רישום ביקורת

בדף הזה מתוארים יומני הביקורת שנוצרים על ידי Cloud Search כחלק מיומני הביקורת של Cloud.

סקירה כללית

יומני הביקורת של שירותי Google Cloud מיועדים לענות על השאלות 'מי עשה מה, איפה ומתי?' ביחס למשאבים שלכם. הפרויקטים שלכם ב-Cloud כוללים רק יומני ביקורת של משאבים שמשויכים ישירות לפרויקט. ישויות אחרות, כמו תיקיות, ארגונים וחשבונות לחיוב ב-Cloud, מכילות את יומני הביקורת של הישות עצמה.

לפרטים נוספים, ראו יומני ביקורת של Cloud. להבנה עמוקה יותר של יומני הביקורת של Cloud, קראו את המאמר הסבר על יומני ביקורת.

יומני הביקורת של Cloud כוללים את יומני הביקורת הבאים לכל פרויקט, תיקייה וארגון ב-Cloud:

  • יומני ביקורת של פעילות אדמין שמכילים רשומות שתואמות ל-methods שמבצעים פעולות כתיבה של אדמין. ה-methods שתואמים לפעולות Admin Activity:Admin write מפורטים בקטע פעולות שביקורת שיופיע בקרוב.
  • יומני ביקורת של גישה לנתונים שמכילים רשומות שתואמות ל-methods שמבצעים פעולות של קריאה על ידי אדמין, כתיבה בנתונים וקריאה בנתונים. ה-methods שתואמים לפעולות Data Access:Admin read,‏ Data Access:Data write ו-Data Access:Data read מפורטים בקטע פעולות שביקורת שיופיע בקרוב.
  • יומני הביקורת System Event
  • יומני ביקורת מסוג Policy Denied

ב-Cloud Search נכתבים יומני ביקורת של פעילות אדמין, שבהם מתועדות פעולות שמשנות את ההגדרות או את המטא-נתונים של משאב. לא ניתן להשבית את יומני הביקורת Admin Activity.

רק אם מפעילים אותם באופן מפורש, מתבצעת כתיבה של יומני ביקורת Data Access ב-Cloud Search. יומני הביקורת של Data Access מכילים קריאות ל-API שקוראות את ההגדרות או את המטא-נתונים של משאבים, וגם קריאות ל-API שמנוהלות על ידי משתמשים, שיוצרות, משנות או קוראות נתוני משאבים שסופקו על ידי משתמשים.

מערכת Cloud Search לא כותבת יומני ביקורת System Event.

Cloud Search לא כותב יומני ביקורת מסוג Policy Denied.

פעולות מבוקרות

הטבלה הבאה מסכמת אילו פעולות API מתאימות לכל סוג של רישום ביומן הביקורת ב-Cloud Search:

קטגוריית יומני הביקורת פעולות ב-Cloud Search
פעילות של אדמין: אדמין שכותב indexing.datasources.updateSchema
indexing.datasources.deleteSchema
settings.datasources.create
settings.datasources.delete
settings.datasources.update
settings.searchapplications.create
settings.searchapplications.delete
settings.searchapplications.reset
settings.searchapplications.update
settings.updateCustomer
cloudsearch.IdentitySourceService.create
cloudsearch.IdentitySourceService.update
cloudsearch.IdentitySourceService.delete
גישה לנתונים: קריאה לאדמין indexing.datasources.getSchema
settings.datasources.get
settings.datasources.list
settings.searchapplications.get
settings.searchapplications.list
settings.getCustomer
cloudsearch.IdentitySourceService.get
cloudsearch.IdentitySourceService.list
גישה לנתונים: כתיבת נתונים indexing.datasources.items.delete
indexing.datasources.items.deleteQueueItems
indexing.datasources.items.index
indexing.datasources.items.poll
indexing.datasources.items.push
indexing.datasources.items.unreserve
indexing.datasources.items.upload
media.upload
גישה לנתונים: קריאת נתונים indexing.datasources.items.get
indexing.datasources.items.list
operations.get
operations.list
debug.datasources.items.checkAccess
debug.datasources.items.searchByViewUrl
stats.getIndex
stats.getQuery
stats.getSession
stats.getUser
stats.index.datasources.get
stats.query.searchapplications.get
stats.session.searchapplications.get
stats.user.search applications.get
debug.identitysources.items.listForunmappedidentity
debug.identitysources.unmappedids.list
debug.datasources.items.unmappedids.list
query.sources.list
query.suggest
query.search
stats.getSearchapplication

