Trang này được dịch bởi Cloud Translation API.

Ghi nhật ký kiểm tra

Trang này mô tả nhật ký kiểm tra do Cloud Search tạo ra trong Nhật ký kiểm tra trên Cloud.

Tổng quan

Các dịch vụ của Google Cloud ghi nhật ký kiểm tra để giúp bạn trả lời các câu hỏi "Ai đã làm gì, ở đâu và khi nào" trong tài nguyên của bạn. Các dự án trên Google Cloud chỉ chứa nhật ký kiểm tra cho các tài nguyên nằm ngay trong dự án. Các thực thể khác, chẳng hạn như thư mục, tổ chức và tài khoản Cloud Billing, chứa nhật ký kiểm tra cho chính thực thể đó.

Để biết thông tin tổng quan chung về Nhật ký kiểm tra trên Cloud, hãy xem bài viết Nhật ký kiểm tra trên Cloud. Để hiểu rõ hơn về Nhật ký kiểm tra trên Cloud, hãy xem bài viết Tìm hiểu về nhật ký kiểm tra.

Cloud Audit Logs cung cấp các nhật ký kiểm tra sau đây cho từng dự án, thư mục và tổ chức trên Google Cloud:

Nhật ký kiểm tra Hoạt động của quản trị viên chứa các mục tương ứng với các phương thức thực hiện thao tác ghi của Quản trị viên. Các phương thức tương ứng với Hoạt động quản trị:Thao tác ghi của quản trị viên sẽ được đề cập trong phần Thao tác được kiểm tra sắp tới.
Nhật ký kiểm tra quyền truy cập dữ liệu chứa các mục tương ứng với các phương thức thực hiện thao tác Đọc của quản trị viên, Ghi dữ liệu và Đọc dữ liệu. Các phương thức tương ứng với thao tác Data Access:Admin read (Quyền truy cập dữ liệu: Quản trị viên đọc), Data Access:Data write (Quyền truy cập dữ liệu: Ghi dữ liệu), Data Access:Data read (Quyền truy cập dữ liệu: Đọc dữ liệu) sẽ được đề cập trong phần Thao tác được kiểm tra sắp tới.
Nhật ký kiểm tra sự kiện hệ thống
Nhật ký kiểm tra về việc bị từ chối do vi phạm chính sách

Cloud Search ghi nhật ký kiểm tra Hoạt động của quản trị viên. Nhật ký này ghi lại các thao tác chỉnh sửa cấu hình hoặc siêu dữ liệu của một tài nguyên. Bạn không thể tắt nhật ký kiểm tra Hoạt động của quản trị viên.

Chỉ khi bạn bật một cách rõ ràng, Cloud Search mới ghi nhật ký kiểm tra Quyền truy cập dữ liệu. Nhật ký kiểm tra quyền truy cập dữ liệu chứa các lệnh gọi API đọc cấu hình hoặc siêu dữ liệu của tài nguyên, cũng như các lệnh gọi API do người dùng điều khiển để tạo, sửa đổi hoặc đọc dữ liệu tài nguyên do người dùng cung cấp.

Cloud Search không ghi nhật ký kiểm tra Sự kiện hệ thống.

Cloud Search không ghi nhật ký kiểm tra Policy Denied (Bị từ chối theo chính sách).

Hoạt động đã kiểm tra

Phần sau đây tóm tắt những thao tác API tương ứng với từng loại nhật ký kiểm tra trong Cloud Search:

Danh mục nhật ký kiểm tra	Thao tác trên Cloud Search
Hoạt động của quản trị viên: Quản trị viên ghi	indexing.datasources.updateSchema indexing.datasources.deleteSchema settings.datasources.create settings.datasources.delete settings.datasources.update settings.searchapplications.create settings.searchapplications.delete settings.searchapplications.reset settings.searchapplications.update settings.updateCustomer cloudsearch.IdentitySourceService.create cloudsearch.IdentitySourceService.update cloudsearch.IdentitySourceService.delete
Quyền truy cập dữ liệu: Quản trị viên có thể đọc	indexing.datasources.getSchema settings.datasources.get settings.datasources.list settings.searchapplications.get settings.searchapplications.list settings.getCustomer cloudsearch.IdentitySourceService.get cloudsearch.IdentitySourceService.list
Quyền truy cập dữ liệu: Ghi dữ liệu	indexing.datasources.items.delete indexing.datasources.items.deleteQueueItems indexing.datasources.items.index indexing.datasources.items.poll indexing.datasources.items.push indexing.datasources.items.unreserve indexing.datasources.items.upload media.upload
Quyền truy cập dữ liệu: Đọc dữ liệu	indexing.datasources.items.get indexing.datasources.items.list operations.get operations.list debug.datasources.items.checkAccess debug.datasources.items.searchByViewUrl stats.getIndex stats.getQuery stats.getSession stats.getUser stats.index.datasources.get stats.query.searchapplications.get stats.session.searchapplications.get stats.user.search applications.get debug.identitysources.items.listForunmappedidentity debug.identitysources.unmappedids.list debug.datasources.items.unmappedids.list query.sources.list query.suggest query.search stats.getSearchapplication

