Trang này được dịch bởi Cloud Translation API.

Ghi nhật ký kiểm tra

Trang này mô tả nhật ký kiểm tra do Cloud Search tạo trong Nhật ký kiểm tra của Cloud.

Tổng quan

Các dịch vụ của Google Cloud viết nhật ký kiểm tra để giúp bạn trả lời các câu hỏi "Ai đã làm gì, ở đâu và khi nào" trong tài nguyên của mình. Các dự án của bạn trên Cloud chỉ chứa nhật ký kiểm tra của những tài nguyên trực tiếp có trong dự án. Các thực thể khác, chẳng hạn như thư mục, tổ chức và tài khoản thanh toán Cloud, chứa nhật ký kiểm tra của chính thực thể đó.

Để biết thông tin tổng quan chung về Nhật ký kiểm tra trên Cloud, hãy xem bài viết Nhật ký kiểm tra của Cloud. Để hiểu rõ hơn về Nhật ký kiểm tra trên Cloud, hãy xem bài viết Tìm hiểu nhật ký kiểm tra.

Nhật ký kiểm tra trên đám mây cung cấp các nhật ký kiểm tra sau đây cho từng dự án, thư mục và tổ chức trên Google Cloud:

Nhật ký kiểm tra Hoạt động của quản trị viên chứa các mục tương ứng với các phương thức thực hiện thao tác ghi của Quản trị viên. Các phương thức tương ứng với Hoạt động quản trị:Thao tác ghi của quản trị viên được đề cập trong phần Hoạt động được kiểm tra sắp tới.
Nhật ký kiểm tra Quyền truy cập dữ liệu chứa các mục tương ứng với các phương thức thực hiện các thao tác Đọc quản trị, Ghi dữ liệu và Đọc dữ liệu. Các phương thức tương ứng với Quyền truy cập dữ liệu:Đọc bằng cách quản trị, Truy cập dữ liệu:Ghi dữ liệu, Truy cập dữ liệu:Thao tác đọc dữ liệu được đề cập trong phần Hoạt động được kiểm tra sắp tới.
Nhật ký kiểm tra Sự kiện hệ thống
Nhật ký kiểm tra bị từ chối do chính sách

Cloud Search ghi nhật ký kiểm tra Hoạt động của quản trị viên, ghi lại các hoạt động sửa đổi cấu hình hoặc siêu dữ liệu của tài nguyên. Bạn không thể tắt Nhật ký kiểm tra Hoạt động của quản trị viên.

Chỉ khi được bật rõ ràng, Cloud Search sẽ ghi nhật ký kiểm tra Quyền truy cập dữ liệu. Nhật ký kiểm tra Quyền truy cập dữ liệu chứa các lệnh gọi API đọc cấu hình hoặc siêu dữ liệu của tài nguyên, cũng như các lệnh gọi API do người dùng tạo, tạo, sửa đổi hoặc đọc dữ liệu tài nguyên do người dùng cung cấp.

Cloud Search không ghi nhật ký kiểm tra Sự kiện hệ thống.

Cloud Search không ghi nhật ký kiểm tra bị từ chối do chính sách.

Hoạt động được kiểm tra

Phần sau đây tóm tắt các hoạt động API tương ứng với từng loại nhật ký kiểm tra trong Cloud Search:

Danh mục nhật ký kiểm tra	Hoạt động trên Cloud Search
Hoạt động của quản trị viên: Ghi cho quản trị viên	Index.datasources.updateSchema indexing.datasources.deleteSchema settings.datasources.create settings.datasources.delete settings.datasources.update settings.searchapplications.create settings.searchapplications.delete settings.searchapplications.reset settings.searchapplications.update settings.update.updateIdentityService cloudsearch.IdentitySourceService.createcloudsearch.cloud.IdentityService.update
Quyền truy cập dữ liệu: Quyền quản trị đã đọc	indexing.datasources.getSchema settings.datasources.get settings.datasources.list settings.searchapplications.get settings.searchapplications.list settings.getCustomer cloudsearch.IdentitySourceService.get cloudsearch.IdentitySourceService.list
Quyền truy cập dữ liệu: Ghi dữ liệu	indexing.datasources.items.delete indexing.datasources.items.deleteQueueItems indexing.datasources.items.index indexing.datasources.items.poll indexing.datasources.items.push indexing.datasources.items.unreserve indexing.datasources.items.upload media.upload
Quyền truy cập dữ liệu: Đọc dữ liệu	index.datasources.items.get indexing.datasources.items.list operations.get operations.list debug.datasources.items.checkAccess debug.datasources.items.searchByViewUrl stats.getIndex stats.getQuery stats.getSession stats.getUser stats.index.datasources.get query.searchapplicationlist.index.index.datasources.get

