অডিট লগিং

এই পৃষ্ঠায় ক্লাউড অডিট লগস-এর অংশ হিসেবে ক্লাউড সার্চ দ্বারা তৈরি অডিট লগগুলো বর্ণনা করা হয়েছে।

সংক্ষিপ্ত বিবরণ

গুগল ক্লাউড পরিষেবাগুলি আপনার রিসোর্সগুলির মধ্যে 'কে কী, কোথায় এবং কখন করেছে'—এই প্রশ্নের উত্তর খুঁজে পেতে সাহায্য করার জন্য অডিট লগ তৈরি করে। আপনার ক্লাউড প্রজেক্টগুলিতে শুধুমাত্র সরাসরি প্রজেক্টের অন্তর্ভুক্ত রিসোর্সগুলির জন্যই অডিট লগ থাকে। অন্যান্য সত্তা, যেমন ফোল্ডার, অর্গানাইজেশন এবং ক্লাউড বিলিং অ্যাকাউন্ট, তাদের নিজস্ব অডিট লগ ধারণ করে।

একটি সাধারণ ধারণা পেতে, ক্লাউড অডিট লগস দেখুন। আরও বিস্তারিত জানতে, অডিট লগ বোঝা দেখুন।

ক্লাউড অডিট লগ প্রতিটি ক্লাউড প্রজেক্ট, ফোল্ডার এবং অর্গানাইজেশনের জন্য নিম্নলিখিত লগগুলি প্রদান করে:

  • অ্যাডমিন কার্যকলাপ নিরীক্ষা লগ: অ্যাডমিন রাইট অপারেশন সম্পাদনকারী মেথডগুলির এন্ট্রি।
  • ডেটা অ্যাক্সেস অডিট লগ: অ্যাডমিন রিড, ডেটা রাইট এবং ডেটা রিড অপারেশন সম্পাদনকারী মেথডগুলোর এন্ট্রি।
  • সিস্টেম ইভেন্ট অডিট লগ
  • নীতিমালা দ্বারা নিরীক্ষা লগ প্রত্যাখ্যান করা হয়েছে

ক্লাউড সার্চ রিসোর্স কনফিগারেশন বা মেটাডেটা পরিবর্তনকারী কার্যকলাপগুলো রেকর্ড করার জন্য অ্যাডমিন অ্যাক্টিভিটি অডিট লগ লেখে। আপনি অ্যাডমিন অ্যাক্টিভিটি অডিট লগ নিষ্ক্রিয় করতে পারবেন না।

ক্লাউড সার্চ শুধুমাত্র তখনই ডেটা অ্যাক্সেস অডিট লগ লেখে, যখন আপনি স্পষ্টভাবে তা সক্ষম করেন । এই লগগুলিতে সেইসব এপিআই কল অন্তর্ভুক্ত থাকে যেগুলো রিসোর্স কনফিগারেশন বা মেটাডেটা পড়ে, এবং সেইসব ব্যবহারকারী-চালিত এপিআই কলও থাকে যেগুলো ব্যবহারকারীর দেওয়া রিসোর্স ডেটা তৈরি, পরিবর্তন বা পড়ে।

ক্লাউড সার্চ সিস্টেম ইভেন্ট বা পলিসি ডিনাইড অডিট লগ লেখে না।

নিরীক্ষিত কার্যক্রম

নিম্নলিখিত সারণিতে ক্লাউড সার্চ-এ প্রতিটি অডিট লগ টাইপের সাথে কোন API অপারেশনগুলো সম্পর্কিত, তার একটি সারসংক্ষেপ দেওয়া হলো:

অডিট লগ বিভাগ ক্লাউড অনুসন্ধান কার্যক্রম
অ্যাডমিনের কার্যকলাপ: অ্যাডমিনের লেখা ইনডেক্সিং.ডেটাসোর্সেস.আপডেটস্কিমা
indexing.datasources.deleteSchema
সেটিংস.ডেটা উৎস.তৈরি করুন
সেটিংস.ডেটা উৎস.মুছে ফেলুন
সেটিংস.ডেটা উৎস.আপডেট
সেটিংস.সার্চঅ্যাপ্লিকেশন.তৈরি করুন
সেটিংস.সার্চঅ্যাপ্লিকেশন.ডিলিট
সেটিংস.সার্চঅ্যাপ্লিকেশন.রিসেট
সেটিংস.সার্চঅ্যাপ্লিকেশন.আপডেট
সেটিংস.আপডেটকাস্টমার
cloudsearch.IdentitySourceService.create
cloudsearch.IdentitySourceService.update
cloudsearch.IdentitySourceService.delete
ডেটা অ্যাক্সেস: অ্যাডমিন রিড ইনডেক্সিং.ডেটাসোর্সেস.গেটস্কিমা
সেটিংস.ডেটা উৎস.গেট
সেটিংস.ডেটা উৎস.তালিকা
সেটিংস.সার্চঅ্যাপ্লিকেশন.গেট
সেটিংস.সার্চঅ্যাপ্লিকেশন.তালিকা
সেটিংস.গ্রাহক পান
cloudsearch.IdentitySourceService.get
cloudsearch.IdentitySourceService.list
ডেটা অ্যাক্সেস: ডেটা লেখা ইনডেক্সিং.ডেটাসোর্সেস.আইটেমস.ডিলিট
indexing.datasources.items.deleteQueueItems
ইনডেক্সিং.ডেটা উৎস.আইটেম.ইনডেক্স
ইনডেক্সিং.ডেটা উৎস.আইটেম.পোল
ইনডেক্সিং.ডেটা উৎস.আইটেম.পুশ
ইনডেক্সিং.ডেটাসোর্সেস.আইটেমস.আনরিজার্ভ
ইনডেক্সিং.ডেটা উৎস.আইটেম.আপলোড
মিডিয়া.আপলোড
ডেটা অ্যাক্সেস: ডেটা পড়া indexing.datasources.items.get
ইনডেক্সিং.ডেটা উৎস.আইটেম.তালিকা
অপারেশন.গেট
অপারেশন.তালিকা
debug.datasources.items.checkAccess
debug.datasources.items.searchByViewUrl
পরিসংখ্যান.সূচক পান
পরিসংখ্যান.গেটকোয়েরি
stats.getSession
পরিসংখ্যান.ব্যবহারকারী
stats.index.datasources.get
stats.query.searchapplications.get
stats.session.searchapplications.get
stats.user.search applications.get
debug.identitysources.items.listForunmappedidentity
ডিবাগ.আইডেন্টিটিসোর্সেস.আনম্যাপডআইডি.লিস্ট
debug.datasources.items.unmappedids.list
query.sources.list
কোয়েরি.সাজেস্ট
কোয়েরি.সার্চ
stats.getSearchapplication

অডিট লগ ফরম্যাট

অডিট লগ এন্ট্রিগুলিতে নিম্নলিখিত অবজেক্টগুলি অন্তর্ভুক্ত থাকে। আপনি লগস এক্সপ্লোরার, ক্লাউড লগিং এপিআই, অথবা gcloud কমান্ড-লাইন টুল ব্যবহার করে ক্লাউড লগিং-এ সেগুলি দেখতে পারেন।

লগ এন্ট্রিটি নিজেই একটি LogEntry অবজেক্ট। এর প্রয়োজনীয় ফিল্ডগুলো হলো:

  • logName : রিসোর্স আইডি এবং অডিট লগের ধরণ।
  • resource : নিরীক্ষিত কার্যক্রমের লক্ষ্যবস্তু।
  • timeStamp : নিরীক্ষিত অপারেশনের সময়।
  • protoPayload : নিরীক্ষিত তথ্য।