Định dạng nhật ký kiểm tra

Các mục nhập nhật ký kiểm tra (có thể xem trong Cloud Logging bằng Trình khám phá nhật ký, API Cloud Logging hoặc công cụ dòng lệnh gcloud) bao gồm các đối tượng sau:

Bản thân mục nhập nhật ký là một đối tượng thuộc loại LogEntry. Sau đây là một số trường hữu ích:

logName chứa mã nhận dạng tài nguyên và loại nhật ký kiểm tra.
resource chứa mục tiêu của thao tác được kiểm tra.
timeStamp chứa thời gian của thao tác được kiểm tra.
protoPayload chứa thông tin được kiểm tra.
Dữ liệu ghi nhật ký kiểm tra, là một đối tượng AuditLog được lưu giữ trong trường protoPayload của mục nhập nhật ký.

Thông tin kiểm tra không bắt buộc theo dịch vụ, là một đối tượng theo dịch vụ. Đối với các hoạt động tích hợp trước đó, đối tượng này được lưu giữ trong trường serviceData của đối tượng AuditLog; các hoạt động tích hợp sau này sử dụng trường metadata.

Để biết các trường khác trong các đối tượng này và cách diễn giải các trường đó, hãy xem bài viết Tìm hiểu nhật ký kiểm tra.

Tên nhật ký

Tên tài nguyên của Nhật ký kiểm tra trên Cloud cho biết dự án Cloud hoặc pháp nhân khác trên Google Cloud sở hữu nhật ký kiểm tra, cũng như liệu nhật ký có chứa dữ liệu nhật ký kiểm tra Hoạt động của quản trị viên, Truy cập dữ liệu, Bị từ chối theo chính sách hoặc Sự kiện hệ thống hay không. Ví dụ: phần sau đây cho thấy tên nhật ký cho nhật ký kiểm tra Hoạt động của quản trị viên ở cấp dự án và nhật ký kiểm tra Quyền truy cập dữ liệu của một tổ chức. Các biến này biểu thị giá trị nhận dạng dự án và tổ chức.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Tên dịch vụ

Nhật ký kiểm tra của Cloud Search sử dụng tên dịch vụ cloudsearch.googleapis.com.

Loại tài nguyên

Nhật ký kiểm tra của Cloud Search sử dụng loại tài nguyên audited_resource cho tất cả các nhật ký kiểm tra.

Để xem danh sách các loại tài nguyên khác, hãy xem phần Các loại tài nguyên được theo dõi.

Bật tính năng ghi nhật ký kiểm tra

Theo mặc định, tính năng ghi nhật ký kiểm tra sẽ tắt đối với API Tìm kiếm trên đám mây. Cách bật tính năng ghi nhật ký kiểm tra cho Google Cloud Search:

