security - 如何在日志级别监控 gcp 中执行的命令行？

每次有人（或某物……例如 Terraform）对您的 GCP 环境进行更改或执行一些敏感访问时，审计记录都会自动记录并且是不可变的。这意味着它们不能被删除或以其他方式隐藏。这些审核记录会写入 GCP Cloud Logging，并且可以使用 Cloud Logging 浏览器工具进行查看/审核。如果需要，您还可以设置在检测到某些日志记录（审计活动）时自动触发的警报或其他触发器。GCP 审核日志的完整文档可在此处找到：

https://cloud.google.com/logging/docs/audit

与其尝试重复该信息，不如鼓励您深入查看该文章。

对于关于 的具体问题gcloud，有助于认识到GCP中的一切都是通过 API 发生的。这意味着当您gcloud（在任何地方）执行命令时，会导致 API 请求执行被发送到 GCP 的任务。GCP 在这里将审计记录写入日志。

就将写入 Cloud Logging 的审计跟踪下沉到 SIEM 而言，这绝对是可能的。我的建议是将整个谜题分成几部分。对于第 1 部分，向自己证明您关心的审核记录正在写入 Cloud Logging ... 对于第 2 部分，向自己证明可以（使用过滤器）将所有 Cloud Logging 记录从 Cloud Logging 导出到外部 SIEM 或 GCP 云存储进行长期存储。