בדף הזה מתוארים יומני הביקורת שנוצרים על ידי תוספים ל-Google Workspace כחלק מיומני הביקורת של Cloud.
סקירה כללית
יומני הביקורת של שירותי Google Cloud מיועדים לענות על השאלות "מי עשה מה, איפה ומתי?" הפרויקטים ב-Cloud מכילים רק את יומני הביקורת של המשאבים שנמצאים ישירות בתוך הפרויקט. ישויות אחרות, כמו תיקיות, ארגונים וחשבונות לחיוב ב-Cloud, מכילות את יומני הביקורת של הישות עצמה.
לפרטים נוספים, ראו יומני ביקורת של Cloud. להבנה עמוקה יותר של יומני הביקורת של Cloud, קראו את המאמר הסבר על יומני הביקורת.
לתוספים ל-Google Workspace יש גישה ליומני הביקורת מהסוגים הבאים:
-
יומני הביקורת Admin Activity
כוללים רישום של פעולות 'admin write' לכתיבת מידע על מטא-נתונים או הגדרות.
לא ניתן להשבית את יומני הביקורת Admin Activity.
פעולות מבוקרות
הרשימה הבאה מסכמת אילו פעולות API מתאימות לכל סוג של רישום ביומן הביקורת בתוספים של Google Workspace:
קטגוריית יומני הביקורת | פעולות שקשורות לתוספים ל-Google Workspace |
---|---|
יומני הביקורת Admin Activity | Projects.GetAuthorization Deployments.CreateDeployment Deployments.ReplaceDeployment Deployments.ListDeployments Deployments.GetDeployment ךDeployments.DeleteDeployment Deployments.InstallDeployment Deployments.UninstallDeployment Deployments.GetInstallStatus |
הפורמט של יומן הביקורת
הרשומות ביומן הביקורת – שניתן להציג ב-Cloud Logging באמצעות Logs Viewer, Cloud Logging API או Google Cloud CLI – כוללות את האובייקטים הבאים:
הרשומה עצמה, שהיא אובייקט מסוג
LogEntry
. השדות השימושיים ברשומה:- השדה
logName
מכיל את סוג יומן הביקורת וזיהוי הפרויקט. - השדה
resource
מכיל את היעד של הפעולה המבוקרת. - השדה
timeStamp
מכיל את הזמן של הפעולה המבוקרת. - השדה
protoPayload
מכיל את המידע המבוקר.
- השדה
אובייקט מסוג
AuditLog
ששמור בשדהprotoPayload
של הרשומה ביומן, ומכיל את הנתונים של יומני הביקורת.(אופציונלי) אובייקט ספציפי לשירות שמכיל מידע מבוקר שספציפי לשירות. בשילובים קודמים, האובייקט הזה נשמר בשדה
serviceData
של האובייקטAuditLog
. בשילובים מאוחרים יותר נעשה שימוש בשדהmetadata
.
למידע על שדות אחרים באובייקטים האלה, ואיך לפרש אותם, קראו את המאמר הסבר על יומני הביקורת.
שם יומן הביקורת
שמות המשאבים של יומני הביקורת ב-Cloud מציינים את הפרויקט ב-Cloud או ישות אחרת ב-Google Cloud שיומני הביקורת בבעלותם. בנוסף, הם מציינים אם היומן מכיל את נתוני הביקורת Admin Activity, Data Access או System Event. לדוגמה, למטה מוצגים שמות היומנים של יומני הביקורת Admin Activity של פרויקט ואת יומני הביקורת Data Access של ארגון. המשתנים מייצגים מזהים של פרויקטים וארגונים.
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
שם השירות
יומני הביקורת של תוספים ל-Google Workspace משתמשים בשם השירות
gsuiteaddons.googleapis.com
.
למידע נוסף על כל שירותי הרישום ביומן, ראו מיפוי שירותים למשאבים.
סוגי המשאבים
יומני הביקורת של תוספי Google Workspace משתמשים בסוג המשאב
audited_resource
בכל יומני הביקורת.
לרשימה של סוגי המשאבים האחרים, קראו את המאמר סוגי המשאבים במעקב.
הפעלת רישום ביומן ביקורת
יומני הביקורת Admin Activity תמיד מופעלים, ולא ניתן להשבית אותם.
תוספי Google Workspace לא כותבים את יומני הביקורת Data Access.
הרשאות של יומן ביקורת
ההרשאות והתפקידים של ניהול הזהויות והרשאות הגישה קובעים אילו יומני ביקורת אתם יכולים להציג או לייצא. היומנים נמצאים בפרויקטים ב-Cloud ובישויות מסוימות אחרות, כולל ארגונים, תיקיות וחשבונות לחיוב ב-Cloud. למידע נוסף, ראו הסבר על תפקידים.
כדי להציג את יומני הביקורת Admin Activity, נדרש אחד מתפקידי ה-IAM הבאים בפרויקט שמכיל את יומני הביקורת:- בעלי הפרויקט, עריכה בפרויקט או צפייה בפרויקט
- התפקיד Logs Viewer ב-Logging
- תפקיד IAM בהתאמה אישית עם הרשאת IAM
logging.logEntries.list
התוספים ל-Google Workspace לא כותבים את יומני הביקורת Data Access ואת יומני הביקורת System Event.
אם אתם משתמשים ביומני ביקורת מישות שאינה קשורה לפרויקט, כמו ארגון, צריך לשנות את התפקידים של הפרויקט ב-Cloud לתפקידים מתאימים בארגון.
