В Google Cloud Platform все ведение журнала аудита включено по умолчанию? Меня интересуют журналы активности администратора ( https://cloud.google.com/logging/docs/audit/#admin-activity ), которые «записывают, когда экземпляры ВМ и Приложения App Engine создаются «среди прочего».
Однако я попытался создать экземпляр виртуальной машины в Compute Engine своего проекта и проверить журналы Stackdriver («Аудитированный ресурс» категория) - но ничего не появляется. Я не думаю, что это проблема с разрешениями, поскольку у меня есть разрешения, упомянутые в документации выше, и я могу просматривать различные старые журналы в категории «Проверенные ресурсы». Что дает?
Не все журналы аудита включены по умолчанию. Согласно документации журналов доступа к данным
журналы аудита доступа к данным отключены по умолчанию, поскольку они могут быть довольно большими. Включение журналов может привести к тому, что в вашем проекте будет взиматься плата за использование дополнительных журналов.
Для просмотра журналов у вас должны быть роли IAM Logging / Logs Viewer
для журналов активности администратора и Logging / Программа просмотра личных журналов
для журналов доступа к данным.
Вы можете проверить наличие сокращенных записей журнала аудита на странице "Активность" вашего проекта в консоли GCP следующим образом: Главная> Активность, если вы найдете журналы там, а не в журнале Stackdriver, это может означать, что вы просматриваете старые журналы и вам нужно чтобы щелкнуть по опции загрузки новых журналов.
Или просто воспользуйтесь опцией фильтра, выполнив следующие действия:
преобразовать в расширенный фильтр
Используйте следующие фильтры:
resource.type =" gce_instance "
jsonPayload.event_subtype = "compute.instances.insert"
Щелкните «Отправить фильтр», вы должны увидеть журналы, связанные с созданием экземпляра виртуальной машины.