הפורמט של יומן הביקורת

הרשומות ביומן הביקורת – שאפשר לראות ב-Cloud Logging באמצעות Logs Explorer,‏ Cloud Logging API או הכלי של שורת הפקודה gcloud – כוללות את העצמים הבאים:

הרשומה עצמה ביומן, שהיא אובייקט מסוג LogEntry. אלה כמה מהשדות השימושיים ברשומה:

  • השדה logName מכיל את מזהה המשאב ואת סוג יומן הביקורת.
  • השדה resource מכיל את היעד של הפעולה המבוקרת.
  • השדה timeStamp מכיל את השעה של הפעולה המבוקרת.
  • השדה protoPayload מכיל את המידע המבוקר.
  • אובייקט מסוג AuditLog ששמור בשדה protoPayload של הרשומה ביומן, ומכיל את הנתונים של יומני הביקורת.

אובייקט ספציפי לשירות שמכיל מידע אופציונלי על ביקורת ספציפית לשירות. בשילובים קודמים, האובייקט הזה נשמר בשדה serviceData של האובייקט AuditLog. בשילובים מאוחרים יותר נעשה שימוש בשדה metadata.

למידע על שדות אחרים באובייקטים האלה ואיך לפרש אותם, קראו את המאמר הסבר על יומני הביקורת.

שם יומן הביקורת

השמות של המשאבים ביומני הביקורת ב-Cloud מציינים את הפרויקט ב-Cloud או ישות אחרת ב-Google Cloud שיומני הביקורת בבעלותם. בנוסף, הם מציינים אם היומן מכיל את נתוני הביקורת Admin Activity,‏ Data Access,‏ Policy Denied או System Event. לדוגמה, בטבלה הבאה מוצגים שמות היומנים של יומני הביקורת Admin Activity ברמת הפרויקט ושל יומני הביקורת Data Access ברמת הארגון. המשתנים מייצגים את מזהי הפרויקט והארגון.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

שם השירות

יומני הביקורת של Cloud Search משתמשים בשם השירות cloudsearch.googleapis.com.

סוגי המשאבים

יומני הביקורת של Cloud Search משתמשים בסוג המשאב audited_resource בכל יומני הביקורת.

רשימה של סוגי משאבים אחרים זמינה במאמר סוגי המשאבים במעקב.

הפעלת הרישום ביומן הביקורת

כברירת מחדל, רישום ביומן ביקורת מושבת ב-Cloud Search API. כדי להפעיל את רישום הביקורת ב-Google Cloud Search:

  1. (אופציונלי) אם לא יצרתם פרויקט ב-Google Cloud Platform לאחסון יומנים, תוכלו לעיין במאמר הגדרת גישה ל-Google Cloud Search API.

  2. מקבלים את מזהה הפרויקט ב-Google Cloud שבו רוצים לאחסן את היומנים. במאמר זיהוי פרויקטים מוסבר איך לקבל מזהה פרויקט.

  3. כדי להפעיל את הרישום ביומן הביקורת של ממשק API ספציפי, צריך לקבוע את קטגוריית היומן שרוצים להפעיל. לממשקי API ולקטגוריות התואמות שלהם, אפשר לעיין בקטע פעולות שביקורת למעלה.

