Présentation

Dans cet atelier, vous allez examiner des journaux Cloud Audit Logs. Cloud Audit Logs gère deux journaux d'audit pour chaque projet et chaque organisation : le journal des activités d'administration et celui de l'accès aux données.

Les services Google Cloud génèrent des entrées dans ces journaux d'audit pour vous aider à déterminer qui fait quoi, où et quand dans vos projets Google Cloud.

Objectifs

Dans cet atelier, vous apprendrez à effectuer les tâches suivantes :

• Afficher les journaux d'audit sur la page "Activité"
• Afficher et filtrer les journaux d'audit dans Cloud Logging
• Récupérer les entrées de journal à l'aide de gcloud
• Exporter des journaux d'audit

Préparation

Pour chaque atelier, nous vous attribuons un nouveau projet Google Cloud et un nouvel ensemble de ressources pour une durée déterminée, sans frais.

1. Connectez-vous à Qwiklabs dans une fenêtre de navigation privée.

2. Vérifiez le temps imparti pour l'atelier (par exemple : 01:15:00) : vous devez pouvoir le terminer dans ce délai.
   Une fois l'atelier lancé, vous ne pouvez pas le mettre en pause. Si nécessaire, vous pourrez le redémarrer, mais vous devrez tout reprendre depuis le début.

3. Lorsque vous êtes prêt, cliquez sur Démarrer l'atelier.

4. Notez vos identifiants pour l'atelier (Nom d'utilisateur et Mot de passe). Ils vous serviront à vous connecter à Google Cloud Console.

5. Cliquez sur Ouvrir la console Google.

6. Cliquez sur Utiliser un autre compte, puis copiez-collez les identifiants de cet atelier lorsque vous y êtes invité.
   Si vous utilisez d'autres identifiants, des messages d'erreur s'afficheront ou des frais seront appliqués.

7. Acceptez les conditions d'utilisation et ignorez la page concernant les ressources de récupération des données.

Activer Google Cloud Shell

Google Cloud Shell est une machine virtuelle qui contient de nombreux outils pour les développeurs. Elle comprend un répertoire d'accueil persistant de 5 Go et s'exécute sur Google Cloud.

Google Cloud Shell vous permet d'accéder à vos ressources Google Cloud grâce à une ligne de commande.

1. Dans la barre d'outils située en haut à droite dans la console Cloud, cliquez sur le bouton "Ouvrir Cloud Shell".

   

2. Cliquez sur Continuer.

Le provisionnement et la connexion à l'environnement prennent quelques instants. Une fois connecté, vous êtes en principe authentifié et le projet est défini sur votre ID_PROJET. Par exemple :

gcloud est l'outil de ligne de commande pour Google Cloud. Il est préinstallé sur Cloud Shell et permet la complétion par tabulation.

• Vous pouvez lister les noms des comptes actifs à l'aide de cette commande :

gcloud auth list

Résultat :

Credentialed accounts: - @.com (active)

Exemple de résultat :

Credentialed accounts: - google1623327_student@qwiklabs.net

• Vous pouvez lister les ID de projet à l'aide de cette commande :

gcloud config list project

Résultat :

[core] project =

Exemple de résultat :

[core] project = qwiklabs-gcp-44776a13dea667a6 Remarque : Pour consulter la documentation complète sur gcloud, accédez au guide de présentation de la gcloud CLI.

Vérifier les autorisations du projet

Avant de commencer à travailler dans Google Cloud, vous devez vous assurer de disposer des autorisations adéquates pour votre projet dans IAM (Identity and Access Management).

1. Dans la console Google Cloud, accédez au menu de navigation (), puis sélectionnez IAM et administration > IAM.

2. Vérifiez que le compte de service Compute par défaut {project-number}-compute@developer.gserviceaccount.com existe et qu'il est associé au rôle Éditeur. Le préfixe du compte correspond au numéro du projet, disponible sur cette page : Menu de navigation > Présentation du cloud > Tableau de bord.

Remarque : Si le compte n'est pas disponible dans IAM ou n'est pas associé au rôle "Éditeur", procédez comme suit pour lui attribuer le rôle approprié.

1. Dans la console Google Cloud, accédez au menu de navigation () et cliquez sur Présentation Cloud > Tableau de bord.
2. Copiez le numéro du projet (par exemple, 729328892908).
3. Dans le menu de navigation, cliquez sur IAM et administration > IAM.
4. En haut de la page IAM, cliquez sur + Accorder l'accès.
5. Dans le champ Nouveaux comptes principaux, saisissez :

{project-number}-compute@developer.gserviceaccount.com

6. Remplacez {project-number} par le numéro de votre projet.
7. Dans le champ Sélectionnez un rôle, sélectionnez Projet (ou De base) > Éditeur.
8. Cliquez sur Enregistrer.

