בדף הזה מתוארים יומני הביקורת שנוצרים על ידי Cloud Search כחלק מיומני הביקורת של Cloud.
סקירה כללית
יומני הביקורת של שירותי Google Cloud מיועדים לענות על השאלות "מי עשה מה, איפה ומתי" ביחס למשאבים שלכם. הפרויקטים ב-Cloud מכילים רק את יומני הביקורת של המשאבים שנמצאים ישירות בתוך הפרויקט. ישויות אחרות, כמו תיקיות, ארגונים וחשבונות לחיוב ב-Cloud, כוללות את יומני הביקורת של הישות עצמה.
לפרטים נוספים, ראו יומני ביקורת של Cloud. להבנה עמוקה יותר של יומני הביקורת של Cloud, קראו את המאמר הסבר על יומני הביקורת.
יומני הביקורת של Cloud כוללים את יומני הביקורת הבאים לכל פרויקט, תיקייה וארגון ב-Cloud:
- יומני הביקורת Admin Activity שמכילים רשומות שתואמות לשיטות שמבצעות פעולות כתיבה של Admin. השיטות שמתאימות לפעילות Admin:פעולות כתיבה של אדמין מפורטות בקטע פעולות מבוקרות שיפורסם בקרוב.
- יומני ביקורת של Data Access שמכילים רשומות שתואמות לשיטות שמבצעות פעולות של קריאה, כתיבת נתונים וקריאת נתונים. השיטות שמתאימות ל'גישה לנתונים:קריאת אדמין', 'גישה לנתונים:כתיבת נתונים', 'גישה לנתונים:פעולות של קריאת נתונים' מפורטות בסעיף פעולות מבוקרות שיפורסם בקרוב.
- יומני הביקורת System Event
- יומני הביקורת 'המדיניות נדחתה'
ב-Cloud Search נכתבים יומני הביקורת Admin Activity, שמתעדים פעולות שמשנות את ההגדרות או את המטא-נתונים של משאב. לא ניתן להשבית את יומני הביקורת Admin Activity.
רק אם הוא מופעל באופן מפורש, Cloud Search כותב את יומני הביקורת Data Access. יומני הביקורת Data Access מכילים קריאות ל-API שקוראות את ההגדרות או את המטא-נתונים של משאבים, וגם קריאות ל-API שמבוססות על משתמשים, שיוצרות, משנות וקוראות נתוני משאבים שהמשתמשים סיפקו.
שירות Cloud Search לא כותב יומני ביקורת של System Event.
Cloud Search לא כותב יומני ביקורת של Policy Denied.
פעולות מבוקרות
הרשימה הבאה מסכמת אילו פעולות API מתאימות לכל סוג של רישום ביומן הביקורת ב-Cloud Search:
קטגוריית יומני הביקורת | פעולות ב-Cloud Search |
---|---|
פעילות אדמין: כתיבה דרך האדמין | Indexing.datasources.updateSchema indexing.datasources.deleteSchema settings.datasources.create settings.datasources.delete settings.datasources.update settings.searchapplications.create settings.searchapplications.delete settings.searchapplications.reset settings.searchapplications.update settings.updateServiceCustomer cloudsearch.IdentitySourceService.create cloud.searchServiceIdentitySource |
גישה לנתונים: קריאת אדמין | indexing.datasources.getSchema settings.datasources.get settings.datasources.list settings.searchapplications.get settings.searchapplications.list settings.getCustomer cloudsearch.IdentitySourceService.get cloudsearch.IdentitySourceService.list |
גישה לנתונים: כתיבת נתונים | indexing.datasources.items.delete indexing.datasources.items.deleteQueueItems indexing.datasources.items.index indexing.datasources.items.poll indexing.datasources.items.push indexing.datasources.items.unreserve indexing.datasources.items.upload media.upload |
גישה לנתונים: קריאת נתונים | index.datasources.items.get indexing.datasources.items.list operations.get operations.list debug.datasources.items.checkAccess debug.datasources.items.searchByViewUrl stats.getIndex stats.getQuery stats.getSession.getts.getUser stats.application.getquerysources.getUser stats.application.getquerysource.getindex |
הפורמט של יומן הביקורת
הרשומות ביומן הביקורת – שניתן להציג ב-Cloud Logging באמצעות Logs Explorer, Cloud Logging API או כלי שורת הפקודה gcloud – כוללות את האובייקטים הבאים:
הרשומה עצמה ביומן, שהיא אובייקט מסוג
LogEntry
.
