authentication - 身份验证日志监控 GCP

借助管理员活动审核日志，您将能够回答“谁做了什么、在何处以及何时？”的问题。在您的 Google Cloud 资源中。它为每个 Cloud 项目、文件夹和组织提供以下审核日志：

• 管理员活动审核日志
• 数据访问审核日志
• 系统事件审核日志
• 策略拒绝审核日志

您可以获取有关Cloud Audit Logs的更多信息，查看项目中发生的所有事件会很有用，但对于您想要查看的信息可能没有用处。

尽管如此，有一个工具事件威胁检测使用系统内部的日志数据，当检测到威胁时，事件威胁检测会将结果写入安全指挥中心和 Cloud Logging 项目。

例如：
事件威胁检测通过检查 syslog 日志中的重复失败然后成功来检测密码身份验证 SSH 的暴力破解。
但此功能仅适用于 Security Command Center Premium 层。

另一方面，您提到您有一些 VM 实例并希望防止攻击。

我建议您查看以下文档：安全连接到 VM 实例 本文档中介绍了用于保护具有外部 IP 地址的 VM 上的服务的几种方法，包括Firewalls、HTTPS 和 SSL、通过 SSH 的端口转发和通过 SSH的SOCKS 代理。

例如，通过创建防火墙规则，您可以将所有流量限制到特定源 IP 地址的给定端口集上的网络或目标计算机。