Denetleme günlüğü

Bu sayfada, Google Workspace Eklentileri tarafından Cloud Denetleme Günlükleri kapsamında oluşturulan denetleme günlükleri açıklanmaktadır.

Genel bakış

Google Cloud hizmetleri, "Kim neyi, nerede ve ne zaman yaptı?" sorularını yanıtlamanıza yardımcı olmak için denetleme günlükleri yazar. Cloud projeleriniz, yalnızca doğrudan proje içindeki kaynakların denetleme günlüklerini içerir. Klasörler, kuruluşlar ve Cloud Billing hesapları gibi diğer varlıklar, varlığın kendisi için denetleme günlüklerini içerir.

Cloud Denetleme Günlükleri'ne genel bir bakış için Cloud Denetleme Günlükleri başlıklı makaleyi inceleyin. Cloud Denetleme Günlükleri hakkında daha ayrıntılı bilgi için Denetleme günlüklerini anlama bölümünü inceleyin.

Google Workspace Eklentileri için aşağıdaki denetleme günlüğü türleri kullanılabilir:

  • Yönetici Etkinliği denetleme günlükleri

    Meta veri veya yapılandırma bilgilerini yazan "yönetici yazma" işlemlerini içerir.

    Yönetici Etkinliği denetleme günlüklerini devre dışı bırakamazsınız.

Denetlenen işlemler

Aşağıda, Google Workspace Eklentileri'ndeki her bir denetleme günlüğü türüne karşılık gelen API işlemleri özetlenmiştir:

Denetleme günlükleri kategorisi Google Workspace Eklentileri işlemleri
Yönetici Etkinliği denetleme günlükleri Projects.GetAuthorization
Deployments.CreateDeployment
Deployments.ReplaceDeployment
Deployments.ListDeployments
Deployments.GetDeployment
Deployments.DeleteDeployment
Deployments.InstallDeployment
Deployments.Yüklemeyi Kaldırma
Deployments.GetInstallStatus

Denetleme günlüğü biçimi

Günlük Görüntüleyici, Cloud Logging API veya Google Cloud CLI kullanılarak Cloud Logging'de görüntülenebilecek denetleme günlüğü girişleri aşağıdaki nesneleri içerir:

  • LogEntry türünde bir nesne olan günlük girişinin kendisi. Kullanışlı alanlar şunlardır:

    • logName, proje kimliği ve denetleme günlüğü türünü içerir.
    • resource, denetlenen işlemin hedefini içerir.
    • timeStamp, denetlenen işlemin zamanını içerir.
    • protoPayload, denetlenen bilgileri içerir.

  • Günlük girişinin protoPayload alanında tutulan bir AuditLog nesnesi olan denetleme günlüğü verileri.

  • İsteğe bağlı, hizmete özgü bir nesne olan hizmete özgü denetim bilgileri. Önceki entegrasyonlar için bu nesne, AuditLog nesnesinin serviceData alanında tutulur. Sonraki entegrasyonlarda metadata alanını kullanır.

Bu nesnelerdeki diğer alanlar ve bunların nasıl yorumlanacağı hakkında bilgi edinmek için Denetleme günlüklerini anlama bölümünü inceleyin.

Günlük adı

Cloud Denetleme Günlükleri kaynak adları, Cloud projesini veya denetleme günlüklerinin sahibi olan diğer Google Cloud varlıklarını ve günlüğün Yönetici Etkinliği, Veri Erişimi veya Sistem Etkinliği denetleme günlüğü verileri içerip içermediğini belirtir. Örneğin, aşağıda bir projenin Yönetici Etkinliği denetleme günlüklerine ait günlük adları ve kuruluşun Veri Erişimi denetleme günlükleri gösterilmektedir. Değişkenler proje ve kuruluş tanımlayıcılarını gösterir.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Hizmet adı

Google Workspace Eklentileri denetleme günlükleri, gsuiteaddons.googleapis.com hizmet adını kullanır.

Tüm günlük kaydı hizmetleri hakkında bilgi edinmek için Hizmetleri kaynaklarla eşleme bölümüne bakın.

Kaynak türleri

Google Workspace Eklentileri denetleme günlükleri, tüm denetleme günlükleri için audited_resource kaynak türünü kullanır.

Diğer kaynak türlerinin listesi için İzlenen kaynak türleri bölümüne bakın.

Denetleme günlüğünü etkinleştirme

Yönetici Etkinliği denetleme günlükleri her zaman etkindir. Bunları devre dışı bırakamazsınız.

Google Workspace Eklentileri, Veri Erişimi denetleme günlüklerine yazmaz.

Denetleme günlüğü izinleri

Identity and Access Management izinleri ve rolleri, görüntüleyebileceğiniz veya dışa aktarabileceğiniz denetleme günlüklerini belirler. Günlükler, Cloud projelerinde ve kuruluşlar, klasörler ve Cloud Billing hesapları gibi diğer varlıklarda bulunur. Daha fazla bilgi için Rolleri anlama bölümüne bakın.

Yönetici Etkinliği denetleme günlüklerini görüntülemek için projede denetim günlüklerinizi içeren aşağıdaki IAM rollerinden birine sahip olmanız gerekir:

Google Workspace Eklentileri, Veri Erişimi denetleme günlüklerine veya Sistem Etkinliği denetleme günlüklerine yazmaz.

Bir kuruluş gibi proje harici bir varlığın denetleme günlüklerini kullanıyorsanız Cloud projesi rollerini uygun kuruluş rolleriyle değiştirin.

