GCP - Logging Enum
基本情報
このサービスは、GCPからのログデータとイベントを保存、検索、分析、監視、アラートに使用することをユーザーに可能にします。
Cloud Loggingは他のGCPサービスと完全に統合されており、すべてのGCPリソースからのログを集約するための中央リポジトリを提供します。これにより、App Engine、Compute Engine、Cloud FunctionsなどのさまざまなGCPサービスからログを自動的に収集できます。Cloud LoggingエージェントまたはAPIを使用して、オンプレミスまたは他のクラウドで実行されているアプリケーションにもCloud Loggingを使用できます。
主な機能:
ログデータの集約: さまざまなソースからのログデータを集約し、アプリケーションとインフラストラクチャの包括的なビューを提供します。
リアルタイムログ管理: 即座の分析と対応のためにログをリアルタイムでストリーム配信します。
強力なデータ分析: 大量のログデータを迅速にふるい分けるための高度なフィルタリングと検索機能を使用します。
BigQueryとの統合: 詳細な分析とクエリのためにログをBigQueryにエクスポートします。
ログベースのメトリクス: ログデータからカスタムメトリクスを作成して、監視とアラートを行います。
ログの流れ
基本的に、シンクとログベースのメトリクスはログの保存先を決定します。
GCP Loggingでサポートされる構成
Cloud Loggingは多様な運用ニーズに合わせて高度に構成可能です:
ログバケット(Web上のログ保存): Cloud Loggingでバケットを定義してログの保持期間を管理し、ログエントリの保持期間を制御します。
デフォルトでは、
_Default
と_Required
の2つのバケットが作成されます(片方はログを記録し、もう片方は記録しません)。_Required は:
データの保持期間はバケットごとに構成され、少なくとも1日である必要があります。ただし、_Requiredの保持期間は400日であり、変更できません。
ログバケットはCloud Storageで表示されません。
ログシンク(Web上のログルーター): フィルタに基づいてログエントリをPub/Sub、BigQuery、またはCloud Storageなどのさまざまな宛先にエクスポートするためのシンクを作成します。
デフォルトでは、
_Default
と_Required
のバケット用のシンクが作成されます:
_Required logging.googleapis.com/projects//locations/global/buckets/_Required LOG_ID("cloudaudit.googleapis.com/activity") OR LOG_ID("externalaudit.googleapis.com/activity") OR LOG_ID("cloudaudit.googleapis.com/system_event") OR LOG_ID("externalaudit.googleapis.com/system_event") OR LOG_ID("cloudaudit.googleapis.com/access_transparency") OR LOG_ID("externalaudit.googleapis.com/access_transparency") _Default logging.googleapis.com/projects//locations/global/buckets/_Default NOT LOG_ID("cloudaudit.googleapis.com/activity") AND NOT LOG_ID("externalaudit.googleapis.com/activity") AND NOT LOG_ID("cloudaudit.googleapis.com/system_event") AND NOT LOG_ID("externalaudit.googleapis.com/system_event") AND NOT LOG_ID("cloudaudit.googleapis.com/access_transparency") AND NOT LOG_ID("externalaudit.googleapis.com/access_transparency")
デフォルトログ
デフォルトでは、管理者書き込み操作(管理者アクティビティ監査ログとも呼ばれる)がログに記録されます(メタデータまたは構成情報の書き込み)し、無効にすることはできません。
その後、ユーザーはデータアクセス監査ログを有効にできます。これには管理者読み取り、データ書き込み、データ書き込みが含まれます。
各種ログの詳細については、ドキュメントで確認できます:https://cloud.google.com/iam/docs/audit-logging
ただし、これはデフォルトでは**GetIamPolicy
アクションやその他の読み取りアクションがログに記録されない**ことを意味します。したがって、デフォルトでは、環境を列挙しようとする攻撃者は、システム管理者がより多くのログを生成するように構成していない限り、検出されません。
コンソールでより多くのログを有効にするには、システム管理者はhttps://console.cloud.google.com/iam-admin/auditに移動して有効にする必要があります。2つの異なるオプションがあります:
デフォルト構成:デフォルト構成を作成し、すべての管理者読み取りおよび/またはデータ読み取りおよび/またはデータ書き込みログを記録し、免除されたプリンシパルを追加することが可能です:
サービスを選択:または、ログを生成したいサービスとログの種類、およびその特定のサービスの免除されたプリンシパルを選択することができます。
また、デフォルトではこれらのログのみが生成されているため、より多くのログを生成するとコストが増加します。
列挙
gcloud
コマンドラインツールはGCPエコシステムの重要な部分であり、リソースとサービスを管理することができます。ここでは、gcloud
を使用してログ構成とアクセスログを管理する方法を示します。
**cloudresourcemanager
**のログをチェックする例(アクセス許可をBFするために使用されるもの):https://console.cloud.google.com/logs/query;query=protoPayload.serviceName%3D%22cloudresourcemanager.googleapis.com%22;summaryFields=:false:32:beginning;cursorTimestamp=2024-01-20T00:07:14.482809Z;startTime=2024-01-01T11:12:26.062Z;endTime=2024-02-02T17:12:26.062Z?authuser=2&project=digital-bonfire-410512
**testIamPermissions
**のログはありません:
ポストエクスプロイテーション
GCP - Logging Post Exploitation永続性
GCP - Logging Persistence参考文献
Last updated