דף זה תורגם על ידי Cloud Translation API.

רישום ביומן ביקורת

בדף הזה מתוארים יומני הביקורת שנוצרים על ידי Cloud Search כחלק מיומני הביקורת של Cloud.

סקירה כללית

שירותי Google Cloud כותבים יומני ביקורת כדי לעזור לכם לענות על השאלות 'מי עשה מה, איפה ומתי' ביחס למשאבים שלכם. הפרויקטים שלכם ב-Cloud כוללים רק יומני ביקורת של משאבים שמשויכים ישירות לפרויקט. ישויות אחרות, כמו תיקיות, ארגונים וחשבונות לחיוב ב-Cloud, מכילות את יומני הביקורת של הישות עצמה.

לפרטים נוספים, ראו יומני ביקורת של Cloud. למידע נוסף על יומני הביקורת של Cloud, אפשר לעיין במאמר הסבר על יומני הביקורת.

יומני הביקורת של Cloud מספקים את יומני הביקורת הבאים לכל פרויקט, תיקייה וארגון ב-Cloud:

יומני הביקורת Admin Activity שמכילים רשומות שמתאימות ל-methods שמבצעות פעולות Admin write. ה-methods שמתאימות ל-Admin Activity:Admin write operations מפורטות בקטע Audited operations שיופיע בקרוב.
יומני ביקורת של גישה לנתונים שמכילים רשומות שמתאימות ל-methods שמבצעות פעולות של Admin read,‏ Data write ו-Data read. ה-methods שמתאימות לפעולות Data Access:Admin read, Data Access:Data write, Data Access:Data read מפורטות בקטע פעולות שנבדקו שיופיע בהמשך.
יומני הביקורת System Event
יומני הביקורת Policy Denied

‫Cloud Search כותב יומני ביקורת של פעילות אדמין, שבהם מתועדות פעולות שמשנות את ההגדרות או את המטא-נתונים של משאב. אי אפשר להשבית את יומני הביקורת Admin Activity.

יומני הביקורת Data Access נכתבים ב-Cloud Search רק אם הם מופעלים באופן מפורש. יומני ביקורת של Data Access מכילים קריאות ל-API שקוראות את ההגדרות או את המטא-נתונים של משאבים, וגם קריאות ל-API שמבוססות על פעולות של משתמשים ויוצרות, משנות או קוראות נתוני משאבים שסופקו על ידי משתמשים.

יומני הביקורת System Event לא נכתבים ב-Cloud Search.

יומני הביקורת Policy Denied לא נכתבים ב-Cloud Search.

פעולות מבוקרות

הטבלה הבאה מסכמת אילו פעולות API מתאימות לכל סוג של רישום ביומן הביקורת ב-Cloud Search:

קטגוריית יומני הביקורת	פעולות ב-Cloud Search
Admin Activity: Admin write	indexing.datasources.updateSchema indexing.datasources.deleteSchema settings.datasources.create settings.datasources.delete settings.datasources.update settings.searchapplications.create settings.searchapplications.delete settings.searchapplications.reset settings.searchapplications.update settings.updateCustomer cloudsearch.IdentitySourceService.create cloudsearch.IdentitySourceService.update cloudsearch.IdentitySourceService.delete
גישה לנתונים: אדמין קורא	indexing.datasources.getSchema settings.datasources.get settings.datasources.list settings.searchapplications.get settings.searchapplications.list settings.getCustomer cloudsearch.IdentitySourceService.get cloudsearch.IdentitySourceService.list
גישה לנתונים: כתיבת נתונים	indexing.datasources.items.delete indexing.datasources.items.deleteQueueItems indexing.datasources.items.index indexing.datasources.items.poll indexing.datasources.items.push indexing.datasources.items.unreserve indexing.datasources.items.upload media.upload
גישה לנתונים: קריאת נתונים	indexing.datasources.items.get indexing.datasources.items.list operations.get operations.list debug.datasources.items.checkAccess debug.datasources.items.searchByViewUrl stats.getIndex stats.getQuery stats.getSession stats.getUser stats.index.datasources.get stats.query.searchapplications.get stats.session.searchapplications.get stats.user.search applications.get debug.identitysources.items.listForunmappedidentity debug.identitysources.unmappedids.list debug.datasources.items.unmappedids.list query.sources.list query.suggest query.search stats.getSearchapplication

