רישום ביומן ביקורת

בדף הזה מתוארים יומני הביקורת שנוצרים על ידי Cloud Search כחלק מיומני הביקורת של Cloud.

סקירה כללית

יומני הביקורת של שירותי Google Cloud מיועדים לענות על השאלות 'מי עשה מה, איפה ומתי?' ביחס למשאבים שלכם. הפרויקטים שלכם ב-Cloud כוללים רק יומני ביקורת של משאבים שמשויכים ישירות לפרויקט. ישויות אחרות, כמו תיקיות, ארגונים וחשבונות לחיוב ב-Cloud, מכילות יומני ביקורת משלהן.

לפרטים נוספים, ראו יומני ביקורת של Cloud. מידע נוסף זמין במאמר הסבר על יומני הביקורת.

יומני הביקורת של Cloud מספקים את היומנים הבאים לכל פרויקט בענן, תיקייה וארגון:

  • יומני הביקורת Admin Activity: רשומות של methods שמבצעות פעולות כתיבה של אדמין.
  • יומני ביקורת של גישה לנתונים: רשומות של שיטות שמבצעות פעולות של קריאת אדמין, כתיבת נתונים וקריאת נתונים.
  • יומני הביקורת System Event
  • יומני ביקורת Policy Denied

Cloud Search כותב יומני ביקורת של פעילות אדמין כדי לתעד פעולות שמשנות את ההגדרות או את המטא-נתונים של משאבים. אי אפשר להשבית את יומני הביקורת Admin Activity.

‫Cloud Search כותב יומני ביקורת של Data Access רק אם מפעילים אותם באופן מפורש. היומנים האלה מכילים קריאות ל-API שקוראות הגדרות או מטא-נתונים של משאבים, וקריאות ל-API שמופעלות על ידי משתמשים ויוצרות, משנות או קוראות נתוני משאבים שסופקו על ידי משתמשים.

‫Cloud Search לא כותב יומני ביקורת מסוג System Event או Policy Denied.

פעולות מבוקרות

הטבלה הבאה מסכמת אילו פעולות API מתאימות לכל סוג של רישום ביומן הביקורת ב-Cloud Search:

קטגוריית יומני הביקורת פעולות ב-Cloud Search
Admin Activity: Admin write indexing.datasources.updateSchema
indexing.datasources.deleteSchema
settings.datasources.create
settings.datasources.delete
settings.datasources.update
settings.searchapplications.create
settings.searchapplications.delete
settings.searchapplications.reset
settings.searchapplications.update
settings.updateCustomer
cloudsearch.IdentitySourceService.create
cloudsearch.IdentitySourceService.update
cloudsearch.IdentitySourceService.delete
גישה לנתונים: אדמין קורא indexing.datasources.getSchema
settings.datasources.get
settings.datasources.list
settings.searchapplications.get
settings.searchapplications.list
settings.getCustomer
cloudsearch.IdentitySourceService.get
cloudsearch.IdentitySourceService.list
גישה לנתונים: כתיבת נתונים indexing.datasources.items.delete
indexing.datasources.items.deleteQueueItems
indexing.datasources.items.index
indexing.datasources.items.poll
indexing.datasources.items.push
indexing.datasources.items.unreserve
indexing.datasources.items.upload
media.upload
גישה לנתונים: קריאת נתונים indexing.datasources.items.get
indexing.datasources.items.list
operations.get
operations.list
debug.datasources.items.checkAccess
debug.datasources.items.searchByViewUrl
stats.getIndex
stats.getQuery
stats.getSession
stats.getUser
stats.index.datasources.get
stats.query.searchapplications.get
stats.session.searchapplications.get
stats.user.search applications.get
debug.identitysources.items.listForunmappedidentity
debug.identitysources.unmappedids.list
debug.datasources.items.unmappedids.list
query.sources.list
query.suggest
query.search
stats.getSearchapplication

הפורמט של יומן הביקורת

הרשומות ביומן הביקורת כוללות את האובייקטים הבאים. אפשר לראות אותם ב-Cloud Logging באמצעות Logs Explorer,‏ Cloud Logging API או כלי שורת הפקודה gcloud.

הרשומה עצמה ביומן היא אובייקט LogEntry. אלה כמה מהשדות השימושיים ברשומה:

  • logName: מזהה המשאב וסוג יומן הביקורת.
  • resource: היעד של הפעולה שנבדקה.
  • timeStamp: השעה של הפעולה שנבדקה.
  • protoPayload: המידע שנבדק.