অডিট লগিং ডেটা হলো protoPayload ফিল্ডের একটি AuditLog অবজেক্ট।

ঐচ্ছিক পরিষেবা-নির্দিষ্ট অডিট তথ্য একটি পরিষেবা-নির্দিষ্ট অবজেক্ট। পূর্ববর্তী ইন্টিগ্রেশনগুলির জন্য, এই অবজেক্টটি AuditLog অবজেক্টের serviceData ফিল্ডে থাকে; পরবর্তী ইন্টিগ্রেশনগুলি metadata ফিল্ড ব্যবহার করে।

আরও তথ্যের জন্য, অডিট লগ বোঝা দেখুন।

লগ নাম

ক্লাউড অডিট লগ রিসোর্সের নামগুলো থেকে লগগুলোর মালিক প্রজেক্ট বা অন্য গুগল ক্লাউড সত্তা এবং অডিট লগের ধরন বোঝা যায়। উদাহরণস্বরূপ:

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

পরিষেবার নাম

ক্লাউড সার্চ অডিট লগ cloudsearch.googleapis.com সার্ভিস নেমটি ব্যবহার করে।

সম্পদের প্রকারভেদ

ক্লাউড সার্চ অডিট লগ সমস্ত লগের জন্য audited_resource রিসোর্স টাইপটি ব্যবহার করে। আরও রিসোর্স টাইপের জন্য, মনিটর করা রিসোর্স টাইপগুলো দেখুন।

অডিট লগিং সক্ষম করুন

ডিফল্টরূপে, ক্লাউড সার্চ এপিআই-এর জন্য অডিট লগিং নিষ্ক্রিয় থাকে। ক্লাউড সার্চ-এর জন্য অডিট লগিং সক্রিয় করতে:

  1. (ঐচ্ছিক) আপনি যদি লগ সংরক্ষণের জন্য কোনো গুগল ক্লাউড প্রজেক্ট তৈরি না করে থাকেন, তাহলে ক্লাউড সার্চ এপিআই-তে অ্যাক্সেস কনফিগার করুন দেখুন।
  2. যে গুগল ক্লাউড প্রজেক্টে আপনি লগ সংরক্ষণ করতে চান, তার প্রজেক্ট আইডি সংগ্রহ করুন। প্রজেক্ট শনাক্তকরণ দেখুন।
  3. একটি নির্দিষ্ট API-এর জন্য কোন লগ ক্যাটাগরি সক্রিয় করতে হবে তা নির্ধারণ করুন। নিরীক্ষিত অপারেশনসমূহ দেখুন।

  4. ক্যাটাগরিগুলো দিয়ে auditLogSettings আপডেট করতে updateCustomer() REST API মেথডটি ব্যবহার করুন:

    1. একটি OAuth 2.0 অ্যাক্সেস টোকেন সংগ্রহ করুন। Google API অ্যাক্সেস করতে OAuth 2.0-এর ব্যবহার দেখুন। এই স্কোপগুলির মধ্যে একটি ব্যবহার করুন:
      • https://www.googleapis.com/auth/cloud_search.settings.indexing
      • https://www.googleapis.com/auth/cloud_search.settings
      • https://www.googleapis.com/auth/cloud_search

    2. এই কার্ল (curl) কমান্ডটি চালান: bash curl --request PATCH \ 'https://cloudsearch.googleapis.com/v1/settings/customer?updateMask=auditLoggingSettings&key=[YOUR_API_KEY]' \ --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \ --header 'Content-Type: application/json' \ --data '{"auditLoggingSettings": { "project": "projects/PROJECT_ID", "CATEGORY1": "true", "CATEGORY2": "true" } }' YOUR_ACCESS_TOKEN , PROJECT_ID , এবং ক্যাটাগরিগুলো ( logAdminReadActions , logDataWriteActions , অথবা logDataReadActions ) প্রতিস্থাপন করুন। অ্যাডমিন রাইট অ্যাকশনগুলো ডিফল্টরূপে সক্রিয় থাকে। কোয়েরি মেথডগুলো লগ করার জন্য, ডেটা রিড ক্যাটাগরিটি সক্রিয় করুন।

