หน้านี้อธิบายบันทึกการตรวจสอบที่สร้างโดยส่วนเสริม Google Workspace ซึ่งเป็นส่วนหนึ่งของบันทึกการตรวจสอบ Cloud
ภาพรวม
บริการ Google Cloud จะเขียนบันทึกการตรวจสอบเพื่อช่วยคุณตอบคำถามที่ว่า "ใครทำอะไร ที่ไหน และเมื่อใด" โปรเจ็กต์ที่อยู่ในระบบคลาวด์มีเฉพาะบันทึกการตรวจสอบสำหรับทรัพยากรที่อยู่ภายในโปรเจ็กต์โดยตรง ส่วนเอนทิตีอื่นๆ เช่น โฟลเดอร์ องค์กร และบัญชีสำหรับการเรียกเก็บเงินใน Cloud จะมีบันทึกการตรวจสอบสำหรับเอนทิตีนั้นๆ
โปรดดูภาพรวมทั่วไปของบันทึกการตรวจสอบ Cloud ที่บันทึกการตรวจสอบ Cloud หากต้องการทำความเข้าใจเกี่ยวกับบันทึกการตรวจสอบ Cloud ให้ลึกซึ้งยิ่งขึ้น โปรดอ่านการทำความเข้าใจบันทึกการตรวจสอบ
บันทึกการตรวจสอบประเภทต่อไปนี้พร้อมใช้งานสำหรับส่วนเสริมของ Google Workspace
-
บันทึกการตรวจสอบกิจกรรมของผู้ดูแลระบบ
รวมถึงการดำเนินการ "ผู้ดูแลระบบการเขียน" ที่เขียนข้อมูลเมตาหรือข้อมูลการกำหนดค่า
แต่จะปิดใช้บันทึกการตรวจสอบกิจกรรมของผู้ดูแลระบบไม่ได้
การดำเนินการที่ตรวจสอบแล้ว
ต่อไปนี้เป็นข้อมูลสรุปว่าการดำเนินการ API ใดที่สอดคล้องกับบันทึกการตรวจสอบแต่ละประเภทในส่วนเสริมของ Google Workspace
หมวดหมู่บันทึกการตรวจสอบ | การดำเนินการส่วนเสริมของ Google Workspace |
---|---|
บันทึกการตรวจสอบกิจกรรมของผู้ดูแลระบบ | Projects.GetAuthorization Deployments.CreateDeployment Deployments.ReplaceDeployment Deployments.ListDeployments Deployments.GetDeployment Deployments.DeleteDeployment Deployments.InstallDeployment ไว้ในการทำให้ใช้งานได้.ถอนการติดตั้งDeployments Deployments.GetInstallStatusก็ได้ก็ได้) |
รูปแบบบันทึกการตรวจสอบ
รายการบันทึกการตรวจสอบซึ่งจะดูได้ใน Cloud Logging โดยใช้โปรแกรมดูบันทึก, Cloud Logging API หรือ Google Cloud CLI จะรวมออบเจ็กต์ต่อไปนี้
ตัวรายการบันทึก ซึ่งเป็นออบเจ็กต์ประเภท
LogEntry
ช่องที่เป็นประโยชน์มีดังนี้logName
ประกอบด้วยการระบุโปรเจ็กต์และประเภทบันทึกการตรวจสอบresource
ประกอบด้วยเป้าหมายของการดำเนินการที่ตรวจสอบtimeStamp
ประกอบด้วยเวลาของการดำเนินการที่ตรวจสอบprotoPayload
มีข้อมูลที่ตรวจสอบแล้ว
ข้อมูลบันทึกการตรวจสอบ ซึ่งเป็นออบเจ็กต์
AuditLog
ที่เก็บไว้ในช่องprotoPayload