השדות השימושיים ברשומה:
- השדה
logName
מכיל את מזהה המשאב ואת סוג יומן הביקורת. - השדה
resource
מכיל את היעד של הפעולה המבוקרת. - השדה
timeStamp
מכיל את הזמן של הפעולה המבוקרת. - השדה
protoPayload
מכיל את המידע המבוקר. - נתוני יומני הביקורת, שהם אובייקט AuditLog שמאוחסן בשדה protoPayload של רשומת היומן.
(אופציונלי) אובייקט ספציפי לשירות שמכיל מידע מבוקר שספציפי לשירות.
בשילובים קודמים, האובייקט הזה נשמר בשדה serviceData
של האובייקט AuditLog
. בשילובים מאוחרים יותר נעשה שימוש בשדה metadata
.
למידע על שדות אחרים באובייקטים האלה, ואיך לפרש אותם, קראו את המאמר הסבר על יומני הביקורת.
שם יומן הביקורת
שמות המשאבים של יומני הביקורת ב-Cloud מציינים את הפרויקט ב-Cloud או ישות אחרת ב-Google Cloud שיומני הביקורת בבעלותם. בנוסף, הם מציינים אם היומן מכיל את נתוני הביקורת Admin Activity, Data Access או System Event. לדוגמה, למטה מוצגים שמות היומנים של יומני הביקורת Admin Activity ברמת הפרויקט ויומני הביקורת Data Access של הארגון. המשתנים מייצגים את מזהי הפרויקטים והארגון.
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
שם השירות
יומני הביקורת של Cloud Search משתמשים בשם השירות cloudsearch.googleapis.com
.
סוגי המשאבים
יומני הביקורת של Cloud Search משתמשים בסוג המשאב audited_resource
בכל יומני הביקורת.
לרשימה של סוגי המשאבים האחרים, קראו את המאמר סוגי המשאבים במעקב.
הפעלת רישום ביומן ביקורת
כברירת מחדל, רישום ביומן ביקורת מושבת עבור Cloud Search API. כדי להפעיל רישום ביומן ביקורת ב-Google Cloud Search:
(אופציונלי) אם לא יצרתם פרויקט ב-Google Cloud Platform לאחסון יומנים, קראו את המאמר הגדרת גישה ל-Google Cloud Search API.
מקבלים את מזהה הפרויקט ב-Google Cloud שבו רוצים לאחסן את היומנים. במאמר זיהוי פרויקטים מוסבר איך מקבלים מזהה פרויקט.
כדי להפעיל את הרישום ביומן הביקורת של API ספציפי, צריך לקבוע את קטגוריית היומן שלו. לממשקי API ולקטגוריות התואמות שלהם אפשר לעיין בקטע פעולות מבוקרות בתחילת המסמך הזה.
