หน้านี้ได้รับการแปลโดย Cloud Translation API

บันทึกการตรวจสอบ

หน้านี้อธิบายบันทึกการตรวจสอบที่สร้างโดยส่วนเสริม Google Workspace ซึ่งเป็นส่วนหนึ่งของบันทึกการตรวจสอบ Cloud

ภาพรวม

บริการ Google Cloud จะเขียนบันทึกการตรวจสอบเพื่อช่วยคุณตอบคำถามที่ว่า "ใครทำอะไร ที่ไหน และเมื่อใด" โปรเจ็กต์ที่อยู่ในระบบคลาวด์มีเฉพาะบันทึกการตรวจสอบสำหรับทรัพยากรที่อยู่ภายในโปรเจ็กต์โดยตรง ส่วนเอนทิตีอื่นๆ เช่น โฟลเดอร์ องค์กร และบัญชีสำหรับการเรียกเก็บเงินใน Cloud จะมีบันทึกการตรวจสอบสำหรับเอนทิตีนั้นๆ

โปรดดูภาพรวมทั่วไปของบันทึกการตรวจสอบ Cloud ที่บันทึกการตรวจสอบ Cloud หากต้องการทำความเข้าใจเกี่ยวกับบันทึกการตรวจสอบ Cloud ให้ลึกซึ้งยิ่งขึ้น โปรดอ่านการทำความเข้าใจบันทึกการตรวจสอบ

บันทึกการตรวจสอบประเภทต่อไปนี้พร้อมใช้งานสำหรับส่วนเสริมของ Google Workspace

บันทึกการตรวจสอบกิจกรรมของผู้ดูแลระบบ

รวมถึงการดำเนินการ "ผู้ดูแลระบบการเขียน" ที่เขียนข้อมูลเมตาหรือข้อมูลการกำหนดค่า

แต่จะปิดใช้บันทึกการตรวจสอบกิจกรรมของผู้ดูแลระบบไม่ได้

การดำเนินการที่ตรวจสอบแล้ว

ต่อไปนี้เป็นข้อมูลสรุปว่าการดำเนินการ API ใดที่สอดคล้องกับบันทึกการตรวจสอบแต่ละประเภทในส่วนเสริมของ Google Workspace

หมวดหมู่บันทึกการตรวจสอบ	การดำเนินการส่วนเสริมของ Google Workspace
บันทึกการตรวจสอบกิจกรรมของผู้ดูแลระบบ	Projects.GetAuthorization Deployments.CreateDeployment Deployments.ReplaceDeployment Deployments.ListDeployments Deployments.GetDeployment Deployments.DeleteDeployment Deployments.InstallDeployment ไว้ในการทำให้ใช้งานได้.ถอนการติดตั้งDeployments Deployments.GetInstallStatusก็ได้ก็ได้)

รูปแบบบันทึกการตรวจสอบ

รายการบันทึกการตรวจสอบซึ่งจะดูได้ใน Cloud Logging โดยใช้โปรแกรมดูบันทึก, Cloud Logging API หรือ Google Cloud CLI จะรวมออบเจ็กต์ต่อไปนี้

ตัวรายการบันทึก ซึ่งเป็นออบเจ็กต์ประเภท LogEntry ช่องที่เป็นประโยชน์มีดังนี้
- logName ประกอบด้วยการระบุโปรเจ็กต์และประเภทบันทึกการตรวจสอบ
- resource ประกอบด้วยเป้าหมายของการดำเนินการที่ตรวจสอบ
- timeStamp ประกอบด้วยเวลาของการดำเนินการที่ตรวจสอบ
- protoPayload มีข้อมูลที่ตรวจสอบแล้ว
ข้อมูลบันทึกการตรวจสอบ ซึ่งเป็นออบเจ็กต์ AuditLog ที่เก็บไว้ในช่อง protoPayload ของรายการบันทึก
ข้อมูลการตรวจสอบเฉพาะบริการ (ไม่บังคับ) ซึ่งเป็นออบเจ็กต์เฉพาะบริการ สำหรับการผสานรวมก่อนหน้านี้ ออบเจ็กต์นี้จะอยู่ในช่อง serviceData ของออบเจ็กต์ AuditLog ส่วนการผสานรวมในภายหลังจะใช้ช่อง metadata