ของรายการบันทึกข้อมูลการตรวจสอบเฉพาะบริการ (ไม่บังคับ) ซึ่งเป็นออบเจ็กต์เฉพาะบริการ สำหรับการผสานรวมก่อนหน้านี้ ออบเจ็กต์นี้จะอยู่ในช่อง
serviceData
ของออบเจ็กต์AuditLog
ส่วนการผสานรวมในภายหลังจะใช้ช่องmetadata
สำหรับช่องอื่นๆ ในออบเจ็กต์เหล่านี้และวิธีตีความช่องอื่นๆ โปรดอ่านหัวข้อทำความเข้าใจบันทึกการตรวจสอบ
ชื่อบันทึก
ชื่อทรัพยากรของบันทึกการตรวจสอบในระบบคลาวด์จะระบุโปรเจ็กต์ Cloud หรือเอนทิตี Google Cloud อื่นๆ ที่เป็นเจ้าของบันทึกการตรวจสอบ และในบันทึกดังกล่าวมีข้อมูลกิจกรรมของผู้ดูแลระบบ การเข้าถึงข้อมูล หรือบันทึกการตรวจสอบเหตุการณ์ของระบบหรือไม่ ตัวอย่างต่อไปนี้แสดงชื่อบันทึกสำหรับบันทึกการตรวจสอบกิจกรรมของผู้ดูแลระบบของโครงการและบันทึกการตรวจสอบการเข้าถึงข้อมูลขององค์กร ตัวแปรนี้แสดงถึงตัวระบุ โปรเจ็กต์และองค์กร
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
ชื่อบริการ
บันทึกการตรวจสอบส่วนเสริมของ Google Workspace จะใช้ชื่อบริการ gsuiteaddons.googleapis.com
ดูข้อมูลเกี่ยวกับบริการบันทึกทั้งหมดได้ที่จับคู่บริการกับทรัพยากร
ประเภททรัพยากร
บันทึกการตรวจสอบส่วนเสริมของ Google Workspace จะใช้ประเภททรัพยากร audited_resource
สำหรับบันทึกการตรวจสอบทั้งหมด
ดูรายการทรัพยากรประเภทอื่นๆ ได้ที่ประเภททรัพยากรที่มีการตรวจสอบ
การเปิดใช้งานการบันทึกการตรวจสอบ
บันทึกการตรวจสอบกิจกรรมของผู้ดูแลระบบจะเปิดใช้อยู่เสมอ คุณจะปิดใช้ไม่ได้
ส่วนเสริมของ Google Workspace จะไม่เขียนบันทึกการตรวจสอบการเข้าถึงข้อมูล
สิทธิ์บันทึกการตรวจสอบ
สิทธิ์และบทบาท Identity and Access Management จะกำหนดบันทึกการตรวจสอบที่คุณจะดูหรือส่งออกได้ บันทึกจะอยู่ในโปรเจ็กต์ Cloud และในเอนทิตีอื่นๆ บางรายการ เช่น องค์กร โฟลเดอร์ และบัญชีสำหรับการเรียกเก็บเงินใน Cloud ดูข้อมูลเพิ่มเติมได้ที่การทำความเข้าใจบทบาท
หากต้องการดูบันทึกการตรวจสอบกิจกรรมของผู้ดูแลระบบ คุณต้องมีบทบาท IAM อย่างใดอย่างหนึ่งต่อไปนี้ในโปรเจ็กต์ที่มีบันทึกการตรวจสอบ- เจ้าของโปรเจ็กต์ ผู้แก้ไขโปรเจ็กต์ หรือผู้ดูโปรเจ็กต์
- บทบาทผู้ดูบันทึกการบันทึก
- บทบาท IAM ที่กำหนดเองที่มีสิทธิ์ IAM ระดับ
logging.logEntries.list
ส่วนเสริมของ Google Workspace ไม่ได้เขียนบันทึกการตรวจสอบการเข้าถึงข้อมูลหรือบันทึกการตรวจสอบเหตุการณ์ของระบบ
