इस पेज पर, Google Workspace ऐड-ऑन से बनाए गए ऑडिट लॉग के बारे में जानकारी दी गई है. ये लॉग, क्लाउड ऑडिट लॉग के हिस्से के तौर पर बने हैं.
खास जानकारी
Google Cloud की सेवाएं ऑडिट लॉग लिखती हैं, ताकि आप इन सवालों के जवाब दे सकें कि "किसने क्या, कहां, और कब किया?" आपके क्लाउड प्रोजेक्ट में सिर्फ़ उन संसाधनों के ऑडिट लॉग होते हैं जो सीधे तौर पर प्रोजेक्ट से जुड़े होते हैं. फ़ोल्डर, संगठन, और क्लाउड बिलिंग खाते जैसी दूसरी इकाइयों में इकाई के ऑडिट लॉग होते हैं.
Cloud ऑडिट लॉग के बारे में सामान्य जानकारी के लिए, Cloud ऑडिट लॉग देखें. क्लाउड ऑडिट लॉग के बारे में ज़्यादा जानने के लिए, ऑडिट लॉग को समझना लेख पढ़ें.
Google Workspace ऐड-ऑन के लिए, इस तरह के ऑडिट लॉग उपलब्ध हैं:
-
एडमिन गतिविधि ऑडिट लॉग
इसमें "एडमिन में लिखने" की कार्रवाइयां शामिल हैं, जो मेटाडेटा या कॉन्फ़िगरेशन की जानकारी लिखती हैं.
एडमिन गतिविधि ऑडिट लॉग को बंद नहीं किया जा सकता.
ऑडिट की गई कार्रवाइयां
यहां इस बारे में खास जानकारी दी गई है कि Google Workspace ऐड-ऑन में हर तरह के ऑडिट लॉग के मुताबिक कौनसी एपीआई कार्रवाइयां की जाती हैं:
ऑडिट लॉग की कैटगरी | Google Workspace ऐड-ऑन कार्रवाइयां |
---|---|
एडमिन गतिविधि ऑडिट लॉग | प्रोजेक्ट.GetAuthization Deployments.CreateDeployment Deployments.Replacement डिफ़ॉल्ट लागू करें. |
ऑडिट लॉग का फ़ॉर्मैट
ऑडिट लॉग एंट्री— इन्हें 'लॉग व्यूअर', 'क्लाउड लॉगिंग एपीआई' या Google Cloud सीएलआई की मदद से 'क्लाउड लॉगिंग' में देखा जा सकता है. इन चीज़ों में ये चीज़ें शामिल होती हैं:
खुद लॉग एंट्री, जो
LogEntry
टाइप का ऑब्जेक्ट है. काम के फ़ील्ड में ये शामिल हैं:logName
में, प्रोजेक्ट की पहचान और ऑडिट लॉग का टाइप शामिल होता है.resource
में ऑडिट की गई कार्रवाई का टारगेट शामिल है.timeStamp
में ऑडिट की गई कार्रवाई का समय शामिल होता है.protoPayload
में ऑडिट की गई जानकारी शामिल होती है.
ऑडिट लॉग का डेटा, जो
AuditLog
ऑब्जेक्ट है. इसे लॉग एंट्री केprotoPayload
फ़ील्ड में रखा जाता है.किसी सेवा से जुड़ी ऑडिट जानकारी (जो किसी सेवा से जुड़ा खास मकसद होता है) की जानकारी देना ज़रूरी नहीं है. पहले के इंटिग्रेशन के लिए, यह ऑब्जेक्ट
AuditLog
ऑब्जेक्ट केserviceData
फ़ील्ड में होता है. बाद के इंटिग्रेशन मेंmetadata
फ़ील्ड का इस्तेमाल होता है.
इन ऑब्जेक्ट के दूसरे फ़ील्ड के लिए और उन्हें समझने का तरीका जानने के लिए, ऑडिट लॉग को समझना लेख पढ़ें.
लॉग का नाम
क्लाउड ऑडिट लॉग के संसाधन के नामों से, ऑडिट लॉग का मालिकाना हक रखने वाले Cloud प्रोजेक्ट या Google Cloud की दूसरी इकाई के बारे में पता चलता है. इनसे यह भी पता चलता है कि लॉग में एडमिन गतिविधि, डेटा ऐक्सेस या सिस्टम इवेंट के ऑडिट लॉगिंग का डेटा शामिल है या नहीं. उदाहरण के लिए, यहां प्रोजेक्ट के एडमिन गतिविधि ऑडिट लॉग और संगठन के डेटा ऐक्सेस ऑडिट लॉग के लॉग नाम दिखाए गए हैं. वैरिएबल, प्रोजेक्ट और संगठन के आइडेंटिफ़ायर को दिखाते हैं.
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
सेवा का नाम
Google Workspace ऐड-ऑन के ऑडिट लॉग, सेवा के नाम
gsuiteaddons.googleapis.com
का इस्तेमाल करते हैं.