      ক্লাউড সার্চ এপিআই-তে পরবর্তী অনুরোধগুলো নির্দিষ্ট প্রজেক্টে লগ তৈরি করে।

  5. কোয়েরি মেথডগুলির জন্য অডিট লগিং চালু করতে ডেটা রিড ক্যাটাগরিটি প্রয়োজন। query.sources.list , query.suggest , এবং query.search জন্য লগিং সক্রিয় করতে:

    1. প্রতিটি সার্চ অ্যাপ্লিকেশনের নাম searchapplications/<search_application_id> ফর্ম্যাটে পুনরুদ্ধার করুন।
    2. enableAuditLog true সেট করে settings.searchapplications.update কে কল করুন।

  6. cloudsearch.google.com থেকে আসা কলগুলির জন্য অডিট লগিং চালু করতে, 'Data read' ক্যাটাগরিটি সক্রিয় আছে কিনা তা নিশ্চিত করুন এবং searchapplications/default আপডেট করুন।

Google Cloud কনসোলের লগস এক্সপ্লোরারে লগগুলি দেখুন। ক্লাউড সার্চ অডিট লগের জন্য এই ফিল্টারটি ব্যবহার করুন:

protoPayload.serviceName="cloudsearch.googleapis.com"

আরও তথ্যের জন্য, লগস এক্সপ্লোরার ওভারভিউ দেখুন।

অডিট লগ অনুমতি

আইডেন্টিটি অ্যান্ড অ্যাক্সেস ম্যানেজমেন্ট (IAM) পারমিশন নির্ধারণ করে যে আপনি কোন লগগুলো দেখতে বা এক্সপোর্ট করতে পারবেন। আরও তথ্যের জন্য, ‘ভূমিকা বোঝা’ দেখুন।

অ্যাডমিন অ্যাক্টিভিটি অডিট লগ দেখতে হলে, আপনার নিম্নলিখিত IAM রোলগুলির মধ্যে একটি থাকতে হবে:

ডেটা অ্যাক্সেস অডিট লগ দেখতে হলে, আপনার নিম্নলিখিত ভূমিকাগুলির মধ্যে একটি থাকতে হবে:

আপনি যদি কোনো সংস্থা বা প্রতিষ্ঠানের মতো প্রকল্প-বহির্ভূত কোনো সত্তা থেকে অডিট লগ ব্যবহার করেন, তাহলে ক্লাউড প্রকল্পের ভূমিকাগুলো পরিবর্তন করে উপযুক্ত প্রাতিষ্ঠানিক ভূমিকা নির্ধারণ করুন।

লগ দেখুন

লগ দেখতে হলে আপনার ক্লাউড প্রজেক্ট, ফোল্ডার বা অর্গানাইজেশনের আইডেন্টিফায়ার প্রয়োজন হবে। আপনি resource.type মতো অন্যান্য LogEntry ফিল্ডও নির্দিষ্ট করতে পারেন। Logs Explorer-এ Build queries দেখুন।

অডিট লগের নামগুলো এই বিন্যাস অনুসরণ করে:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy



folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy



organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

আপনার অডিট লগ এন্ট্রিগুলো দেখার জন্য বেশ কয়েকটি বিকল্প রয়েছে।

কনসোল

  1. Google Cloud কনসোলে Logging > Logs Explorer পৃষ্ঠায় যান। Logs Explorer-এ যান।
  2. আপনার প্রকল্পটি নির্বাচন করুন।
  3. কোয়েরি বিল্ডার প্যানে, রিসোর্স এবং লগ টাইপ নির্বাচন করুন। নতুন লগস এক্সপ্লোরার ব্যবহার করে কোয়েরি করার বিষয়ে আরও বিস্তারিত জানতে, লগস এক্সপ্লোরারে কোয়েরি তৈরি করুন (Build queries in the Logs Explorer ) দেখুন।

জিক্লাউড

প্রজেক্ট-স্তরের লগগুলির জন্য এই কমান্ডটি চালান:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" 

