Logowanie kontrolne

Na tej stronie opisujemy logi kontrolne tworzone przez dodatki do Google Workspace w ramach logów kontrolnych Cloud.

Opis

Usługi Google Cloud piszą logi kontrolne, aby pomóc Ci odpowiedzieć na pytania „Kto co, gdzie i kiedy?”. Twoje projekty Cloud zawierają tylko logi kontrolne zasobów, które znajdują się bezpośrednio w projekcie. Inne encje, takie jak foldery, organizacje i konta rozliczeniowe Cloud, zawierają dzienniki kontrolne samej encji.

Ogólne informacje o logach kontrolnych Cloud znajdziesz w artykule na temat logów kontrolnych Cloud. Jeśli chcesz lepiej zrozumieć logi kontrolne Cloud, przeczytaj artykuł Omówienie logów kontrolnych.

W przypadku dodatków do Google Workspace dostępne są te typy dzienników kontrolnych:

  • Logi kontrolne aktywności administratora

    Obejmuje operacje zapisu przez administratora, które zapisują metadane lub informacje o konfiguracji.

    Nie możesz wyłączyć dzienników kontrolnych aktywności administratora.

Operacje podlegające kontroli

Poniżej znajdziesz podsumowanie, które operacje interfejsu API odpowiadają poszczególnym typom logów kontrolnych w dodatkach do Google Workspace:

Kategoria dzienników kontrolnych Operacje dotyczące dodatków do Google Workspace
Logi kontrolne aktywności administratora Projects.GetAuthorization
Deployments.CreateDeployment
Deployments.ReplaceDeployment
Deployments.ListDeployments
Deployments.DeployGetment
Wdrożyć.

Format dziennika kontrolnego

Wpisy logu kontrolnego, które można wyświetlać w Cloud Logging za pomocą przeglądarki logów, Cloud Logging API lub Google Cloud CLI – zawierają te obiekty:

  • Sam wpis logu, który jest obiektem typu LogEntry. Przydatne pola to między innymi:

    • logName zawiera identyfikator projektu oraz typ logu kontrolnego.
    • Pole resource zawiera obiekt docelowy kontrolowanej operacji.
    • Pole timeStamp zawiera czas kontroli.
    • protoPayload zawiera informacje objęte audytem.

  • Dane logowania kontrolnego, które są obiektami AuditLog, przechowywanymi w polu protoPayload wpisu logu.

  • Opcjonalne informacje kontrolne dotyczące usługi, które są obiektami charakterystycznymi dla danej usługi. We wcześniejszych integracjach ten obiekt jest przechowywany w polu serviceData obiektu AuditLog. Późniejsze integracje korzystają z pola metadata.

Informacje o innych polach w tych obiektach i o tym, jak je interpretować, znajdziesz w artykule Omówienie logów kontrolnych.

Nazwa logu

Nazwy zasobów logów kontrolnych Cloud wskazują, do którego projektu należy projekt Cloud lub inny podmiot Google Cloud, a także czy dziennik zawiera dane dotyczące aktywności administratora, dostępu do danych lub zdarzeń systemowych. Poniżej znajdziesz na przykład nazwy logów kontrolnych aktywności administratora projektu i logów kontrolnych dostępu do danych organizacji. Zmienne oznaczają identyfikatory projektów i organizacji.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Nazwa usługi

Logi kontrolne dodatków do Google Workspace używają nazwy usługi gsuiteaddons.googleapis.com.

Informacje o wszystkich usługach logowania znajdziesz w artykule o mapowaniu usług do zasobów.

Typy zasobów

Logi kontrolne dodatków do Google Workspace używają typu zasobu audited_resource we wszystkich logach kontrolnych.

Listę innych typów zasobów znajdziesz w artykule Monitorowane typy zasobów.

Włączam logowanie kontrolne

Logi kontrolne aktywności administratora są zawsze włączone. Nie można ich wyłączyć.

Dodatki do Google Workspace nie zapisują dzienników kontrolnych dostępu do danych.

Uprawnienia logu kontrolnego

Uprawnienia i role Identity and Access Management określają, które logi kontrolne możesz wyświetlać lub eksportować. Logi znajdują się w projektach Cloud i w niektórych innych jednostkach, takich jak organizacje, foldery i konta rozliczeniowe Cloud. Więcej informacji znajdziesz w sekcji Omówienie ról.

Aby wyświetlać logi kontrolne aktywności administratora, musisz mieć w projekcie jedną z tych ról uprawnień, która zawiera logi kontrolne:

Dodatki do Google Workspace nie zapisują dzienników kontrolnych dostępu do danych ani dzienników kontrolnych zdarzeń systemowych.

Jeśli używasz logów kontrolnych z jednostki niebędącej projektem, takiej jak organizacja, zmień role w projekcie Cloud na odpowiednie role w organizacji.