(không bắt buộc) Nếu bạn chưa tạo dự án Google Cloud Platform để lưu trữ các nhật ký, hãy tham khảo phần Định cấu hình quyền truy cập vào API Google Cloud Search.
Lấy mã dự án cho Google Cloud mà bạn muốn lưu trữ nhật ký. Để tìm hiểu cách lấy mã dự án, hãy tham khảo bài viết Xác định dự án.
Để bật tính năng ghi nhật ký kiểm tra cho một API cụ thể, bạn cần xác định danh mục nhật ký của API đó để bật. Đối với các API và danh mục tương ứng, hãy tham khảo phần Thao tác được kiểm tra ở phần đầu tài liệu này.
Sử dụng phương thức API REST updateCustomer() để cập nhật auditLogSettings bằng các danh mục nhật ký cần bật:
1. Lấy mã thông báo truy cập OAuth 2.0 từ Máy chủ uỷ quyền của Google. Để biết thông tin về cách lấy mã thông báo, hãy tham khảo bước 2 trong bài viết Sử dụng OAuth 2.0 để truy cập vào API của Google. Sử dụng một trong các phạm vi OAuth sau đây trong khi lấy mã truy cập:
  - https://www.googleapis.com/auth/cloud_search.settings.indexing
  - https://www.googleapis.com/auth/cloud_search.settings
  - https://www.googleapis.com/auth/cloud_search
2. Chạy lệnh curl sau.
```
curl --request PATCH \
'https://cloudsearch.googleapis.com/v1/settings/customer?updateMask=auditLoggingSettings&key=[YOUR_API_KEY]' \
--header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
--header 'Content-Type: application/json' \
--data '{"auditLoggingSettings": { "project": "projects/PROJECT_ID", "CATEGORY1": "true", "CATEGORY2": "true" } }'
```
Trong trường hợp:
- YOUR_ACCESS_TOKEN là mã truy cập OAuth 2.0 thu được ở bước 4a.
- PROJECT_ID là mã dự án thu được ở bước 2.
- CATEGORY1, CATEGORY2, … là các danh mục mà bạn đã chọn bật trong bước 3. Các giá trị hợp lệ là logAdminReadActions, logDataWriteActions và logDataReadActions. Theo mặc định, các thao tác ghi của quản trị viên được bật và không thể tắt. Nếu muốn ghi nhật ký kiểm tra cho các phương thức truy vấn, bạn phải bật danh mục Đọc dữ liệu.
Sau khi cập nhật AuditLoggingSettings, các yêu cầu khác đến API Tìm kiếm trên đám mây sẽ tạo nhật ký kiểm tra trong mã dự án được chỉ định trong AuditLoggingSettings.
Để ghi nhật ký kiểm tra cho các phương thức truy vấn, bạn phải bật danh mục Đọc dữ liệu (đã thực hiện ở bước 4). Để bật tính năng ghi nhật ký kiểm tra cho các phương thức truy vấn (query.sources.list, query.suggest và query.search), hãy làm theo các bước bổ sung sau:
1. Đối với mỗi ứng dụng tìm kiếm mà bạn muốn bật tính năng ghi nhật ký kiểm tra, hãy truy xuất tên. Tên phải ở dạng searchapplications/<search_application_id>.
2. Sử dụng tên để gọi settings.searchapplications.update với enableAuditLog được đặt thành true.
Để bật tính năng ghi nhật ký kiểm tra cho các lệnh gọi từ cloudsearch.google.com, hãy đảm bảo bạn đã bật danh mục Đọc dữ liệu (bước 4). Ngoài ra, hãy thực hiện bước 5b với name là searchapplications/default .

Sau khi bật, bạn có thể xem nhật ký trong phần Trình khám phá nhật ký của Google Cloud Console. Sử dụng bộ lọc sau để chỉ xem nhật ký kiểm tra của Cloud Search:

protoPayload.serviceName="cloudsearch.googleapis.com"

Để biết thông tin về cách xem nhật ký, hãy tham khảo bài viết Tổng quan về trình khám phá nhật ký.

Quyền đối với nhật ký kiểm tra

Quyền và vai trò trong tính năng Quản lý danh tính và quyền truy cập xác định những nhật ký kiểm tra mà bạn có thể xem hoặc xuất. Nhật ký nằm trong các dự án trên Cloud và trong một số thực thể khác, bao gồm cả tổ chức, thư mục và tài khoản Cloud Billing. Để biết thêm thông tin, hãy xem phần Tìm hiểu về vai trò.

Để xem nhật ký kiểm tra Hoạt động của quản trị viên, bạn phải có một trong các vai trò IAM sau đây trong dự án chứa nhật ký kiểm tra của bạn:

Chủ sở hữu dự án, Người chỉnh sửa dự án hoặc Người xem dự án
Vai trò Người xem nhật ký trong tính năng Ghi nhật ký
Một vai trò IAM tuỳ chỉnh có quyền IAM logging.logEntries.list

Để xem nhật ký kiểm tra Quyền truy cập dữ liệu, bạn phải có một trong các vai trò sau trong dự án chứa nhật ký kiểm tra của bạn:

Chủ sở hữu dự án
Vai trò Người xem nhật ký riêng tư của tính năng Ghi nhật ký
Vai trò IAM tuỳ chỉnh có quyền IAM logging.privateLogEntries.list

Nếu bạn đang sử dụng nhật ký kiểm tra từ một thực thể không phải dự án, chẳng hạn như một tổ chức, hãy thay đổi các vai trò của dự án trên Google Cloud thành các vai trò phù hợp của tổ chức.

