Google cloud storage Google Storage AuditLogs-查找试图访问的用户
我有一个启用了审核日志的google存储桶。每一天\两天我都会收到关于权限被拒绝的日志。日志指定请求者请求的访问类型。但是,没有给我足够的信息来回答这个问题——谁在请求 这是日志消息:Google cloud storage Google Storage AuditLogs-查找试图访问的用户,google-cloud-storage,google-iam,google-cloud-logging,Google Cloud Storage,Google Iam,Google Cloud Logging,我有一个启用了审核日志的google存储桶。每一天\两天我都会收到关于权限被拒绝的日志。日志指定请求者请求的访问类型。但是,没有给我足够的信息来回答这个问题——谁在请求 这是日志消息: { "insertId": "rr6wsd...", "logName": "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access",
{
"insertId": "rr6wsd...",
"logName": "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access",
"protoPayload": {
"@type": "type.googleapis.com/google.cloud.audit.AuditLog",
"authenticationInfo": {},
"authorizationInfo": [
{
"permission": "storage.buckets.get",
"resource": "projects//buckets/BUCKET_NAME",
"resourceAttributes": {}
}
],
"methodName": "storage.buckets.get",
"requestMetadata": {
"callerSuppliedUserAgent": "Blob/1 (cr/340918833)",
"destinationAttributes": {},
"requestAttributes": {
"auth": {},
"reason": "8uSywAZKWkhOZWVkZWQg...",
"time": "2021-01-20T03:43:38.405230045Z"
}
},
"resourceLocation": {
"currentLocations": [
"us-central1"
]
},
"resourceName": "projects//buckets/BUCKET_NAME",
"serviceName": "storage.googleapis.com",
"status": {
"code": 7,
"message": "PERMISSION_DENIED"
}
},
"receiveTimestamp": "2021-01-20T03:43:38.488787956Z",
"resource": {
"labels": {
"bucket_name": "BUCKET_NAME",
"location": "us-central1",
"project_id": "PROJECT_ID"
},
"type": "gcs_bucket"
},
"severity": "ERROR",
"timestamp": "2021-01-20T03:43:38.399417759Z"
}
正如你所看到的,谈论“谁在试图访问”的唯一信息是
但这意味着什么?对我来说没什么意义
如何理解是谁试图访问此权限?调用方SuppliedUserAgent可以是客户端应用程序放入其请求头中的任何内容-忽略它,因为此头可能是伪造的。只有合法的应用程序才会在标题中放入任何有意义的内容 这是一个未经验证的请求。没有可记录的身份。很可能是一个巨魔在互联网上搜索打开的桶 请注意,
auth
键为空。请求中未提供授权
"requestAttributes": {
"auth": {},
"reason": "8uSywAZKWkhOZWVkZWQg...",
"time": "2021-01-20T03:43:38.405230045Z"
}
调用方SuppliedUserAgent可以是客户端应用程序放入其请求头中的任何内容-忽略它,因为此头可能是伪造的。只有合法的应用程序才会在标题中放入任何有意义的内容 这是一个未经验证的请求。没有可记录的身份。很可能是一个巨魔在互联网上搜索打开的桶 请注意,
auth
键为空。请求中未提供授权
"requestAttributes": {
"auth": {},
"reason": "8uSywAZKWkhOZWVkZWQg...",
"time": "2021-01-20T03:43:38.405230045Z"
}
嗯。。。有趣。但是,如果我的bucket是
非公共的
,这可能吗?@no1lives4是的,这是可能的。请求失败。还要记住,bucket名称是公共的和全局的,访问可能需要授权。这是有道理的。所以我通过将GET请求发送到https://storage.googleapis.com/BUCKET_NAME
-它出现在日志中。但是,我的请求也有我的IP地址。那么,这个攻击者如何能够隐藏他的IP地址呢?我也注意到了丢失的IP地址。客户端(黑客)无法向谷歌(真实或伪造)隐藏其IP地址。我不知道为什么它没有记录在您的示例中。我计划调查这个细节。如果我学到了什么,我会更新我的答案。。。有趣。但是,如果我的bucket是非公共的
,这可能吗?@no1lives4是的,这是可能的。请求失败。还要记住,bucket名称是公共的和全局的,访问可能需要授权。这是有道理的。所以我通过将GET请求发送到https://storage.googleapis.com/BUCKET_NAME
-它出现在日志中。但是,我的请求也有我的IP地址。那么,这个攻击者如何能够隐藏他的IP地址呢?我也注意到了丢失的IP地址。客户端(黑客)无法向谷歌(真实或伪造)隐藏其IP地址。我不知道为什么它没有记录在您的示例中。我计划调查这个细节。如果我学到了什么,我会更新我的答案。