Ghi nhật ký kiểm tra

Trang này mô tả nhật ký kiểm tra mà Cloud Search tạo ra trong Nhật ký kiểm tra trên Cloud.

Tổng quan

Các dịch vụ của Google Cloud ghi nhật ký kiểm tra để giúp bạn trả lời câu hỏi "Ai đã làm gì, ở đâu và khi nào" trong tài nguyên của bạn. Các dự án trên Cloud chỉ chứa nhật ký kiểm tra cho các tài nguyên nằm ngay trong dự án. Các thực thể khác, chẳng hạn như thư mục, tổ chức và tài khoản thanh toán trên đám mây, có nhật ký kiểm tra riêng.

Để biết thông tin tổng quan chung, hãy xem phần Nhật ký kiểm tra trên Cloud. Để biết thêm thông tin chi tiết, hãy xem phần Tìm hiểu nhật ký kiểm tra.

Cloud Audit Logs cung cấp các nhật ký sau cho mỗi dự án, thư mục và tổ chức trên đám mây:

Nhật ký kiểm tra về hoạt động của quản trị viên: các mục cho những phương thức thực hiện thao tác ghi của Quản trị viên.
Nhật ký kiểm tra quyền truy cập dữ liệu: các mục cho những phương thức thực hiện các thao tác Đọc của quản trị viên, Ghi dữ liệu và Đọc dữ liệu.
Nhật ký kiểm tra Sự kiện hệ thống
Nhật ký kiểm tra về chính sách bị từ chối

Cloud Search ghi Nhật ký kiểm tra hoạt động của quản trị viên để ghi lại các thao tác sửa đổi cấu hình hoặc siêu dữ liệu của tài nguyên. Bạn không thể tắt nhật ký kiểm tra về Hoạt động của quản trị viên.

Cloud Search chỉ ghi nhật ký kiểm tra Quyền truy cập dữ liệu nếu bạn bật một cách rõ ràng nhật ký này. Các nhật ký này chứa những lệnh gọi API đọc cấu hình hoặc siêu dữ liệu tài nguyên, cũng như những lệnh gọi API do người dùng thực hiện để tạo, sửa đổi hoặc đọc dữ liệu tài nguyên do người dùng cung cấp.

Cloud Search không ghi nhật ký Kiểm tra sự kiện hệ thống hoặc Nhật ký kiểm tra bị từ chối theo chính sách.

Hoạt động được kiểm tra

Bảng sau đây tóm tắt những thao tác API tương ứng với từng loại nhật ký kiểm tra trong Cloud Search:

Danh mục nhật ký kiểm tra	Các thao tác trên Cloud Search
Hoạt động của quản trị viên: Quản trị viên ghi	indexing.datasources.updateSchema indexing.datasources.deleteSchema settings.datasources.create settings.datasources.delete settings.datasources.update settings.searchapplications.create settings.searchapplications.delete settings.searchapplications.reset settings.searchapplications.update settings.updateCustomer cloudsearch.IdentitySourceService.create cloudsearch.IdentitySourceService.update cloudsearch.IdentitySourceService.delete
Quyền truy cập vào dữ liệu: Quản trị viên có quyền đọc	indexing.datasources.getSchema settings.datasources.get settings.datasources.list settings.searchapplications.get settings.searchapplications.list settings.getCustomer cloudsearch.IdentitySourceService.get cloudsearch.IdentitySourceService.list
Quyền truy cập vào dữ liệu: Quyền ghi dữ liệu	indexing.datasources.items.delete indexing.datasources.items.deleteQueueItems indexing.datasources.items.index indexing.datasources.items.poll indexing.datasources.items.push indexing.datasources.items.unreserve indexing.datasources.items.upload media.upload
Quyền truy cập vào dữ liệu: Đọc dữ liệu	indexing.datasources.items.get indexing.datasources.items.list operations.get operations.list debug.datasources.items.checkAccess debug.datasources.items.searchByViewUrl stats.getIndex stats.getQuery stats.getSession stats.getUser stats.index.datasources.get stats.query.searchapplications.get stats.session.searchapplications.get stats.user.search applications.get debug.identitysources.items.listForunmappedidentity debug.identitysources.unmappedids.list debug.datasources.items.unmappedids.list query.sources.list query.suggest query.search stats.getSearchapplication

Định dạng nhật ký kiểm tra

Các mục nhập nhật ký kiểm tra bao gồm các đối tượng sau. Bạn có thể xem các nhật ký này trong Cloud Logging bằng Trình khám phá nhật ký, Cloud Logging API hoặc công cụ dòng lệnh gcloud.