משתמשים ב-method
updateCustomer()
API ל-REST כדי לעדכן את reviewLogSettings באמצעות קטגוריות היומנים כדי להפעיל את:קבלת אסימון גישה מסוג OAuth 2.0 משרת ההרשאות של Google. למידע על קבלת האסימון, ניתן לעיין בשלב 2 של שימוש ב-OAuth 2.0 לגישה ל-Google APIs. כדי לקבל את אסימון הגישה, עליך להשתמש באחד מההיקפים הבאים של OAuth:
https://www.googleapis.com/auth/cloud_search.settings.indexing
https://www.googleapis.com/auth/cloud_search.settings
https://www.googleapis.com/auth/cloud_search
מריצים את פקודת ה-Curl הבאה.
curl --request PATCH \ 'https://cloudsearch.googleapis.com/v1/settings/customer?updateMask=auditLoggingSettings&key=[YOUR_API_KEY]' \ --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \ --header 'Content-Type: application/json' \ --data '{"auditLoggingSettings": { "project": "projects/PROJECT_ID", "CATEGORY1": "true", "CATEGORY2": "true" } }'
כאשר:
YOUR_ACCESS_TOKEN
הוא אסימון גישה מסוג OAuth 2.0 שהתקבל בשלב 4א.PROJECT_ID
הוא מזהה הפרויקט שהתקבל בשלב 2.CATEGORY1
,CATEGORY2
,…
הן הקטגוריות שבחרתם להפעיל בשלב 3. הערכים החוקיים הםlogAdminReadActions
,logDataWriteActions
ו-logDataReadActions
. פעולות כתיבה של אדמין מופעלות כברירת מחדל ואי אפשר להשבית אותן. אם רוצים לבצע רישום ביומן ביקורת של שיטות שאילתה, צריך להפעיל את קטגוריית הקריאה לנתונים.
אחרי העדכון של
AuditLoggingSettings
, בקשות נוספות ל-Cloud Search API ייצרו יומן ביקורת במזהה הפרויקט שצוין ב-AuditLoggingSettings
.כדי להשתמש ביומן הביקורת לשיטות של שאילתות, צריך להפעיל את קטגוריית קריאת הנתונים (בוצע בשלב 4). כדי להפעיל את הרישום ביומן הביקורת עבור שיטות של שאילתות (
query.sources.list
,query.suggest
ו-query.search
), צריך לבצע את השלבים הנוספים הבאים:מאחזרים את השם לכל אפליקציית חיפוש שעבורה רוצים להפעיל רישום ביומן ביקורת. השם צריך להיות בפורמט
searchapplications/<search_application_id>
.אפשר להשתמש בשם כדי להתקשר אל
settings.searchapplications.update
כאשרenableAuditLog
מוגדר ל-true
.
כדי להפעיל את הרישום ביומן הביקורת של שיחות מ-
cloudsearch.google.com
, צריך לוודא שקטגוריית קריאת הנתונים מופעלת (שלב 4). בנוסף, מבצעים את שלב 5b עםname
שלsearchapplications/default
.
אחרי ההפעלה, אפשר יהיה להציג את היומנים בקטע Logs Explorer ב-Google Cloud Console. כדי להציג רק את יומני הביקורת של Cloud Search, אפשר להשתמש במסנן הבא:
protoPayload.serviceName="cloudsearch.googleapis.com"
במאמר סקירה כללית על Logs Explorer מוסבר איך מציגים יומנים.
הרשאות של יומן ביקורת
ההרשאות והתפקידים של ניהול הזהויות והרשאות הגישה קובעים אילו יומני ביקורת אתם יכולים להציג או לייצא. היומנים נמצאים בפרויקטים ב-Cloud ובישויות מסוימות אחרות, כולל ארגונים, תיקיות וחשבונות לחיוב ב-Cloud. למידע נוסף, ראו הסבר על תפקידים.
כדי להציג את יומני הביקורת Admin Activity, נדרש אחד מתפקידי ה-IAM הבאים בפרויקט שמכיל את יומני הביקורת:
- בעלי הפרויקט, עריכה בפרויקט או צפייה בפרויקט
- התפקיד צפייה ביומנים ביומנים
- תפקיד IAM בהתאמה אישית עם הרשאת IAM
logging.logEntries.list
כדי להציג את יומני הביקורת Data Access, בפרויקט שלכם צריך להיות אחד מהתפקידים הבאים שמכיל את יומני הביקורת:
- בעלי הפרויקט
- התפקיד Private Logs View של הרישום ביומן
- תפקיד IAM בהתאמה אישית עם הרשאת IAM
logging.privateLogEntries.list
אם אתם משתמשים ביומני ביקורת מישות שאינה קשורה לפרויקט, כמו ארגון, צריך לשנות את התפקידים של הפרויקט ב-Cloud לתפקידים מתאימים בארגון.