  --project=PROJECT_ID

এপিআই

  1. entries.list মেথডটির জন্য Try this API সেকশনে যান।
  2. এই অনুরোধের মূল অংশটি ব্যবহার করুন, যেখানে PROJECT_ID জায়গায় আপনার নির্বাচিত প্রজেক্ট আইডি বসান: 
    {
"resourceNames": ["projects/PROJECT_ID"],
"pageSize": 5,
"filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}
  3. এক্সিকিউট-এ ক্লিক করুন।

কোয়েরি করার বিষয়ে আরও বিস্তারিত জানতে, লগিং কোয়েরি ল্যাঙ্গুয়েজ দেখুন।

অডিট লগের একটি নমুনা এন্ট্রি এবং এর মধ্যে সবচেয়ে গুরুত্বপূর্ণ তথ্য কীভাবে খুঁজে বের করতে হয়, তা জানতে “Understanding audit logs” দেখুন।

অডিট লগ রপ্তানি করুন

আপনি অন্যান্য লগের মতোই অডিট লগ এক্সপোর্ট করতে পারেন। লগ এক্সপোর্ট করা দেখুন।

  • দীর্ঘ সময় ধরে সংরক্ষণ বা উন্নত অনুসন্ধানের জন্য ক্লাউড স্টোরেজ, বিগকোয়েরি বা পাব/সাব-এ এক্সপোর্ট করুন।
  • একটি প্রতিষ্ঠান জুড়ে লগ পরিচালনা করতে অ্যাগ্রিগেটেড সিঙ্ক ব্যবহার করুন।
  • লগ বরাদ্দ পরিচালনা করতে ডেটা অ্যাক্সেস লগ বাদ দিন। লগ বাদ দেওয়া দেখুন।

মূল্য নির্ধারণ এবং ধরে রাখা

ক্লাউড লগিং অ্যাডমিন অ্যাক্টিভিটি অডিট লগের জন্য কোনো চার্জ করে না। ক্লাউড লগিং ডেটা অ্যাক্সেস অডিট লগের জন্য চার্জ করে। গুগল ক্লাউডের অপারেশনস স্যুটের মূল্যতালিকা দেখুন।

ক্লাউড সার্চ অডিট লগ সংরক্ষণের সময়কাল:

  • প্রশাসকের কার্যকলাপের লগ: ৪০০ দিন।
  • ডেটা অ্যাক্সেস লগ: ৩০ দিন।

বর্তমান সীমাবদ্ধতা

ক্লাউড সার্চ অডিট লগিং-এর সীমাবদ্ধতা:

  • লগ এন্ট্রির আকার অবশ্যই ৫১২ কেবি-র কম হতে হবে। যদি কোনো এন্ট্রি ৫১২ কেবি অতিক্রম করে, তাহলে response ফিল্ডটি মুছে ফেলা হয়। এরপরও যদি এটি ৫১২ কেবি অতিক্রম করে, তাহলে request ফিল্ডটি মুছে ফেলা হয়। এরপরও যদি এটি ৫১২ কেবি অতিক্রম করে, তাহলে সম্পূর্ণ এন্ট্রিটি বাতিল করে দেওয়া হয়।
  • list() , get() , এবং suggest() মেথডগুলোর রেসপন্স বডি লগ করা হয় না।
  • শুধুমাত্র cloudsearch.google.com এবং গ্রাহকের সার্চ অ্যাপ্লিকেশন থেকে করা কোয়েরি কলগুলোই লগ করা হয়।
  • search() কলের ক্ষেত্রে, অনুরোধে শুধুমাত্র Query , RequestOptions এবং DataSourceRestriction লগ করা হয়। প্রতিক্রিয়াটি কেবল URL এবং মেটাডেটা নিরীক্ষা করে।
  • ডেটা রপ্তানির জন্য করা ব্যাকএন্ড কলগুলো নিরীক্ষা করা হয় না।