הפורמט של יומן הביקורת

הרשומות ביומן הביקורת – שאפשר לראות ב-Cloud Logging באמצעות Logs Explorer,‏ Cloud Logging API או כלי שורת הפקודה gcloud – כוללות את האובייקטים הבאים:

הרשומה עצמה ביומן, שהיא אובייקט מסוג LogEntry. אלה כמה מהשדות השימושיים ברשומה:

השדה logName מכיל את מזהה המשאב ואת סוג יומן הביקורת.
השדה resource מכיל את היעד של הפעולה המבוקרת.
השדה timeStamp מכיל את השעה של הפעולה המבוקרת.
השדה protoPayload מכיל את המידע המבוקר.
אובייקט מסוג AuditLog ששמור בשדה protoPayload של הרשומה ביומן, ומכיל את הנתונים של יומני הביקורת.

אובייקט ספציפי לשירות שמכיל מידע אופציונלי על ביקורת ספציפית לשירות. בשילובים קודמים, האובייקט הזה נשמר בשדה serviceData של האובייקט AuditLog. בשילובים מאוחרים יותר נעשה שימוש בשדה metadata.

למידע על שדות אחרים באובייקטים האלה, ואיך לפרש אותם, קראו את המאמר הסבר על יומני הביקורת.

שם יומן הביקורת

השמות של המשאבים ביומני הביקורת ב-Cloud מציינים את הפרויקט ב-Cloud או ישות אחרת ב-Google Cloud שיומני הביקורת בבעלותם. בנוסף, הם מציינים אם היומן מכיל את נתוני הביקורת Admin Activity,‏ Data Access,‏ Policy Denied או System Event. לדוגמה, בדוגמה הבאה מוצגים שמות של יומנים של יומני ביקורת Admin Activity ברמת הפרויקט ויומני ביקורת Data Access של ארגון. המשתנים מציינים מזהים של פרויקטים וארגונים.

‫

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

שם השירות

יומני הביקורת של Cloud Search משתמשים בשם השירות cloudsearch.googleapis.com.

סוגי המשאבים

יומני הביקורת של Cloud Search משתמשים בסוג המשאב audited_resource בכל יומני הביקורת.

רשימה של סוגי משאבים אחרים זמינה במאמר סוגי המשאבים במעקב.

הפעלת הרישום ביומן הביקורת

כברירת מחדל, רישום ביומן הביקורת מושבת עבור Cloud Search API. כדי להפעיל את יומני הביקורת של Google Cloud Search:

(אופציונלי) אם לא יצרתם פרויקט ב-Google Cloud Platform לאחסון יומנים, תוכלו לעיין במאמר בנושא הגדרת גישה ל-Google Cloud Search API.
מקבלים את מזהה הפרויקט ב-Google Cloud שבו רוצים לאחסן את היומנים. במאמר זיהוי פרויקטים מוסבר איך מקבלים מזהה פרויקט.
כדי להפעיל רישום ביומן ביקורת עבור API ספציפי, צריך לקבוע את קטגוריית היומן שלו. בקטע פעולות שנבדקו שמופיע בהמשך המסמך הזה מפורטים ממשקי ה-API והקטגוריות התואמות שלהם.
משתמשים ב-method updateCustomer() ב-API ל-REST כדי לעדכן את auditLogSettings עם קטגוריות היומן שרוצים להפעיל:
1. מקבלים אסימון גישה מסוג OAuth 2.0 משרת ההרשאות של Google. למידע על קבלת האסימון, אפשר לעיין בשלב 2 במאמר שימוש ב-OAuth 2.0 כדי לגשת אל Google APIs. משתמשים באחד מההיקפים הבאים של OAuth כשמקבלים את אסימון הגישה:
  - https://www.googleapis.com/auth/cloud_search.settings.indexing
  - https://www.googleapis.com/auth/cloud_search.settings
  - https://www.googleapis.com/auth/cloud_search
2. מריצים את פקודת ה-curl הבאה.
```
curl --request PATCH \
'https://cloudsearch.googleapis.com/v1/settings/customer?updateMask=auditLoggingSettings&key=[YOUR_API_KEY]' \
--header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
--header 'Content-Type: application/json' \
--data '{"auditLoggingSettings": { "project": "projects/PROJECT_ID", "CATEGORY1": "true", "CATEGORY2": "true" } }'
```
כאשר:
- ‫YOUR_ACCESS_TOKEN הוא אסימון הגישה מסוג OAuth 2.0 שהתקבל בשלב 4א.
- ‫PROJECT_ID הוא מזהה הפרויקט שהתקבל בשלב 2.
- CATEGORY1,‏ CATEGORY2 ו-… הן הקטגוריות שבחרתם להפעיל בשלב 3. הערכים התקפים הם logAdminReadActions,‏ logDataWriteActions ו-logDataReadActions. פעולות כתיבה של אדמינים מופעלות כברירת מחדל ואי אפשר להשבית אותן. אם אתם רוצים לרשום ביומן את פעולות ה-method של השאילתות, אתם צריכים להפעיל את הקטגוריה Data read.
אחרי העדכון של AuditLoggingSettings, בקשות נוספות ל-Cloud Search API יוצרות יומן ביקורת במזהה הפרויקט שצוין ב-AuditLoggingSettings.
כדי להשתמש ביומני ביקורת למעקב אחרי פעולות של שאילתות, צריך להפעיל את הקטגוריה Data read (השלב הרביעי). כדי להפעיל יומני ביקורת לשיטות של שאילתות (query.sources.list, query.suggest ו-query.search), צריך לבצע את השלבים הנוספים הבאים:
1. לכל אפליקציית חיפוש שרוצים להפעיל בה יומן ביקורת, מאחזרים את השם. השם צריך להיות בפורמט searchapplications/<search_application_id>.
2. משתמשים בשם כדי להתקשר אל settings.searchapplications.update עם enableAuditLog שמוגדר כ-true.
כדי להפעיל רישום ביומן של קריאות מ-cloudsearch.google.com, מוודאים שהקטגוריה Data read (קריאת נתונים) מופעלת (שלב 4). בנוסף, מבצעים את שלב 5ב עם name של searchapplications/default .

אחרי ההפעלה, אפשר לראות את היומנים בקטע Logs Explorer במסוף Google Cloud. כדי לראות רק את יומני הביקורת של Cloud Search, משתמשים במסנן הבא:

protoPayload.serviceName="cloudsearch.googleapis.com"

מידע על הצגת יומנים זמין במאמר סקירה כללית על Logs Explorer.

הרשאות ליומן ביקורת

ההרשאות והתפקידים בניהול הזהויות והרשאות הגישה (IAM) קובעים אילו יומני ביקורת תוכלו לראות או לייצא. היומנים נמצאים בפרויקטים ב-Cloud ובכמה ישויות אחרות, כולל ארגונים, תיקיות וחשבונות לחיוב ב-Cloud. מידע נוסף זמין במאמר הסבר על תפקידים.