Tâche 1 : Activer les journaux d'audit des accès aux données

Dans cette tâche, vous allez activer les journaux d'audit des accès aux données.

Les journaux d'audit des accès aux données sont désactivés par défaut (sauf dans BigQuery). Vous devez donc d'abord activer tous les journaux d'audit. Logging facture le volume de données de journaux qui dépasse la limite d'attribution de journaux mensuelle.

Tous les journaux reçus par Logging sont comptabilisés dans la limite d'attribution de journaux, à l'exception des journaux Cloud Audit Logs qui sont activés par défaut. Les journaux activés par défaut incluent tous les journaux d'audit des activités d'administration de Google Cloud, les journaux d'événements système, ainsi que les journaux d'audit des accès aux données (pour BigQuery uniquement).

1. Si vous n'avez pas encore activé Cloud Shell, cliquez sur Activer Cloud Shell () dans la barre de titre de la console Google Cloud. Si vous y êtes invité, cliquez sur Continuer.
2. Exécutez la commande suivante dans l'invite de commande pour récupérer la stratégie IAM actuelle de votre projet et l'enregistrer en tant que fichier policy.json :

gcloud projects get-iam-policy $DEVSHELL_PROJECT_ID \ --format=json >./policy.json

3. Cliquez sur le bouton Ouvrir l'éditeur pour afficher l'éditeur de code Cloud Shell.

Si une erreur indique que l'éditeur de code n'a pas pu être chargé parce que les cookies tiers sont désactivés, cliquez sur Ouvrir dans une nouvelle fenêtre et basculez vers le nouvel onglet.

4. Dans l'éditeur de code Cloud Shell, cliquez sur le fichier policy.json pour afficher son contenu.
5. Ajoutez le texte suivant au fichier policy.json afin d'activer les journaux d'audit des accès aux données pour tous les services. Vous devez ajouter ce texte juste après la première accolade { et avant "bindings": [. (Veillez à ne pas apporter d'autres modifications dans le fichier.)

"auditConfigs": [ { "service": "allServices", "auditLogConfigs": [ { "logType": "ADMIN_READ" }, { "logType": "DATA_READ" }, { "logType": "DATA_WRITE" } ] } ],

Le fichier doit ressembler à ceci :

6. Cliquez sur le bouton Ouvrir le terminal pour revenir à la ligne de commande Cloud Shell.
7. Sur la ligne de commande, exécutez la commande suivante pour définir la stratégie IAM :

gcloud projects set-iam-policy $DEVSHELL_PROJECT_ID \ ./policy.json

La commande renvoie et affiche la nouvelle stratégie IAM.

Tâche 2 : Générer de l'activité pour un compte

Dans cette tâche, vous allez créer des ressources qui génèrent de l'activité consignée dans les journaux, que vous pourrez consulter dans Cloud Audit logs.

• Dans Cloud Shell, exécutez les commandes suivantes pour créer quelques ressources. Celles-ci généreront de l'activité que vous pourrez afficher dans les journaux d'audit :

gcloud storage buckets create gs://$DEVSHELL_PROJECT_ID echo "this is a sample file" > sample.txt gcloud storage cp sample.txt gs://$DEVSHELL_PROJECT_ID gcloud compute networks create mynetwork --subnet-mode=auto gcloud compute instances create default-us-vm \ --machine-type=e2-micro \ --zone={{{ project_0.default_zone | "ZONE" }}} --network=mynetwork gcloud storage rm -r gs://$DEVSHELL_PROJECT_ID

Tâche 3 : Afficher les journaux des activités d'administration

Dans cette tâche, vous allez afficher les journaux des activités d'administration.

Les journaux des activités d'administration contiennent des entrées concernant les appels d'API et d'autres opérations d'administration qui modifient la configuration ou les métadonnées des ressources. Par exemple, ces journaux enregistrent des entrées lorsque des instances de VM et des applications App Engine sont créées, ou encore lorsque des autorisations sont modifiées.

Pour afficher ces journaux, vous devez disposer des rôles IAM de lecteur de journaux ou de lecteur de projets.

Les journaux d'activités d'administration sont toujours activés. Vous n'avez donc pas besoin de vous en charger. L'utilisation des journaux d'audit pour les activités d'administration n'engendre aucuns frais.

Remarque : Vous pouvez afficher les entrées des journaux d'audit dans la visionneuse de journaux, dans Cloud Logging et dans le SDK Cloud. Vous pouvez également les exporter vers Pub/Sub, BigQuery ou Cloud Storage.