डेटा लॉग करने वाली सभी सेवाओं के बारे में जानकारी पाने के लिए, संसाधनों के साथ मैप करने की सेवाएं लेख पढ़ें.
संसाधन के टाइप
Google Workspace ऐड-ऑन के ऑडिट लॉग, सभी ऑडिट लॉग के लिए, रिसॉर्स टाइप
audited_resource
का इस्तेमाल करते हैं.
अन्य तरह के संसाधनों की सूची देखने के लिए, निगरानी किए जाने वाले संसाधन टाइप देखें.
ऑडिट लॉगिंग की सुविधा चालू की जा रही है
एडमिन गतिविधि ऑडिट लॉग हमेशा चालू रहते हैं; उन्हें बंद नहीं किया जा सकता.
Google Workspace ऐड-ऑन, डेटा ऐक्सेस के ऑडिट लॉग नहीं लिखते.
ऑडिट लॉग की अनुमतियां
पहचान और ऐक्सेस मैनेजमेंट की अनुमतियां और रोल यह तय करते हैं कि कौनसे ऑडिट लॉग देखे या एक्सपोर्ट किए जा सकते हैं. लॉग, क्लाउड प्रोजेक्ट के साथ-साथ कुछ अन्य इकाइयों में भी मौजूद होते हैं. इनमें संगठन, फ़ोल्डर, और क्लाउड बिलिंग खाते शामिल हैं. ज़्यादा जानकारी के लिए, भूमिकाओं को समझना लेख पढ़ें.
एडमिन गतिविधि के ऑडिट लॉग देखने के लिए, आपके पास उस प्रोजेक्ट में नीचे दी गई IAM भूमिकाओं में से कोई एक होनी चाहिए जिसमें आपके ऑडिट लॉग हैं:- प्रोजेक्ट का मालिक, प्रोजेक्ट एडिटर या प्रोजेक्ट व्यूअर
- लॉगिंग लॉग व्यूअर की भूमिका
logging.logEntries.list
IAM अनुमति के साथ पसंद के मुताबिक IAM रोल
Google Workspace ऐड-ऑन, डेटा ऐक्सेस के ऑडिट लॉग या सिस्टम इवेंट ऑडिट लॉग नहीं लिखते.
अगर ऑडिट लॉग का इस्तेमाल ऐसी इकाई से किया जा रहा है जो प्रोजेक्ट नहीं है, जैसे कि संगठन, तो Cloud प्रोजेक्ट की भूमिकाओं को संगठन की सही भूमिकाओं में बदलें.
लॉग देखना
ऑडिट लॉग ढूंढने और देखने के लिए, आपके पास उस Cloud प्रोजेक्ट, फ़ोल्डर या संगठन का आइडेंटिफ़ायर होना चाहिए जिसकी ऑडिट लॉग की जानकारी देखनी है. इंडेक्स किए गए अन्य LogEntry
फ़ील्ड के बारे में और जानकारी दी जा सकती है, जैसे कि resource.type
. ज़्यादा जानकारी के लिए, लॉग एक्सप्लोरर में क्वेरी बनाएं देखें.
ऑडिट लॉग के नाम यहां दिए गए हैं. इनमें क्लाउड प्रोजेक्ट, फ़ोल्डर या संगठन के आइडेंटिफ़ायर के वैरिएबल शामिल होते हैं:
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy
ऑडिट लॉग की एंट्री देखने के लिए आपके पास कई विकल्प हैं.
Console
Cloud Console में लॉग एक्सप्लोरर का इस्तेमाल करके, अपने क्लाउड प्रोजेक्ट के लिए ऑडिट लॉग एंट्री को वापस पाया जा सकता है:
Cloud Console में, लॉगिंग > लॉग एक्सप्लोरर पेज पर जाएं.
लॉग एक्सप्लोरर पेज पर, कोई मौजूदा क्लाउड प्रोजेक्ट चुनें.
क्वेरी बिल्डर पैनल में, ये काम करें:
संसाधन में जाकर, Google Cloud के रिसॉर्स टाइप का वह टाइप चुनें जिसके ऑडिट लॉग आपको देखने हैं.
लॉग नाम में जाकर, वह ऑडिट लॉग टाइप चुनें जिसे आपको देखना है:
- एडमिन गतिविधि के ऑडिट लॉग के लिए, गतिविधि चुनें.
- डेटा ऐक्सेस के ऑडिट लॉग के लिए, data_access चुनें.
- सिस्टम इवेंट के ऑडिट लॉग के लिए, system_event चुनें.
- अस्वीकार की गई नीति के ऑडिट लॉग के लिए, नीति चुनें.
अगर आपको ये विकल्प नहीं दिखते हैं, तो इसका मतलब है कि Cloud प्रोजेक्ट में उस तरह का कोई ऑडिट लॉग उपलब्ध नहीं है.