สำหรับช่องอื่นๆ ในออบเจ็กต์เหล่านี้และวิธีตีความช่องอื่นๆ โปรดอ่านหัวข้อทำความเข้าใจบันทึกการตรวจสอบ

ชื่อบันทึก

ชื่อทรัพยากรของบันทึกการตรวจสอบในระบบคลาวด์จะระบุโปรเจ็กต์ Cloud หรือเอนทิตี Google Cloud อื่นๆ ที่เป็นเจ้าของบันทึกการตรวจสอบ และในบันทึกดังกล่าวมีข้อมูลกิจกรรมของผู้ดูแลระบบ การเข้าถึงข้อมูล หรือบันทึกการตรวจสอบเหตุการณ์ของระบบหรือไม่ ตัวอย่างต่อไปนี้แสดงชื่อบันทึกสำหรับบันทึกการตรวจสอบกิจกรรมของผู้ดูแลระบบของโครงการและบันทึกการตรวจสอบการเข้าถึงข้อมูลขององค์กร ตัวแปรนี้แสดงถึงตัวระบุ โปรเจ็กต์และองค์กร

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

ชื่อบริการ

บันทึกการตรวจสอบส่วนเสริมของ Google Workspace จะใช้ชื่อบริการ gsuiteaddons.googleapis.com

ดูข้อมูลเกี่ยวกับบริการบันทึกทั้งหมดได้ที่จับคู่บริการกับทรัพยากร

ประเภททรัพยากร

บันทึกการตรวจสอบส่วนเสริมของ Google Workspace จะใช้ประเภททรัพยากร audited_resource สำหรับบันทึกการตรวจสอบทั้งหมด

ดูรายการทรัพยากรประเภทอื่นๆ ได้ที่ประเภททรัพยากรที่มีการตรวจสอบ

การเปิดใช้งานการบันทึกการตรวจสอบ

บันทึกการตรวจสอบกิจกรรมของผู้ดูแลระบบจะเปิดใช้อยู่เสมอ คุณจะปิดใช้ไม่ได้

ส่วนเสริมของ Google Workspace จะไม่เขียนบันทึกการตรวจสอบการเข้าถึงข้อมูล

สิทธิ์บันทึกการตรวจสอบ

สิทธิ์และบทบาท Identity and Access Management จะกำหนดบันทึกการตรวจสอบที่คุณจะดูหรือส่งออกได้ บันทึกจะอยู่ในโปรเจ็กต์ Cloud และในเอนทิตีอื่นๆ บางรายการ เช่น องค์กร โฟลเดอร์ และบัญชีสำหรับการเรียกเก็บเงินใน Cloud ดูข้อมูลเพิ่มเติมได้ที่การทำความเข้าใจบทบาท

หากต้องการดูบันทึกการตรวจสอบกิจกรรมของผู้ดูแลระบบ คุณต้องมีบทบาท IAM อย่างใดอย่างหนึ่งต่อไปนี้ในโปรเจ็กต์ที่มีบันทึกการตรวจสอบ

เจ้าของโปรเจ็กต์ ผู้แก้ไขโปรเจ็กต์ หรือผู้ดูโปรเจ็กต์
บทบาทผู้ดูบันทึกการบันทึก
บทบาท IAM ที่กำหนดเองที่มีสิทธิ์ IAM ระดับ logging.logEntries.list

ส่วนเสริมของ Google Workspace ไม่ได้เขียนบันทึกการตรวจสอบการเข้าถึงข้อมูลหรือบันทึกการตรวจสอบเหตุการณ์ของระบบ

