GCP - Logging Enum
Last updated
Last updated
学习与实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习与实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)
此服务允许用户存储、搜索、分析、监控和警报来自 GCP 的 日志数据和事件。
Cloud Logging 与其他 GCP 服务完全集成,为所有 GCP 资源提供集中式日志存储库。它 自动收集来自各种 GCP 服务的日志,如 App Engine、Compute Engine 和 Cloud Functions。您还可以通过使用 Cloud Logging 代理或 API,将 Cloud Logging 用于在本地或其他云中运行的应用程序。
主要特点:
日志数据集中化: 从各种来源聚合日志数据,提供对您的应用程序和基础设施的整体视图。
实时日志管理: 实时流式传输日志以进行即时分析和响应。
强大的数据分析: 使用高级过滤和搜索功能快速筛选大量日志数据。
与 BigQuery 集成: 将日志导出到 BigQuery 进行详细分析和查询。
基于日志的指标: 从您的日志数据创建自定义指标以进行监控和警报。
基本上,接收器和基于日志的指标将决定日志应该存储在哪里。
Cloud Logging 高度可配置,以满足多样化的操作需求:
日志桶(Web 中的日志存储): 在 Cloud Logging 中定义桶以管理 日志保留,提供对日志条目保留时间的控制。
默认情况下,创建了 _Default
和 _Required
桶(一个记录的内容与另一个不同)。
_Required 是:
数据的保留期是按存储桶配置的,必须至少为1天。然而,_Required的保留期为400天,且无法修改。
请注意,日志存储桶在Cloud Storage中不可见。
日志接收器(Web中的日志路由器): 创建接收器以将日志条目导出到各种目的地,如Pub/Sub、BigQuery或Cloud Storage,基于过滤器。
默认情况下,为存储桶\_Default
和\_Required
创建接收器:
_Required logging.googleapis.com/projects//locations/global/buckets/_Required LOG_ID("cloudaudit.googleapis.com/activity") OR LOG_ID("externalaudit.googleapis.com/activity") OR LOG_ID("cloudaudit.googleapis.com/system_event") OR LOG_ID("externalaudit.googleapis.com/system_event") OR LOG_ID("cloudaudit.googleapis.com/access_transparency") OR LOG_ID("externalaudit.googleapis.com/access_transparency") _Default logging.googleapis.com/projects//locations/global/buckets/_Default NOT LOG_ID("cloudaudit.googleapis.com/activity") AND NOT LOG_ID("externalaudit.googleapis.com/activity") AND NOT LOG_ID("cloudaudit.googleapis.com/system_event") AND NOT LOG_ID("externalaudit.googleapis.com/system_event") AND NOT LOG_ID("cloudaudit.googleapis.com/access_transparency") AND NOT LOG_ID("externalaudit.googleapis.com/access_transparency")
默认情况下,Admin Write 操作(也称为 Admin Activity 审计日志)是被记录的(写入元数据或配置文件信息),并且无法禁用。
然后,用户可以启用 Data Access 审计日志,这些包括 Admin Read、Data Write 和 Data Write。
您可以在文档中找到有关每种日志类型的更多信息:https://cloud.google.com/iam/docs/audit-logging
然而,请注意,这意味着默认情况下 GetIamPolicy
操作和其他读取操作是 未被记录 的。因此,默认情况下,如果系统管理员没有配置生成更多日志,试图枚举环境的攻击者将不会被捕获。
要在控制台中启用更多日志,系统管理员需要访问 https://console.cloud.google.com/iam-admin/audit 并启用它们。有两种不同的选项:
默认配置:可以创建默认配置并记录所有 Admin Read 和/或 Data Read 和/或 Data Write 日志,甚至添加豁免主体:
选择服务:或者仅仅选择您希望生成日志的服务以及该特定服务的日志类型和豁免主体。
还请注意,默认情况下仅生成这些日志,因为生成更多日志会增加成本。
gcloud
命令行工具是 GCP 生态系统的重要组成部分,允许您管理资源和服务。以下是如何使用 gcloud
管理您的日志配置和访问日志。
检查 cloudresourcemanager
(用于暴力破解权限的那个)的日志示例:https://console.cloud.google.com/logs/query;query=protoPayload.serviceName%3D%22cloudresourcemanager.googleapis.com%22;summaryFields=:false:32:beginning;cursorTimestamp=2024-01-20T00:07:14.482809Z;startTime=2024-01-01T11:12:26.062Z;endTime=2024-02-02T17:12:26.062Z?authuser=2&project=digital-bonfire-410512
没有 testIamPermissions
的日志:
学习与实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习与实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)