В Google Cloud Platform все журналы аудита включены по умолчанию? Меня интересуют журналы активности администратора (https://cloud.google.com/logging/docs/audit/#admin-activity), которые, помимо прочего, «регистрируют создание экземпляров виртуальных машин и приложений App Engine».
Однако я попытался создать экземпляр виртуальной машины в Compute Engine моего проекта и проверить журналы Stackdriver (категория «Аудитированный ресурс»), но ничего не обнаружилось. Я не думаю, что это проблема с разрешениями, поскольку у меня есть разрешения, упомянутые в документации выше, и я могу просматривать различные старые журналы в категории «Проверенные ресурсы». Что дает?
Не все журналы аудита включены по умолчанию. В соответствии с Документация журналов доступа к данным
Журналы аудита доступа к данным по умолчанию отключены, так как они могут быть довольно большими. Включение журналов может привести к тому, что вашему проекту будет взиматься плата за использование дополнительных журналов.
Для просмотра журналов у вас должны быть роли IAM. Logging/Logs Viewer
для журналов активности администратора и Logging/Private Logs Viewer
для журналов доступа к данным.
Вы можете проверить наличие сокращенных записей журнала аудита на странице Activity вашего проекта в консоли GCP следующим образом: Home> Activity, если вы найдете журналы там, а не в журнале Stackdriver, это может означать, что вы просматриваете старые журналы и вам нужно нажать возможность загрузки новых журналов.
Или просто воспользуйтесь опцией фильтра, выполнив следующие действия:
convert to advanced filter
Используйте следующие фильтры:
resource.type="gce_instance"
jsonPayload.event_subtype="compute.instances.insert"
Нажмите «Отправить фильтр», вы должны увидеть журналы, связанные с созданием экземпляра виртуальной машины.