Ghi nhật ký kiểm tra

Trang này mô tả nhật ký kiểm tra do các tiện ích bổ sung của Google Workspace tạo trong Nhật ký kiểm tra của Cloud.

Tổng quan

Các dịch vụ của Google Cloud ghi nhật ký kiểm tra để giúp bạn trả lời các câu hỏi "Ai đã làm gì, ở đâu và khi nào?" Các dự án của bạn trên Google Cloud chỉ chứa nhật ký kiểm tra của những tài nguyên trực tiếp có trong dự án. Các thực thể khác, chẳng hạn như thư mục, tổ chức và tài khoản thanh toán Cloud, chứa nhật ký kiểm tra của chính thực thể đó.

Để biết thông tin tổng quan chung về Nhật ký kiểm tra trên Cloud, hãy xem bài viết Nhật ký kiểm tra của Cloud. Để hiểu rõ hơn về Nhật ký kiểm tra trên Cloud, hãy xem bài viết Tìm hiểu nhật ký kiểm tra.

Các loại nhật ký kiểm tra sau đây được cung cấp cho Tiện ích bổ sung cho Google Workspace:

  • Nhật ký kiểm tra Hoạt động của quản trị viên

    Bao gồm các thao tác "ghi quản trị viên" để ghi siêu dữ liệu hoặc thông tin cấu hình.

    Bạn không thể tắt nhật ký kiểm tra Hoạt động của quản trị viên.

Hoạt động được kiểm tra

Phần sau đây tóm tắt những hoạt động API tương ứng với từng loại nhật ký kiểm tra trong Tiện ích bổ sung cho Google Workspace:

Danh mục nhật ký kiểm tra Hoạt động của tiện ích bổ sung cho Google Workspace
Nhật ký kiểm tra Hoạt động của quản trị viên Dự án.GetAuthorize
Deployments.CreateDeployment
Deployments.ReplaceDeployment
Deployments.ListDeployments
Deployments.GetDeployment
Deployment

Định dạng nhật ký kiểm tra

Các mục nhập nhật ký kiểm tra — bạn có thể xem trong tính năng Ghi nhật ký trên đám mây bằng Trình xem nhật ký, Cloud Logging API hoặc Google Cloud CLI — bao gồm các đối tượng sau:

  • Chính mục nhập nhật ký là một đối tượng thuộc loại LogEntry. Các trường hữu ích bao gồm:

    • logName chứa loại nhật ký kiểm tra và nhận dạng dự án.
    • resource chứa mục tiêu của hoạt động được kiểm tra.
    • timeStamp chứa thời gian của hoạt động được kiểm tra.
    • protoPayload chứa thông tin đã được kiểm tra.

  • Dữ liệu ghi nhật ký kiểm tra, là đối tượng AuditLog được giữ trong trường protoPayload của mục nhập nhật ký.

  • Thông tin kiểm tra dành riêng cho dịch vụ không bắt buộc, là đối tượng dành riêng cho dịch vụ. Đối với các tích hợp trước đó, đối tượng này được giữ trong trường serviceData của đối tượng AuditLog; các tích hợp sau này sử dụng trường metadata.

Để biết các trường khác trong các đối tượng này và cách diễn giải các trường đó, hãy xem bài viết Tìm hiểu nhật ký kiểm tra.

Tên nhật ký

Tên tài nguyên Nhật ký kiểm tra trên đám mây cho biết dự án trên Cloud hoặc thực thể Google Cloud khác sở hữu nhật ký kiểm tra, cũng như việc nhật ký có chứa dữ liệu ghi nhật ký kiểm tra Hoạt động quản trị, Quyền truy cập dữ liệu hay Sự kiện hệ thống hay không. Ví dụ: phần sau đây cho thấy tên nhật ký của nhật ký kiểm tra Hoạt động của quản trị viên của dự án và nhật ký kiểm tra Quyền truy cập dữ liệu của một tổ chức. Các biến này biểu thị giá trị nhận dạng dự án và tổ chức.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Tên dịch vụ

Nhật ký kiểm tra Tiện ích bổ sung của Google Workspace sử dụng tên dịch vụ gsuiteaddons.googleapis.com.

