Bu sayfa, Cloud Translation API ile çevrilmiştir.

Denetleme günlüğü

Bu sayfada, Cloud Search tarafından Cloud Denetleme Günlükleri kapsamında oluşturulan denetleme günlükleri açıklanmaktadır.

Genel bakış

Google Cloud hizmetleri, kaynaklarınızda "Kim neyi, nerede ve ne zaman yaptı" sorularını yanıtlamanıza yardımcı olmak için denetleme günlükleri yazar. Cloud projeleriniz, yalnızca doğrudan proje içindeki kaynakların denetleme günlüklerini içerir. Klasörler, kuruluşlar ve Cloud Billing hesapları gibi diğer varlıklar, varlığın kendisine ait denetleme günlüklerini içerir.

Cloud Denetleme Günlükleri'ne genel bir bakış için Cloud Denetleme Günlükleri başlıklı makaleyi inceleyin. Cloud Denetleme Günlükleri hakkında daha ayrıntılı bilgi için Denetleme günlüklerini anlama bölümünü inceleyin.

Cloud Denetleme Günlükleri, her bir Cloud projesi, klasör ve kuruluş için aşağıdaki denetleme günlüklerini sağlar:

Yönetici yazma işlemlerini gerçekleştiren yöntemlere karşılık gelen girişleri içeren Yönetici Etkinliği denetleme günlükleri. Yönetici Etkinliği:Yönetici yazma işlemlerine karşılık gelen yöntemler, daha sonra sıralanacak Denetlenen işlemler bölümünde ele alınmıştır.
Yönetici okuma, Veri yazma ve Veri okuma işlemleri gerçekleştirme yöntemlerine karşılık gelen girişleri içeren Veri Erişimi denetleme günlükleri. Veri Erişimi:Yönetici okuma, Veri Erişimi:Veri yazma, Veri Erişimi:Veri okuma işlemlerine karşılık gelen yöntemler, ileride Denetlenen işlemler bölümünde ele alınmıştır.
Sistem Etkinliği denetleme günlükleri
Politika Reddedildi denetleme günlükleri

Cloud Search, bir kaynağın yapılandırmasını veya meta verilerini değiştiren işlemleri kaydeden Yönetici Etkinliği denetleme günlüklerine yazar. Yönetici Etkinliği denetleme günlüklerini devre dışı bırakamazsınız.

Cloud Search, yalnızca açıkça etkinleştirilirse Veri Erişimi denetleme günlüklerine yazar. Veri Erişimi denetleme günlüklerinde, kaynakların yapılandırmasını veya meta verilerini okuyan API çağrılarının yanı sıra kullanıcı tarafından sağlanan kaynak verilerini oluşturan, değiştiren veya okuyan kullanıcı odaklı API çağrıları da bulunur.

Cloud Search, Sistem Etkinliği denetleme günlüklerini yazmaz.

Cloud Search, Politika Reddedildi denetleme günlüklerini yazmaz.

Denetlenen işlemler

Aşağıda, Cloud Search'teki her bir denetleme günlüğü türüne karşılık gelen API işlemleri özetlenmiştir:

Denetleme günlükleri kategorisi	Cloud Search işlemleri
Yönetici Etkinliği: Yönetici yazma	dizine ekleme.datasources.updateSchema indexing.datasources.deleteSchema settings.datasources.create settings.datasources.delete settings.datasources.update settings.searchapplications.create settings.searchapplications.delete settings.searchapplications.reset settings.searchSourceService.update settings.updateCustomer cloudsearch.IdentitySourceService.create cloudsearch.cloudsearchIdentityService.update
Veri erişimi: Yönetici okuma	indexing.datasources.getSchema settings.datasources.get settings.datasources.list settings.searchapplications.get settings.searchapplications.list settings.getCustomer cloudsearch.IdentitySourceService.get cloudsearch.IdentitySourceService.list
Veri Erişimi: Veri yazma	indexing.datasources.items.delete indexing.datasources.items.deleteQueueItems indexing.datasources.items.index indexing.datasources.items.poll indexing.datasources.items.push indexing.datasources.items.unreserve indexing.datasources.items.upload media.upload
Veri Erişimi: Veri okuma	indexing.datasources.items.get indexing.datasourcesmappedsearchids.items.list indexing.datasourcessources.items.list operations.get operations.list debug.datasources.items.searchByViewUrl stats.getIndex stats.getQuery stats.getSessionindex stats.getQuery stats.getSessionstas%C4%C5%9F%C3%B1t%C4%B1t%C3%B1t%C3%B1t%C3%B1t%C3%B1t%C3%B1t%C3%BC%C3%BC%C3%BCml%;