כדי לראות את יומני הביקורת Admin Activity, צריך להיות לכם אחד מתפקידי ה-IAM הבאים בפרויקט שמכיל את יומני הביקורת:

בעלי הפרויקט, עריכה בפרויקט או צפייה בפרויקט
התפקיד Logging Logs Viewer
תפקיד IAM בהתאמה אישית עם הרשאת IAM‏ logging.logEntries.list

כדי לראות את יומני הביקורת Data Access, צריך להיות לכם אחד מהתפקידים הבאים בפרויקט שמכיל את יומני הביקורת:

בעלי הפרויקט
התפקיד Private Logs Viewer ב-Logging
תפקיד IAM בהתאמה אישית עם הרשאת IAM‏ logging.privateLogEntries.list

אם אתם משתמשים ביומני ביקורת מישות שאינה פרויקט, כמו ארגון, אתם צריכים לשנות את התפקידים בפרויקט ב-Cloud לתפקידים מתאימים בארגון.

צפייה ביומנים

כדי למצוא ולהציג יומני ביקורת, צריך לדעת את המזהה של הפרויקט, התיקייה או הארגון ב-Cloud שעבורם רוצים להציג את המידע של יומני הביקורת. תוכלו להוסיף לשאילתה עוד שדות מסוג LogEntry שנוספו לאינדקס, כמו resource.type. לפרטים נוספים, ראו יצירת שאילתות ב-Logs Explorer.

אלה השמות של יומני הביקורת, עם משתנים שיוחלפו במזהים של הפרויקט ב-Cloud, התיקייה או הארגון:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

יש כמה דרכים לצפייה ברשומות ביומן הביקורת.

המסוף

אפשר להשתמש ב-Logs Explorer במסוף Cloud כדי לאחזר את הרשומות ביומן הביקורת של פרויקט Cloud:

במסוף Cloud, נכנסים לדף Logging > Logs Explorer.

כניסה לדף Logs Explorer

הערה: אם אתם משתמשים בדף Legacy Logs Viewer, עברו לדף Logs Explorer.
בדף Logs Explorer, בוחרים פרויקט קיים ב-Cloud.
בחלונית Query builder:
- בקטע Resource, בוחרים את סוג המשאב ב-Google Cloud שרוצים לראות את יומני הביקורת שלו.
- בקטע Log name, בוחרים את סוג יומן הביקורת שרוצים לראות:
  - ליומני הביקורת Admin Activity בוחרים באפשרות activity.
  - ליומני הביקורת Data Access בוחרים באפשרות data_access.
  - ליומני הביקורת System Event בוחרים באפשרות system_event.
  - ליומני הביקורת Policy Denied בוחרים באפשרות policy.
אם האפשרויות האלה לא מוצגות, המשמעות היא שאין יומני ביקורת מאותו סוג בפרויקט ב-Cloud.

מידע נוסף על שליחת שאילתות באמצעות Logs Explorer החדש מופיע במאמר יצירת שאילתות ב-Logs Explorer.

gcloud

הכלי gcloud מספק גישה ל-Logging API באמצעות ממשק שורת הפקודה (CLI). חשוב לציין PROJECT_ID, FOLDER_ID או ORGANIZATION_ID תקינים בכל אחד משמות היומנים.

כדי לקרוא את הרשומות ביומן הביקורת ברמת הפרויקט ב-Google Cloud, מריצים את הפקודה הבאה:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

כדי לקרוא את הרשומות ביומן הביקורת ברמת התיקייה, מריצים את הפקודה הבאה:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

כדי לקרוא את הרשומות ביומן הביקורת ברמת הארגון, מריצים את הפקודה הבאה:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

למידע נוסף על השימוש בכלי gcloud, אפשר לעיין במאמר gcloud logging read.

API

כשיוצרים את השאילתות, מחליפים את המשתנים בערכים תקינים, ומחליפים את השם או המזהים של יומן הביקורת ברמת הפרויקט, התיקייה או הארגון, כמו שמופיע ברשימת השמות של יומני הביקורת. לדוגמה, אם שאילתה כוללת את השדה PROJECT_ID, מזהה הפרויקט שאתם מציינים חייב להתייחס לפרויקט ב-Cloud שבחרתם.