หากใช้บันทึกการตรวจสอบจากเอนทิตีที่ไม่ใช่โปรเจ็กต์ เช่น องค์กร ให้เปลี่ยนบทบาทโปรเจ็กต์ที่อยู่ในระบบคลาวด์เป็นบทบาทที่เหมาะสมขององค์กร
การดูบันทึก
หากต้องการค้นหาและดูบันทึกการตรวจสอบ คุณจำเป็นต้องทราบตัวระบุของโปรเจ็กต์ โฟลเดอร์ หรือองค์กรในระบบคลาวด์ที่ต้องการดูข้อมูลการบันทึกการตรวจสอบ คุณยังระบุช่อง LogEntry
อื่นๆ ที่จัดทำดัชนีแล้วได้เพิ่มเติม เช่น resource.type
โปรดดูรายละเอียดที่หัวข้อสร้างการค้นหาในเครื่องมือสำรวจบันทึก
ชื่อบันทึกการตรวจสอบมีดังต่อไปนี้ ซึ่งมีตัวแปรสำหรับตัวระบุของโปรเจ็กต์ โฟลเดอร์ หรือองค์กรระบบคลาวด์
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy
คุณจะเลือกดูรายการบันทึกการตรวจสอบได้หลายวิธี
คอนโซล
คุณสามารถใช้ Logging Explorer ใน Cloud Console เพื่อเรียกข้อมูลรายการบันทึกการตรวจสอบสำหรับโปรเจ็กต์ระบบคลาวด์ได้ โดยทำดังนี้
ใน Cloud Console ให้ไปที่หน้าการบันทึก > เครื่องมือสำรวจบันทึก
เลือกโปรเจ็กต์ Cloud ที่มีอยู่ในหน้า Logs Explorer
ในแผงเครื่องมือสร้างคำค้นหา ให้ทำดังนี้
ในทรัพยากร ให้เลือกประเภททรัพยากร Google Cloud ที่มีบันทึกการตรวจสอบที่คุณต้องการดู
ในชื่อบันทึก ให้เลือกประเภทบันทึกการตรวจสอบที่ต้องการดู
- สำหรับบันทึกการตรวจสอบกิจกรรมของผู้ดูแลระบบ ให้เลือกกิจกรรม
- สำหรับบันทึกการตรวจสอบการเข้าถึงข้อมูล ให้เลือก data_access
- สำหรับบันทึกการตรวจสอบเหตุการณ์ของระบบ ให้เลือก system_event
- สำหรับบันทึกการตรวจสอบที่ถูกปฏิเสธนโยบาย ให้เลือกนโยบาย
หากไม่เห็นตัวเลือกเหล่านี้ แสดงว่าไม่มีบันทึกการตรวจสอบประเภทดังกล่าวในโปรเจ็กต์ที่อยู่ในระบบคลาวด์
โปรดดูรายละเอียดเพิ่มเติมเกี่ยวกับการค้นหาโดยใช้เครื่องมือสำรวจบันทึกใหม่ที่หัวข้อสร้างการค้นหาในเครื่องมือสำรวจบันทึก
gcloud
Google Cloud CLI มีอินเทอร์เฟซบรรทัดคำสั่งสำหรับ Cloud Logging API โปรดระบุ PROJECT_ID
, FOLDER_ID
หรือ ORGANIZATION_ID
ที่ถูกต้องในชื่อบันทึกแต่ละชื่อ
หากต้องการอ่านรายการบันทึกการตรวจสอบระดับโปรเจ็กต์ของ Google Cloud ให้เรียกใช้คำสั่งต่อไปนี้
gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \ --project=PROJECT_ID
หากต้องการอ่านรายการบันทึกการตรวจสอบระดับโฟลเดอร์ ให้เรียกใช้คำสั่งต่อไปนี้
gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \ --folder=FOLDER_ID