צפייה ביומנים
כדי למצוא יומני ביקורת ולהציג אותם, עליכם לדעת את המזהה של הפרויקט, התיקייה או הארגון ב-Cloud שעבורם רוצים להציג את המידע של יומני הביקורת. אפשר להוסיף עוד שדות LogEntry
שנוספו לאינדקס, כמו resource.type. למידע נוסף, קראו את המאמר יצירת שאילתות ב-Logs Explorer.
אלה השמות של יומני הביקורת, והם כוללים משתנים בהתאם למזהים של הפרויקט, התיקייה או הארגון ב-Cloud:
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy
יש כמה אפשרויות להצגת הרשומות ביומן הביקורת.
מסוף
תוכלו להשתמש ב-Logs Explorer שבמסוף Cloud כדי לאחזר את הרשומות ביומן הביקורת של הפרויקט ב-Cloud:
ב-Cloud Console, נכנסים לדף Logging > Logs Explorer.
בדף Logs Explorer, בוחרים פרויקט קיים ב-Cloud.
בחלונית Query builder:
בקטע Resource, בוחרים את סוג המשאב ב-Google Cloud שאת יומני הביקורת שלו רוצים להציג.
בקטע Log name, בוחרים את סוג יומן הביקורת שרוצים להציג:
- ליומני הביקורת Admin Activity בוחרים באפשרות activity.
- ליומני הביקורת Data Access בוחרים באפשרות data_access.
- ליומני הביקורת System Event בוחרים באפשרות system_event.
- ליומני הביקורת Policy Denied בוחרים באפשרות policy.
אם האפשרויות האלה לא מוצגות, המשמעות היא שאין יומני ביקורת מאותו סוג בפרויקט ב-Cloud.
מידע נוסף על הרצת שאילתות באמצעות הממשק החדש של Logs Explorer זמין במאמר יצירת שאילתות ב-Logs Explorer.
gcloud
ה-gcloud מספק ממשק שורת פקודה ל-Logging API. צריך לציין
PROJECT_ID
, FOLDER_ID
או ORGANIZATION_ID
חוקיים בכל אחד משמות היומנים.
כדי להציג את הרשומות ביומן הביקורת ברמת הפרויקט ב-Google Cloud, מריצים את הפקודה הבאה:
gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \ --project=PROJECT_ID
כדי להציג את הרשומות ביומן הביקורת ברמת התיקייה, מריצים את הפקודה הבאה:
gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \ --folder=FOLDER_ID
כדי להציג את הרשומות ביומן הביקורת ברמת הארגון, מריצים את הפקודה הבאה:
gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \ --organization=ORGANIZATION_ID
למידע נוסף על השימוש בכלי ה-gcloud: gcloud logging read
.
API
כשיוצרים את השאילתות, צריך להחליף את המשתנים בערכים חוקיים ולהחליף את המזהים או את השמות המתאימים של יומני הביקורת ברמת הפרויקט, ברמת התיקייה או ברמת הארגון, כפי שהם מפורטים בשמות של יומני הביקורת. לדוגמה, אם שאילתה כוללת את השדה PROJECT_ID, מזהה הפרויקט שאתם מציינים חייב להתייחס לפרויקט ב-Cloud שבחרתם.