หากใช้บันทึกการตรวจสอบจากเอนทิตีที่ไม่ใช่โปรเจ็กต์ เช่น องค์กร ให้เปลี่ยนบทบาทโปรเจ็กต์ที่อยู่ในระบบคลาวด์เป็นบทบาทที่เหมาะสมขององค์กร

การดูบันทึก

หากต้องการค้นหาและดูบันทึกการตรวจสอบ คุณจำเป็นต้องทราบตัวระบุของโปรเจ็กต์ โฟลเดอร์ หรือองค์กรในระบบคลาวด์ที่ต้องการดูข้อมูลการบันทึกการตรวจสอบ คุณยังระบุช่อง LogEntry อื่นๆ ที่จัดทำดัชนีแล้วได้เพิ่มเติม เช่น resource.type โปรดดูรายละเอียดที่หัวข้อสร้างการค้นหาในเครื่องมือสำรวจบันทึก

ชื่อบันทึกการตรวจสอบมีดังต่อไปนี้ ซึ่งมีตัวแปรสำหรับตัวระบุของโปรเจ็กต์ โฟลเดอร์ หรือองค์กรระบบคลาวด์

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

คุณจะเลือกดูรายการบันทึกการตรวจสอบได้หลายวิธี

คอนโซล

คุณสามารถใช้ Logging Explorer ใน Cloud Console เพื่อเรียกข้อมูลรายการบันทึกการตรวจสอบสำหรับโปรเจ็กต์ระบบคลาวด์ได้ โดยทำดังนี้

ใน Cloud Console ให้ไปที่หน้าการบันทึก > เครื่องมือสำรวจบันทึก

ไปที่หน้าเครื่องมือสำรวจบันทึก

หมายเหตุ: หากคุณใช้หน้าผู้ดูบันทึกแบบเดิม ให้สลับไปที่หน้าสำรวจบันทึก
เลือกโปรเจ็กต์ Cloud ที่มีอยู่ในหน้า Logs Explorer
ในแผงเครื่องมือสร้างคำค้นหา ให้ทำดังนี้
- ในทรัพยากร ให้เลือกประเภททรัพยากร Google Cloud ที่มีบันทึกการตรวจสอบที่คุณต้องการดู
- ในชื่อบันทึก ให้เลือกประเภทบันทึกการตรวจสอบที่ต้องการดู
  - สำหรับบันทึกการตรวจสอบกิจกรรมของผู้ดูแลระบบ ให้เลือกกิจกรรม
  - สำหรับบันทึกการตรวจสอบการเข้าถึงข้อมูล ให้เลือก data_access
  - สำหรับบันทึกการตรวจสอบเหตุการณ์ของระบบ ให้เลือก system_event
  - สำหรับบันทึกการตรวจสอบที่ถูกปฏิเสธนโยบาย ให้เลือกนโยบาย
หากไม่เห็นตัวเลือกเหล่านี้ แสดงว่าไม่มีบันทึกการตรวจสอบประเภทดังกล่าวในโปรเจ็กต์ที่อยู่ในระบบคลาวด์

โปรดดูรายละเอียดเพิ่มเติมเกี่ยวกับการค้นหาโดยใช้เครื่องมือสำรวจบันทึกใหม่ที่หัวข้อสร้างการค้นหาในเครื่องมือสำรวจบันทึก

gcloud

Google Cloud CLI มีอินเทอร์เฟซบรรทัดคำสั่งสำหรับ Cloud Logging API โปรดระบุ PROJECT_ID, FOLDER_ID หรือ ORGANIZATION_ID ที่ถูกต้องในชื่อบันทึกแต่ละชื่อ

หากต้องการอ่านรายการบันทึกการตรวจสอบระดับโปรเจ็กต์ของ Google Cloud ให้เรียกใช้คำสั่งต่อไปนี้