Bản thân mục nhật ký là một đối tượng LogEntry. Các trường hữu ích bao gồm:

logName: mã nhận dạng tài nguyên và loại nhật ký kiểm tra.
resource: mục tiêu của hoạt động được kiểm tra.
timeStamp: thời gian của hoạt động được kiểm tra.
protoPayload: thông tin được kiểm tra.

Dữ liệu ghi nhật ký kiểm tra là một đối tượng AuditLog trong trường protoPayload.

Thông tin kiểm tra không bắt buộc dành riêng cho từng dịch vụ là một đối tượng dành riêng cho từng dịch vụ. Đối với các chế độ tích hợp trước đó, đối tượng này nằm trong trường serviceData của đối tượng AuditLog; các chế độ tích hợp sau này sử dụng trường metadata.

Để biết thêm thông tin, hãy xem bài viết Tìm hiểu về nhật ký kiểm tra.

Tên nhật ký

Tên tài nguyên Nhật ký kiểm tra trên đám mây cho biết dự án hoặc thực thể khác trên Google Cloud sở hữu nhật ký và loại nhật ký kiểm tra. Ví dụ:

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Tên dịch vụ

Nhật ký kiểm tra Cloud Search sử dụng tên dịch vụ cloudsearch.googleapis.com.

Loại tài nguyên

Nhật ký kiểm tra của Cloud Search sử dụng loại tài nguyên audited_resource cho tất cả nhật ký. Để biết thêm các loại tài nguyên, hãy xem phần Các loại tài nguyên được giám sát.

Bật tính năng ghi nhật ký kiểm tra

Theo mặc định, tính năng ghi nhật ký kiểm tra sẽ bị tắt đối với Cloud Search API. Cách bật tính năng ghi nhật ký kiểm tra cho Cloud Search:

(Không bắt buộc) Nếu bạn chưa tạo dự án trên Google Cloud để lưu trữ nhật ký, hãy xem phần Định cấu hình quyền truy cập vào Cloud Search API.
Lấy mã dự án cho dự án trên Google Cloud mà bạn muốn lưu trữ nhật ký. Xem phần Xác định dự án.
Xác định danh mục nhật ký cần bật cho một API cụ thể. Xem phần Các thao tác được kiểm tra.
Sử dụng phương thức REST API updateCustomer() để cập nhật auditLogSettings bằng các danh mục:
1. Lấy mã truy cập OAuth 2.0. Xem phần Sử dụng OAuth 2.0 để truy cập vào các API của Google. Sử dụng một trong các phạm vi sau:
  - https://www.googleapis.com/auth/cloud_search.settings.indexing
  - https://www.googleapis.com/auth/cloud_search.settings
  - https://www.googleapis.com/auth/cloud_search
2. Chạy lệnh curl này: bash curl --request PATCH \ 'https://cloudsearch.googleapis.com/v1/settings/customer?updateMask=auditLoggingSettings&key=[YOUR_API_KEY]' \ --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \ --header 'Content-Type: application/json' \ --data '{"auditLoggingSettings": { "project": "projects/PROJECT_ID", "CATEGORY1": "true", "CATEGORY2": "true" } }' Thay thế YOUR_ACCESS_TOKEN, PROJECT_ID và các danh mục (logAdminReadActions, logDataWriteActions hoặc logDataReadActions). Theo mặc định, các thao tác ghi của quản trị viên sẽ được bật. Để ghi lại các phương thức truy vấn, hãy bật danh mục Đọc dữ liệu.
  
  Các yêu cầu tiếp theo đối với Cloud Search API sẽ tạo nhật ký trong dự án đã chỉ định.
Nhật ký kiểm tra cho các phương thức truy vấn yêu cầu danh mục Đọc dữ liệu. Cách bật tính năng ghi nhật ký cho query.sources.list, query.suggest và query.search:
1. Truy xuất tên của từng ứng dụng tìm kiếm, dưới dạng searchapplications/<search_application_id>.
2. Gọi settings.searchapplications.update với enableAuditLog được đặt thành true.
Để bật tính năng ghi nhật ký kiểm tra cho các lệnh gọi từ cloudsearch.google.com, hãy đảm bảo bạn đã bật danh mục Đọc dữ liệu và cập nhật searchapplications/default.

Xem nhật ký trong Trình khám phá nhật ký của Google Cloud Console. Sử dụng bộ lọc này cho nhật ký kiểm tra của Cloud Search:

protoPayload.serviceName="cloudsearch.googleapis.com"

Để biết thêm thông tin, hãy xem bài viết Tổng quan về trình khám phá nhật ký.

Quyền đối với nhật ký kiểm tra

Quyền quản lý danh tính và quyền truy cập (IAM) xác định những nhật ký mà bạn có thể xem hoặc xuất. Để biết thêm thông tin, hãy xem phần Tìm hiểu về các vai trò.

