ऑडिट लॉगिंग

इस पेज पर, Google Workspace ऐड-ऑन से बनाए गए ऑडिट लॉग के बारे में जानकारी दी गई है. ये लॉग, क्लाउड ऑडिट लॉग के हिस्से के तौर पर बने हैं.

खास जानकारी

Google Cloud की सेवाएं ऑडिट लॉग लिखती हैं, ताकि आप इन सवालों के जवाब दे सकें कि "किसने क्या, कहां, और कब किया?" आपके क्लाउड प्रोजेक्ट में सिर्फ़ उन संसाधनों के ऑडिट लॉग होते हैं जो सीधे तौर पर प्रोजेक्ट से जुड़े होते हैं. फ़ोल्डर, संगठन, और क्लाउड बिलिंग खाते जैसी दूसरी इकाइयों में इकाई के ऑडिट लॉग होते हैं.

Cloud ऑडिट लॉग के बारे में सामान्य जानकारी के लिए, Cloud ऑडिट लॉग देखें. क्लाउड ऑडिट लॉग के बारे में ज़्यादा जानने के लिए, ऑडिट लॉग को समझना लेख पढ़ें.

Google Workspace ऐड-ऑन के लिए, इस तरह के ऑडिट लॉग उपलब्ध हैं:

  • एडमिन गतिविधि ऑडिट लॉग

    इसमें "एडमिन में लिखने" की कार्रवाइयां शामिल हैं, जो मेटाडेटा या कॉन्फ़िगरेशन की जानकारी लिखती हैं.

    एडमिन गतिविधि ऑडिट लॉग को बंद नहीं किया जा सकता.

ऑडिट की गई कार्रवाइयां

यहां इस बारे में खास जानकारी दी गई है कि Google Workspace ऐड-ऑन में हर तरह के ऑडिट लॉग के मुताबिक कौनसी एपीआई कार्रवाइयां की जाती हैं:

ऑडिट लॉग की कैटगरी Google Workspace ऐड-ऑन कार्रवाइयां
एडमिन गतिविधि ऑडिट लॉग प्रोजेक्ट.GetAuthization
Deployments.CreateDeployment
Deployments.Replacement
डिफ़ॉल्ट लागू करें.

ऑडिट लॉग का फ़ॉर्मैट

ऑडिट लॉग एंट्री— इन्हें 'लॉग व्यूअर', 'क्लाउड लॉगिंग एपीआई' या Google Cloud सीएलआई की मदद से 'क्लाउड लॉगिंग' में देखा जा सकता है. इन चीज़ों में ये चीज़ें शामिल होती हैं:

  • खुद लॉग एंट्री, जो LogEntry टाइप का ऑब्जेक्ट है. काम के फ़ील्ड में ये शामिल हैं:

    • logName में, प्रोजेक्ट की पहचान और ऑडिट लॉग का टाइप शामिल होता है.
    • resource में ऑडिट की गई कार्रवाई का टारगेट शामिल है.
    • timeStamp में ऑडिट की गई कार्रवाई का समय शामिल होता है.
    • protoPayload में ऑडिट की गई जानकारी शामिल होती है.

  • ऑडिट लॉग का डेटा, जो AuditLog ऑब्जेक्ट है. इसे लॉग एंट्री के protoPayload फ़ील्ड में रखा जाता है.

  • किसी सेवा से जुड़ी ऑडिट जानकारी (जो किसी सेवा से जुड़ा खास मकसद होता है) की जानकारी देना ज़रूरी नहीं है. पहले के इंटिग्रेशन के लिए, यह ऑब्जेक्ट AuditLog ऑब्जेक्ट के serviceData फ़ील्ड में होता है. बाद के इंटिग्रेशन में metadata फ़ील्ड का इस्तेमाल होता है.

इन ऑब्जेक्ट के दूसरे फ़ील्ड के लिए और उन्हें समझने का तरीका जानने के लिए, ऑडिट लॉग को समझना लेख पढ़ें.

लॉग का नाम

क्लाउड ऑडिट लॉग के संसाधन के नामों से, ऑडिट लॉग का मालिकाना हक रखने वाले Cloud प्रोजेक्ट या Google Cloud की दूसरी इकाई के बारे में पता चलता है. इनसे यह भी पता चलता है कि लॉग में एडमिन गतिविधि, डेटा ऐक्सेस या सिस्टम इवेंट के ऑडिट लॉगिंग का डेटा शामिल है या नहीं. उदाहरण के लिए, यहां प्रोजेक्ट के एडमिन गतिविधि ऑडिट लॉग और संगठन के डेटा ऐक्सेस ऑडिट लॉग के लॉग नाम दिखाए गए हैं. वैरिएबल, प्रोजेक्ट और संगठन के आइडेंटिफ़ायर को दिखाते हैं.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

सेवा का नाम

Google Workspace ऐड-ऑन के ऑडिट लॉग, सेवा के नाम gsuiteaddons.googleapis.com का इस्तेमाल करते हैं.