כדי להשתמש ב-Logging API כדי לצפות ברשומות יומן הביקורת:

עוברים לקטע Try this API במאמרי העזרה של ה-method entries.list.
מזינים את הפרטים הבאים בקטע Request body בטופס Try this API. אם לוחצים על הטופס למילוי פרטים אוטומטי, גוף הבקשה יאוכלס בפרטים באופן אוטומטי אבל תצטרכו לציין PROJECT_ID תקין בכל אחד משמות יומני הביקורת.
```
{
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}
```
לוחצים על Execute.

פרטים נוספים על שליחת שאילתות זמינים במאמר שפת השאילתות של Logging.

במאמר הסבר על יומני הביקורת מופיעה דוגמה לרשומה ביומן ביקורת והסבר על איתור המידע החשוב ביותר בה.

ייצוא של יומני ביקורת

אפשר לייצא יומני ביקורת באותו אופן שבו מייצאים סוגים אחרים של יומנים. פרטים על ייצוא היומנים זמינים במאמר בנושא ייצוא יומנים. אלה כמה שימושים בייצוא של יומני ביקורת:

אתם יכולים לייצא עותקים של יומני הביקורת ל-Cloud Storage, ל-BigQuery או ל-Pub/Sub, כדי לשמור את יומני הביקורת לפרק זמן ארוך יותר ולהשתמש ביכולות חיפוש מתקדמות יותר. באמצעות Pub/Sub אתם יכולים לייצא לאפליקציות אחרות, למאגרים אחרים ולצדדים שלישיים.
כדי לנהל את יומני הביקורת בארגון כולו, אתם יכולים ליצור aggregated sinks שיכולים לייצא יומנים מכל הפרויקטים ב-Cloud, או מחלקם.
אם אתם חורגים ממכסת הרישומים ביומנים בפרויקטים ב-Cloud בגלל שהפעלתם את יומני הביקורת Data Access, אתם יכולים לייצא את יומני הביקורת Data Access ולהחריג אותם מ-Cloud Logging. פרטים נוספים זמינים במאמר בנושא החרגת יומנים.

תמחור ושימור

ב-Cloud Logging לא מחייבים על יומני ביקורת שלא ניתן להשבית, כולל כל יומני הביקורת Admin Activity. ב-Cloud Logging, אתם מחויבים על יומני ביקורת Data Access שביקשתם באופן מפורש.

למידע נוסף על התמחור של יומני ביקורת, אפשר לעיין במאמר בנושא תמחור חבילת התפעול של Google Cloud.

משך האחסון שמשויך ליומני הביקורת של Cloud Search הוא:

יומני פעילות של אדמינים (או Admin Write) – היומנים האלה נשמרים למשך 400 ימים.
יומנים של גישה לנתונים (קריאת נתונים, כתיבת נתונים וקריאת נתונים על ידי אדמין) – היומנים האלה נשמרים למשך 30 ימים.

מידע נוסף על משך האחסון זמין במאמר תקופות שמירה של יומנים.

מגבלות נוכחיות

יומני הביקורת של Cloud Search כפופים להגבלות הבאות:

גודל רשומת היומן צריך להיות קטן מ-512KB. אם הגודל חורג מ-512KB, התשובה מושמטת מרישום היומן. אם הגודל לא יקטן ל-512KB או פחות, הבקשה תידחה. לבסוף, אם הגודל עדיין גדול מ-512KB, רשומת היומן מושמטת.
גופי התגובות לא מתועדים עבור שיטות list(), get() ו-suggest(). עם זאת, סטטוס התגובה זמין.
רק קריאות ל-Query API מ-cloudsearch.google.com (אם האפשרות מופעלת) ומאפליקציות לחיפוש לקוחות נרשמות ביומן.
בשיחות ב-search(), רק Query, ‏ RequestOptions ו-DataSourceRestriction נרשמים בבקשה. בתגובה, רק כתובת ה-URL והמטא-נתונים (המקור ו-objectType) של כל SearchResult נבדקים.
לא מתבצעת ביקורת על קריאות שמונפקות לשרת העורפי של Cloud Search ומתאימות לייצוא נתונים.