Xem nhật ký

Để tìm và xem nhật ký kiểm tra, bạn cần biết giá trị nhận dạng của dự án, thư mục hoặc tổ chức trên Google Cloud mà bạn muốn xem thông tin nhật ký kiểm tra. Bạn có thể chỉ định thêm các trường LogEntry được lập chỉ mục khác, chẳng hạn như resource.type; để biết thông tin chi tiết, hãy xem bài viết Tạo truy vấn trong Trình khám phá nhật ký.

Sau đây là tên nhật ký kiểm tra; các tên này bao gồm các biến cho giá trị nhận dạng của dự án, thư mục hoặc tổ chức trên Google Cloud:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Bạn có một số cách để xem các mục trong nhật ký kiểm tra.

Giao diện dòng lệnh

Bạn có thể sử dụng Trình khám phá nhật ký trong Cloud Console để truy xuất các mục nhật ký kiểm tra cho dự án trên Google Cloud:

Trong Cloud Console, hãy chuyển đến trang Logging > Logs Explorer (Ghi nhật ký > Trình khám phá nhật ký).

Chuyển đến trang Trình khám phá nhật ký

Lưu ý: Nếu bạn đang sử dụng trang Trình xem nhật ký cũ, hãy chuyển sang trang Trình khám phá nhật ký.
Trên trang Trình khám phá nhật ký, hãy chọn một dự án hiện có trên đám mây.
Trong ngăn Trình tạo truy vấn, hãy làm như sau:
- Trong mục Tài nguyên, hãy chọn loại tài nguyên Google Cloud có nhật ký kiểm tra mà bạn muốn xem.
- Trong mục Tên nhật ký, hãy chọn loại nhật ký kiểm tra mà bạn muốn xem:
  - Đối với nhật ký kiểm tra Hoạt động của quản trị viên, hãy chọn hoạt động.
  - Đối với nhật ký kiểm tra Quyền truy cập dữ liệu, hãy chọn data_access.
  - Đối với nhật ký kiểm tra Sự kiện hệ thống, hãy chọn system_event.
  - Đối với nhật ký kiểm tra bị từ chối do chính sách, hãy chọn chính sách.
Nếu bạn không thấy các tuỳ chọn này, thì tức là không có nhật ký kiểm tra nào thuộc loại đó trong dự án trên đám mây.

Để biết thêm thông tin chi tiết về cách truy vấn bằng Trình khám phá nhật ký mới, hãy xem phần Tạo truy vấn trong Trình khám phá nhật ký.

gcloud

gcloud cung cấp giao diện dòng lệnh cho API ghi nhật ký. Cung cấp PROJECT_ID, FOLDER_ID hoặc ORGANIZATION_ID hợp lệ trong mỗi tên nhật ký.

Để đọc các mục nhật ký kiểm tra cấp dự án trên Google Cloud, hãy chạy lệnh sau:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

Để đọc các mục nhập nhật ký kiểm tra ở cấp thư mục, hãy chạy lệnh sau:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

Để đọc các mục nhập nhật ký kiểm tra ở cấp tổ chức, hãy chạy lệnh sau:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

Để biết thêm thông tin về cách sử dụng công cụ gcloud, hãy xem gcloud logging read.

API

Khi tạo truy vấn, hãy thay thế các biến bằng các giá trị hợp lệ, thay thế tên hoặc giá trị nhận dạng nhật ký kiểm tra cấp dự án, cấp thư mục hoặc cấp tổ chức thích hợp như được liệt kê trong tên nhật ký kiểm tra. Ví dụ: nếu truy vấn của bạn bao gồm PROJECT_ID, thì giá trị nhận dạng dự án mà bạn cung cấp phải tham chiếu đến dự án trên Google Cloud đang được chọn.

Để sử dụng API ghi nhật ký nhằm xem các mục trong nhật ký kiểm tra, hãy làm như sau:

Chuyển đến phần Thử API này trong tài liệu về phương thức entries.list.
Đặt nội dung sau vào phần Nội dung yêu cầu của biểu mẫu Thử API này. Khi nhấp vào biểu mẫu được điền sẵn này, phần nội dung yêu cầu sẽ tự động được điền, nhưng bạn cần cung cấp một PROJECT_ID hợp lệ trong mỗi tên nhật ký.
```
{
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}
```
Nhấp vào Thực thi.