Denetleme günlüğü biçimi

Günlük Gezgini, Cloud Logging API veya gcloud komut satırı aracı kullanılarak Cloud Logging'de görüntülenebilecek denetleme günlüğü girişleri aşağıdaki nesneleri içerir:

LogEntry türünde bir nesne olan günlük girişinin kendisi. Kullanışlı alanlar şunlardır:

logName, kaynak kimliğini ve denetleme günlüğü türünü içerir.
resource, denetlenen işlemin hedefini içerir.
timeStamp, denetlenen işlemin zamanını içerir.
protoPayload, denetlenen bilgileri içerir.
Günlük girişinin protoPayload alanında tutulan bir AuditLog nesnesi olan denetleme günlüğü verileri.

İsteğe bağlı hizmete özgü denetim bilgileri (hizmete özgü bir nesnedir). Önceki entegrasyonlar için bu nesne, AuditLog nesnesinin serviceData alanında tutulur. Sonraki entegrasyonlarda metadata alanını kullanır.

Bu nesnelerdeki diğer alanlar ve bunların nasıl yorumlanacağı hakkında bilgi edinmek için Denetleme günlüklerini anlama bölümünü inceleyin.

Günlük adı

Cloud Denetleme Günlükleri kaynak adları, Cloud projesini veya denetim günlüklerinin sahibi olan diğer Google Cloud varlıklarını ve günlükte Yönetici Etkinliği, Veri Erişimi, Politika Reddedildi veya Sistem Etkinliği denetleme günlük kaydı verileri bulunup bulunmadığını belirtir. Örneğin, aşağıda proje düzeyindeki Yönetici Etkinliği denetleme günlükleri ve bir kuruluşun Veri Erişimi denetleme günlükleri için günlük adları gösterilmektedir. Değişkenler, proje ve kuruluş tanımlayıcılarını gösterir.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Hizmet adı

Cloud Search denetleme günlükleri, cloudsearch.googleapis.com hizmet adını kullanır.

Kaynak türleri

Cloud Search denetleme günlükleri, tüm denetleme günlükleri için audited_resource kaynak türünü kullanır.

Diğer kaynak türlerinin listesi için İzlenen kaynak türleri bölümüne bakın.

Denetleme günlüğünü etkinleştir

Cloud Search API için denetleme günlüğü varsayılan olarak devre dışıdır. Google Cloud Search için denetleme günlüğünü etkinleştirmek üzere:

(İsteğe bağlı) Günlükleri depolamak için bir Google Cloud Platform projesi oluşturmadıysanız Google Cloud Search API'ye erişimi yapılandırma başlıklı makaleye bakın.
Günlükleri depolamak istediğiniz Google Cloud için proje kimliğini alın. Proje kimliğini nasıl edineceğinizi öğrenmek için Projeleri tanımlama bölümünü inceleyin.
Belirli bir API için denetleme günlüğünü etkinleştirmek istiyorsanız etkinleştirilecek günlük kategorisini belirlemeniz gerekir. API'ler ve karşılık gelen kategorileri için bu belgenin önceki bölümlerinden Denetlenen işlemler bölümüne bakın.
Aşağıdakileri etkinleştirmek için ControlLogSettings'i günlük kategorileriyle güncellemek için updateCustomer() REST API yöntemini kullanın:
1. Google Yetkilendirme Sunucusu'ndan OAuth 2.0 erişim jetonu alın. Jetonu alma hakkında daha fazla bilgi edinmek için Google API'lerine Erişmek için OAuth 2.0'ı Kullanma bölümünün 2. adımına bakın. Erişim jetonunu alırken aşağıdaki OAuth kapsamlarından birini kullanın:
  - https://www.googleapis.com/auth/cloud_search.settings.indexing
  - https://www.googleapis.com/auth/cloud_search.settings
  - https://www.googleapis.com/auth/cloud_search
2. Aşağıdaki curl komutunu çalıştırın.
```
curl --request PATCH \
'https://cloudsearch.googleapis.com/v1/settings/customer?updateMask=auditLoggingSettings&key=[YOUR_API_KEY]' \
--header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
--header 'Content-Type: application/json' \
--data '{"auditLoggingSettings": { "project": "projects/PROJECT_ID", "CATEGORY1": "true", "CATEGORY2": "true" } }'
```
Burada:
- YOUR_ACCESS_TOKEN, 4a adımında alınan OAuth 2.0 erişim jetonudur.
- PROJECT_ID, 2. adımda elde edilen proje kimliğidir.
- CATEGORY1, CATEGORY2, … 3. adımda etkinleştirmeyi seçtiğiniz kategorilerdir. Geçerli değerler logAdminReadActions, logDataWriteActions ve logDataReadActions şeklindedir. Yönetici yazma işlemleri varsayılan olarak etkindir ve devre dışı bırakılamaz. Sorgu yöntemleri için denetleme günlüğü oluşturmak istiyorsanız Veri okuma kategorisini etkinleştirmeniz gerekir.
AuditLoggingSettings güncellendikten sonra, Cloud Search API'ye yapılan diğer istekler AuditLoggingSettings politikasında belirtilen proje kimliğinde bir denetleme günlüğü oluşturur.
Sorgu yöntemleri için denetleme günlüğü, Veri okuma kategorisinin etkinleştirilmesini gerektirir (4. adımda yapılır). Sorgu yöntemlerinde (query.sources.list, query.suggest ve query.search) denetleme günlüğünü etkinleştirmek için şu ek adımları uygulayın:
1. Denetleme günlüğünü etkinleştirmek istediğiniz her arama uygulamasının adını alın. Ad, searchapplications/<search_application_id> biçiminde olmalıdır.
2. enableAuditLog true olarak ayarlanmış şekilde settings.searchapplications.update öğesini çağırmak için adı kullanın.
cloudsearch.google.com kaynaklı çağrılar için denetleme günlüğünü etkinleştirmek üzere Veri okuma kategorisinin etkinleştirildiğinden emin olun (4. adım). Buna ek olarak, searchapplications/default değerini name ile 5b adımını uygulayın .

Etkinleştirildikten sonra günlükler, Google Cloud Console'un Günlük Gezgini bölümünde görüntülenebilir. Yalnızca Cloud Search denetleme günlüklerini görüntülemek için aşağıdaki filtreyi kullanın:

protoPayload.serviceName="cloudsearch.googleapis.com"

Günlükleri görüntüleme hakkında bilgi edinmek için Günlük gezginine genel bakış bölümüne bakın.

Denetleme günlüğü izinleri

Identity and Access Management izinleri ve rolleri, görüntüleyebileceğiniz veya dışa aktarabileceğiniz denetleme günlüklerini belirler. Günlükler, Cloud projelerinde ve kuruluşlar, klasörler ve Cloud Billing hesapları gibi diğer varlıklarda bulunur. Daha fazla bilgi için Rolleri anlama bölümüne bakın.

Yönetici Etkinliği denetleme günlüklerini görüntülemek için projede denetleme günlüklerinizi içeren aşağıdaki IAM rollerinden birine sahip olmanız gerekir:

Proje Sahibi, Proje Düzenleyici veya Proje Görüntüleyici
Logging Günlük Görüntüleyici rolü
logging.logEntries.list IAM iznine sahip özel IAM rolü

Veri Erişimi denetleme günlüklerini görüntülemek için projede denetleme günlüklerinizi içeren aşağıdaki rollerden birine sahip olmanız gerekir:

Proje Sahibi
Logging'in Özel Günlük Görüntüleyici rolü
logging.privateLogEntries.list IAM iznine sahip özel IAM rolü

Bir kuruluş gibi proje harici bir varlığın denetleme günlüklerini kullanıyorsanız Cloud projesi rollerini uygun kuruluş rolleriyle değiştirin.