הנתונים של יומני הביקורת הם אובייקט מסוג AuditLog בשדה protoPayload.

אובייקט ספציפי לשירות שמכיל מידע אופציונלי על ביקורת ספציפית לשירות. בשילובים קודמים, האובייקט הזה נשמר בשדה serviceData של האובייקט AuditLog. בשילובים מאוחרים יותר נעשה שימוש בשדה metadata.

מידע נוסף זמין במאמר הסבר על יומני הביקורת.

שם יומן הביקורת

השמות של המשאבים ביומני הביקורת ב-Cloud מציינים את הפרויקט או ישות אחרת ב-Google Cloud שיומני הביקורת בבעלותם, ואת סוג יומן הביקורת. לדוגמה:

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

שם השירות

יומני הביקורת של Cloud Search משתמשים בשם השירות cloudsearch.googleapis.com.

סוגי המשאבים

יומני הביקורת של Cloud Search משתמשים בסוג המשאב audited_resource בכל היומנים. במאמר סוגי המשאבים במעקב תוכלו למצוא מידע על סוגי משאבים נוספים.

הפעלת הרישום ביומן הביקורת

כברירת מחדל, רישום ביומן הביקורת מושבת עבור Cloud Search API. כדי להפעיל רישום ביומני ביקורת ב-Cloud Search:

  1. (אופציונלי) אם לא יצרתם פרויקט בענן ב-Google Cloud לאחסון יומנים, אפשר לעיין במאמר בנושא הגדרת גישה ל-Cloud Search API.
  2. משיגים את מזהה הפרויקט של פרויקט Google Cloud שבו רוצים לאחסן את היומנים. איך מזהים פרויקטים
  3. קובעים את קטגוריית היומן שרוצים להפעיל עבור API ספציפי. פעולות מבוקרות

  4. משתמשים ב-method ‏updateCustomer() ב-API בארכיטקטורת REST כדי לעדכן את auditLogSettings עם הקטגוריות:

    1. מקבלים אסימון גישה מסוג OAuth 2.0. מידע נוסף זמין במאמר בנושא שימוש ב-OAuth 2.0 לגישה ל-Google APIs. משתמשים באחד מההיקפים הבאים:
      • https://www.googleapis.com/auth/cloud_search.settings.indexing
      • https://www.googleapis.com/auth/cloud_search.settings
      • https://www.googleapis.com/auth/cloud_search

    2. מריצים את פקודת ה-curl הבאה: bash curl --request PATCH \ 'https://cloudsearch.googleapis.com/v1/settings/customer?updateMask=auditLoggingSettings&key=[YOUR_API_KEY]' \ --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \ --header 'Content-Type: application/json' \ --data '{"auditLoggingSettings": { "project": "projects/PROJECT_ID", "CATEGORY1": "true", "CATEGORY2": "true" } }' מחליפים את YOUR_ACCESS_TOKEN, PROJECT_ID ואת הקטגוריות (logAdminReadActions, logDataWriteActions או logDataReadActions). פעולות כתיבה של אדמין מופעלות כברירת מחדל. כדי לרשום ביומן את שיטות השאילתה, מפעילים את הקטגוריה Data read.

      בקשות עוקבות ל-Cloud Search API יוצרות יומנים בפרויקט שצוין.

  5. כדי להשתמש ביומני ביקורת לשיטות של שאילתות, צריך להשתמש בקטגוריה 'קריאת נתונים'. כדי להפעיל את הרישום ביומן עבור query.sources.list, ‏query.suggest ו-query.search:

    1. מאחזרים את השם של כל אפליקציית חיפוש, בפורמט searchapplications/<search_application_id>.
    2. שיחה למספר settings.searchapplications.update עם enableAuditLog שהוגדר כtrue.

  6. כדי להפעיל רישום ביומן ביקורת של שיחות מ-cloudsearch.google.com, צריך לוודא שהקטגוריה Data read (קריאת נתונים) מופעלת ולעדכן את searchapplications/default.

צפייה ביומנים בכלי Logs Explorer במסוף Google Cloud. שימוש במסנן הזה עבור יומני ביקורת של Cloud Search:

protoPayload.serviceName="cloudsearch.googleapis.com"

מידע נוסף זמין במאמר סקירה כללית של Logs Explorer.

