Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

บันทึกการตรวจสอบ

หน้านี้อธิบายบันทึกการตรวจสอบที่ Cloud Search สร้างขึ้นซึ่งเป็นส่วนหนึ่งของบันทึกการตรวจสอบ Cloud

ภาพรวม

บริการของ Google Cloud จะเขียนบันทึกการตรวจสอบเพื่อช่วยตอบคำถามที่ว่า "ใครทำอะไร ที่ไหน และเมื่อใด" ภายในทรัพยากรของคุณ โปรเจ็กต์ Cloud จะมีบันทึกการตรวจสอบเฉพาะ สำหรับทรัพยากรที่อยู่ในโปรเจ็กต์โดยตรงเท่านั้น เอนทิตีอื่นๆ เช่น โฟลเดอร์ องค์กร และบัญชีสำหรับการเรียกเก็บเงินใน Cloud จะมีบันทึกการตรวจสอบของตัวเอง

ดูภาพรวมทั่วไปได้ที่บันทึกการตรวจสอบ Cloud ดูรายละเอียดเพิ่มเติมได้ที่ทำความเข้าใจบันทึกการตรวจสอบ

Cloud Audit Logs จะมีบันทึกต่อไปนี้สำหรับแต่ละโปรเจ็กต์ที่อยู่ในระบบคลาวด์ โฟลเดอร์ และองค์กร

บันทึกการตรวจสอบกิจกรรมของผู้ดูแลระบบ: รายการสำหรับเมธอดที่ดำเนินการเขียนของผู้ดูแลระบบ
บันทึกการตรวจสอบการเข้าถึงข้อมูล: รายการสำหรับเมธอดที่ดำเนินการอ่านของผู้ดูแลระบบ การเขียนข้อมูล และการอ่านข้อมูล
บันทึกการตรวจสอบเหตุการณ์ของระบบ
บันทึกการตรวจสอบการปฏิเสธนโยบาย

Cloud Search จะเขียนบันทึกการตรวจสอบกิจกรรมของผู้ดูแลระบบเพื่อบันทึกการดำเนินการที่แก้ไขการกำหนดค่าหรือข้อมูลเมตาของทรัพยากร คุณจะปิดใช้บันทึกการตรวจสอบกิจกรรมของผู้ดูแลระบบไม่ได้

Cloud Search จะเขียนบันทึกการตรวจสอบการเข้าถึงข้อมูลก็ต่อเมื่อคุณเปิดใช้อย่างชัดเจนเท่านั้น บันทึกเหล่านี้มีคำขอ API ที่อ่านการกำหนดค่าหรือข้อมูลเมตาของทรัพยากร และคำขอ API ที่ผู้ใช้เป็นผู้เรียกซึ่งสร้าง แก้ไข หรืออ่านข้อมูลทรัพยากรที่ได้จากผู้ใช้

Cloud Search จะไม่เขียนบันทึกการตรวจสอบเหตุการณ์ของระบบหรือการปฏิเสธนโยบาย

การดำเนินการที่ตรวจสอบแล้ว

ตารางต่อไปนี้สรุปการดำเนินการของ API ที่สอดคล้องกับบันทึกการตรวจสอบแต่ละประเภทใน Cloud Search

หมวดหมู่บันทึกการตรวจสอบ	การดำเนินการใน Cloud Search
กิจกรรมของผู้ดูแลระบบ: การเขียนของผู้ดูแลระบบ	indexing.datasources.updateSchema indexing.datasources.deleteSchema settings.datasources.create settings.datasources.delete settings.datasources.update settings.searchapplications.create settings.searchapplications.delete settings.searchapplications.reset settings.searchapplications.update settings.updateCustomer cloudsearch.IdentitySourceService.create cloudsearch.IdentitySourceService.update cloudsearch.IdentitySourceService.delete
การเข้าถึงข้อมูล: ผู้ดูแลระบบอ่าน	indexing.datasources.getSchema settings.datasources.get settings.datasources.list settings.searchapplications.get settings.searchapplications.list settings.getCustomer cloudsearch.IdentitySourceService.get cloudsearch.IdentitySourceService.list
การเข้าถึงข้อมูล: การเขียนข้อมูล	indexing.datasources.items.delete indexing.datasources.items.deleteQueueItems indexing.datasources.items.index indexing.datasources.items.poll indexing.datasources.items.push indexing.datasources.items.unreserve indexing.datasources.items.upload media.upload
การเข้าถึงข้อมูล: อ่านข้อมูล	indexing.datasources.items.get indexing.datasources.items.list operations.get operations.list debug.datasources.items.checkAccess debug.datasources.items.searchByViewUrl stats.getIndex stats.getQuery stats.getSession stats.getUser stats.index.datasources.get stats.query.searchapplications.get stats.session.searchapplications.get stats.user.search applications.get debug.identitysources.items.listForunmappedidentity debug.identitysources.unmappedids.list debug.datasources.items.unmappedids.list query.sources.list query.suggest query.search stats.getSearchapplication