Định dạng nhật ký kiểm tra

Các mục nhập trong nhật ký kiểm tra — bạn có thể xem trong tính năng Ghi nhật ký trên đám mây bằng Trình khám phá nhật ký, Cloud Logging API hoặc công cụ dòng lệnh gcloud — bao gồm các đối tượng sau:

Chính mục nhập nhật ký là một đối tượng thuộc loại LogEntry. Các trường hữu ích bao gồm:

logName chứa mã nhận dạng tài nguyên và loại nhật ký kiểm tra.
resource chứa mục tiêu của hoạt động được kiểm tra.
timeStamp chứa thời gian của hoạt động được kiểm tra.
protoPayload chứa thông tin đã được kiểm tra.
Dữ liệu ghi nhật ký kiểm tra, là đối tượng AuditLog được giữ trong trường protoPayload của mục nhập nhật ký.

Thông tin kiểm tra dành riêng cho dịch vụ tuỳ chọn, là đối tượng dành riêng cho dịch vụ. Để tích hợp trước đó, đối tượng này được giữ trong trường serviceData của đối tượng AuditLog; các tích hợp sau này sử dụng trường metadata.

Để biết các trường khác trong các đối tượng này và cách diễn giải các trường đó, hãy xem bài viết Tìm hiểu nhật ký kiểm tra.

Tên nhật ký

Tên tài nguyên Nhật ký kiểm tra trên đám mây cho biết dự án trên đám mây hoặc thực thể Google Cloud khác sở hữu nhật ký kiểm tra và liệu nhật ký có chứa dữ liệu ghi nhật ký kiểm tra Hoạt động quản trị, Quyền truy cập dữ liệu, Chính sách bị từ chối hay Sự kiện hệ thống hay không. Ví dụ: phần sau đây hiển thị tên nhật ký của nhật ký kiểm tra Hoạt động của quản trị viên cấp dự án và nhật ký kiểm tra Quyền truy cập dữ liệu của một tổ chức. Các biến biểu thị giá trị nhận dạng dự án và tổ chức.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Tên dịch vụ

Nhật ký kiểm tra trên Cloud Search sử dụng tên dịch vụ cloudsearch.googleapis.com.

Loại tài nguyên

Nhật ký kiểm tra trên Cloud Search sử dụng loại tài nguyên audited_resource cho tất cả nhật ký kiểm tra.

Để biết danh sách các loại tài nguyên khác, hãy xem phần Các loại tài nguyên được giám sát.

Bật tính năng ghi nhật ký kiểm tra

Theo mặc định, tính năng ghi nhật ký kiểm tra sẽ bị tắt cho Cloud Search API. Cách bật tính năng ghi nhật ký kiểm tra cho Google Cloud Search:

(không bắt buộc) Nếu bạn chưa tạo dự án Google Cloud Platform để lưu trữ nhật ký, hãy tham khảo phần Định cấu hình quyền truy cập vào API Google Cloud Search.
Lấy mã dự án cho Google Cloud mà bạn muốn lưu trữ nhật ký. Để tìm hiểu cách lấy mã dự án, hãy tham khảo phần Xác định dự án.
Để bật tính năng ghi nhật ký kiểm tra cho một API cụ thể, bạn cần xác định danh mục nhật ký của API đó để bật. Đối với các API và danh mục tương ứng, hãy tham khảo Các hoạt động đã kiểm tra ở phần trước của tài liệu này.
Sử dụng phương thức API REST updateCustomer() để cập nhật InspectionLogSettings bằng các danh mục nhật ký để bật:
1. Nhận mã truy cập OAuth 2.0 từ Máy chủ ủy quyền của Google. Để biết thông tin về cách lấy mã thông báo, hãy tham khảo bước 2 của bài viết Sử dụng OAuth 2.0 để truy cập vào các API của Google. Sử dụng một trong các phạm vi OAuth sau đây khi lấy mã truy cập:
  - https://www.googleapis.com/auth/cloud_search.settings.indexing
  - https://www.googleapis.com/auth/cloud_search.settings
  - https://www.googleapis.com/auth/cloud_search
2. Chạy lệnh curl sau đây.
```
curl --request PATCH \
'https://cloudsearch.googleapis.com/v1/settings/customer?updateMask=auditLoggingSettings&key=[YOUR_API_KEY]' \
--header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
--header 'Content-Type: application/json' \
--data '{"auditLoggingSettings": { "project": "projects/PROJECT_ID", "CATEGORY1": "true", "CATEGORY2": "true" } }'
```
Trong trường hợp:
- YOUR_ACCESS_TOKEN là mã truy cập OAuth 2.0 nhận được ở bước 4a.
- PROJECT_ID là mã dự án nhận được ở bước 2.
- CATEGORY1, CATEGORY2, … là các danh mục bạn chọn để bật trong bước 3. Các giá trị hợp lệ là logAdminReadActions, logDataWriteActions và logDataReadActions. Thao tác ghi của quản trị viên được bật theo mặc định và không thể tắt. Nếu muốn ghi nhật ký kiểm tra cho các phương thức truy vấn, bạn phải bật danh mục Đọc dữ liệu.
Sau khi cập nhật AuditLoggingSettings, các yêu cầu khác đối với Cloud Search API sẽ tạo nhật ký kiểm tra trong mã dự án được chỉ định trong AuditLoggingSettings.
Ghi nhật ký kiểm tra cho các phương thức truy vấn yêu cầu bật danh mục Đọc dữ liệu (thực hiện trong bước 4). Để bật tính năng ghi nhật ký kiểm tra cho các phương thức truy vấn (query.sources.list, query.suggest và query.search), hãy làm theo các bước bổ sung sau:
1. Đối với mỗi ứng dụng tìm kiếm mà bạn muốn bật tính năng ghi nhật ký kiểm tra, hãy truy xuất tên. Tên phải ở dạng searchapplications/<search_application_id>.
2. Sử dụng tên này để gọi settings.searchapplications.update với enableAuditLog được đặt thành true.
Để bật tính năng ghi nhật ký kiểm tra cho các lệnh gọi từ cloudsearch.google.com, hãy nhớ bật danh mục Đọc dữ liệu (bước 4). Ngoài ra, hãy thực hiện bước 5b với name là searchapplications/default .

Sau khi bật, bạn có thể xem nhật ký trong phần Trình khám phá nhật ký trên Google Cloud Console. Hãy dùng bộ lọc sau để chỉ xem nhật ký kiểm tra của Cloud Search:

protoPayload.serviceName="cloudsearch.googleapis.com"

Để biết thông tin về cách xem nhật ký, hãy tham khảo bài viết Tổng quan về trình khám phá nhật ký.

Quyền đối với nhật ký kiểm tra

Các quyền cũng như vai trò quản lý danh tính và quyền truy cập xác định những nhật ký kiểm tra mà bạn có thể xem hoặc xuất. Nhật ký nằm trong các dự án trên Cloud và trong một số thực thể khác, bao gồm cả tổ chức, thư mục và tài khoản thanh toán Cloud. Để biết thêm thông tin, hãy xem bài viết Tìm hiểu về vai trò.

Để xem nhật ký kiểm tra Hoạt động của quản trị viên, bạn phải có một trong các vai trò IAM sau đây trong dự án chứa nhật ký kiểm tra của mình:

Chủ sở hữu dự án, Người chỉnh sửa dự án hoặc Người xem dự án
Vai trò Trình xem nhật ký
Vai trò IAM tuỳ chỉnh có quyền IAM logging.logEntries.list

Để xem nhật ký kiểm tra Quyền truy cập dữ liệu, bạn phải có một trong những vai trò sau đây trong dự án chứa nhật ký kiểm tra của bạn:

Chủ sở hữu dự án
Vai trò Người xem nhật ký riêng tư của tính năng ghi nhật ký
Vai trò IAM tuỳ chỉnh có quyền IAM logging.privateLogEntries.list

Nếu bạn đang sử dụng nhật ký kiểm tra của một thực thể không phải dự án, chẳng hạn như một tổ chức, hãy thay đổi vai trò trong dự án trên Cloud thành các vai trò phù hợp trong tổ chức.

