Fatal编程技术网

Google cloud storage Google Storage AuditLogs-查找试图访问的用户

google-cloud-storage

Google cloud storage Google Storage AuditLogs-查找试图访问的用户,google-cloud-storage,google-iam,google-cloud-logging,Google Cloud Storage,Google Iam,Google Cloud Logging,我有一个启用了审核日志的google存储桶。每一天\两天我都会收到关于权限被拒绝的日志。日志指定请求者请求的访问类型。但是,没有给我足够的信息来回答这个问题——谁在请求 这是日志消息: { "insertId": "rr6wsd...", "logName": "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access",

我有一个启用了审核日志的google存储桶。每一天\两天我都会收到关于权限被拒绝的日志。日志指定请求者请求的访问类型。但是,没有给我足够的信息来回答这个问题——谁在请求

这是日志消息:

{
    "insertId": "rr6wsd...",
    "logName": "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access",
    "protoPayload": {
        "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
        "authenticationInfo": {},
        "authorizationInfo": [
            {
                "permission": "storage.buckets.get",
                "resource": "projects//buckets/BUCKET_NAME",
                "resourceAttributes": {}
            }
        ],
        "methodName": "storage.buckets.get",
        "requestMetadata": {
            "callerSuppliedUserAgent": "Blob/1 (cr/340918833)",
            "destinationAttributes": {},
            "requestAttributes": {
                "auth": {},
                "reason": "8uSywAZKWkhOZWVkZWQg...",
                "time": "2021-01-20T03:43:38.405230045Z"
            }
        },
        "resourceLocation": {
            "currentLocations": [
                "us-central1"
            ]
        },
        "resourceName": "projects//buckets/BUCKET_NAME",
        "serviceName": "storage.googleapis.com",
        "status": {
            "code": 7,
            "message": "PERMISSION_DENIED"
        }
    },
    "receiveTimestamp": "2021-01-20T03:43:38.488787956Z",
    "resource": {
        "labels": {
            "bucket_name": "BUCKET_NAME",
            "location": "us-central1",
            "project_id": "PROJECT_ID"
        },
        "type": "gcs_bucket"
    },
    "severity": "ERROR",
    "timestamp": "2021-01-20T03:43:38.399417759Z"
}
正如你所看到的,谈论“谁在试图访问”的唯一信息是

但这意味着什么?对我来说没什么意义

如何理解是谁试图访问此权限?

调用方SuppliedUserAgent可以是客户端应用程序放入其请求头中的任何内容-忽略它,因为此头可能是伪造的。只有合法的应用程序才会在标题中放入任何有意义的内容

这是一个未经验证的请求。没有可记录的身份。很可能是一个巨魔在互联网上搜索打开的桶

请注意,
auth
键为空。请求中未提供授权

"requestAttributes": {
    "auth": {},
    "reason": "8uSywAZKWkhOZWVkZWQg...",
    "time": "2021-01-20T03:43:38.405230045Z"
}
调用方SuppliedUserAgent可以是客户端应用程序放入其请求头中的任何内容-忽略它,因为此头可能是伪造的。只有合法的应用程序才会在标题中放入任何有意义的内容

这是一个未经验证的请求。没有可记录的身份。很可能是一个巨魔在互联网上搜索打开的桶

请注意,
auth
键为空。请求中未提供授权

"requestAttributes": {
    "auth": {},
    "reason": "8uSywAZKWkhOZWVkZWQg...",
    "time": "2021-01-20T03:43:38.405230045Z"
}
嗯。。。有趣。但是,如果我的bucket是
非公共的
,这可能吗?@no1lives4是的,这是可能的。请求失败。还要记住,bucket名称是公共的和全局的,访问可能需要授权。这是有道理的。所以我通过将GET请求发送到
https://storage.googleapis.com/BUCKET_NAME
-它出现在日志中。但是,我的请求也有我的IP地址。那么,这个攻击者如何能够隐藏他的IP地址呢?我也注意到了丢失的IP地址。客户端(黑客)无法向谷歌(真实或伪造)隐藏其IP地址。我不知道为什么它没有记录在您的示例中。我计划调查这个细节。如果我学到了什么,我会更新我的答案。。。有趣。但是,如果我的bucket是
非公共的
,这可能吗?@no1lives4是的,这是可能的。请求失败。还要记住,bucket名称是公共的和全局的,访问可能需要授权。这是有道理的。所以我通过将GET请求发送到
https://storage.googleapis.com/BUCKET_NAME
-它出现在日志中。但是,我的请求也有我的IP地址。那么,这个攻击者如何能够隐藏他的IP地址呢?我也注意到了丢失的IP地址。客户端(黑客)无法向谷歌(真实或伪造)隐藏其IP地址。我不知道为什么它没有记录在您的示例中。我计划调查这个细节。如果我学到了什么,我会更新我的答案。