รูปแบบบันทึกการตรวจสอบ

รายการบันทึกการตรวจสอบมีออบเจ็กต์ต่อไปนี้ คุณดูบันทึกได้ใน Cloud Logging โดยใช้ Logs Explorer, Cloud Logging API หรือเครื่องมือบรรทัดคำสั่ง gcloud

รายการบันทึกเองคือออบเจ็กต์ LogEntry ฟิลด์ที่มีประโยชน์ ได้แก่

logName: รหัสทรัพยากรและประเภทบันทึกการตรวจสอบ
resource: เป้าหมายของการดำเนินการที่ตรวจสอบ
timeStamp: เวลาของการดำเนินการที่ตรวจสอบ
protoPayload: ข้อมูลที่ตรวจสอบ

ข้อมูลการบันทึกการตรวจสอบคือออบเจ็กต์ AuditLog ในฟิลด์ protoPayload

ข้อมูลการตรวจสอบเฉพาะบริการที่ไม่บังคับคือออบเจ็กต์เฉพาะบริการ สําหรับการผสานรวมรุ่นก่อนหน้า ออบเจ็กต์นี้จะอยู่ในฟิลด์ serviceData ของออบเจ็กต์ AuditLog ส่วนการผสานรวมรุ่นใหม่จะใช้ฟิลด์ metadata

ดูข้อมูลเพิ่มเติมได้ที่ทำความเข้าใจบันทึกการตรวจสอบ

ชื่อบันทึก

ชื่อทรัพยากรของบันทึกการตรวจสอบของ Cloud จะระบุโปรเจ็กต์หรือเอนทิตีอื่นๆ ของ Google Cloud ที่เป็นเจ้าของบันทึก และประเภทบันทึกการตรวจสอบ เช่น

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

ชื่อบริการ

บันทึกการตรวจสอบของ Cloud Search ใช้ชื่อบริการ cloudsearch.googleapis.com

ประเภททรัพยากร

บันทึกการตรวจสอบของ Cloud Search ใช้ประเภททรัพยากร audited_resource สำหรับบันทึกทั้งหมด ดูประเภททรัพยากรเพิ่มเติมได้ที่ ประเภททรัพยากรที่มีการตรวจสอบ

เปิดใช้การบันทึกการตรวจสอบ

โดยค่าเริ่มต้น ระบบจะปิดใช้การบันทึกการตรวจสอบสำหรับ Cloud Search API หากต้องการ เปิดใช้การบันทึกการตรวจสอบสำหรับ Cloud Search ให้ทำดังนี้