Để biết thông tin về tất cả các dịch vụ ghi nhật ký, hãy xem phần Ánh xạ dịch vụ tới tài nguyên.

Loại tài nguyên

Nhật ký kiểm tra của Tiện ích bổ sung của Google Workspace sử dụng loại tài nguyên audited_resource cho tất cả các nhật ký kiểm tra.

Để biết danh sách các loại tài nguyên khác, hãy xem phần Các loại tài nguyên được giám sát.

Bật tính năng ghi nhật ký kiểm tra

Nhật ký kiểm tra Hoạt động của quản trị viên luôn bật; bạn không thể tắt nhật ký này.

Tiện ích bổ sung của Google Workspace không ghi nhật ký kiểm tra Quyền truy cập dữ liệu.

Quyền đối với nhật ký kiểm tra

Quyền cũng như vai trò trong việc quản lý danh tính và quyền truy cập xác định những nhật ký kiểm tra bạn có thể xem hoặc xuất. Nhật ký nằm trong các dự án trên Cloud và trong một số thực thể khác, bao gồm cả tổ chức, thư mục và tài khoản thanh toán Cloud. Để biết thêm thông tin, hãy xem bài viết Tìm hiểu về vai trò.

Để xem nhật ký kiểm tra Hoạt động của quản trị viên, bạn phải có một trong các vai trò IAM sau đây trong dự án chứa nhật ký kiểm tra của bạn:

Tiện ích bổ sung của Google Workspace không ghi nhật ký kiểm tra Quyền truy cập dữ liệu hoặc nhật ký kiểm tra Sự kiện của hệ thống.

Nếu bạn đang sử dụng nhật ký kiểm tra của một thực thể không phải dự án, chẳng hạn như một tổ chức, hãy thay đổi vai trò trong dự án trên Cloud thành các vai trò phù hợp trong tổ chức.

Xem nhật ký

Để tìm và xem nhật ký kiểm tra, bạn cần biết giá trị nhận dạng của dự án, thư mục hoặc tổ chức trên Google Cloud mà bạn muốn xem thông tin ghi nhật ký kiểm tra. Bạn có thể chỉ định thêm các trường LogEntry được lập chỉ mục khác, chẳng hạn như resource.type; để biết thông tin chi tiết, hãy xem bài viết Tạo truy vấn trong Trình khám phá nhật ký.

Sau đây là tên nhật ký kiểm tra; chúng bao gồm các biến cho giá trị nhận dạng của dự án, thư mục hoặc tổ chức trên Google Cloud:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Bạn có nhiều tùy chọn để xem các mục nhập nhật ký kiểm tra của mình.

Bảng điều khiển

Bạn có thể sử dụng Trình khám phá nhật ký trong Cloud Console để truy xuất các mục nhập nhật ký kiểm tra cho dự án trên Google Cloud của mình:

  1. Trong Cloud Console, hãy chuyển đến trang Logging > Logs Explorer (Ghi nhật ký > Trình khám phá nhật ký).

    Truy cập trang Trình khám phá nhật ký

  2. Trên trang Logs Explorer (Trình khám phá nhật ký), hãy chọn một dự án Cloud hiện có.

  3. Trong ngăn Trình tạo truy vấn, hãy làm như sau:

    • Trong phần Tài nguyên, hãy chọn loại tài nguyên Google Cloud có nhật ký kiểm tra mà bạn muốn xem.

    • Trong Tên nhật ký, hãy chọn loại nhật ký kiểm tra mà bạn muốn xem:

      • Đối với nhật ký kiểm tra Hoạt động của quản trị viên, hãy chọn hoạt động.
      • Đối với nhật ký kiểm tra Quyền truy cập dữ liệu, hãy chọn data_access.
      • Đối với nhật ký kiểm tra Sự kiện hệ thống, hãy chọn system_event.
      • Đối với nhật ký kiểm tra bị từ chối do vi phạm chính sách, hãy chọn chính sách.