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

หากต้องการอ่านรายการบันทึกการตรวจสอบระดับโฟลเดอร์ ให้เรียกใช้คำสั่งต่อไปนี้

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

หากต้องการอ่านรายการบันทึกการตรวจสอบระดับองค์กร ให้เรียกใช้คำสั่งต่อไปนี้

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

ดูข้อมูลเพิ่มเติมเกี่ยวกับการใช้ CLI ของ gcloud ได้ที่ gcloud logging read

API

เมื่อสร้างคำค้นหา ให้แทนที่ตัวแปรด้วยค่าที่ถูกต้อง แทนที่ชื่อหรือตัวระบุบันทึกการตรวจสอบระดับโปรเจ็กต์ ระดับโฟลเดอร์ หรือระดับองค์กรที่เหมาะสมตามที่ระบุไว้ในชื่อบันทึกการตรวจสอบ เช่น หากการค้นหามี PROJECT_ID ตัวระบุโปรเจ็กต์ที่คุณระบุต้องอ้างอิงถึงโปรเจ็กต์ที่อยู่ในระบบคลาวด์ที่เลือกไว้ในปัจจุบัน

หากต้องการใช้ Logging API เพื่อดูรายการในบันทึกการตรวจสอบ ให้ทำดังนี้

ไปที่ส่วนลองใช้ API นี้ในเอกสารประกอบสำหรับเมธอด entries.list
ใส่ข้อมูลต่อไปนี้ลงในส่วนเนื้อหาคำขอของแบบฟอร์มลองใช้ API นี้ การคลิกแบบฟอร์มที่กรอกไว้ล่วงหน้านี้จะเติมเนื้อหาคำขอโดยอัตโนมัติ แต่คุณต้องใส่ PROJECT_ID ที่ถูกต้องในชื่อบันทึกแต่ละชื่อ
```
{
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}
```
คลิกดำเนินการ

โปรดดูรายละเอียดเพิ่มเติมเกี่ยวกับการค้นหาที่หัวข้อภาษาของการค้นหาการบันทึก

ดูตัวอย่างรายการบันทึกการตรวจสอบและวิธีค้นหาข้อมูลที่สำคัญที่สุดได้ที่หัวข้อการทำความเข้าใจบันทึกการตรวจสอบ

กำลังส่งออกบันทึกการตรวจสอบ

คุณจะส่งออกบันทึกการตรวจสอบได้ด้วยวิธีเดียวกับการส่งออกบันทึกประเภทอื่นๆ โปรดดูรายละเอียดเกี่ยวกับวิธีส่งออกบันทึกที่หัวข้อการส่งออกบันทึก การใช้งานการส่งออกบันทึกการตรวจสอบมีดังนี้

หากต้องการเก็บบันทึกการตรวจสอบไว้นานขึ้นหรือใช้ความสามารถในการค้นหาที่มีประสิทธิภาพมากขึ้น คุณจะส่งออกสำเนาบันทึกการตรวจสอบไปยัง Cloud Storage, BigQuery หรือ Pub/Sub ได้ เมื่อใช้ Pub/Sub คุณจะส่งออกไปยังแอปพลิเคชันอื่น ที่เก็บอื่น และส่งไปยังบุคคลที่สามได้
หากต้องการจัดการบันทึกการตรวจสอบสำหรับทั้งองค์กร คุณจะสร้างซิงก์แบบรวมที่สามารถส่งออกบันทึกจากโปรเจ็กต์ Cloud ใดก็ได้หรือทุกโปรเจ็กต์ในองค์กร

การกำหนดราคา

Cloud Logging จะไม่เรียกเก็บเงินสำหรับบันทึกการตรวจสอบที่ปิดใช้ไม่ได้ ซึ่งรวมถึงบันทึกการตรวจสอบกิจกรรมของผู้ดูแลระบบทั้งหมด

ดูข้อมูลเพิ่มเติมเกี่ยวกับราคาบันทึกการตรวจสอบได้ที่ราคาชุดเครื่องมือการดำเนินการของ Google Cloud