  4. משתמשים ב-method updateCustomer() ב-API ל-REST כדי לעדכן את auditLogSettings בקטגוריות היומנים שרוצים להפעיל:

    1. מקבלים אסימון גישה מסוג OAuth 2.0 משרת ההרשאות של Google. למידע נוסף על קבלת האסימון, אפשר לעיין בשלב 2 במאמר שימוש ב-OAuth 2.0 לגישה ל-Google APIs. כשמקבלים את אסימון הגישה, צריך להשתמש באחד מההיקפים הבאים של OAuth:

      • https://www.googleapis.com/auth/cloud_search.settings.indexing
      • https://www.googleapis.com/auth/cloud_search.settings
      • https://www.googleapis.com/auth/cloud_search

    2. מריצים את פקודת ה-curl הבאה.

    curl --request PATCH \
'https://cloudsearch.googleapis.com/v1/settings/customer?updateMask=auditLoggingSettings&key=[YOUR_API_KEY]' \
--header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
--header 'Content-Type: application/json' \
--data '{"auditLoggingSettings": { "project": "projects/PROJECT_ID", "CATEGORY1": "true", "CATEGORY2": "true" } }'

    כאשר:

    • YOUR_ACCESS_TOKEN הוא אסימון הגישה מסוג OAuth 2.0 שהתקבל בשלב 4א'.
    • PROJECT_ID הוא מזהה הפרויקט שהתקבל בשלב 2.
    • CATEGORY1, ‏ CATEGORY2, ‏ הן הקטגוריות שבחרתם להפעיל בשלב 3. הערכים החוקיים הם logAdminReadActions,‏ logDataWriteActions ו-logDataReadActions. פעולות הכתיבה של האדמין מופעלות כברירת מחדל ואי אפשר להשבית אותן. כדי לאפשר רישום ביומן ביקורת של שיטות שאילתה, צריך להפעיל את הקטגוריה 'קריאת נתונים'.

    אחרי העדכון של AuditLoggingSettings, בקשות נוספות ל-Cloud Search API ייצרו יומן ביקורת במזהה הפרויקט שצוין ב-AuditLoggingSettings.

  5. כדי להפעיל את יומני הביקורת של שיטות השאילתות, צריך להפעיל את הקטגוריה 'קריאת נתונים' (כפי שמתואר בשלב 4). כדי להפעיל רישום ביומן ביקורת לשיטות השאילתה (query.sources.list,‏ query.suggest ו-query.search), מבצעים את השלבים הנוספים הבאים:

    1. מאחזרים את השם של כל אפליקציית חיפוש שרוצים להפעיל עבורה את יומני הביקורת. השם חייב להיות בפורמט searchapplications/<search_application_id>.

    2. משתמשים בשם כדי לקרוא ל-settings.searchapplications.update עם הערך enableAuditLog מוגדר ל-true.

  6. כדי להפעיל רישום ביומן ביקורת לשיחות מ-cloudsearch.google.com, צריך לוודא שהקטגוריה 'קריאת נתונים' מופעלת (שלב 4). בנוסף, מבצעים שלב 5b עם name של searchapplications/default .

אחרי ההפעלה, אפשר לצפות ביומנים בקטע Logs Explorer במסוף Google Cloud. כדי להציג רק יומני ביקורת של Cloud Search, משתמשים במסנן הבא:

protoPayload.serviceName="cloudsearch.googleapis.com"

למידע על הצגת יומנים, ראו סקירה כללית על Logs Explorer.

הרשאות ליומן הביקורת

ההרשאות והתפקידים של ניהול זהויות והרשאות גישה קובעים אילו יומני ביקורת תוכלו להציג או לייצא. היומנים נמצאים בפרויקטים ב-Cloud ובישויות אחרות, כולל ארגונים, תיקיות וחשבונות לחיוב ב-Cloud. למידע נוסף, ראו הסבר על תפקידים.