डेटा लॉग करने वाली सभी सेवाओं के बारे में जानकारी पाने के लिए, संसाधनों के साथ मैप करने की सेवाएं लेख पढ़ें.

संसाधन के टाइप

Google Workspace ऐड-ऑन के ऑडिट लॉग, सभी ऑडिट लॉग के लिए, रिसॉर्स टाइप audited_resource का इस्तेमाल करते हैं.

अन्य तरह के संसाधनों की सूची देखने के लिए, निगरानी किए जाने वाले संसाधन टाइप देखें.

ऑडिट लॉगिंग की सुविधा चालू की जा रही है

एडमिन गतिविधि ऑडिट लॉग हमेशा चालू रहते हैं; उन्हें बंद नहीं किया जा सकता.

Google Workspace ऐड-ऑन, डेटा ऐक्सेस के ऑडिट लॉग नहीं लिखते.

ऑडिट लॉग की अनुमतियां

पहचान और ऐक्सेस मैनेजमेंट की अनुमतियां और रोल यह तय करते हैं कि कौनसे ऑडिट लॉग देखे या एक्सपोर्ट किए जा सकते हैं. लॉग, क्लाउड प्रोजेक्ट के साथ-साथ कुछ अन्य इकाइयों में भी मौजूद होते हैं. इनमें संगठन, फ़ोल्डर, और क्लाउड बिलिंग खाते शामिल हैं. ज़्यादा जानकारी के लिए, भूमिकाओं को समझना लेख पढ़ें.

एडमिन गतिविधि के ऑडिट लॉग देखने के लिए, आपके पास उस प्रोजेक्ट में नीचे दी गई IAM भूमिकाओं में से कोई एक होनी चाहिए जिसमें आपके ऑडिट लॉग हैं:

Google Workspace ऐड-ऑन, डेटा ऐक्सेस के ऑडिट लॉग या सिस्टम इवेंट ऑडिट लॉग नहीं लिखते.

अगर ऑडिट लॉग का इस्तेमाल ऐसी इकाई से किया जा रहा है जो प्रोजेक्ट नहीं है, जैसे कि संगठन, तो Cloud प्रोजेक्ट की भूमिकाओं को संगठन की सही भूमिकाओं में बदलें.

लॉग देखना

ऑडिट लॉग ढूंढने और देखने के लिए, आपके पास उस Cloud प्रोजेक्ट, फ़ोल्डर या संगठन का आइडेंटिफ़ायर होना चाहिए जिसकी ऑडिट लॉग की जानकारी देखनी है. इंडेक्स किए गए अन्य LogEntry फ़ील्ड के बारे में और जानकारी दी जा सकती है, जैसे कि resource.type. ज़्यादा जानकारी के लिए, लॉग एक्सप्लोरर में क्वेरी बनाएं देखें.

ऑडिट लॉग के नाम यहां दिए गए हैं. इनमें क्लाउड प्रोजेक्ट, फ़ोल्डर या संगठन के आइडेंटिफ़ायर के वैरिएबल शामिल होते हैं:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

ऑडिट लॉग की एंट्री देखने के लिए आपके पास कई विकल्प हैं.

Console

Cloud Console में लॉग एक्सप्लोरर का इस्तेमाल करके, अपने क्लाउड प्रोजेक्ट के लिए ऑडिट लॉग एंट्री को वापस पाया जा सकता है:

  1. Cloud Console में, लॉगिंग > लॉग एक्सप्लोरर पेज पर जाएं.

    लॉग एक्सप्लोरर पेज पर जाएं

  2. लॉग एक्सप्लोरर पेज पर, कोई मौजूदा क्लाउड प्रोजेक्ट चुनें.

  3. क्वेरी बिल्डर पैनल में, ये काम करें:

    • संसाधन में जाकर, Google Cloud के रिसॉर्स टाइप का वह टाइप चुनें जिसके ऑडिट लॉग आपको देखने हैं.

    • लॉग नाम में जाकर, वह ऑडिट लॉग टाइप चुनें जिसे आपको देखना है:

      • एडमिन गतिविधि के ऑडिट लॉग के लिए, गतिविधि चुनें.
      • डेटा ऐक्सेस के ऑडिट लॉग के लिए, data_access चुनें.
      • सिस्टम इवेंट के ऑडिट लॉग के लिए, system_event चुनें.
      • अस्वीकार की गई नीति के ऑडिट लॉग के लिए, नीति चुनें.

    अगर आपको ये विकल्प नहीं दिखते हैं, तो इसका मतलब है कि Cloud प्रोजेक्ट में उस तरह का कोई ऑडिट लॉग उपलब्ध नहीं है.

