GCP - Logging Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Huduma hii inaruhusu watumiaji kuhifadhi, kutafuta, kuchambua, kufuatilia, na kutoa taarifa kuhusu data za logi na matukio kutoka GCP.
Cloud Logging imeunganishwa kikamilifu na huduma nyingine za GCP, ikitoa hifadhi ya kati ya logi kutoka kwa rasilimali zako zote za GCP. In kusanya logi kiotomatiki kutoka kwa huduma mbalimbali za GCP kama App Engine, Compute Engine, na Cloud Functions. Unaweza pia kutumia Cloud Logging kwa programu zinazofanya kazi kwenye tovuti au katika mawingu mengine kwa kutumia wakala wa Cloud Logging au API.
Key Features:
Kusatisha Data za Logi: Kuunganisha data za logi kutoka vyanzo mbalimbali, ikitoa mtazamo wa jumla wa programu na miundombinu yako.
Usimamizi wa Logi kwa Wakati Halisi: Kupeleka logi kwa wakati halisi kwa uchambuzi na majibu ya haraka.
Uchambuzi wa Data wenye Nguvu: Tumia uwezo wa kuchuja na kutafuta wa hali ya juu ili kuchambua kiasi kikubwa cha data za logi haraka.
Ushirikiano na BigQuery: Export logi kwenda BigQuery kwa uchambuzi wa kina na kuuliza.
Metriki za Kulingana na Logi: Unda metriki maalum kutoka kwa data zako za logi kwa ajili ya kufuatilia na kutoa taarifa.
Kimsingi, sinks na metriki zinazotegemea logi zitatoa maelekezo kuhusu wapi logi inapaswa kuhifadhiwa.
Cloud Logging inaweza kubadilishwa kwa urahisi ili kukidhi mahitaji mbalimbali ya uendeshaji:
Log Buckets (Hifadhi za logi kwenye wavuti): Mwelekeo wa kuunda buckets katika Cloud Logging ili kudhibiti uhifadhi wa logi, ikitoa udhibiti juu ya muda gani entries zako za logi zinashikiliwa.
Kwa kawaida, buckets _Default
na _Required
zinaundwa (moja inarekodi kile nyingine haifanyi).
_Required ni:
Muda wa uhifadhi wa data umewekwa kwa kila ndoo na lazima uwe angalau siku 1. Hata hivyo, muda wa uhifadhi wa _Required ni siku 400 na hauwezi kubadilishwa.
Kumbuka kwamba Ndoo za Kumbukumbu hazionekani katika Hifadhi ya Wingu.
Log Sinks (Mwelekeo wa kumbukumbu kwenye wavuti): Unda mwelekeo ili kuhamasisha entries za kumbukumbu kwa maeneo mbalimbali kama Pub/Sub, BigQuery, au Hifadhi ya Wingu kulingana na kichujio.
Kwa kawaida mwelekeo kwa ndoo _Default
na _Required
huundwa:
_Required logging.googleapis.com/projects//locations/global/buckets/_Required LOG_ID("cloudaudit.googleapis.com/activity") OR LOG_ID("externalaudit.googleapis.com/activity") OR LOG_ID("cloudaudit.googleapis.com/system_event") OR LOG_ID("externalaudit.googleapis.com/system_event") OR LOG_ID("cloudaudit.googleapis.com/access_transparency") OR LOG_ID("externalaudit.googleapis.com/access_transparency") _Default logging.googleapis.com/projects//locations/global/buckets/_Default NOT LOG_ID("cloudaudit.googleapis.com/activity") AND NOT LOG_ID("externalaudit.googleapis.com/activity") AND NOT LOG_ID("cloudaudit.googleapis.com/system_event") AND NOT LOG_ID("externalaudit.googleapis.com/system_event") AND NOT LOG_ID("cloudaudit.googleapis.com/access_transparency") AND NOT LOG_ID("externalaudit.googleapis.com/access_transparency")
Kwa kawaida Admin Write shughuli (pia inaitwa Admin Activity audit logs) ndizo zinazorekodiwa (andika metadata au taarifa za usanidi) na haziwezi kuzuiliwa.
Kisha, mtumiaji anaweza kuwezesha Data Access audit logs, hizi ni Admin Read, Data Write na Data Write.
Unaweza kupata maelezo zaidi kuhusu kila aina ya log katika nyaraka: https://cloud.google.com/iam/docs/audit-logging
Hata hivyo, kumbuka kwamba hii inamaanisha kwamba kwa kawaida GetIamPolicy
vitendo na vitendo vingine vya kusoma havirekodiwi. Hivyo, kwa kawaida mshambuliaji anayejaribu kuhesabu mazingira hatakamatwa ikiwa sysadmin hakuweka usanidi wa kuzalisha log zaidi.
Ili kuwezesha log zaidi katika console, sysadmin anahitaji kwenda https://console.cloud.google.com/iam-admin/audit na kuziwezesha. Kuna chaguzi 2 tofauti:
Default Configuration: Inawezekana kuunda usanidi wa kawaida na kurekodi log zote za Admin Read na/au Data Read na/au Data Write na hata kuongeza wakuu walioondolewa:
Select the services: Au tu chagua huduma unazotaka kuzalisha log na aina ya log na mkuu aliyeondolewa kwa huduma hiyo maalum.
Pia kumbuka kwamba kwa kawaida log hizo pekee ndizo zinazozalishwa kwa sababu kuzalisha log zaidi kutongeza gharama.
Zana ya amri gcloud
ni sehemu muhimu ya mfumo wa GCP, ikikuruhusu kusimamia rasilimali na huduma zako. Hapa kuna jinsi unavyoweza kutumia gcloud
kusimamia usanidi wako wa log na kufikia log.
Mfano wa kuangalia kumbukumbu za cloudresourcemanager
(ile inayotumika kuangalia ruhusa): https://console.cloud.google.com/logs/query;query=protoPayload.serviceName%3D%22cloudresourcemanager.googleapis.com%22;summaryFields=:false:32:beginning;cursorTimestamp=2024-01-20T00:07:14.482809Z;startTime=2024-01-01T11:12:26.062Z;endTime=2024-02-02T17:12:26.062Z?authuser=2&project=digital-bonfire-410512
Hakuna kumbukumbu za testIamPermissions
:
Jifunze & fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze & fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)