Để biết thêm thông tin chi tiết về việc truy vấn, hãy xem phần Ngôn ngữ truy vấn ghi nhật ký.

Để biết một mục nhật ký kiểm tra mẫu và cách tìm thông tin quan trọng nhất trong đó, hãy xem bài viết Tìm hiểu về nhật ký kiểm tra.

Xuất nhật ký kiểm tra

Bạn có thể xuất nhật ký kiểm tra theo cách tương tự như cách xuất các loại nhật ký khác. Để biết thông tin chi tiết về cách xuất nhật ký, hãy xem phần Xuất nhật ký. Dưới đây là một số ứng dụng của việc xuất nhật ký kiểm tra:

Để lưu giữ nhật ký kiểm tra trong thời gian dài hơn hoặc sử dụng các tính năng tìm kiếm mạnh mẽ hơn, bạn có thể xuất bản sao nhật ký kiểm tra sang Cloud Storage, BigQuery hoặc Pub/Sub. Khi sử dụng Pub/Sub, bạn có thể xuất sang các ứng dụng khác, các kho lưu trữ khác và bên thứ ba.
Để quản lý nhật ký kiểm tra trên toàn bộ tổ chức, bạn có thể tạo vùng chứa tổng hợp có thể xuất nhật ký từ bất kỳ hoặc tất cả dự án trên đám mây trong tổ chức.
Nếu nhật ký kiểm tra quyền truy cập dữ liệu đã bật của bạn đang đẩy các dự án trên Google Cloud vượt quá hạn mức nhật ký, bạn có thể xuất và loại trừ nhật ký kiểm tra quyền truy cập dữ liệu khỏi tính năng Ghi nhật ký. Để biết thông tin chi tiết, hãy xem phần Loại trừ nhật ký.

Giá và tỷ lệ giữ chân

Cloud Logging không tính phí bạn đối với những nhật ký kiểm tra không thể tắt, bao gồm cả tất cả nhật ký kiểm tra Hoạt động của quản trị viên. Cloud Logging sẽ tính phí bạn cho các nhật ký kiểm tra Truy cập dữ liệu mà bạn yêu cầu rõ ràng.

Để biết thêm thông tin về giá của nhật ký kiểm tra, hãy xem bài viết Bảng giá của bộ công cụ vận hành của Google Cloud.

Thời gian lưu trữ liên quan đến nhật ký kiểm tra của Cloud Search là:

Nhật ký Hoạt động của quản trị viên (hoặc Nhật ký ghi của quản trị viên) – Các nhật ký này được giữ lại trong 400 ngày.
Nhật ký truy cập dữ liệu (Quyền đọc của quản trị viên, Ghi dữ liệu và Đọc dữ liệu) – Các nhật ký này được giữ lại trong 30 ngày.

Để biết thêm thông tin về thời gian lưu trữ, hãy xem phần Khoảng thời gian lưu giữ nhật ký.

Các hạn chế hiện tại

Hiện tại, tính năng ghi nhật ký kiểm tra của Cloud Search có các hạn chế sau:

Kích thước của mục nhập nhật ký phải nhỏ hơn 512 KB. Nếu kích thước tăng lên quá 512 KB, thì phản hồi sẽ bị xoá khỏi mục nhập nhật ký. Nếu việc đó không làm giảm kích thước xuống còn 512 KB trở xuống, thì yêu cầu sẽ bị loại bỏ. Cuối cùng, nếu kích thước vẫn vượt quá 512 KB, thì mục nhập nhật ký sẽ bị loại bỏ.
Nội dung phản hồi không được ghi nhật ký cho các phương thức list(), get() và suggest(). Tuy nhiên, bạn có thể xem trạng thái phản hồi.
Chỉ các lệnh gọi API Truy vấn từ cloudsearch.google.com (nếu được bật) và ứng dụng tìm kiếm của khách hàng mới được ghi lại.
Đối với các lệnh gọi search(), chỉ Query, RequestOptions và DataSourceRestriction mới được ghi lại trong yêu cầu. Trong phản hồi, chỉ url và siêu dữ liệu (nguồn và objectType) cho mỗi SearchResult được kiểm tra.
Các lệnh gọi được đưa ra cho phần phụ trợ của Cloud Search và tương ứng với hoạt động xuất dữ liệu sẽ không được kiểm tra.