そもそも監査ログとは
「監査」を目的に出力されるログ。
「監査」とは、システムがルール通りに動いているかを、第三者が確認すること。
「ルール」とは、会社のルール、お客さんとのルール、はたまた法律、などなど
GCPの監査ログの種類
| 種類 |
概要 |
デフォで有効? |
課金 |
場面の例 |
| 管理アクティビティ監査ログ |
ユーザーのアクションでリソースが更新された時に出る |
有効。無効化したくてもできない |
無料 |
VMを作成した時、IAM権限を変更した時 |
| システムイベント監査ログ |
Google側のアクションでリソースが変更された時に出る |
有効。無効化したくてもできない |
無料 |
オートスケールが行われた時 |
| データアクセス監査ログ |
リソースへの読み取りが行われた時に出る |
無効 |
有料 |
GCSオブジェクトデータ取得時 |
| ポリシー拒否監査ログ |
セキュリティポリシー違反の操作があった時に出る |
有効(無効にしたくてもできないが、除外フィルタを設定できる。) |
有料 |
サービス境界外からのアクセスがあった時 |
データアクセス監査ログの種類
-
ADMIN_READ: メタデータを読み取った時に出る
-
DATA_READ: ユーザが作成したデータを読み取った時に出る
-
DATA_WRITE: ユーザがデータを書き込んだ時に出る
監査ログの保存先
- Cloud Logging のログバケット
- ログバケットとは、Cloud Loggingにおけるストレージ機能。GCSのバケットとは無関係なので注意!
- ログバケットに保管されているログのみを、Cloud Loggingの画面で見れるという関係。
| 種類 |
保存期間 |
デフォルトで保存される監査ログの種類 |
補足 |
_Requiredログバケット |
400日(変更不可) |
管理アクティビティ監査ログ・システムイベント監査ログ |
最初から自動で作られている |
_Defaultログバケット |
30日(3650日=10年まで延ばせる) |
データアクセス監査ログ・ポリシー拒否監査ログ |
最初から自動で作られている |
| ユーザー定義ログバケット |
1~3650日(=10年) |
|
|