नए लॉग एक्सप्लोरर का इस्तेमाल करके क्वेरी करने के बारे में ज़्यादा जानकारी के लिए, लॉग एक्सप्लोरर में क्वेरी बनाना देखें.
gcloud
Google Cloud सीएलआई, Cloud Logging API के लिए
कमांड-लाइन इंटरफ़ेस उपलब्ध कराता है. हर लॉग नाम में PROJECT_ID
, FOLDER_ID
या ORGANIZATION_ID
के लिए मान्य वैल्यू डालें.
अपने Google Cloud के प्रोजेक्ट-लेवल के ऑडिट लॉग की एंट्री पढ़ने के लिए, यह कमांड चलाएं:
gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \ --project=PROJECT_ID
अपने फ़ोल्डर-लेवल के ऑडिट लॉग की एंट्री पढ़ने के लिए, नीचे दिया गया कमांड चलाएं:
gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \ --folder=FOLDER_ID
अपने संगठन-लेवल के ऑडिट लॉग की एंट्री पढ़ने के लिए, यह कमांड चलाएं:
gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \ --organization=ORGANIZATION_ID
gcloud
सीएलआई का इस्तेमाल करने के बारे में ज़्यादा जानकारी के लिए, gcloud logging read
देखें.
API
अपनी क्वेरी तैयार करते समय, वैरिएबल को मान्य वैल्यू से बदलें और ऑडिट लॉग के नामों में बताए गए सही प्रोजेक्ट-लेवल, फ़ोल्डर-लेवल या संगठन-लेवल के ऑडिट लॉग के नाम या आइडेंटिफ़ायर की जगह लें. उदाहरण के लिए, अगर आपकी क्वेरी में PROJECT_ID शामिल है, तो आपका दिया गया प्रोजेक्ट आइडेंटिफ़ायर, चुने गए मौजूदा Cloud प्रोजेक्ट से जुड़ा होना चाहिए.
अपने ऑडिट लॉग में मौजूद एंट्री देखने के लिए Logging API का इस्तेमाल करने के लिए, ये काम करें:
entries.list
तरीके के लिए, दस्तावेज़ में यह एपीआई आज़माएं सेक्शन पर जाएं.इस एपीआई को आज़माएं फ़ॉर्म के अनुरोध के मुख्य हिस्से में, नीचे दी गई जानकारी डालें. पहले से भरे गए इस फ़ॉर्म पर क्लिक करने से, अनुरोध का मुख्य हिस्सा अपने-आप भर जाएगा, लेकिन आपको हर लॉग नाम में एक मान्य
PROJECT_ID
देना होगा.{ "resourceNames": [ "projects/PROJECT_ID" ], "pageSize": 5, "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" }
लागू करें पर क्लिक करें.
क्वेरी करने के बारे में ज़्यादा जानकारी के लिए, लॉगिंग क्वेरी भाषा देखें.
ऑडिट लॉग एंट्री के नमूने और उसमें सबसे ज़रूरी जानकारी ढूंढने का तरीका जानने के लिए, ऑडिट लॉग को समझना लेख पढ़ें.
ऑडिट लॉग एक्सपोर्ट किए जा रहे हैं
ऑडिट लॉग को उसी तरह एक्सपोर्ट किया जा सकता है जिस तरह दूसरी तरह के लॉग एक्सपोर्ट किए जाते हैं. लॉग एक्सपोर्ट करने का तरीका जानने के लिए, लॉग एक्सपोर्ट करना लेख पढ़ें. ऑडिट लॉग एक्सपोर्ट करने के कुछ ऐप्लिकेशन यहां दिए गए हैं:
ऑडिट लॉग को लंबे समय तक रखने या खोज करने की बेहतर सुविधाओं का इस्तेमाल करने के लिए, अपने ऑडिट लॉग की कॉपी Cloud Storage, BigQuery या Pub/Sub में एक्सपोर्ट करें. Pub/Sub का इस्तेमाल करके, दूसरे ऐप्लिकेशन, डेटा स्टोर करने की जगहों, और तीसरे पक्षों को एक्सपोर्ट किया जा सकता है.
पूरे संगठन में अपने ऑडिट लॉग मैनेज करने के लिए, एग्रीगेट किए गए सिंक बनाए जा सकते हैं. ये सिंक, संगठन के किसी भी या सभी क्लाउड प्रोजेक्ट से लॉग एक्सपोर्ट कर सकते हैं.
कीमत
Cloud Logging, आपसे उन ऑडिट लॉग के लिए शुल्क नहीं लेती हैं जिन्हें बंद नहीं किया जा सकता. इनमें, सभी एडमिन गतिविधि ऑडिट लॉग भी शामिल हैं.ऑडिट लॉग की कीमतों के बारे में ज़्यादा जानने के लिए, Google Cloud के ऑपरेशंस सुइट की कीमत देखें.