Günlükleri göster

Denetleme günlüklerini bulmak ve görüntülemek için denetleme günlüğü bilgilerini görüntülemek istediğiniz Cloud projesinin, klasörün veya kuruluşun tanımlayıcısını bilmeniz gerekir. Dizine eklenmiş diğer LogEntry alanlarını (ör. resource.type) daha ayrıntılı olarak belirleyebilirsiniz. Ayrıntılar için Günlük Gezgini'nde sorgu oluşturma bölümünü inceleyin.

Aşağıda denetleme günlüğü adları verilmiştir. Bu adlar Cloud projesi, klasör veya kuruluşun tanımlayıcıları için değişkenler içerir:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Denetleme günlüğü girişlerinizi görüntülemek için kullanabileceğiniz çeşitli seçenekler vardır.

kullanın.

Konsol

Cloud Console'daki Günlük Gezgini'ni kullanarak Cloud projenizle ilgili denetleme günlüğü girişlerinizi alabilirsiniz:

Cloud Console'da Günlük Kaydı > Günlük Gezgini sayfasına gidin.

Günlük Gezgini sayfasına gidin

Not: Eski Günlük Görüntüleyici sayfasını kullanıyorsanız Günlük Gezgini sayfasına geçin.
Günlük Gezgini sayfasında mevcut bir Cloud projesini seçin.
Sorgu oluşturucu bölmesinde aşağıdakileri yapın:
- Kaynak bölümünde, denetleme günlüklerini görmek istediğiniz Google Cloud kaynak türünü seçin.
- Günlük adı bölümünde, görmek istediğiniz denetleme günlüğü türünü seçin:
  - Yönetici Etkinliği denetleme günlükleri için etkinlik'i seçin.
  - Veri Erişimi denetleme günlükleri için data_access'i seçin.
  - Sistem Etkinliği denetleme günlükleri için system_event öğesini seçin.
  - Politika Reddedildi denetleme günlükleri için politika'yı seçin.
Bu seçenekleri görmüyorsanız Cloud projesinde bu tür bir denetleme günlüğü yok demektir.

Yeni Günlük Gezgini'ni kullanarak sorgulama hakkında daha fazla bilgi için Günlük Gezgini'nde sorgu oluşturma bölümüne bakın.

gcloud

gcloud, Logging API'ye bir komut satırı arayüzü sunar. Günlük adlarının her birinde geçerli bir PROJECT_ID, FOLDER_ID veya ORGANIZATION_ID sağlayın.

Google Cloud proje düzeyindeki denetleme günlüğü girişlerinizi okumak için aşağıdaki komutu çalıştırın:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

Klasör düzeyinde denetleme günlüğü girişlerinizi okumak için aşağıdaki komutu çalıştırın:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

Kuruluş düzeyindeki denetleme günlüğü girişlerinizi okumak için aşağıdaki komutu çalıştırın:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

gcloud aracını kullanma hakkında daha fazla bilgi için gcloud logging read bölümüne bakın.

API

Sorgularınızı oluştururken değişkenleri geçerli değerlerle değiştirin ve denetim günlüğü adlarında listelenen proje düzeyinde, klasör düzeyinde veya kuruluş düzeyinde denetleme günlüğü adını ya da tanımlayıcıları değiştirin. Örneğin, sorgunuzda PROJECT_ID bulunuyorsa sağladığınız proje tanımlayıcısı o anda seçili olan Cloud projesine başvurmalıdır.

Denetleme günlüğü girişlerinize bakmak üzere Logging API'yi kullanmak için aşağıdakileri yapın:

entries.list yöntemiyle ilgili dokümanlarda Bu API'yi deneyin bölümüne gidin.
Aşağıdakileri, Bu API'yi deneyin formunun İstek gövdesi bölümüne girin. Önceden doldurulmuş bu formu tıkladığınızda istek gövdesi otomatik olarak doldurulur ancak günlük adlarının her birinde geçerli bir PROJECT_ID sağlamanız gerekir.
```
{
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}
```
Execute (Yürüt) seçeneğini tıklayın.

