רישום ביקורת

בדף הזה מתוארים יומני הביקורת שנוצרים על ידי תוספים ל-Google Workspace כחלק מיומני הביקורת של Cloud.

סקירה כללית

יומני הביקורת של שירותי Google Cloud מיועדים לענות על השאלות "מי עשה מה, איפה ומתי?" הפרויקטים ב-Cloud מכילים רק את יומני הביקורת של המשאבים שנמצאים ישירות בתוך הפרויקט. ישויות אחרות, כמו תיקיות, ארגונים וחשבונות לחיוב ב-Cloud, מכילות את יומני הביקורת של הישות עצמה.

לפרטים נוספים, ראו יומני ביקורת של Cloud. להבנה עמוקה יותר של יומני הביקורת של Cloud, קראו את המאמר הסבר על יומני הביקורת.

לתוספים ל-Google Workspace יש גישה ליומני הביקורת מהסוגים הבאים:

  • יומני הביקורת Admin Activity

    כוללים רישום של פעולות 'admin write' לכתיבת מידע על מטא-נתונים או הגדרות.

    לא ניתן להשבית את יומני הביקורת Admin Activity.

פעולות מבוקרות

הרשימה הבאה מסכמת אילו פעולות API מתאימות לכל סוג של רישום ביומן הביקורת בתוספים של Google Workspace:

קטגוריית יומני הביקורת פעולות שקשורות לתוספים ל-Google Workspace
יומני הביקורת Admin Activity Projects.GetAuthorization
Deployments.CreateDeployment
Deployments.ReplaceDeployment
Deployments.ListDeployments
Deployments.GetDeployment
ךDeployments.DeleteDeployment
Deployments.InstallDeployment
Deployments.UninstallDeployment
Deployments.GetInstallStatus

הפורמט של יומן הביקורת

הרשומות ביומן הביקורת – שניתן להציג ב-Cloud Logging באמצעות Logs Viewer, Cloud Logging API או Google Cloud CLI – כוללות את האובייקטים הבאים:

  • הרשומה עצמה, שהיא אובייקט מסוג LogEntry. השדות השימושיים ברשומה:

    • השדה logName מכיל את סוג יומן הביקורת וזיהוי הפרויקט.
    • השדה resource מכיל את היעד של הפעולה המבוקרת.
    • השדה timeStamp מכיל את הזמן של הפעולה המבוקרת.
    • השדה protoPayload מכיל את המידע המבוקר.

  • אובייקט מסוג AuditLog ששמור בשדה protoPayload של הרשומה ביומן, ומכיל את הנתונים של יומני הביקורת.

  • (אופציונלי) אובייקט ספציפי לשירות שמכיל מידע מבוקר שספציפי לשירות. בשילובים קודמים, האובייקט הזה נשמר בשדה serviceData של האובייקט AuditLog. בשילובים מאוחרים יותר נעשה שימוש בשדה metadata.

למידע על שדות אחרים באובייקטים האלה, ואיך לפרש אותם, קראו את המאמר הסבר על יומני הביקורת.

שם יומן הביקורת

שמות המשאבים של יומני הביקורת ב-Cloud מציינים את הפרויקט ב-Cloud או ישות אחרת ב-Google Cloud שיומני הביקורת בבעלותם. בנוסף, הם מציינים אם היומן מכיל את נתוני הביקורת Admin Activity, Data Access או System Event. לדוגמה, למטה מוצגים שמות היומנים של יומני הביקורת Admin Activity של פרויקט ואת יומני הביקורת Data Access של ארגון. המשתנים מייצגים מזהים של פרויקטים וארגונים.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

שם השירות

יומני הביקורת של תוספים ל-Google Workspace משתמשים בשם השירות gsuiteaddons.googleapis.com.

למידע נוסף על כל שירותי הרישום ביומן, ראו מיפוי שירותים למשאבים.

סוגי המשאבים

יומני הביקורת של תוספי Google Workspace משתמשים בסוג המשאב audited_resource בכל יומני הביקורת.

לרשימה של סוגי המשאבים האחרים, קראו את המאמר סוגי המשאבים במעקב.

הפעלת רישום ביומן ביקורת

יומני הביקורת Admin Activity תמיד מופעלים, ולא ניתן להשבית אותם.

תוספי Google Workspace לא כותבים את יומני הביקורת Data Access.

הרשאות של יומן ביקורת

ההרשאות והתפקידים של ניהול הזהויות והרשאות הגישה קובעים אילו יומני ביקורת אתם יכולים להציג או לייצא. היומנים נמצאים בפרויקטים ב-Cloud ובישויות מסוימות אחרות, כולל ארגונים, תיקיות וחשבונות לחיוב ב-Cloud. למידע נוסף, ראו הסבר על תפקידים.

כדי להציג את יומני הביקורת Admin Activity, נדרש אחד מתפקידי ה-IAM הבאים בפרויקט שמכיל את יומני הביקורת:

התוספים ל-Google Workspace לא כותבים את יומני הביקורת Data Access ואת יומני הביקורת System Event.

אם אתם משתמשים ביומני ביקורת מישות שאינה קשורה לפרויקט, כמו ארגון, צריך לשנות את התפקידים של הפרויקט ב-Cloud לתפקידים מתאימים בארגון.