Utiliser la page Cloud Logging

1. Dans la console Google Cloud, dans le menu de navigation (), cliquez sur Afficher tous les produits > Observabilité > Journalisation > Explorateur de journaux.

2. Copiez et collez le code suivant dans le champ Générateur de requêtes.

logName = ("projects/{{{ project_0.project_id | "PROJECT_ID" }}}/logs/cloudaudit.googleapis.com%2Factivity")

3. Cliquez sur le bouton Exécuter la requête.

4. Recherchez l'entrée de journal indiquant qu'un bucket Cloud Storage a été supprimé. Cette entrée fait référence à storage.googleapis.com, qui appelle la méthode storage.buckets.delete pour supprimer un bucket. Le nom du bucket correspond à l'ID du projet.

5. Dans cette entrée, cliquez sur le texte storage.googleapis.com, puis sélectionnez Afficher les entrées correspondantes.

6. Notez qu'une ligne a été ajoutée dans la zone de texte de l'aperçu de la requête (affichée à l'endroit où était le générateur de requêtes précédemment) afin de n'afficher que les événements de l'espace de stockage :

   logName = ("projects/{{{ project_0.project_id | "PROJECT_ID" }}}/logs/cloudaudit.googleapis.com%2Factivity") protoPayload.serviceName="storage.googleapis.com"

   Seules les entrées Cloud Storage doivent maintenant s'afficher.

7. Dans cette entrée, cliquez sur le texte storage.buckets.delete, puis sélectionnez Afficher les entrées correspondantes.

8. Notez qu'une autre ligne a été ajoutée dans la zone de texte de l'aperçu de la requête. Vous ne pouvez désormais consulter que les entrées de suppression de l'espace de stockage.

Cette technique permet de localiser facilement les événements de votre choix.

9. Dans les résultats de la requête, développez l'entrée Cloud Storage delete et le champ protoPayload.

10. Développez le champ authenticationInfo. Comme vous pouvez le constater, l'adresse e-mail de l'utilisateur ayant effectué cette action s'affiche.

N'hésitez pas à explorer d'autres champs de l'entrée.

Utiliser Cloud SDK

Vous pouvez lire les entrées de journal à l'aide de la commande Cloud SDK :

Exemple de résultat :

gcloud logging read [FILTER]

• Dans le volet Cloud Shell, exécutez la commande suivante pour récupérer uniquement les événements d'audit concernant les suppressions de buckets de stockage :

Remarque : Si Cloud Shell est déconnecté, cliquez sur Se reconnecter. gcloud logging read \ "logName=projects/$DEVSHELL_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity \ AND protoPayload.serviceName=storage.googleapis.com \ AND protoPayload.methodName=storage.buckets.delete"

Tâche 4 : Exporter les journaux d'audit

Dans cette tâche, vous allez exporter les journaux d'audit. Les entrées individuelles des journaux d'audit sont conservées pendant la période spécifiée, puis supprimées. La page des règles de quotas de Cloud Logging explique la durée de conservation des entrées de journal. Vous ne pouvez pas supprimer les journaux d'audit ou leurs entrées d'une autre façon, ni les modifier.

Type de journal d'audit	Durée de conservation
Activité d'administration	400 jours
Accès aux données	30 jours

Vous pouvez exporter les entrées des journaux d'audit comme toutes les autres entrées de journaux Cloud Logging afin de les conserver aussi longtemps que vous le souhaitez.

Exporter des journaux d'audit

Lorsque vous exportez des journaux, le filtre actuel est appliqué aux éléments exportés.

1. Dans l'explorateur de journaux, indiquez une chaîne de requête dans le générateur de requêtes pour afficher tous les journaux d'audit. (Vous pouvez également supprimer toutes les lignes du filtre, à l'exception de la première.) Votre filtre doit se présenter comme suit.

logName = ("projects/{{{ project_0.project_id | "PROJECT_ID" }}}/logs/cloudaudit.googleapis.com%2Factivity")

2. Cliquez sur le bouton Exécuter la requête.
3. Cliquez sur Actions > Créer un récepteur.
4. Dans le champ Nom du récepteur, indiquez AuditLogsExport et cliquez sur Suivant.
5. Dans le menu déroulant Sélectionner le service de récepteur, cliquez sur Ensemble de données BigQuery.
6. Dans le menu déroulant Sélectionnez un ensemble de données BigQuery, cliquez sur Créer un ensemble de données BigQuery.
7. Dans le champ ID de l'ensemble de données, indiquez auditlogs_dataset et cliquez sur Créer l'ensemble de données.
8. Décochez la case Utiliser des tables partitionnées si elle est sélectionnée, puis cliquez sur Suivant.
9. Dans la zone de liste "Créer un filtre d'inclusion", assurez-vous que le texte du filtre est le suivant :

logName = ("projects/{{{ project_0.project_id | "PROJECT_ID" }}}/logs/cloudaudit.googleapis.com%2Factivity")

10. Cliquez sur le bouton Créer un récepteur. La page "Récepteurs du routeur de journaux" s'affiche. À présent, cliquez sur Routeur de journaux.