Để xem nhật ký kiểm tra Hoạt động của quản trị viên, bạn phải có một trong các vai trò IAM sau:

Chủ sở hữu, Người chỉnh sửa hoặc Người xem dự án.
Vai trò Logging Logs Viewer (Người xem nhật ký ghi).
Một vai trò IAM tuỳ chỉnh có quyền logging.logEntries.list.

Để xem nhật ký kiểm tra quyền truy cập dữ liệu, bạn phải có một trong các vai trò sau:

Chủ dự án.
Vai trò Trình xem nhật ký riêng tư của tính năng ghi nhật ký.
Vai trò IAM tuỳ chỉnh có quyền IAM logging.privateLogEntries.list

Nếu bạn đang sử dụng nhật ký kiểm tra từ một thực thể không phải dự án (chẳng hạn như một tổ chức), hãy thay đổi vai trò dự án trên Cloud thành vai trò tổ chức phù hợp.

Xem nhật ký

Để xem nhật ký, bạn cần có giá trị nhận dạng của dự án, thư mục hoặc tổ chức trên Cloud. Bạn có thể chỉ định các trường LogEntry khác, chẳng hạn như resource.type. Xem phần Tạo truy vấn trong Trình khám phá nhật ký.

Tên nhật ký kiểm tra tuân theo định dạng sau:

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Bạn có một số lựa chọn để xem các mục trong nhật ký kiểm tra.

Giao diện dòng lệnh

Chuyển đến trang Logging > Logs Explorer (Ghi nhật ký > Trình khám phá nhật ký) trong bảng điều khiển Google Cloud. Chuyển đến Trình khám phá nhật ký
Chọn dự án của bạn.
Trong ngăn Trình tạo truy vấn, hãy chọn loại tài nguyên và nhật ký. Để biết thêm thông tin chi tiết về cách truy vấn bằng Logs Explorer mới, hãy xem bài viết Tạo truy vấn trong Logs Explorer.

gcloud

Chạy lệnh này để xem nhật ký ở cấp dự án:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" 

  --project=PROJECT_ID

API

Chuyển đến phần Dùng thử API này cho phương thức entries.list.

Sử dụng nội dung yêu cầu này, thay thế PROJECT_ID bằng mã dự án mà bạn chọn:

{
"resourceNames": ["projects/PROJECT_ID"],
"pageSize": 5,
"filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}

Nhấp vào Thực thi.

Để biết thêm thông tin về cách truy vấn, hãy xem phần Ngôn ngữ truy vấn ghi nhật ký.

Để xem một mục nhật ký kiểm tra mẫu và cách tìm thông tin quan trọng nhất trong mục đó, hãy xem phần Tìm hiểu về nhật ký kiểm tra.

Xuất nhật ký kiểm tra

Bạn có thể xuất nhật ký kiểm tra giống như các nhật ký khác. Xem phần Xuất nhật ký.

Xuất sang Cloud Storage, BigQuery hoặc Pub/Sub để giữ lại lâu hơn hoặc tìm kiếm nâng cao.
Sử dụng các đích nhận tổng hợp để quản lý nhật ký trên toàn tổ chức.
Loại trừ nhật ký truy cập dữ liệu để quản lý hạn mức nhật ký. Xem phần Loại trừ nhật ký.

Giá và tỷ lệ giữ chân

Cloud Logging không tính phí đối với nhật ký kiểm tra về Hoạt động của quản trị viên. Phí Cloud Logging cho nhật ký kiểm tra quyền truy cập dữ liệu. Xem giá của bộ công cụ vận hành của Google Cloud.

Khoảng thời gian lưu giữ nhật ký kiểm tra của Cloud Search:

Nhật ký hoạt động của quản trị viên: 400 ngày.
Nhật ký truy cập dữ liệu: 30 ngày.

Các điểm hạn chế hiện tại

Các giới hạn về nhật ký kiểm tra của Cloud Search:

Kích thước mục nhập nhật ký phải nhỏ hơn 512 KB. Nếu một mục vượt quá 512 KB, trường response sẽ bị xoá. Nếu vẫn vượt quá 512 KB, trường request sẽ bị xoá. Nếu vẫn vượt quá 512 KB, toàn bộ mục nhập sẽ bị loại bỏ.
Nội dung phản hồi không được ghi nhật ký cho các phương thức list(), get() và suggest().
Chỉ các lệnh gọi truy vấn từ cloudsearch.google.com và các ứng dụng tìm kiếm của khách hàng mới được ghi lại.
Đối với các lệnh gọi search(), chỉ Query, RequestOptions và DataSourceRestriction được ghi vào nhật ký trong yêu cầu. Phản hồi chỉ kiểm tra URL và siêu dữ liệu.
Các lệnh gọi phụ trợ để xuất dữ liệu không được kiểm tra.