Wyświetlanie logów

Aby znaleźć i wyświetlić logi kontrolne, musisz znać identyfikator projektu, folderu lub organizacji w Google Cloud, w przypadku których chcesz wyświetlić informacje dotyczące logów kontrolnych. Możesz dokładniej określić inne zindeksowane pola LogEntry, takie jak resource.type. Szczegółowe informacje znajdziesz w artykule Tworzenie zapytań w eksploratorze logów.

Poniżej znajdziesz nazwy logów kontrolnych, które zawierają zmienne identyfikatorów projektu, folderu lub organizacji Cloud:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Istnieje kilka opcji wyświetlania wpisów dziennika kontrolnego.

Konsola

Wpisy logu kontrolnego dotyczące projektu Cloud możesz pobrać za pomocą eksploratora logów w konsoli Cloud:

  1. W konsoli Cloud otwórz stronę Logowanie > Eksplorator logów.

    Otwórz stronę eksploratora logów

  2. Na stronie Eksplorator logów wybierz istniejący projekt Cloud.

  3. W panelu Kreator zapytań wykonaj te czynności:

    • W sekcji Zasób wybierz typ zasobu Google Cloud, którego logi kontrolne chcesz wyświetlić.

    • W sekcji Nazwa dziennika wybierz typ dziennika kontrolnego, który chcesz wyświetlić:

      • W sekcji Logi kontrolne aktywności administratora wybierz Aktywność.
      • W przypadku logów kontrolnych dostępu do danych wybierz data_access.
      • W dziennikach kontrolnych zdarzeń systemowych wybierz system_event.
      • W przypadku dzienników kontrolnych odrzuconych zasad wybierz zasada.

    Jeśli nie widzisz tych opcji, oznacza to, że w projekcie Cloud nie ma żadnych logów kontrolnych tego typu.

    Więcej informacji o zapytaniach za pomocą nowego eksploratora logów znajdziesz w artykule Tworzenie zapytań w eksploratorze logów.

gcloud

Interfejs wiersza poleceń Google Cloud udostępnia interfejs wiersza poleceń Cloud Logging API. Podaj prawidłową nazwę PROJECT_ID, FOLDER_ID lub ORGANIZATION_ID w każdej nazwie logu.

Aby odczytać wpisy logu kontrolnego na poziomie projektu Google Cloud, uruchom to polecenie:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

Aby odczytać wpisy dziennika kontrolnego na poziomie folderu, uruchom to polecenie:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

Aby odczytać wpisy w dzienniku kontrolnym na poziomie organizacji, uruchom to polecenie:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

Więcej informacji o korzystaniu z interfejsu wiersza poleceń gcloud znajdziesz w artykule gcloud logging read.

API

Podczas tworzenia zapytań zastąp zmienne prawidłowymi wartościami oraz zastąp odpowiednią nazwę logu kontrolnego na poziomie projektu, folderu lub organizacji bądź odpowiednie identyfikatory podane w nazwach logów kontrolnych. Jeśli na przykład zapytanie zawiera obiekt PROJECT_ID, podany przez Ciebie identyfikator projektu musi się odnosić do obecnie wybranego projektu Cloud.

Aby przejrzeć wpisy logu kontrolnego za pomocą interfejsu Logging API, wykonaj te czynności:

  1. Przejdź do sekcji Wypróbuj ten interfejs API w dokumentacji metody entries.list.

  2. W sekcji Treść żądania formularza Wypróbuj ten interfejs API umieść ten kod. Kliknięcie tego wstępnie wypełnionego formularza automatycznie wypełnia treść żądania, ale musisz podać prawidłową wartość PROJECT_ID w każdej nazwie logu.

    {
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}

  3. Kliknij Execute (Wykonaj).

Więcej informacji o wykonywaniu zapytań znajdziesz w artykule Język zapytań dotyczących logów.

Przykładowy wpis w logu kontrolnym i informacje o tym, jak znaleźć w nim najważniejsze informacje, znajdziesz w artykule Omówienie logów kontrolnych.

Eksportowanie dzienników kontrolnych

Dzienniki kontrolne możesz eksportować w taki sam sposób, w jaki eksportujesz inne rodzaje dzienników. Więcej informacji o eksportowaniu logów znajdziesz w artykule Eksportowanie logów. Oto kilka zastosowań eksportu dzienników kontrolnych:

  • Aby przechowywać logi kontrolne przez dłuższy czas lub skorzystać z bardziej zaawansowanych funkcji wyszukiwania, możesz wyeksportować ich kopie do Cloud Storage, BigQuery lub Pub/Sub. Za pomocą Pub/Sub można eksportować dane do innych aplikacji i repozytoriów oraz firm zewnętrznych.

  • Aby zarządzać logami kontrolnymi w całej organizacji, możesz utworzyć zbiorcze ujścia umożliwiające eksportowanie logów z dowolnych lub wszystkich projektów Cloud w organizacji.

Ceny

Cloud Logging nie nalicza opłat za logi kontrolne, których nie można wyłączyć, w tym za wszystkie logi kontrolne aktywności administratora.

Więcej informacji o cenach logów kontrolnych znajdziesz w cenniku pakietu operacyjnego Google Cloud.