این صفحه به‌وسیله ‏Cloud Translation API‏ ترجمه شده است.

ثبت حسابرسی

این صفحه گزارش‌های حسابرسی که Cloud Search به عنوان بخشی از Cloud Audit Logs ایجاد می‌کند را شرح می‌دهد.

نمای کلی

سرویس‌های گوگل کلود، گزارش‌های حسابرسی را می‌نویسند تا به شما در پاسخ به «چه کسی، چه کاری را، کجا و چه زمانی انجام داده است» در منابعتان کمک کنند. پروژه‌های ابری شما فقط شامل گزارش‌های حسابرسی برای منابعی هستند که مستقیماً در پروژه قرار دارند. سایر نهادها، مانند پوشه‌ها، سازمان‌ها و حساب‌های پرداخت ابری، گزارش‌های حسابرسی مخصوص به خود را دارند.

برای یک مرور کلی، به گزارش‌های حسابرسی ابری مراجعه کنید. برای جزئیات بیشتر، به درک گزارش‌های حسابرسی مراجعه کنید.

گزارش‌های حسابرسی ابری، گزارش‌های زیر را برای هر پروژه، پوشه و سازمان ابری ارائه می‌دهد:

گزارش‌های حسابرسی فعالیت مدیر: ورودی‌هایی برای روش‌هایی که عملیات نوشتن مدیر را انجام می‌دهند.
گزارش‌های حسابرسی دسترسی به داده‌ها: ورودی‌هایی برای روش‌هایی که عملیات خواندن، نوشتن و خواندن داده را توسط ادمین انجام می‌دهند.
گزارش‌های حسابرسی رویدادهای سیستم
گزارش‌های حسابرسی رد شده از سیاست

جستجوی ابری، گزارش‌های حسابرسی فعالیت مدیریتی را برای ثبت عملیاتی که پیکربندی منابع یا فراداده را تغییر می‌دهند، می‌نویسد. شما نمی‌توانید گزارش‌های حسابرسی فعالیت مدیریتی را غیرفعال کنید.

Cloud Search فقط در صورتی گزارش‌های حسابرسی دسترسی به داده‌ها را می‌نویسد که شما صریحاً آنها را فعال کرده باشید . این گزارش‌ها شامل فراخوانی‌های API هستند که پیکربندی منابع یا فراداده را می‌خوانند، و فراخوانی‌های API کاربرمحور که داده‌های منابع ارائه شده توسط کاربر را ایجاد، اصلاح یا می‌خوانند.

جستجوی ابری، گزارش‌های حسابرسی مربوط به رویداد سیستم یا خط‌مشی رد شده را نمی‌نویسد.

عملیات حسابرسی شده

جدول زیر خلاصه می‌کند که کدام عملیات API با هر نوع گزارش حسابرسی در Cloud Search مطابقت دارد:

دسته بندی گزارش های حسابرسی	عملیات جستجوی ابری
فعالیت مدیر: نوشتن توسط مدیر	نمایه‌سازی.منابع داده.طرحواره به‌روزرسانی نمایه‌سازی.منابع داده.حذف طرحواره تنظیمات.منابع داده.ایجاد تنظیمات.منابع داده.حذف تنظیمات.منابع داده.به‌روزرسانی تنظیمات.جستجوی برنامه‌ها.ایجاد تنظیمات.جستجوی برنامه‌ها.حذف تنظیمات.جستجوی برنامه‌ها.تنظیم مجدد تنظیمات.جستجوی برنامه‌ها.به‌روزرسانی تنظیمات.به‌روزرسانی مشتری cloudsearch.IdentitySourceService.create به‌روزرسانی سرویس منبع هویت در cloudsearch cloudsearch.IdentitySourceService.delete
دسترسی به داده‌ها: خواندن توسط مدیر	نمایه‌سازی.منابع داده.دریافت طرحواره تنظیمات.منابع داده.دریافت تنظیمات.منابع داده.لیست تنظیمات.جستجوی برنامه‌ها.دریافت تنظیمات.جستجوی برنامه‌ها.لیست تنظیمات.دریافت مشتری cloudsearch.IdentitySourceService.get cloudsearch.IdentitySourceService.list
دسترسی به داده‌ها: نوشتن داده‌ها	فهرست‌بندی.منابع داده.اقلام.حذف فهرست‌بندی.منابع داده.اقلام.حذف اقلام صف فهرست بندی.منابع داده.اقلام.شاخص فهرست‌بندی.منابع داده.اقلام.نظرسنجی فهرست‌بندی.منابع داده.اقلام.افزودن فهرست‌بندی.منابع داده.اقلام.بدون رزرو فهرست‌بندی.منابع داده.اقلام.آپلود رسانه.آپلود
دسترسی به داده‌ها: خواندن داده‌ها	فهرست‌بندی.منابع داده.اقلام.دریافت فهرست.منابع داده.اقلام.فهرست عملیات.دریافت لیست عملیات اشکال‌زدایی.منابع داده.آیتم‌ها.بررسی دسترسی اشکال‌زدایی.منابع داده.آیتم‌ها.جستجو توسط آدرس نمایش آمار.دریافت شاخص stats.getQuery آمار.دریافت جلسه آمار.دریافت کاربر دریافت آمار.شاخص.منابع داده آمار.پرسش.جستجوی برنامه ها.دریافت آمار.جلسه.جستجوی برنامه‌ها.دریافت آمار.کاربر.جستجوی برنامه‌ها.دریافت اشکال‌زدایی.identitysources.items.listForunmappedidentity اشکال‌زدایی.هویت‌منابع.داده‌های نگاشت‌نشده.لیست اشکال‌زدایی.منابع داده.آیتم‌ها.لیست‌های نگاشت‌نشده لیست منابع پرس و جو پرس و جو.پیشنهاد پرس و جو.جستجو برنامه‌ی stats.getSearch

قالب گزارش حسابرسی

ورودی‌های گزارش حسابرسی شامل اشیاء زیر هستند. می‌توانید آن‌ها را در Cloud Logging با استفاده از Logs Explorer، Cloud Logging API یا ابزار خط فرمان gcloud مشاهده کنید.

خودِ ورودی لاگ یک شیء LogEntry است. فیلدهای مفید عبارتند از:

logName : شناسه منبع و نوع گزارش حسابرسی.
resource : هدف عملیات حسابرسی شده.
timeStamp : زمان عملیات حسابرسی شده.
protoPayload : اطلاعات حسابرسی‌شده.

داده‌های ثبت وقایع حسابرسی، یک شیء AuditLog در فیلد protoPayload است.

اطلاعات حسابرسی اختیاری مختص سرویس، یک شیء مختص سرویس است. برای یکپارچه‌سازی‌های قبلی، این شیء در فیلد serviceData از شیء AuditLog قرار دارد؛ یکپارچه‌سازی‌های بعدی از فیلد metadata استفاده می‌کنند.

برای اطلاعات بیشتر، به درک گزارش‌های حسابرسی مراجعه کنید.

نام لاگ

نام منابع گزارش‌های حسابرسی ابری، پروژه یا نهاد دیگر Google Cloud که مالک گزارش‌ها است و نوع گزارش حسابرسی را نشان می‌دهد. برای مثال:

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

نام سرویس

گزارش‌های حسابرسی Cloud Search از نام سرویس cloudsearch.googleapis.com استفاده می‌کنند.

انواع منابع

گزارش‌های حسابرسی Cloud Search برای همه گزارش‌ها از نوع منبع audited_resource استفاده می‌کنند. برای انواع منابع بیشتر، به انواع منابع تحت نظارت مراجعه کنید.

فعال کردن گزارش‌گیری حسابرسی

به طور پیش‌فرض، ثبت گزارش حسابرسی برای Cloud Search API غیرفعال است. برای فعال کردن ثبت گزارش حسابرسی برای Cloud Search:

(اختیاری) اگر پروژه Google Cloud برای ذخیره گزارش‌ها ایجاد نکرده‌اید، به پیکربندی دسترسی به Cloud Search API مراجعه کنید.
شناسه پروژه را برای پروژه Google Cloud که می‌خواهید گزارش‌ها را در آن ذخیره کنید، دریافت کنید. به شناسایی پروژه‌ها مراجعه کنید.
دسته‌ی گزارش را برای فعال کردن برای یک API خاص تعیین کنید. به عملیات حسابرسی شده مراجعه کنید.
از متد updateCustomer() REST API برای به‌روزرسانی auditLogSettings با دسته‌بندی‌ها استفاده کنید:
1. یک توکن دسترسی OAuth 2.0 دریافت کنید. به بخش «استفاده از OAuth 2.0 برای دسترسی به APIهای گوگل» مراجعه کنید. از یکی از این محدوده‌ها استفاده کنید:
  - https://www.googleapis.com/auth/cloud_search.settings.indexing
  - https://www.googleapis.com/auth/cloud_search.settings
  - https://www.googleapis.com/auth/cloud_search
2. دستور curl زیر را اجرا کنید: bash curl --request PATCH \ 'https://cloudsearch.googleapis.com/v1/settings/customer?updateMask=auditLoggingSettings&key=[YOUR_API_KEY]' \ --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \ --header 'Content-Type: application/json' \ --data '{"auditLoggingSettings": { "project": "projects/PROJECT_ID", "CATEGORY1": "true", "CATEGORY2": "true" } }' YOUR_ACCESS_TOKEN , PROJECT_ID و دسته‌ها ( logAdminReadActions , logDataWriteActions یا logDataReadActions ) را جایگزین کنید. اقدامات نوشتن ادمین به طور پیش‌فرض فعال هستند. برای روش‌های پرس‌وجوی گزارش، دسته خواندن داده را فعال کنید.
  درخواست‌های بعدی به Cloud Search API، لاگ‌هایی را در پروژه مشخص‌شده ایجاد می‌کنند.
ثبت گزارش حسابرسی برای متدهای پرس‌وجو نیازمند دسته‌بندی خواندن داده‌ها است. برای فعال کردن ثبت گزارش برای query.sources.list ، query.suggest و query.search :
1. نام هر برنامه جستجو را در فرم searchapplications/<search_application_id> بازیابی کنید.
2. تابع settings.searchapplications.update را با تنظیم enableAuditLog روی true فراخوانی کنید.
برای فعال کردن ثبت گزارش حسابرسی برای تماس‌ها از cloudsearch.google.com ، مطمئن شوید که دسته‌بندی خواندن داده‌ها فعال است و searchapplications/default را به‌روزرسانی کنید.

مشاهده گزارش‌ها در Logs Explorer کنسول Google Cloud. از این فیلتر برای گزارش‌های حسابرسی Cloud Search استفاده کنید:

protoPayload.serviceName="cloudsearch.googleapis.com"

برای اطلاعات بیشتر، به نمای کلی کاوشگر لاگ‌ها مراجعه کنید.

مجوزهای گزارش حسابرسی

مجوزهای مدیریت هویت و دسترسی (IAM) تعیین می‌کنند که کدام گزارش‌ها را می‌توانید مشاهده یا صادر کنید. برای اطلاعات بیشتر، به درک نقش‌ها مراجعه کنید.

برای مشاهده گزارش‌های حسابرسی فعالیت ادمین، باید یکی از این نقش‌های IAM را داشته باشید:

مالک، ویرایشگر یا بیننده پروژه.
نقش نمایشگر گزارش‌های ثبت وقایع.
یک نقش IAM سفارشی با مجوز logging.logEntries.list .

برای مشاهده گزارش‌های حسابرسی دسترسی به داده‌ها، باید یکی از این نقش‌ها را داشته باشید:

مالک پروژه .
نقش مشاهده‌گر گزارش‌های خصوصی در Logging.
یک نقش IAM سفارشی با مجوز IAM از نوع logging.privateLogEntries.list

اگر از گزارش‌های حسابرسی یک نهاد غیرپروژه‌ای، مانند یک سازمان، استفاده می‌کنید، نقش‌های پروژه ابری را به نقش‌های سازمانی مناسب تغییر دهید.

مشاهده گزارش‌ها

برای مشاهده‌ی گزارش‌ها، به شناسه‌ی پروژه، پوشه یا سازمان Cloud نیاز دارید. می‌توانید فیلدهای LogEntry دیگری مانند resource.type را مشخص کنید. به Build queries در Logs Explorer مراجعه کنید.

