在 Google Cloud Platform 中,所有审核日志记录是否默认启用?我对管理员活动日志感兴趣(https://cloud.google.com/logging/docs/audit/#admin-activity),其中“记录虚拟机实例和 App Engine 应用程序的创建时间”等。
但是,我尝试在项目的 Compute Engine 上创建一个 VM 实例并检查 Stackdriver 日志(“已审核资源”类别) - 但什么都没有显示出来。我不认为这是权限问题,因为我拥有上述文档中提到的权限,并且可以在已审核资源类别中看到各种较旧的日志。这是怎么回事?
答案1
并非所有审计日志记录都默认启用。根据数据访问日志文档
数据访问审计日志默认处于禁用状态,因为它们可能非常大。启用日志可能会导致您的项目因额外日志使用而产生费用。
要查看日志,您必须具有Logging/Logs Viewer管理活动日志和Logging/Private Logs Viewer数据访问日志的 IAM 角色。
您可以在 GCP 控制台中项目的“活动”页面中检查缩写的审计日志条目,如下所示:主页 > 活动,如果您在那里找到日志而在 Stackdriver 日志中找不到,则可能意味着您正在查看较旧的日志,需要单击选项以加载较新的日志。
或者简单地使用过滤选项,执行以下操作:
- 转至 Stackdriver >日志页面在 GCP 控制台中:
- 在“按标签或文本搜索过滤”搜索栏的右上方,点击下拉箭头并选择
convert to advanced filter 使用以下过滤器:
resource.type="gce_instance" jsonPayload.event_subtype="compute.instances.insert"点击“提交过滤器”,您应该能够看到与虚拟机实例创建相关的日志。