Xem nhật ký

Để tìm và xem nhật ký kiểm tra, bạn cần biết giá trị nhận dạng của dự án, thư mục hoặc tổ chức trên đám mây mà bạn muốn xem thông tin ghi nhật ký kiểm tra. Bạn có thể chỉ định thêm các trường LogEntry được lập chỉ mục khác, chẳng hạn như resource.type; để biết thông tin chi tiết, hãy xem bài viết Tạo truy vấn trong Trình khám phá nhật ký.

Sau đây là tên nhật ký kiểm tra; chúng bao gồm các biến cho giá trị nhận dạng của dự án, thư mục hoặc tổ chức trên Google Cloud:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Bạn có nhiều tùy chọn để xem các mục nhập nhật ký kiểm tra của mình.

Bảng điều khiển

Bạn có thể sử dụng Trình khám phá nhật ký trong Cloud Console để truy xuất các mục nhập nhật ký kiểm tra cho dự án trên Google Cloud của mình:

Trong Cloud Console, hãy chuyển đến trang Logging > Logs Explorer (Ghi nhật ký > Trình khám phá nhật ký).

Truy cập trang Trình khám phá nhật ký

Lưu ý: Nếu bạn đang sử dụng trang Trình xem nhật ký cũ, hãy chuyển sang trang Trình khám phá nhật ký.
Trên trang Logs Explorer (Trình khám phá nhật ký), hãy chọn một dự án Cloud hiện có.
Trong ngăn Trình tạo truy vấn, hãy làm như sau:
- Trong phần Tài nguyên, hãy chọn loại tài nguyên Google Cloud có nhật ký kiểm tra mà bạn muốn xem.
- Trong Tên nhật ký, hãy chọn loại nhật ký kiểm tra mà bạn muốn xem:
  - Đối với nhật ký kiểm tra Hoạt động của quản trị viên, hãy chọn hoạt động.
  - Đối với nhật ký kiểm tra Quyền truy cập dữ liệu, hãy chọn data_access.
  - Đối với nhật ký kiểm tra Sự kiện hệ thống, hãy chọn system_event.
  - Đối với nhật ký kiểm tra bị từ chối do vi phạm chính sách, hãy chọn chính sách.
Nếu bạn không thấy các tuỳ chọn này, thì tức là không có nhật ký kiểm tra thuộc loại đó trong dự án trên Google Cloud.

Để biết thêm thông tin chi tiết về cách truy vấn bằng Trình khám phá nhật ký mới, hãy xem bài viết Tạo truy vấn trong Trình khám phá nhật ký.

gcloud

gcloud cung cấp giao diện dòng lệnh cho Logging API. Hãy cung cấp PROJECT_ID, FOLDER_ID hoặc ORGANIZATION_ID hợp lệ trong mỗi tên nhật ký.

Để đọc các mục nhập nhật ký kiểm tra cấp dự án của Google Cloud, hãy chạy lệnh sau:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

Để đọc các mục nhập nhật ký kiểm tra cấp thư mục của bạn, hãy chạy lệnh sau:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

Để đọc các mục nhập nhật ký kiểm tra cấp tổ chức của bạn, hãy chạy lệnh sau:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

Để biết thêm thông tin về cách sử dụng công cụ gcloud, hãy xem gcloud logging read.

API

Khi tạo truy vấn, hãy thay thế các biến bằng giá trị hợp lệ, thay thế tên hoặc giá trị nhận dạng nhật ký kiểm tra cấp dự án, cấp thư mục hoặc cấp tổ chức như được liệt kê trong tên nhật ký kiểm tra. Ví dụ: nếu truy vấn của bạn bao gồm PROJECT_ID, thì giá trị nhận dạng dự án mà bạn cung cấp phải tham chiếu đến dự án Google Cloud hiện được chọn.

Để sử dụng API ghi nhật ký nhằm xem các mục nhập nhật ký kiểm tra, hãy làm như sau:

Chuyển đến mục Try this API (Dùng thử API này) trong tài liệu về phương thức entries.list.
Đặt nội dung sau vào phần Nội dung yêu cầu của biểu mẫu Try this API (Dùng thử API này). Khi bạn nhấp vào biểu mẫu được điền sẵn này, hệ thống sẽ tự động điền nội dung yêu cầu, nhưng bạn cần cung cấp PROJECT_ID hợp lệ trong mỗi tên nhật ký.
```
{
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}
```
Nhấp vào Thực thi.