(ไม่บังคับ) หากยังไม่ได้สร้างโปรเจ็กต์ที่อยู่ในระบบคลาวด์ของ Google Cloud เพื่อจัดเก็บบันทึก โปรดดูกำหนดค่าการเข้าถึง Cloud Search API
รับรหัสโปรเจ็กต์สำหรับโปรเจ็กต์ที่อยู่ในระบบคลาวด์ของ Google ที่คุณต้องการจัดเก็บบันทึก ดูหัวข้อการระบุโปรเจ็กต์
กำหนดหมวดหมู่บันทึกที่จะเปิดใช้สำหรับ API ที่เฉพาะเจาะจง ดูการดำเนินการที่ตรวจสอบแล้ว
ใช้เมธอด REST API ของ updateCustomer() เพื่ออัปเดต auditLogSettings ด้วยหมวดหมู่ต่อไปนี้
1. รับโทเค็นเพื่อการเข้าถึง OAuth 2.0 ดูการใช้ OAuth 2.0 เพื่อเข้าถึง Google APIs ใช้ขอบเขตใดขอบเขตหนึ่งต่อไปนี้
  - https://www.googleapis.com/auth/cloud_search.settings.indexing
  - https://www.googleapis.com/auth/cloud_search.settings
  - https://www.googleapis.com/auth/cloud_search
2. เรียกใช้คำสั่ง curl นี้ bash curl --request PATCH \ 'https://cloudsearch.googleapis.com/v1/settings/customer?updateMask=auditLoggingSettings&key=[YOUR_API_KEY]' \ --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \ --header 'Content-Type: application/json' \ --data '{"auditLoggingSettings": { "project": "projects/PROJECT_ID", "CATEGORY1": "true", "CATEGORY2": "true" } }' แทนที่ YOUR_ACCESS_TOKEN, PROJECT_ID และหมวดหมู่ (logAdminReadActions, logDataWriteActions หรือ logDataReadActions) ระบบจะเปิดใช้การดำเนินการเขียนของผู้ดูแลระบบโดยค่าเริ่มต้น หากต้องการบันทึกวิธีการค้นหา ให้เปิดใช้ หมวดหมู่การอ่านข้อมูล
  
  คำขอที่ตามมาไปยัง Cloud Search API จะสร้างบันทึกในโปรเจ็กต์ที่ระบุ
การบันทึกการตรวจสอบสำหรับเมธอดการค้นหาต้องใช้หมวดหมู่การอ่านข้อมูล วิธีเปิดใช้ การบันทึกสำหรับ query.sources.list, query.suggest และ query.search
1. ดึงชื่อของแอปพลิเคชันการค้นหาแต่ละรายการในรูปแบบ searchapplications/<search_application_id>
2. โทรหา settings.searchapplications.update โดยตั้งค่า enableAuditLog เป็น true
หากต้องการเปิดใช้การบันทึกการตรวจสอบสำหรับการเรียกจาก cloudsearch.google.com ให้ตรวจสอบว่าได้เปิดใช้หมวดหมู่การอ่านข้อมูลแล้ว และอัปเดต searchapplications/default

ดูบันทึกใน Logs Explorer ของคอนโซล Google Cloud ใช้ตัวกรองนี้สำหรับ บันทึกการตรวจสอบของ Cloud Search

protoPayload.serviceName="cloudsearch.googleapis.com"

ดูข้อมูลเพิ่มเติมได้ที่ ภาพรวมของ Logs Explorer

สิทธิ์ของบันทึกการตรวจสอบ

สิทธิ์ Identity and Access Management (IAM) จะกำหนดบันทึกที่คุณดูหรือส่งออกได้ ดูข้อมูลเพิ่มเติมได้ที่ ทำความเข้าใจเกี่ยวกับบทบาท

หากต้องการดูบันทึกการตรวจสอบกิจกรรมของผู้ดูแลระบบ คุณต้องมีบทบาท IAM อย่างใดอย่างหนึ่งต่อไปนี้

เจ้าของ ผู้แก้ไข หรือผู้ดูโปรเจ็กต์
บทบาท Logging ผู้ดูบันทึก
บทบาท IAM ที่กำหนดเอง ที่มีสิทธิ์ logging.logEntries.list

หากต้องการดูบันทึกการตรวจสอบการเข้าถึงข้อมูล คุณต้องมีบทบาทใดบทบาทหนึ่งต่อไปนี้

เจ้าของโปรเจ็กต์
บทบาทผู้ดูบันทึกส่วนตัว ของ Logging
บทบาท IAM ที่กำหนดเอง ที่มีlogging.privateLogEntries.listสิทธิ์ IAM

หากคุณใช้บันทึกการตรวจสอบจากเอนทิตีที่ไม่ใช่โปรเจ็กต์ เช่น องค์กร ให้เปลี่ยนบทบาทของโปรเจ็กต์ที่อยู่ในระบบคลาวด์เป็นบทบาทขององค์กรที่เหมาะสม

ดูบันทึก

หากต้องการดูบันทึก คุณต้องมีตัวระบุของโปรเจ็กต์ที่อยู่ในระบบคลาวด์ โฟลเดอร์ หรือองค์กร คุณสามารถระบุฟิลด์อื่นๆ LogEntry เช่น resource.type ดูสร้างการค้นหาใน Logs Explorer