    नए लॉग एक्सप्लोरर का इस्तेमाल करके क्वेरी करने के बारे में ज़्यादा जानकारी के लिए, लॉग एक्सप्लोरर में क्वेरी बनाना देखें.

gcloud

Google Cloud सीएलआई, Cloud Logging API के लिए कमांड-लाइन इंटरफ़ेस उपलब्ध कराता है. हर लॉग नाम में PROJECT_ID, FOLDER_ID या ORGANIZATION_ID के लिए मान्य वैल्यू डालें.

अपने Google Cloud के प्रोजेक्ट-लेवल के ऑडिट लॉग की एंट्री पढ़ने के लिए, यह कमांड चलाएं:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

अपने फ़ोल्डर-लेवल के ऑडिट लॉग की एंट्री पढ़ने के लिए, नीचे दिया गया कमांड चलाएं:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

अपने संगठन-लेवल के ऑडिट लॉग की एंट्री पढ़ने के लिए, यह कमांड चलाएं:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

gcloud सीएलआई का इस्तेमाल करने के बारे में ज़्यादा जानकारी के लिए, gcloud logging read देखें.

API

अपनी क्वेरी तैयार करते समय, वैरिएबल को मान्य वैल्यू से बदलें और ऑडिट लॉग के नामों में बताए गए सही प्रोजेक्ट-लेवल, फ़ोल्डर-लेवल या संगठन-लेवल के ऑडिट लॉग के नाम या आइडेंटिफ़ायर की जगह लें. उदाहरण के लिए, अगर आपकी क्वेरी में PROJECT_ID शामिल है, तो आपका दिया गया प्रोजेक्ट आइडेंटिफ़ायर, चुने गए मौजूदा Cloud प्रोजेक्ट से जुड़ा होना चाहिए.

अपने ऑडिट लॉग में मौजूद एंट्री देखने के लिए Logging API का इस्तेमाल करने के लिए, ये काम करें:

  1. entries.list तरीके के लिए, दस्तावेज़ में यह एपीआई आज़माएं सेक्शन पर जाएं.

  2. इस एपीआई को आज़माएं फ़ॉर्म के अनुरोध के मुख्य हिस्से में, नीचे दी गई जानकारी डालें. पहले से भरे गए इस फ़ॉर्म पर क्लिक करने से, अनुरोध का मुख्य हिस्सा अपने-आप भर जाएगा, लेकिन आपको हर लॉग नाम में एक मान्य PROJECT_ID देना होगा.

    {
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}

  3. लागू करें पर क्लिक करें.

क्वेरी करने के बारे में ज़्यादा जानकारी के लिए, लॉगिंग क्वेरी भाषा देखें.

ऑडिट लॉग एंट्री के नमूने और उसमें सबसे ज़रूरी जानकारी ढूंढने का तरीका जानने के लिए, ऑडिट लॉग को समझना लेख पढ़ें.

ऑडिट लॉग एक्सपोर्ट किए जा रहे हैं

ऑडिट लॉग को उसी तरह एक्सपोर्ट किया जा सकता है जिस तरह दूसरी तरह के लॉग एक्सपोर्ट किए जाते हैं. लॉग एक्सपोर्ट करने का तरीका जानने के लिए, लॉग एक्सपोर्ट करना लेख पढ़ें. ऑडिट लॉग एक्सपोर्ट करने के कुछ ऐप्लिकेशन यहां दिए गए हैं:

  • ऑडिट लॉग को लंबे समय तक रखने या खोज करने की बेहतर सुविधाओं का इस्तेमाल करने के लिए, अपने ऑडिट लॉग की कॉपी Cloud Storage, BigQuery या Pub/Sub में एक्सपोर्ट करें. Pub/Sub का इस्तेमाल करके, दूसरे ऐप्लिकेशन, डेटा स्टोर करने की जगहों, और तीसरे पक्षों को एक्सपोर्ट किया जा सकता है.

  • पूरे संगठन में अपने ऑडिट लॉग मैनेज करने के लिए, एग्रीगेट किए गए सिंक बनाए जा सकते हैं. ये सिंक, संगठन के किसी भी या सभी क्लाउड प्रोजेक्ट से लॉग एक्सपोर्ट कर सकते हैं.

कीमत

Cloud Logging, आपसे उन ऑडिट लॉग के लिए शुल्क नहीं लेती हैं जिन्हें बंद नहीं किया जा सकता. इनमें, सभी एडमिन गतिविधि ऑडिट लॉग भी शामिल हैं.

ऑडिट लॉग की कीमतों के बारे में ज़्यादा जानने के लिए, Google Cloud के ऑपरेशंस सुइट की कीमत देखें.