui contient la cible de l'opération faisant l'objet d'un audit
- timeStamp, qui indique l'heure à laquelle l'opération auditée a été effectuée
- protoPayload, qui contient les informations auditées
Les données de journalisation d'audit, qui correspondent à un objet AuditLog inclus dans le champ protoPayload de l'entrée de journal.
Un objet (facultatif) de type "informations d'audit propres au service", consigné dans le champ serviceData de l'objet AuditLog. Pour en savoir plus, consultez la section Données d'audit spécifiques au service.

Pour en savoir plus sur les autres champs de ces objets, ainsi que leur interprétation, consultez la page Comprendre les journaux d'audit.

Nom du journal

Les noms des ressources Cloud Audit Logs indiquent l'entité ou le projet dont ils dépendent. En outre, ils précisent si les journaux contiennent des données sur les activités d'administration, sur l'accès aux données ou sur les événements système. Les exemples ci-dessous présentent respectivement la structure des noms des journaux concernant les activités d'administration d'un projet et celle des noms des journaux concernant l'accès aux données d'une organisation.

projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity
organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access

Nom du service

Les journaux d'audit de VM Manager utilisent le nom de service osconfig.googleapis.com.

Pour en savoir plus sur les services de journalisation, consultez la section Mapper des services avec des ressources.

Types de ressources

Tous les journaux d'audit de VM Manager utilisent le type de ressource audited_resource.

Pour une liste complète, consultez la page Types de ressources surveillées.

Activer les journaux d'audit

Les journaux d'audit pour l'accès aux données sont désactivés par défaut et ne sont pas écrits à moins d'être explicitement activés (à l'exception de ceux pour BigQuery, qui ne peuvent pas être désactivés).

Pour obtenir des instructions sur l'activation d'une partie ou de l'ensemble de vos journaux d'audit d'accès aux données, consultez la page Configurer les journaux d'accès aux données.

Les journaux d'audit que vous activez pour l'accès aux données peuvent avoir une incidence sur la tarification des journaux dans Cloud Logging. Consultez la section Tarifs ci-après.

VM Manager n'écrit pas de journaux d'audit pour les activités d'administration.

Autorisations relatives aux journaux d'audit

Les autorisations et rôles Cloud IAM (Cloud Identity and Access Management) dont vous disposez déterminent les journaux d'audit que vous pouvez afficher ou exporter. Les journaux sont consignés dans les projets et dans certaines autres entités, par exemple des organisations, des dossiers et des comptes de facturation. Pour en savoir plus, consultez la page Comprendre les rôles.

Pour afficher les journaux relatifs aux activités d'administration, vous devez disposer d'un des rôles Cloud IAM suivants dans le projet qui contient vos journaux d'audit :

Propriétaire de projet, éditeur de projet ou lecteur de projet
Rôle Lecteur de journaux de Logging
Rôle Cloud IAM personnalisé disposant de l'autorisation Cloud IAM logging.logEntries.list

Pour afficher les journaux d'audit des accès aux données, vous devez disposer d'un des rôles suivants dans le projet qui contient les journaux d'audit :

Rôle Propriétaire de projet
Rôle Lecteur des journaux privés de Logging
Rôle Cloud IAM personnalisé disposant de l'autorisation Cloud IAM logging.privateLogEntries.list

Si vous utilisez des journaux d'audit pour une entité autre qu'un projet, telle qu'une organisation, vous devez modifier les rôles Projet. Sélectionnez à la place des rôles "Organisation" appropriés.

Afficher les journaux

Vous pouvez interroger tous les journaux d'audit ou interroger les journaux selon leur nom de journal d'audit. Le nom du journal d'audit inclut l'identifiant de ressource du projet, du dossier, du compte de facturation ou de l'organisation Google Cloud dont vous souhaitez afficher les informations de journalisation d'audit. Vos requêtes peuvent spécifier des champs LogEntry indexés. Si vous utilisez la page Analyse de journaux, qui est compatible avec les requêtes SQL, vous pouvez afficher les résultats de votre requête sous forme de graphique.

Pour en savoir plus sur l'interrogation de journaux, consultez les pages suivantes :

Vous pouvez afficher les journaux d'audit dans Cloud Logging à l'aide de la console Google Cloud, de Google Cloud CLI ou de l'API Logging.