ชื่อบันทึกการตรวจสอบจะเป็นไปตามรูปแบบต่อไปนี้

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

คุณมีตัวเลือกหลายตัวในการดูรายการบันทึกการตรวจสอบ

คอนโซล

ไปที่หน้า Logging > Logs Explorer ในคอนโซล Google Cloud ไปที่เครื่องมือสำรวจบันทึก
เลือกโปรเจ็กต์
ในบานหน้าต่างเครื่องมือสร้างคำค้นหา ให้เลือกทรัพยากรและประเภทบันทึก ดูรายละเอียดเพิ่มเติมเกี่ยวกับการค้นหาโดยใช้ Logs Explorer ใหม่ได้ที่ สร้างการค้นหาใน Logs Explorer

gcloud

เรียกใช้คำสั่งนี้สำหรับบันทึกระดับโปรเจ็กต์

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" 

  --project=PROJECT_ID

API

ไปที่ส่วนลองใช้ API นี้สำหรับเมธอด entries.list
ใช้เนื้อหาคำขอนี้ โดยแทนที่ PROJECT_ID ด้วยรหัสโปรเจ็กต์ที่คุณเลือก
```
{
"resourceNames": ["projects/PROJECT_ID"],
"pageSize": 5,
"filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}
```
คลิกดำเนินการ

ดูรายละเอียดเพิ่มเติมเกี่ยวกับการค้นหาได้ที่ ภาษาในการค้นหาการบันทึก

ดูตัวอย่างรายการบันทึกการตรวจสอบและวิธีค้นหาข้อมูลที่สำคัญที่สุดในบันทึกได้ที่ทำความเข้าใจบันทึกการตรวจสอบ

ส่งออกบันทึกการตรวจสอบ

คุณส่งออกบันทึกการตรวจสอบได้เช่นเดียวกับบันทึกอื่นๆ ดูการส่งออกบันทึก

ส่งออกไปยัง Cloud Storage, BigQuery หรือ Pub/Sub เพื่อการเก็บรักษานานขึ้นหรือการค้นหาขั้นสูง
ใช้ ซิงก์ที่รวบรวม เพื่อจัดการบันทึกในองค์กร
ยกเว้นบันทึกการเข้าถึงข้อมูลเพื่อจัดการการจัดสรรบันทึก ดูการยกเว้นบันทึก

การกำหนดราคาและการรักษาลูกค้า

Cloud Logging จะไม่เรียกเก็บเงินสำหรับบันทึกการตรวจสอบกิจกรรมของผู้ดูแลระบบ Cloud Logging จะเรียกเก็บเงินสำหรับบันทึกการตรวจสอบการเข้าถึงข้อมูล ดูราคาของชุดเครื่องมือการดำเนินการของ Google Cloud

ระยะเวลาการเก็บรักษาบันทึกการตรวจสอบของ Cloud Search

บันทึกกิจกรรมของผู้ดูแลระบบ: 400 วัน
บันทึกการเข้าถึงข้อมูล: 30 วัน

ข้อจำกัดในปัจจุบัน

ข้อจำกัดของ Cloud Search Audit Logging มีดังนี้

ขนาดรายการบันทึกต้องน้อยกว่า 512 KB หากรายการมีขนาดเกิน 512 KB ระบบจะนำฟิลด์ responseออก หากยังเกิน 512 KB ระบบจะนำฟิลด์ request ออก หากยังเกิน 512 KB ระบบจะทิ้งรายการทั้งหมด
ระบบจะไม่บันทึกเนื้อหาการตอบกลับสำหรับเมธอด list(), get() และ suggest()
ระบบจะบันทึกเฉพาะการเรียกใช้การค้นหาจาก cloudsearch.google.com และแอปพลิเคชันการค้นหาของลูกค้า
สำหรับการโทร search() ระบบจะบันทึกเฉพาะ Query, RequestOptions และ DataSourceRestriction ในคำขอ การตอบกลับจะตรวจสอบเฉพาะ URL และข้อมูลเมตา
ระบบจะไม่ตรวจสอบการเรียกข้อมูลแบ็กเอนด์สำหรับการส่งออกข้อมูล