כדי להציג את יומני הביקורת Admin Activity, צריך להיות לכם אחד מתפקידי ה-IAM הבאים בפרויקט שמכיל את יומני הביקורת:

כדי להציג את יומני הביקורת של Data Access, צריך להיות לכם אחד מהתפקידים הבאים בפרויקט שמכיל את יומני הביקורת:

אם אתם משתמשים ביומני ביקורת מישות שאינה פרויקט, כמו ארגון, צריך לשנות את התפקידים בפרויקט ב-Cloud לתפקידים מתאימים ברמת הארגון.

צפייה ביומנים

כדי למצוא ולצפות ביומני ביקורת, צריך לדעת את המזהה של הפרויקט, התיקייה או הארגון ב-Cloud שעבורם רוצים להציג את המידע של יומני הביקורת. תוכלו להוסיף לשאילתה עוד שדות מסוג LogEntry שנוספו לאינדקס, כמו resource.type. פרטים נוספים זמינים במאמר יצירת שאילתות ב-Logs Explorer.

אלה השמות של יומני הביקורת, עם משתנים שיוחלפו במזהי הפרויקט, התיקייה או הארגון ב-Cloud:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

יש כמה אפשרויות להצגת הרשומות ביומן הביקורת.

המסוף

תוכלו להשתמש ב-Logs Explorer במסוף Cloud כדי לאחזר את הרשומות ביומן הביקורת של הפרויקט ב-Cloud:

  1. נכנסים לדף Logging > Logs Explorer במסוף Cloud.

    כניסה לדף Logs Explorer

  2. בדף Logs Explorer, בוחרים פרויקט קיים ב-Cloud.

  3. בחלונית Query builder:

    • בקטע Resource, בוחרים את סוג המשאב ב-Google Cloud שרוצים לראות את יומני הביקורת שלו.

    • בקטע Log name, בוחרים את סוג יומן הביקורת שרוצים לראות:

      • ליומני הביקורת Admin Activity בוחרים באפשרות activity.
      • ליומני הביקורת Data Access בוחרים באפשרות data_access.
      • ליומני הביקורת System Event בוחרים באפשרות system_event.
      • ליומני הביקורת Policy Denied בוחרים באפשרות policy.

    אם האפשרויות האלה לא מוצגות, המשמעות היא שאין יומני ביקורת מאותו סוג בפרויקט ב-Cloud.

    פרטים נוספים על שליחת שאילתות באמצעות Logs Explorer החדש מופיעים במאמר יצירת שאילתות ב-Logs Explorer.

gcloud

הכלי gcloud מספק גישה ל-Logging API באמצעות ממשק שורת הפקודה (CLI). חשוב לציין PROJECT_ID,‏ FOLDER_ID או ORGANIZATION_ID תקין בכל אחד משמות היומנים.

כדי לקרוא את הרשומות ביומן הביקורת ברמת הפרויקט ב-Google Cloud, מריצים את הפקודה הבאה:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

כדי לקרוא את הרשומות ביומן הביקורת ברמת התיקייה, מריצים את הפקודה הבאה:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

כדי לקרוא את הרשומות ביומן הביקורת ברמת הארגון, מריצים את הפקודה הבאה:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

למידע נוסף על השימוש בכלי gcloud:‏ gcloud logging read.

API

כשיוצרים את השאילתות, מחליפים את המשתנים בערכים תקינים, מחליפים את השמות או המזהים המתאימים של יומני הביקורת ברמת הפרויקט, התיקייה או הארגון, כפי שמפורטים בשמות של יומני הביקורת. לדוגמה, אם שאילתה כוללת את השדה PROJECT_ID, מזהה הפרויקט שאתם מציינים חייב להתייחס לפרויקט ב-Cloud שבחרתם.

כדי להשתמש ב-Logging API כדי לבדוק את הרשומות ביומן הביקורת:

  1. עוברים לקטע Try this API במאמרי העזרה של ה-method entries.list.

  2. מזינים את הפרטים הבאים בקטע Request body בטופס Try this API. אם לוחצים על הטופס למילוי פרטים אוטומטי, גוף הבקשה יאוכלס בפרטים באופן אוטומטי אבל תצטרכו לציין PROJECT_ID תקין בכל אחד משמות יומני הביקורת.