צפייה ביומנים
כדי למצוא יומני ביקורת ולהציג אותם, צריך לדעת מה המזהה של הפרויקט, התיקייה או הארגון ב-Cloud שבהם רוצים להציג את המידע של יומני הביקורת. אפשר להוסיף עוד שדות LogEntry
שנוספו לאינדקס, כמו resource.type
. למידע נוסף, קראו את המאמר יצירת שאילתות ב-Logs Explorer.
אלה השמות של יומני הביקורת, והם כוללים משתנים בהתאם למזהים של הפרויקט, התיקייה או הארגון ב-Cloud:
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy
יש כמה אפשרויות להצגת הרשומות ביומן הביקורת.
מסוף
תוכלו להשתמש ב-Logs Explorer שבמסוף Cloud כדי לאחזר את הרשומות ביומן הביקורת של הפרויקט ב-Cloud:
ב-Cloud Console, נכנסים לדף Logging > Logs Explorer.
בדף Logs Explorer, בוחרים פרויקט קיים ב-Cloud.
בחלונית Query builder:
בקטע Resource, בוחרים את סוג המשאב ב-Google Cloud שאת יומני הביקורת שלו רוצים להציג.
בקטע Log name, בוחרים את סוג יומן הביקורת שרוצים להציג:
- ליומני הביקורת Admin Activity בוחרים באפשרות activity.
- ליומני הביקורת Data Access בוחרים באפשרות data_access.
- ליומני הביקורת System Event בוחרים באפשרות system_event.
- ליומני הביקורת Policy Denied בוחרים באפשרות policy.
אם האפשרויות האלה לא מוצגות, המשמעות היא שאין יומני ביקורת מאותו סוג בפרויקט ב-Cloud.
מידע נוסף על הרצת שאילתות באמצעות הממשק החדש של Logs Explorer זמין במאמר יצירת שאילתות ב-Logs Explorer.
gcloud
הכלי Google Cloud CLI מספק גישה ל-Cloud Logging API באמצעות ממשק שורת הפקודה. צריך לציין
PROJECT_ID
, FOLDER_ID
או ORGANIZATION_ID
חוקיים בכל אחד משמות היומנים.
כדי להציג את הרשומות ביומן הביקורת ברמת הפרויקט ב-Google Cloud, מריצים את הפקודה הבאה:
gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \ --project=PROJECT_ID
כדי להציג את הרשומות ביומן הביקורת ברמת התיקייה, מריצים את הפקודה הבאה:
gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \ --folder=FOLDER_ID
כדי להציג את הרשומות ביומן הביקורת ברמת הארגון, מריצים את הפקודה הבאה:
gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \ --organization=ORGANIZATION_ID
מידע נוסף על השימוש ב-CLI של gcloud
זמין במאמר gcloud logging read
.
API
כשיוצרים את השאילתות, צריך להחליף את המשתנים בערכים חוקיים ולהחליף את המזהים או את השמות המתאימים של יומני הביקורת ברמת הפרויקט, ברמת התיקייה או ברמת הארגון, כפי שהם מפורטים בשמות של יומני הביקורת. לדוגמה, אם שאילתה כוללת את השדה PROJECT_ID, מזהה הפרויקט שאתם מציינים חייב להתייחס לפרויקט ב-Cloud שבחרתם.
כדי לבדוק את הרשומות ביומן הביקורת באמצעות Logging API:
נכנסים לקטע Try this API במסמכי התיעוד של המתודה
entries.list
.מזינים את הפרטים הבאים בקטע Request body בטופס Try this API. אם לוחצים על הטופס למילוי פרטים אוטומטי, הקטע Request body יאוכלס בפרטים באופן אוטומטי אבל תצטרכו לספק
PROJECT_ID
תקין בכל אחד משמות היומנים.{ "resourceNames": [ "projects/PROJECT_ID" ], "pageSize": 5, "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" }
לוחצים על Execute.
למידע נוסף על שאילתות, תוכלו לקרוא את המאמר שפת שאילתות הרישום ביומן.
במאמר הסבר על יומני הביקורת תוכלו לראות דוגמה לרשומה ביומן הביקורת ואיך למצוא בה את המידע החשוב ביותר.
ייצוא של יומני ביקורת
הייצוא של יומני ביקורת זהה לייצוא של יומנים מסוגים אחרים. לפרטים על ייצוא היומנים, קראו את המאמר ייצוא יומנים. דוגמאות לייצוא יומני ביקורת:
אתם יכולים לייצא עותקים של יומני הביקורת ל-Cloud Storage, ל-BigQuery או ל-Pub/Sub, כדי לשמור את יומני הביקורת לפרק זמן ארוך יותר ולהשתמש ביכולות חיפוש מתקדמות יותר. באמצעות Pub/Sub תוכלו לייצא לאפליקציות אחרות, למאגרים אחרים ולצדדים שלישיים.
כדי לנהל את יומני הביקורת בארגון כולו, אתם יכולים ליצור aggregated sinks שיכולים לייצא יומנים מכל הפרויקטים ב-Cloud, או מחלקם.
תמחור
לא תחויבו ב-Cloud Logging על יומני ביקורת שלא ניתן להשבית, כולל יומני הביקורת Admin Activity.למידע נוסף על התמחור של יומני ביקורת, קראו את המאמר מחירי חבילת התפעול של Google Cloud.