Sur cette page, vous devriez pouvoir voir le récepteur AuditLogsExport.

11. À droite du récepteur AuditLogsExport, cliquez sur le bouton à trois points (), puis sélectionnez Afficher les détails du récepteur.

Cette opération permet d'afficher des informations sur le récepteur que vous avez créé.

12. Cliquez sur Annuler lorsque vous avez terminé.

Remarque : Vous pouvez également exporter des entrées de journal vers Pub/Sub ou Cloud Storage. L'exportation vers Pub/Sub est utile si vous souhaitez passer par un processus ETL avant de stocker des éléments dans une base de données (Cloud Operations -> PubSub -> Dataflow -> BigQuery/Bigtable). L'exportation vers Cloud Storage permet de regrouper les entrées et de les écrire dans des objets Cloud Storage environ toutes les heures. Remarque : Tous les futurs journaux seront exportés vers BigQuery, et les outils BigQuery pourront désormais vous servir à effectuer une analyse sur les données des journaux d'audit. Les entrées de journal existantes ne sont pas concernées par cette exportation.

13. Dans Cloud Shell, exécutez les commandes suivantes pour générer d'autres activités que vous pourrez afficher dans les journaux d'audit exportés dans BigQuery :

gcloud storage buckets create gs://$DEVSHELL_PROJECT_ID gcloud storage buckets create gs://$DEVSHELL_PROJECT_ID-test echo "this is another sample file" > sample2.txt gcloud storage cp sample.txt gs://$DEVSHELL_PROJECT_ID-test gcloud compute instances delete --zone={{{ project_0.default_zone | "ZONE" }}} \ --delete-disks=all default-us-vm

Lorsque vous y êtes invité, saisissez y.

gcloud storage rm -r gs://$DEVSHELL_PROJECT_ID gcloud storage rm -r gs://$DEVSHELL_PROJECT_ID-test

Tâche 5 : Utiliser BigQuery pour analyser les journaux

Dans cette tâche, vous allez exporter des journaux vers un ensemble de données BigQuery. Vous analyserez ensuite les journaux à l'aide de l'éditeur de requête.

Remarque : Lorsque vous exportez des journaux vers un ensemble de données BigQuery, Cloud Logging crée des tables datées pour stocker les entrées de journal exportées. Les entrées de journal sont placées dans des tables dont les noms sont basés sur les noms de journal de ces entrées.

1. Dans la console Google Cloud, dans le menu de navigation (), cliquez sur BigQuery, puis sur OK.

2. Dans le volet de gauche, sous la section Explorateur, cliquez sur le nom de votre projet, qui commence par qwiklabs-gcp-xxx. Vous devriez voir un ensemble de données nommé auditlogs_dataset dans le projet.

3. Vérifiez que l'ensemble de données BigQuery dispose des autorisations appropriées pour autoriser le rédacteur d'exportations à stocker les entrées de journal. Cliquez sur l'ensemble de données auditlogs_dataset.

4. Dans le menu déroulant Partage, sélectionnez Autorisations.

5. Sur la page "Autorisations d'ensemble de données", vous verrez que le compte de service est listé en tant que membre Éditeur de données BigQuery. Si le compte de service ne figure pas dans la liste, vous pouvez l'ajouter dans le champ Ajouter un compte principal et lui attribuer le rôle d'éditeur de données.

6. Cliquez sur le bouton Fermer pour fermer l'écran Partager l'ensemble de données.
7. Développez l'ensemble de données pour consulter la table contenant vos journaux exportés. Pour développer l'ensemble de données, cliquez sur l'icône appropriée.
8. Cliquez sur le nom de chaque table, puis examinez les schémas et les détails des tables en cours d'utilisation.
9. Cliquez sur le bouton Requête.
10. Dans Cloud Shell, réexécutez les commandes suivantes pour générer d'autres activités que vous pourrez afficher dans les journaux d'audit exportés dans BigQuery :

gcloud compute instances create default-us-vm \ --zone={{{ project_0.default_zone | "ZONE" }}} --network=mynetwork gcloud compute instances delete --zone={{{ project_0.default_zone | "ZONE" }}} \ --delete-disks=all default-us-vm