Console

Vous pouvez utiliser l'explorateur de journaux de la console Google Cloud pour récupérer les entrées du journal d'audit de votre projet, dossier ou organisation Google Cloud :

Dans le panneau de navigation de la console Google Cloud, sélectionnez Logging, puis Explorateur de journaux :
Accéder à l'explorateur de journaux
Sélectionnez un projet, une organisation ou un dossier Google Cloud existant.
Pour afficher tous les journaux d'audit, saisissez l'une des requêtes suivantes dans le champ de l'éditeur de requête, puis cliquez sur Exécuter la requête :
```
logName:"cloudaudit.googleapis.com"
```
```
protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog"
```
Pour afficher les journaux d'audit d'une ressource et d'un type de journal d'audit spécifiques, accédez au volet Générateur de requêtes et procédez comme suit :
- Dans Type de ressource, sélectionnez la ressource Google Cloud dont vous souhaitez afficher les journaux d'audit.
- Dans Nom du journal, sélectionnez le type de journal d'audit que vous souhaitez afficher :
  - Pour les journaux d'audit pour les activités d'administration, sélectionnez activity.
  - Pour les journaux d'audit des accès aux données, sélectionnez data_access.
  - Pour les journaux d'audit des événements système, sélectionnez system_event.
  - Pour les journaux d'audit des refus de règles, sélectionnez policy.
- Cliquez sur Exécuter la requête.
Si ces options ne sont pas visibles, cela signifie qu'aucun journal d'audit de ce type n'est disponible dans le projet, le dossier ou l'organisation Google Cloud.

Si vous rencontrez des problèmes lors de la tentative d'affichage de journaux dans l'explorateur de journaux, consultez les informations de dépannage.

Pour en savoir plus sur l'utilisation de l'explorateur de journaux pour effectuer des requêtes, consultez la page Créer des requêtes dans l'explorateur de journaux. Pour en savoir plus sur la synthèse des entrées de journal dans l'explorateur de journaux à l'aide de Duet AI, consultez la page Synthétiser les entrées de journal avec l'assistance Duet AI.

gcloud

Google Cloud CLI fournit une interface de ligne de commande à l'API Logging. Fournissez un identifiant de ressource valide dans chacun des noms de journaux. Par exemple, si votre requête inclut un PROJECT_ID, l'identifiant de projet que vous fournissez doit faire référence au projet Google Cloud actuellement sélectionné.

Pour lire les entrées de journal d'audit au niveau du projet Google Cloud, exécutez la commande suivante :

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

Pour lire les entrées de journal d'audit au niveau d'un dossier, exécutez la commande suivante :

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

Pour lire les entrées de journal d'audit au niveau de l'organisation, exécutez la commande suivante :

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

Pour lire les entrées de journal d'audit au niveau de votre compte de facturation Cloud, exécutez la commande suivante :

gcloud logging read "logName : billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com" \
    --billing-account=BILLING_ACCOUNT_ID

Ajoutez l'option --freshness à votre commande pour lire les journaux datant de plus d'une journée.

Pour en savoir plus sur l'utilisation de gcloud CLI, consultez la page gcloud logging read.

API

Lors de la création de vos requêtes, fournissez un identifiant de ressource valide dans chacun des noms de journaux. Par exemple, si votre requête inclut un PROJECT_ID, l'identifiant de projet que vous fournissez doit faire référence au projet Google Cloud actuellement sélectionné.

Par exemple, pour utiliser l'API Logging afin d'afficher les entrées de journal d'audit au niveau d'un projet, procédez comme suit :

Accédez à la section Essayer cette API dans la documentation de la méthode entries.list.
Insérez les éléments suivants dans la partie Corps de la requête du formulaire Essayer cette API. En cliquant sur ce formulaire prérempli, vous remplissez automatiquement le corps de la requête mais vous devez fournir un ID de projet PROJECT_ID valide pour chaque nom de journal.
```
{
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}
```
Cliquez sur Exécuter.

Exporter des journaux d'audit

Vous pouvez exporter les journaux d'audit de la même manière que vous exportez d'autres types de journaux. Pour en savoir plus sur l'exportation des journaux, reportez-vous à la page Exporter des journaux. Voici des exemples d'applications associées à l'exportation des journaux d'audit :

Pour conserver les journaux d'audit pendant une période plus longue ou pour utiliser des fonctionnalités de recherche plus puissantes, vous pouvez exporter des copies des journaux d'audit vers Cloud Storage, BigQuery ou Pub/Sub. Avec Pub/Sub, vous avez la possibilité d'exporter vos journaux vers d'autres applications, d'autres dépôts, ainsi que vers des organisations tierces.
Pour gérer les journaux d'audit à l'échelle de votre organisation, vous pouvez créer des récepteurs agrégés capables d'exporter les journaux pour un projet spécifique ou pour l'ensemble des projets de l'organisation.

Si les journaux d'audit d'accès aux données que vous avez activés entraînent le dépassement du quota d'attribution de journaux défini pour vos projets, vous pouvez les exporter et les exclure de Logging. Pour en savoir plus, consultez la page Exclusions de journaux.

Tarifs

Cloud Logging facture les journaux d'audit des accès aux données que vous demandez explicitement. VM Manager n'écrit pas de journaux d'audit pour les activités d'administration ou les événements système.

Pour plus d'informations sur la tarification des journaux d'audit, consultez les tarifs de Google Cloud Observability.