Günlükleri görüntüleme

Denetleme günlüklerini bulmak ve görüntülemek için denetleme günlüğü bilgilerini görüntülemek istediğiniz Cloud projesinin, klasörün veya kuruluşun tanımlayıcısını bilmeniz gerekir. Dizine eklenmiş diğer LogEntry alanlarını (ör. resource.type) daha ayrıntılı olarak belirtebilirsiniz. Ayrıntılar için Günlük Gezgini'nde sorgu oluşturma bölümünü inceleyin.

Aşağıda denetleme günlüğü adları verilmiştir. Bu adlar Cloud projesi, klasör veya kuruluşun tanımlayıcıları için değişkenler içerir:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Denetleme günlüğü girişlerinizi görüntülemek için kullanabileceğiniz çeşitli seçenekler vardır.

Konsol

Cloud Console'daki Günlük Gezgini'ni kullanarak Cloud projenizle ilgili denetleme günlüğü girişlerinizi alabilirsiniz:

  1. Cloud Console'da Günlük Kaydı > Günlük Gezgini sayfasına gidin.

    Günlük Gezgini sayfasına gidin

  2. Günlük Gezgini sayfasında mevcut bir Cloud projesini seçin.

  3. Sorgu oluşturucu bölmesinde aşağıdakileri yapın:

    • Kaynak bölümünde, denetleme günlüklerini görmek istediğiniz Google Cloud kaynak türünü seçin.

    • Günlük adı bölümünde, görmek istediğiniz denetleme günlüğü türünü seçin:

      • Yönetici Etkinliği denetleme günlükleri için etkinlik'i seçin.
      • Veri Erişimi denetleme günlükleri için data_access'i seçin.
      • Sistem Etkinliği denetleme günlükleri için system_event öğesini seçin.
      • Politika Reddedildi denetleme günlükleri için politika'yı seçin.

    Bu seçenekleri görmüyorsanız Cloud projesinde bu tür bir denetleme günlüğü yok demektir.

    Yeni Günlük Gezgini'ni kullanarak sorgulama hakkında daha fazla bilgi için Günlük Gezgini'nde sorgu oluşturma bölümüne bakın.

gcloud

Google Cloud KSA, Cloud Logging API'ye komut satırı arayüzü sunar. Günlük adlarının her birinde geçerli bir PROJECT_ID, FOLDER_ID veya ORGANIZATION_ID sağlayın.

Google Cloud proje düzeyindeki denetleme günlüğü girişlerinizi okumak için aşağıdaki komutu çalıştırın:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

Klasör düzeyinde denetleme günlüğü girişlerinizi okumak için aşağıdaki komutu çalıştırın:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

Kuruluş düzeyindeki denetleme günlüğü girişlerinizi okumak için aşağıdaki komutu çalıştırın:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

gcloud KSA'yı kullanma hakkında daha fazla bilgi için gcloud logging read bölümüne bakın.

API

Sorgularınızı oluştururken değişkenleri geçerli değerlerle değiştirin ve denetim günlüğü adlarında listelenen proje düzeyinde, klasör düzeyinde veya kuruluş düzeyinde denetleme günlüğü adını ya da tanımlayıcıları değiştirin. Örneğin, sorgunuzda PROJECT_ID bulunuyorsa sağladığınız proje tanımlayıcısı o anda seçili olan Cloud projesine başvurmalıdır.

Denetleme günlüğü girişlerinize bakmak üzere Logging API'yi kullanmak için aşağıdakileri yapın:

  1. entries.list yöntemiyle ilgili dokümanlarda Bu API'yi deneyin bölümüne gidin.

  2. Aşağıdakileri, Bu API'yi deneyin formunun İstek gövdesi bölümüne girin. Önceden doldurulmuş bu formu tıkladığınızda istek gövdesi otomatik olarak doldurulur ancak günlük adlarının her birinde geçerli bir PROJECT_ID sağlamanız gerekir.

    {
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}

  3. Execute (Yürüt) seçeneğini tıklayın.

Sorgulama hakkında daha fazla bilgi için Günlük kaydı sorgu dili bölümüne bakın.

Örnek bir denetleme günlüğü girişi ve bu girişteki en önemli bilgilerin nasıl bulunacağını öğrenmek için Denetleme günlüklerini anlama bölümünü inceleyin.

Denetleme günlüklerini dışa aktarma

Denetleme günlüklerini, diğer günlük türlerini dışa aktardığınız şekilde dışa aktarabilirsiniz. Günlüklerinizi dışa aktarmayla ilgili ayrıntılar için Günlükleri dışa aktarma bölümüne bakın. Denetim günlüklerini dışa aktarmayla ilgili bazı uygulamalar şunlardır:

  • Denetleme günlüklerini daha uzun süre saklamak veya daha güçlü arama özelliklerini kullanmak için denetleme günlüklerinizin kopyalarını Cloud Storage, BigQuery veya Pub/Sub'a aktarabilirsiniz. Pub/Sub'ı kullanarak başka uygulamalara, diğer depolara ve üçüncü taraflara aktarabilirsiniz.

  • Denetleme günlüklerinizi kuruluşun tamamında yönetmek için kuruluştaki herhangi bir veya tüm Cloud projelerinden günlükleri dışa aktarabilen toplu havuzlar oluşturabilirsiniz.

Fiyatlandırma

Cloud Logging, tüm Yönetici Etkinliği denetleme günlükleri dahil, devre dışı bırakılamayan denetleme günlükleri için sizden ücret almaz.

Denetleme günlükleri fiyatlandırması hakkında daha fazla bilgi için Google Cloud işlem paketi fiyatlandırması bölümüne bakın.