כדי לבדוק את הרשומות ביומן הביקורת באמצעות Logging API:
נכנסים לקטע Try this API במסמכי התיעוד של המתודה
entries.list
.מזינים את הפרטים הבאים בקטע Request body בטופס Try this API. אם לוחצים על הטופס למילוי פרטים אוטומטי, הקטע Request body יאוכלס בפרטים באופן אוטומטי אבל תצטרכו לספק
PROJECT_ID
תקין בכל אחד משמות היומנים.{ "resourceNames": [ "projects/PROJECT_ID" ], "pageSize": 5, "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" }
לוחצים על Execute.
למידע נוסף על שאילתות, תוכלו לקרוא את המאמר שפת שאילתות הרישום ביומן.
במאמר הסבר על יומני הביקורת תוכלו לראות דוגמה לרשומה ביומן הביקורת ואיך למצוא בה את המידע החשוב ביותר.
ייצוא של יומני ביקורת
הייצוא של יומני ביקורת זהה לייצוא של יומנים מסוגים אחרים. לפרטים נוספים על ייצוא היומנים, קראו את המאמר ייצוא יומנים. לפניכם מספר יישומים של ייצוא יומני ביקורת:
אתם יכולים לייצא עותקים של יומני הביקורת ל-Cloud Storage, ל-BigQuery או ל-Pub/Sub, כדי לשמור את יומני הביקורת לפרק זמן ארוך יותר ולהשתמש ביכולות חיפוש מתקדמות יותר. באמצעות Pub/Sub אתם יכולים לייצא לאפליקציות אחרות, למאגרים אחרים ולצדדים שלישיים.
כדי לנהל את יומני הביקורת בארגון כולו, אתם יכולים ליצור aggregated sinks שיכולים לייצא יומנים מכל הפרויקטים ב-Cloud, או מחלקם.
אם יומני הביקורת Data Access גורמת לחריגה ממכסת הרישומים שלכם ביומנים של הפרויקטים שלכם ב-Cloud, אתם יכולים לייצא את יומני הביקורת Data Access ולהחריג אותם מ-Logging. לפרטים נוספים קראו את המאמר החרגת יומנים.
תמחור ושמירה
אתם לא מחויבים ב-Cloud Logging על יומני ביקורת שלא ניתן להשבית, כולל על כל יומני הביקורת Admin Activity. ב-Cloud Logging אתם מחויבים על יומני הביקורת Data Access שביקשתם באופן מפורש.
למידע נוסף על התמחור של יומני ביקורת, קראו את המאמר מחירי חבילת התפעול של Google Cloud.
משך האחסון שמשויך ליומני הביקורת של Cloud Search הוא:
- יומני Admin Activity (או Admin Write) – היומנים האלה נשמרים למשך 400 ימים.
- יומני Data Access (קריאת אדמין, כתיבת נתונים וקריאת נתונים) – היומנים האלה נשמרים למשך 30 ימים.
מידע נוסף על משך האחסון זמין במאמר תקופות שמירת יומנים.
מגבלות נוכחיות
אלו המגבלות שחלות על יומני הביקורת ב-Cloud Search:
הגודל של הרשומה ביומן חייב להיות קטן מ-512KB. אם הגודל יותר מ-512KB, התגובה תיעלם מהרשומה ביומן. אם לא תקטינו את הגודל ל-512KB או פחות, הבקשה תושמט. לבסוף, אם הגודל עדיין חורג מ-512KB, הערך ביומן יושמט.
לא מתבצע רישום של גופי התגובה בשיטות
list()
,get()
ו-suggest()
. עם זאת, יש סטטוסים של תשובות.נרשמים רק קריאות ל-query API מ-
cloudsearch.google.com
(אם הוא מופעל) ומאפליקציות של חיפוש לקוחות.בשיחות
search()
, רקQuery
,RequestOptions
ו-DataSourceRestriction
מחוברים בבקשה. בתשובה נבדקים, רק כתובת ה-URL והמטא-נתונים (מקור ו-objectType
) של כלSearchResult
.קריאות שיוצאות לקצה העורפי של Cloud Search ותואמות לייצוא הנתונים לא נבדקות.