谷歌扩展大多数云服务的日志审计能力

在自我服务公有云里跟踪“谁做了什么”有一定难度。基于谷歌云的日志审计功能，未来谷歌将会在谷歌云平台（GCP）针对 17 个服务获取日志流。

自 2016 年秋季推出后，云日志审计开始提供针对少数云端服务的支持。这些云端服务包括谷歌 App 引擎、BigQuery 及 Cloud IAM。更新之后的版本提供了针对谷歌计算引擎、谷歌容器引擎、谷歌 Cloud Dataproc、谷歌云存储及谷歌云 SQL 等服务的测试版支持。

一个来自于谷歌产品经理 Joe Corkery 的帖子描述了这个云日志审计服务以及它的两个流类型：

谷歌日志审计服务为每一个集成的产品提供了日志流。原始日志流是管理活动日志，主要包括修复服务、个人资源或者相关元数据的每一条操作动作。一些服务也会生成数据访问日志，主要包括读取元数据的每一条操作动作，以及调用 API 访问或者修改用户提供的数据管理服务。

当前，只有谷歌的 BigQuery 服务支持生成数据访问日志。谷歌承诺数据访问流将会在不久的未来覆盖更多的服务。

Stackdriver 提供了免费服务，以及升级版付费服务。针对免费服务，个人审计日志可以保存 7 天。这个服务对于付费用户将保存天数提升到 30 天。需要注意的是，一旦日志被存储在 Stackdriver，用户就不能删除或者修改它们了。

谷歌云日志审计的用户可以通过一种方式浏览日志。可以通过谷歌云控制台查看日志（见下文）。也可以通过 Stackdriver 日志查看器查看日志。使用此界面，用户可以免费使用文本搜索功能。也可以将日志文件导出到谷歌云存储用于备份，支持传至 BigQuery 进行分析或者通过 API 获取。最重要的是，谷歌已经声明允许合作厂商进行日志分析，例如 Splunk。

图片来源：博客帖子 – 谷歌云日志审计已经通过 GCP Stack 可以获取

在谷歌的博客文章里，Corkey 提到了针对日志度量的警报功能。Stackdriver 日志提供了内置的警报功能，该功能可以与审计日志流一起工作。除了使用基本的报警功能以外，Corkery 演示了如何集成谷歌的“无服务器”产品。他演示了谷歌云功能如何可以分析审计日志，以及如何应对高危防火墙的变化。

据 eWeek 描述，当前企业希望云提供商能够提供成熟的安全和审计能力：

分析师一致认为企业云服务提供商应该具备关键且必备的能力，包括日志审计、云加密、密钥管理和安全功能，例如访问控制和管理。

基础设施云的其他主要提供商也提供了类似的审计服务。AWS 提供了 CloudTrail 。CloudTrail 用于记录针对所有区域的AWS 服务的API 访问信息。微软的Azure 可以为需要审计的用户提供活动日志，并且支持使用 Operations Management Suite 进行日志分析。

参考英文原文： Google Expands Audit Logging Capability to Majority of Cloud Services

感谢刘志勇对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作，请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博（ @InfoQ ， @丁晓昀），微信（微信号： InfoQChina ）关注我们。