הרשאות ליומן ביקורת

ההרשאות לניהול זהויות והרשאות גישה (IAM) קובעות אילו יומנים תוכלו לראות או לייצא. מידע נוסף מופיע במאמר הסבר על תפקידים.

כדי לראות את יומני הביקורת Admin Activity, צריך להיות לכם אחד מתפקידי ה-IAM הבאים:

כדי לצפות ביומני הביקורת Data Access, צריך להיות לכם אחד מהתפקידים הבאים:

אם אתם משתמשים ביומני ביקורת מישות שאינה פרויקט, כמו ארגון, אתם צריכים לשנות את התפקידים בפרויקט בענן לתפקידים מתאימים בארגון.

צפייה ביומנים

כדי להציג יומנים, צריך את המזהה של הפרויקט בענן, התיקייה או הארגון. אפשר לציין שדות LogEntry אחרים, כמו resource.type. מידע נוסף זמין במאמר בנושא יצירת שאילתות ב-Logs Explorer.

הפורמט של השמות של יומני הביקורת הוא: 

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy



folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy



organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

יש כמה דרכים לצפייה ברשומות ביומן הביקורת.

המסוף

  1. נכנסים לדף Logging > Logs Explorer במסוף Google Cloud. כניסה לדף Logs Explorer
  2. בוחרים את הפרויקט הרצוי.
  3. בחלונית Query builder, בוחרים את המשאב ואת סוג היומן. מידע נוסף על שליחת שאילתות באמצעות Logs Explorer החדש מופיע במאמר יצירת שאילתות ב-Logs Explorer.

gcloud

מריצים את הפקודה הזו ליומנים ברמת הפרויקט: 

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" 

  --project=PROJECT_ID

API

  1. עוברים לקטע Try this API במאמרי העזרה של ה-method entries.list.
  2. משתמשים בגוף הבקשה הזה ומחליפים את PROJECT_ID במזהה הפרויקט שבחרתם: 
    {
"resourceNames": ["projects/PROJECT_ID"],
"pageSize": 5,
"filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}
  3. לוחצים על Execute.

פרטים נוספים על שליחת שאילתות זמינים במאמר שפת השאילתות של Logging.

במאמר הסבר על יומני הביקורת מופיעה דוגמה לרשומה ביומן ביקורת והסבר על אופן החיפוש של המידע החשוב ביותר בה.

ייצוא של יומני ביקורת

אפשר לייצא יומני ביקורת כמו יומנים אחרים. ייצוא יומנים

  • ייצוא ל-Cloud Storage, ל-BigQuery או ל-Pub/Sub לצורך שמירה לטווח ארוך או חיפוש מתקדם.
  • כדי לנהל יומנים בארגון, אפשר להשתמש ב-aggregated sinks.
  • כדי לנהל את מכסות היומנים, אפשר להחריג את יומני הגישה לנתונים. איך מחריגים יומנים

תמחור ושימור

אין חיוב על יומני הביקורת Admin Activity ב-Cloud Logging. יש חיוב על יומני הביקורת Data Access ב-Cloud Logging. ראו תמחור חבילת התפעול של Google Cloud.

תקופות השמירה של יומני ביקורת של Cloud Search:

  • יומני Admin Activity: ‏ 400 ימים.
  • יומני גישה לנתונים: 30 ימים.

מגבלות נוכחיות

מגבלות ברישום ביומני הביקורת של Cloud Search:

  • גודל רשומת היומן חייב להיות קטן מ-512KB. אם רשומה חורגת מ-512KB, השדה response מוסר. אם הגודל עדיין גדול מ-512KB, השדה request מוסר. אם הנפח עדיין גדול מ-512KB, כל הרשומה מושמטת.
  • גופי התשובות לא מתועדים ביומן עבור שיטות list(), get() ו-suggest().
  • רק שאילתות שמופעלות על ידי cloudsearch.google.com ועל ידי אפליקציות לחיפוש לקוחות נרשמות ביומן.
  • בשיחות ב-search(), רק Query,‏ RequestOptions ו-DataSourceRestriction מתועדים בבקשה. התשובה כוללת רק ביקורת על כתובת ה-URL והמטא-נתונים.
  • לא מתבצעת ביקורת על קריאות לשרת העורפי לייצוא נתונים.