    Nếu bạn không thấy các tuỳ chọn này, thì tức là không có nhật ký kiểm tra thuộc loại đó trong dự án trên Google Cloud.

    Để biết thêm thông tin chi tiết về cách truy vấn bằng Trình khám phá nhật ký mới, hãy xem bài viết Tạo truy vấn trong Trình khám phá nhật ký.

gcloud

Google Cloud CLI cung cấp giao diện dòng lệnh cho Cloud Logging API. Hãy cung cấp PROJECT_ID, FOLDER_ID hoặc ORGANIZATION_ID hợp lệ trong mỗi tên nhật ký.

Để đọc các mục nhập nhật ký kiểm tra cấp dự án của Google Cloud, hãy chạy lệnh sau:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

Để đọc các mục nhập nhật ký kiểm tra cấp thư mục của bạn, hãy chạy lệnh sau:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

Để đọc các mục nhập nhật ký kiểm tra cấp tổ chức của bạn, hãy chạy lệnh sau:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

Để biết thêm thông tin về cách sử dụng CLI gcloud, hãy xem gcloud logging read.

API

Khi tạo truy vấn, hãy thay thế các biến bằng giá trị hợp lệ, thay thế tên hoặc giá trị nhận dạng nhật ký kiểm tra cấp dự án, cấp thư mục hoặc cấp tổ chức như được liệt kê trong tên nhật ký kiểm tra. Ví dụ: nếu truy vấn của bạn bao gồm PROJECT_ID, thì giá trị nhận dạng dự án mà bạn cung cấp phải tham chiếu đến dự án Google Cloud hiện được chọn.

Để sử dụng API ghi nhật ký nhằm xem các mục nhập nhật ký kiểm tra, hãy làm như sau:

  1. Chuyển đến mục Try this API (Dùng thử API này) trong tài liệu về phương thức entries.list.

  2. Đặt nội dung sau vào phần Nội dung yêu cầu của biểu mẫu Try this API (Dùng thử API này). Khi bạn nhấp vào biểu mẫu được điền sẵn này, hệ thống sẽ tự động điền nội dung yêu cầu, nhưng bạn cần cung cấp PROJECT_ID hợp lệ trong mỗi tên nhật ký.

    {
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}

  3. Nhấp vào Thực thi.

Để biết thêm thông tin chi tiết về việc truy vấn, hãy xem phần Ngôn ngữ truy vấn ghi nhật ký.

Để biết mẫu mục nhập nhật ký kiểm tra và cách tìm thông tin quan trọng nhất trong mục đó, hãy xem bài viết Tìm hiểu về nhật ký kiểm tra.

Xuất nhật ký kiểm tra

Bạn có thể xuất nhật ký kiểm tra giống như cách bạn xuất các loại nhật ký khác. Để biết thông tin chi tiết về cách xuất nhật ký, hãy xem phần Xuất nhật ký. Sau đây là một số cách xuất nhật ký kiểm tra:

  • Để lưu giữ nhật ký kiểm tra trong thời gian dài hơn hoặc để sử dụng các tính năng tìm kiếm mạnh mẽ hơn, bạn có thể xuất các bản sao của nhật ký kiểm tra sang Cloud Storage, BigQuery hoặc Pub/Sub. Khi sử dụng Pub/Sub, bạn có thể xuất sang các ứng dụng khác, các kho lưu trữ khác và bên thứ ba.

  • Để quản lý nhật ký kiểm tra trong toàn bộ tổ chức, bạn có thể tạo các bồn lưu trữ dữ liệu tổng hợp để có thể xuất nhật ký từ bất kỳ hoặc tất cả dự án trên Cloud trong tổ chức.

Giá

Tính năng Ghi nhật ký trên đám mây không tính phí cho bạn đối với các nhật ký kiểm tra không thể tắt, bao gồm cả mọi nhật ký kiểm tra Hoạt động của quản trị viên.

Để biết thêm thông tin về giá của nhật ký kiểm tra, hãy xem bài viết Giá của bộ hoạt động của Google Cloud.