หากต้องการอ่านรายการบันทึกการตรวจสอบระดับองค์กร ให้เรียกใช้คำสั่งต่อไปนี้
gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \ --organization=ORGANIZATION_ID
ดูข้อมูลเพิ่มเติมเกี่ยวกับการใช้ CLI ของ gcloud
ได้ที่ gcloud logging read
API
เมื่อสร้างคำค้นหา ให้แทนที่ตัวแปรด้วยค่าที่ถูกต้อง แทนที่ชื่อหรือตัวระบุบันทึกการตรวจสอบระดับโปรเจ็กต์ ระดับโฟลเดอร์ หรือระดับองค์กรที่เหมาะสมตามที่ระบุไว้ในชื่อบันทึกการตรวจสอบ เช่น หากการค้นหามี PROJECT_ID ตัวระบุโปรเจ็กต์ที่คุณระบุต้องอ้างอิงถึงโปรเจ็กต์ที่อยู่ในระบบคลาวด์ที่เลือกไว้ในปัจจุบัน
หากต้องการใช้ Logging API เพื่อดูรายการในบันทึกการตรวจสอบ ให้ทำดังนี้
ไปที่ส่วนลองใช้ API นี้ในเอกสารประกอบสำหรับเมธอด
entries.list
ใส่ข้อมูลต่อไปนี้ลงในส่วนเนื้อหาคำขอของแบบฟอร์มลองใช้ API นี้ การคลิกแบบฟอร์มที่กรอกไว้ล่วงหน้านี้จะเติมเนื้อหาคำขอโดยอัตโนมัติ แต่คุณต้องใส่
PROJECT_ID
ที่ถูกต้องในชื่อบันทึกแต่ละชื่อ{ "resourceNames": [ "projects/PROJECT_ID" ], "pageSize": 5, "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" }
คลิกดำเนินการ
โปรดดูรายละเอียดเพิ่มเติมเกี่ยวกับการค้นหาที่หัวข้อภาษาของการค้นหาการบันทึก
ดูตัวอย่างรายการบันทึกการตรวจสอบและวิธีค้นหาข้อมูลที่สำคัญที่สุดได้ที่หัวข้อการทำความเข้าใจบันทึกการตรวจสอบ
กำลังส่งออกบันทึกการตรวจสอบ
คุณจะส่งออกบันทึกการตรวจสอบได้ด้วยวิธีเดียวกับการส่งออกบันทึกประเภทอื่นๆ โปรดดูรายละเอียดเกี่ยวกับวิธีส่งออกบันทึกที่หัวข้อการส่งออกบันทึก การใช้งานการส่งออกบันทึกการตรวจสอบมีดังนี้
หากต้องการเก็บบันทึกการตรวจสอบไว้นานขึ้นหรือใช้ความสามารถในการค้นหาที่มีประสิทธิภาพมากขึ้น คุณจะส่งออกสำเนาบันทึกการตรวจสอบไปยัง Cloud Storage, BigQuery หรือ Pub/Sub ได้ เมื่อใช้ Pub/Sub คุณจะส่งออกไปยังแอปพลิเคชันอื่น ที่เก็บอื่น และส่งไปยังบุคคลที่สามได้
หากต้องการจัดการบันทึกการตรวจสอบสำหรับทั้งองค์กร คุณจะสร้างซิงก์แบบรวมที่สามารถส่งออกบันทึกจากโปรเจ็กต์ Cloud ใดก็ได้หรือทุกโปรเจ็กต์ในองค์กร
การกำหนดราคา
Cloud Logging จะไม่เรียกเก็บเงินสำหรับบันทึกการตรวจสอบที่ปิดใช้ไม่ได้ ซึ่งรวมถึงบันทึกการตรวจสอบกิจกรรมของผู้ดูแลระบบทั้งหมดดูข้อมูลเพิ่มเติมเกี่ยวกับราคาบันทึกการตรวจสอบได้ที่ราคาชุดเครื่องมือการดำเนินการของ Google Cloud