نام‌های گزارش حسابرسی از این قالب پیروی می‌کنند:

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

شما چندین گزینه برای مشاهده ورودی‌های گزارش حسابرسی خود دارید.

کنسول

به صفحه Logging > Logs Explorer در کنسول Google Cloud بروید. به Logs Explorer بروید
پروژه خود را انتخاب کنید.
در پنل سازنده‌ی پرس‌وجو (Query builder )، منبع و نوع گزارش (log type) را انتخاب کنید. برای جزئیات بیشتر در مورد پرس‌وجو با استفاده از کاوشگر گزارش‌های جدید، به بخش «ساخت پرس‌وجوها در کاوشگر گزارش‌ها» (Build queries in the Logs Explorer) مراجعه کنید.

جی‌کلاود

برای لاگ‌های سطح پروژه، این دستور را اجرا کنید:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" 

  --project=PROJECT_ID

رابط برنامه‌نویسی کاربردی

برای متد entries.list به بخش Try this API بروید.
از این بدنه درخواست استفاده کنید و PROJECT_ID را با شناسه پروژه انتخابی خود جایگزین کنید:
```
{
"resourceNames": ["projects/PROJECT_ID"],
"pageSize": 5,
"filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}
```
روی اجرا کلیک کنید.

برای جزئیات بیشتر در مورد پرس‌وجو، به ثبت زبان پرس‌وجو مراجعه کنید.

برای مشاهده‌ی نمونه‌ای از ورودی‌های گزارش حسابرسی و نحوه‌ی یافتن مهم‌ترین اطلاعات موجود در آن، به بخش «درک گزارش‌های حسابرسی» مراجعه کنید.

خروجی گرفتن از گزارش‌های حسابرسی

شما می‌توانید گزارش‌های حسابرسی را مانند سایر گزارش‌ها صادر کنید. به بخش «صادر کردن گزارش‌ها» مراجعه کنید.

برای ماندگاری بیشتر یا جستجوی پیشرفته، داده‌ها را به فضای ذخیره‌سازی ابری، BigQuery یا Pub/Sub منتقل کنید.
از سینک‌های تجمیع‌شده برای مدیریت لاگ‌ها در سراسر سازمان استفاده کنید.
برای مدیریت تخصیص لاگ‌ها، لاگ‌های دسترسی به داده را حذف کنید. به بخش حذف لاگ‌ها مراجعه کنید.

قیمت‌گذاری و حفظ مشتری

Cloud Logging برای گزارش‌های حسابرسی فعالیت ادمین هزینه‌ای دریافت نمی‌کند. Cloud Logging برای گزارش‌های حسابرسی دسترسی به داده‌ها هزینه دریافت می‌کند. به قیمت‌گذاری مجموعه عملیات Google Cloud مراجعه کنید.

دوره‌های نگهداری گزارش‌های حسابرسی Cloud Search:

گزارش فعالیت‌های مدیریتی: ۴۰۰ روز
گزارش‌های دسترسی به داده‌ها: ۳۰ روز.

محدودیت‌های فعلی

محدودیت‌های ثبت گزارش حسابرسی Cloud Search:

اندازه ورودی لاگ باید کمتر از ۵۱۲ کیلوبایت باشد. اگر یک ورودی از ۵۱۲ کیلوبایت بیشتر شود، فیلد response حذف می‌شود. اگر هنوز از ۵۱۲ کیلوبایت بیشتر شود، فیلد request حذف می‌شود. اگر هنوز از ۵۱۲ کیلوبایت بیشتر شود، کل ورودی حذف می‌شود.
بدنه‌های پاسخ برای متدهای list() ، get() و suggest() ثبت نمی‌شوند.
فقط تماس‌های مربوط به درخواست‌ها از cloudsearch.google.com و برنامه‌های جستجوی مشتری ثبت می‌شوند.
برای فراخوانی‌های search() ، فقط Query ، RequestOptions و DataSourceRestriction در درخواست ثبت می‌شوند. پاسخ فقط URL و فراداده را بررسی می‌کند.
فراخوانی‌های Backend برای خروجی گرفتن داده‌ها حسابرسی نمی‌شوند.