Để biết thêm thông tin chi tiết về việc truy vấn, hãy xem phần Ngôn ngữ truy vấn ghi nhật ký.

Để biết mẫu mục nhập nhật ký kiểm tra và cách tìm thông tin quan trọng nhất trong mục đó, hãy xem bài viết Tìm hiểu về nhật ký kiểm tra.

Xuất nhật ký kiểm tra

Bạn có thể xuất nhật ký kiểm tra giống như cách bạn xuất các loại nhật ký khác. Để biết thông tin chi tiết về cách xuất nhật ký, hãy xem bài viết Xuất nhật ký. Sau đây là một số cách xuất nhật ký kiểm tra:

Để lưu giữ nhật ký kiểm tra trong thời gian dài hơn hoặc để sử dụng các tính năng tìm kiếm mạnh mẽ hơn, bạn có thể xuất bản sao nhật ký kiểm tra sang Cloud Storage, BigQuery hoặc Pub/Sub. Khi sử dụng Pub/Sub, bạn có thể xuất sang các ứng dụng khác, các kho lưu trữ khác và sang bên thứ ba.
Để quản lý nhật ký kiểm tra trong toàn bộ tổ chức, bạn có thể tạo các bồn lưu trữ dữ liệu tổng hợp có thể xuất nhật ký từ bất kỳ hoặc tất cả dự án trên Cloud trong tổ chức.
Nếu nhật ký kiểm tra Quyền truy cập dữ liệu đã bật đang chuyển các dự án trên đám mây của bạn sang các phân bổ nhật ký, thì bạn có thể xuất và loại trừ nhật ký kiểm tra Quyền truy cập dữ liệu khỏi tính năng Ghi nhật ký. Để biết thông tin chi tiết, hãy xem phần Loại trừ nhật ký.

Mức giá và tỷ lệ giữ chân

Tính năng Ghi nhật ký trên đám mây không tính phí cho bạn đối với các nhật ký kiểm tra không thể tắt, bao gồm cả mọi nhật ký kiểm tra Hoạt động của quản trị viên. Tính năng Ghi nhật ký trên đám mây sẽ tính phí cho bạn đối với các nhật ký kiểm tra Quyền truy cập dữ liệu mà bạn yêu cầu rõ ràng.

Để biết thêm thông tin về giá của nhật ký kiểm tra, hãy xem bài viết Giá của bộ hoạt động của Google Cloud.

Thời lượng lưu trữ liên kết với nhật ký kiểm tra trên Cloud Search là:

Nhật ký hoạt động của quản trị viên (hoặc nhật ký do quản trị viên ghi) – Các nhật ký này được lưu giữ trong 400 ngày.
Nhật ký truy cập dữ liệu (Quản trị viên đọc, Ghi dữ liệu và Đọc dữ liệu) – Các nhật ký này được lưu giữ trong 30 ngày.

Để biết thêm thông tin về thời lượng lưu trữ, hãy xem bài viết Thời gian lưu giữ nhật ký.

Các hạn chế hiện tại

Tính năng ghi nhật ký kiểm tra Cloud Search có các điểm hạn chế hiện tại sau đây:

Kích thước của mục nhập nhật ký phải nhỏ hơn 512 KB. Nếu kích thước vượt quá 512 KB, thì phản hồi sẽ bị loại bỏ khỏi mục nhập nhật ký. Nếu việc đó không làm giảm kích thước xuống còn 512 KB trở xuống, thì yêu cầu sẽ bị loại bỏ. Cuối cùng, nếu kích thước vẫn vượt quá 512 KB, thì mục nhập nhật ký sẽ bị loại bỏ.
Nội dung phản hồi không được ghi nhật ký cho phương thức list(), get() và suggest(). Tuy nhiên, vẫn có các trạng thái phản hồi.
Chỉ các lệnh gọi API Truy vấn từ cloudsearch.google.com (nếu được bật) và các ứng dụng tìm kiếm của khách hàng mới được ghi lại.
Đối với các lệnh gọi search(), chỉ Query, RequestOptions và DataSourceRestriction được ghi lại trong yêu cầu. Trong phản hồi, chỉ URL và siêu dữ liệu (nguồn và objectType) của từng SearchResult mới được kiểm tra.
Các lệnh gọi gửi đến phần phụ trợ Cloud Search và tương ứng với quá trình xuất dữ liệu sẽ không được kiểm tra.