    {
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}

  3. לוחצים על Execute.

פרטים נוספים על שליחת שאילתות זמינים במאמר שפת השאילתות של Cloud Logging.

למידע נוסף על רשומה לדוגמה ביומן הביקורת ועל איך למצוא את המידע החשוב ביותר בה, קראו את המאמר הסבר על יומני ביקורת.

ייצוא של יומני ביקורת

אפשר לייצא יומני ביקורת באותו אופן שבו מייצאים סוגים אחרים של יומנים. פרטים על ייצוא יומנים זמינים במאמר ייצוא יומנים. ריכזנו כאן כמה דוגמאות לייצוא של יומני ביקורת:

  • אתם יכולים לייצא עותקים של יומני הביקורת ל-Cloud Storage, ל-BigQuery או ל-Pub/Sub, כדי לשמור את יומני הביקורת לפרק זמן ארוך יותר ולהשתמש ביכולות חיפוש מתקדמות יותר. באמצעות Pub/Sub אתם יכולים לייצא את יומני הביקורת לאפליקציות אחרות, למאגרים אחרים ולצדדים שלישיים.

  • כדי לנהל את יומני הביקורת בארגון כולו, אתם יכולים ליצור אובייקטים נצברים מסוג sink שיכולים לייצא יומנים מכל הפרויקטים ב-Cloud, או מחלקם.

  • אם הכתיבה שמופעלת ביומני הביקורת Data Access גורמת לחריגה ממכסת הרישומים שלכם ביומן בפרויקטים ב-Cloud, אתם יכולים לייצא את יומני הביקורת Data Access ולהחריג אותם מ-Cloud Logging. פרטים נוספים זמינים במאמר החרגת יומנים.

תמחור ושימור משתמשים

ב-Cloud Logging לא תחויבו על יומני ביקורת שלא ניתן להשבית, כולל כל יומני הביקורת Admin Activity. ב-Cloud Logging אתם מחויבים על יומני ביקורת של גישה לנתונים שאתם מבקשים באופן מפורש.

למידע נוסף על התמחור של יומני הביקורת, ראו תמחור חבילת התפעול של Google Cloud.

משך האחסון שמשויך ליומני הביקורת של Cloud Search הוא:

  • יומני פעילות של אדמינים (או 'כתיבה על ידי אדמין') – היומנים האלה נשמרים למשך 400 יום.
  • יומני גישה לנתונים (Admin Read, ‏ Data Write ו-Data Read) – היומנים האלה נשמרים למשך 30 יום.

מידע נוסף על משך האחסון זמין במאמר תקופות שמירה של יומנים.

המגבלות הנוכחיות

כרגע, יומני הביקורת של Cloud Search מוגבלים באופן הבא:

  • הגודל של רשומת היומן חייב להיות קטן מ-512KB. אם הגודל יגדל מ-512KB, התשובה תוסר מהרשומה ביומן. אם הגודל לא יורד ל-512KB או פחות, הבקשה תבוטל. לבסוף, אם הגודל עדיין חורג מ-512KB, הרשומה ביומן תוסר.

  • גופי התשובות לא מתועדים בשיטות list(), ‏ get() ו-suggest(). עם זאת, סטטוסי התשובות זמינים.

  • רק קריאות Query API מ-cloudsearch.google.com (אם האפשרות הזו מופעלת) ומאפליקציות חיפוש של לקוחות נרשמות ביומן.

  • בקריאות search(), רק Query, ‏ RequestOptions ו-DataSourceRestriction מתועדים ביומן בבקשה. בתגובה, מתבצע ביקורת רק על כתובת ה-URL ועל המטא-נתונים (המקור ו-objectType) של כל SearchResult.

  • לא מתבצע ביקורת על קריאות שהונפקו לקצה העורפי של Cloud Search ותואמות לייצוא נתונים.