Sorgulama hakkında daha fazla bilgi için Günlük kaydı sorgu dili bölümüne bakın.

Örnek bir denetleme günlüğü girişi ve bu girişteki en önemli bilgilerin nasıl bulunacağını öğrenmek için Denetleme günlüklerini anlama bölümünü inceleyin.

Denetleme günlüklerini dışa aktarma

Denetleme günlüklerini, diğer günlük türlerini dışa aktardığınız şekilde dışa aktarabilirsiniz. Günlüklerinizi dışa aktarmayla ilgili ayrıntılar için Günlükleri dışa aktarma bölümüne bakın. Denetleme günlüklerini dışa aktarmayla ilgili bazı uygulamalar:

Denetleme günlüklerini daha uzun süre saklamak veya daha güçlü arama özelliklerinden yararlanmak için denetleme günlüklerinizin kopyalarını Cloud Storage, BigQuery veya Pub/Sub'a aktarabilirsiniz. Pub/Sub'ı kullanarak başka uygulamalara, diğer depolara ve üçüncü taraflara aktarabilirsiniz.
Denetleme günlüklerinizi kuruluşun tamamında yönetmek için kuruluştaki herhangi bir Cloud projesinden veya tüm Cloud projelerinden günlükleri dışa aktarabilen toplu havuzlar oluşturabilirsiniz.
Etkinleştirilmiş Veri Erişimi denetleme günlükleriniz, Cloud projelerinizi günlük servis birimlerinin üzerine aktarıyorsa Veri Erişimi denetleme günlüklerini dışa aktarabilir ve Logging'den hariç tutabilirsiniz. Ayrıntılar için Günlükleri hariç tutma bölümünü inceleyin.

Fiyatlandırma ve elde tutma

Cloud Logging, tüm Yönetici Etkinliği denetleme günlükleri dahil, devre dışı bırakılamayan denetleme günlükleri için sizden ücret almaz. Cloud Logging, açıkça istediğiniz Veri Erişimi denetleme günlükleri için sizden ücret alır.

Denetleme günlükleri fiyatlandırması hakkında daha fazla bilgi için Google Cloud işlem paketi fiyatlandırması bölümüne bakın.

Cloud Search denetleme günlükleriyle ilişkili depolama süresi şu şekildedir:

Yönetici Etkinliği günlükleri (veya Yönetici Yazma) - Bu günlükler 400 gün boyunca saklanır.
Veri Erişimi günlükleri (Yönetici Okuma, Veri Yazma ve Veri Okuma): Bu günlükler 30 gün boyunca saklanır.

Depolama süresi hakkında daha fazla bilgi için Günlük tutma süreleri bölümüne bakın.

Mevcut sınırlamalar

Cloud Search denetleme günlük kaydı şu anda aşağıdaki sınırlamalara sahiptir:

Günlük girişinin boyutu 512 KB'tan az olmalıdır. Boyut 512 KB'ı aşarsa yanıt, günlük girişinden çıkarılır. Bu işlem, boyutu 512 KB veya daha düşük bir değere indirgemezse istek iptal edilir. Son olarak, boyut hâlâ 512 KB'ı aşıyorsa günlük girişi atlanır.
list(), get() ve suggest() yöntemleri için yanıt gövdeleri günlüğe kaydedilmez. Ancak yanıt durumları mevcuttur.
Yalnızca cloudsearch.google.com (etkinse) ve müşteri arama uygulamalarından gelen Sorgu API'si çağrıları günlüğe kaydedilir.
search() aramaları için isteğe yalnızca Query, RequestOptions ve DataSourceRestriction kaydedilir. Yanıtta her bir SearchResult için yalnızca URL ve meta veriler (kaynak ve objectType) denetlenir.
Cloud Search arka ucuna yapılan ve veri dışa aktarmayla ilişkili çağrılar denetlenmez.