צפייה ביומנים

כדי למצוא יומני ביקורת ולהציג אותם, צריך לדעת מה המזהה של הפרויקט, התיקייה או הארגון ב-Cloud שבהם רוצים להציג את המידע של יומני הביקורת. אפשר להוסיף עוד שדות LogEntry שנוספו לאינדקס, כמו resource.type. למידע נוסף, קראו את המאמר יצירת שאילתות ב-Logs Explorer.

אלה השמות של יומני הביקורת, והם כוללים משתנים בהתאם למזהים של הפרויקט, התיקייה או הארגון ב-Cloud:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

יש כמה אפשרויות להצגת הרשומות ביומן הביקורת.

מסוף

תוכלו להשתמש ב-Logs Explorer שבמסוף Cloud כדי לאחזר את הרשומות ביומן הביקורת של הפרויקט ב-Cloud:

  1. ב-Cloud Console, נכנסים לדף Logging > Logs Explorer.

    כניסה לדף Logs Explorer

  2. בדף Logs Explorer, בוחרים פרויקט קיים ב-Cloud.

  3. בחלונית Query builder:

    • בקטע Resource, בוחרים את סוג המשאב ב-Google Cloud שאת יומני הביקורת שלו רוצים להציג.

    • בקטע Log name, בוחרים את סוג יומן הביקורת שרוצים להציג:

      • ליומני הביקורת Admin Activity בוחרים באפשרות activity.
      • ליומני הביקורת Data Access בוחרים באפשרות data_access.
      • ליומני הביקורת System Event בוחרים באפשרות system_event.
      • ליומני הביקורת Policy Denied בוחרים באפשרות policy.

    אם האפשרויות האלה לא מוצגות, המשמעות היא שאין יומני ביקורת מאותו סוג בפרויקט ב-Cloud.

    מידע נוסף על הרצת שאילתות באמצעות הממשק החדש של Logs Explorer זמין במאמר יצירת שאילתות ב-Logs Explorer.

gcloud

הכלי Google Cloud CLI מספק גישה ל-Cloud Logging API באמצעות ממשק שורת הפקודה. צריך לציין PROJECT_ID, FOLDER_ID או ORGANIZATION_ID חוקיים בכל אחד משמות היומנים.

כדי להציג את הרשומות ביומן הביקורת ברמת הפרויקט ב-Google Cloud, מריצים את הפקודה הבאה:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

כדי להציג את הרשומות ביומן הביקורת ברמת התיקייה, מריצים את הפקודה הבאה:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

כדי להציג את הרשומות ביומן הביקורת ברמת הארגון, מריצים את הפקודה הבאה:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

מידע נוסף על השימוש ב-CLI של gcloud זמין במאמר gcloud logging read.

API

כשיוצרים את השאילתות, צריך להחליף את המשתנים בערכים חוקיים ולהחליף את המזהים או את השמות המתאימים של יומני הביקורת ברמת הפרויקט, ברמת התיקייה או ברמת הארגון, כפי שהם מפורטים בשמות של יומני הביקורת. לדוגמה, אם שאילתה כוללת את השדה PROJECT_ID, מזהה הפרויקט שאתם מציינים חייב להתייחס לפרויקט ב-Cloud שבחרתם.

כדי לבדוק את הרשומות ביומן הביקורת באמצעות Logging API:

  1. נכנסים לקטע Try this API במסמכי התיעוד של המתודה entries.list.

  2. מזינים את הפרטים הבאים בקטע Request body בטופס Try this API. אם לוחצים על הטופס למילוי פרטים אוטומטי, הקטע Request body יאוכלס בפרטים באופן אוטומטי אבל תצטרכו לספק PROJECT_ID תקין בכל אחד משמות היומנים.

    {
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}

  3. לוחצים על Execute.

למידע נוסף על שאילתות, תוכלו לקרוא את המאמר שפת שאילתות הרישום ביומן.

במאמר הסבר על יומני הביקורת תוכלו לראות דוגמה לרשומה ביומן הביקורת ואיך למצוא בה את המידע החשוב ביותר.

ייצוא של יומני ביקורת

הייצוא של יומני ביקורת זהה לייצוא של יומנים מסוגים אחרים. לפרטים על ייצוא היומנים, קראו את המאמר ייצוא יומנים. דוגמאות לייצוא יומני ביקורת:

  • אתם יכולים לייצא עותקים של יומני הביקורת ל-Cloud Storage, ל-BigQuery או ל-Pub/Sub, כדי לשמור את יומני הביקורת לפרק זמן ארוך יותר ולהשתמש ביכולות חיפוש מתקדמות יותר. באמצעות Pub/Sub תוכלו לייצא לאפליקציות אחרות, למאגרים אחרים ולצדדים שלישיים.

  • כדי לנהל את יומני הביקורת בארגון כולו, אתם יכולים ליצור aggregated sinks שיכולים לייצא יומנים מכל הפרויקטים ב-Cloud, או מחלקם.

תמחור

לא תחויבו ב-Cloud Logging על יומני ביקורת שלא ניתן להשבית, כולל יומני הביקורת Admin Activity.

למידע נוסף על התמחור של יומני ביקורת, קראו את המאמר מחירי חבילת התפעול של Google Cloud.