Lorsque vous y êtes invité, saisissez y.

gcloud storage buckets create gs://$DEVSHELL_PROJECT_ID gcloud storage buckets create gs://$DEVSHELL_PROJECT_ID-test gcloud storage rm -r gs://$DEVSHELL_PROJECT_ID gcloud storage rm -r gs://$DEVSHELL_PROJECT_ID-test

11. Supprimez le texte saisi dans la fenêtre Éditeur de requête, puis collez-y la requête ci-dessous. Cette requête renvoie les utilisateurs ayant supprimé des machines virtuelles au cours des sept derniers jours :

#standardSQL SELECT timestamp, resource.labels.instance_id, protopayload_auditlog.authenticationInfo.principalEmail, protopayload_auditlog.resourceName, protopayload_auditlog.methodName FROM `auditlogs_dataset.cloudaudit_googleapis_com_activity_*` WHERE PARSE_DATE('%Y%m%d', _TABLE_SUFFIX) BETWEEN DATE_SUB(CURRENT_DATE(), INTERVAL 7 DAY) AND CURRENT_DATE() AND resource.type = "gce_instance" AND operation.first IS TRUE AND protopayload_auditlog.methodName = "v1.compute.instances.delete" ORDER BY timestamp, resource.labels.instance_id LIMIT 1000

12. Cliquez sur le bouton Exécuter. Au bout de quelques secondes, tous les événements de suppression de machines virtuelles ayant eu lieu au cours des sept derniers jours s'affichent. Ils doivent comporter deux entrées, correspondant aux activités générées lors de cet atelier. N'oubliez pas que BigQuery n'affiche que l'activité générée depuis la création de l'exportation.
13. Supprimez le texte saisi dans la fenêtre Query_editor, puis collez-y la requête suivante. Cette requête renvoie les utilisateurs ayant supprimé des buckets de stockage au cours des sept derniers jours :

#standardSQL SELECT timestamp, resource.labels.bucket_name, protopayload_auditlog.authenticationInfo.principalEmail, protopayload_auditlog.resourceName, protopayload_auditlog.methodName FROM `auditlogs_dataset.cloudaudit_googleapis_com_activity_*` WHERE PARSE_DATE('%Y%m%d', _TABLE_SUFFIX) BETWEEN DATE_SUB(CURRENT_DATE(), INTERVAL 7 DAY) AND CURRENT_DATE() AND resource.type = "gcs_bucket" AND protopayload_auditlog.methodName = "storage.buckets.delete" ORDER BY timestamp, resource.labels.instance_id LIMIT 1000

14. Cliquez sur le bouton Exécuter. Au bout de quelques secondes, toutes les entrées correspondant à des événements de suppression de buckets de stockage ayant eu lieu au cours des sept derniers jours s'affichent.

Remarque : Comme vous pouvez le constater, BigQuery est très efficace pour analyser les journaux d'audit. Dans cette activité, vous avez seulement vu deux exemples d'interrogation de journaux d'audit.

Cliquez sur Vérifier ma progression pour valider l'objectif. Exporter des journaux d'audit et les analyser à l'aide de BigQuery

Félicitations !

Dans cet atelier, vous avez effectué les tâches suivantes :

• Afficher les journaux d'audit sur la page "Activité"

• Afficher et filtrer les journaux d'audit dans Cloud Operations

• Récupérer les entrées de journal à l'aide de gcloud

• Exporter des journaux d'audit

Terminer l'atelier

Une fois l'atelier terminé, cliquez sur Terminer l'atelier. Google Cloud Skills Boost supprime les ressources que vous avez utilisées, puis efface le compte.

Si vous le souhaitez, vous pouvez noter l'atelier. Sélectionnez un nombre d'étoiles, saisissez un commentaire, puis cliquez sur Envoyer.

Le nombre d'étoiles correspond à votre degré de satisfaction :

• 1 étoile = très insatisfait(e)
• 2 étoiles = insatisfait(e)
• 3 étoiles = ni insatisfait(e), ni satisfait(e)
• 4 étoiles = satisfait(e)
• 5 étoiles = très satisfait(e)

Si vous ne souhaitez pas donner votre avis, vous pouvez fermer la boîte de dialogue.

Pour soumettre des commentaires, suggestions ou corrections, veuillez accéder à l'onglet Assistance.

Copyright 2025 Google LLC Tous droits réservés. Google et le logo Google sont des marques de Google LLC. Tous les autres noms de société et de produit peuvent être des marques des sociétés auxquelles ils sont associés.