רישום ביומן ביקורת

בדף הזה מתוארים יומני הביקורת שנוצרים על ידי Cloud Search כחלק מיומני הביקורת של Cloud.

סקירה כללית

יומני הביקורת של שירותי Google Cloud מיועדים לענות על השאלות 'מי עשה מה, איפה ומתי?' ביחס למשאבים שלכם. הפרויקטים שלכם ב-Cloud כוללים רק יומני ביקורת של משאבים שמשויכים ישירות לפרויקט. ישויות אחרות, כמו תיקיות, ארגונים וחשבונות לחיוב ב-Cloud, מכילות יומני ביקורת משלהן.

לסקירה כללית, ראו יומני ביקורת של Cloud. מידע נוסף זמין במאמר הסבר על יומני הביקורת.

יומני הביקורת של Cloud מספקים את היומנים הבאים לכל פרויקט, תיקייה וארגון ב-Cloud:

  • יומני הביקורת Admin Activity: רשומות של methods שמבצעות פעולות כתיבה של אדמין.
  • יומני ביקורת של גישה לנתונים: רשומות של שיטות שמבצעות פעולות של קריאת אדמין, כתיבת נתונים וקריאת נתונים.
  • יומני הביקורת System Event
  • יומני ביקורת Policy Denied

Cloud Search כותב יומני ביקורת של פעילות אדמין כדי לתעד פעולות שמשנות את ההגדרות או את המטא-נתונים של משאבים. אי אפשר להשבית את יומני הביקורת Admin Activity.

‫Cloud Search כותב יומני ביקורת Data Access רק אם מפעילים אותם באופן מפורש. היומנים האלה מכילים קריאות ל-API שקוראות את ההגדרות או את המטא-נתונים של משאבים, וקריאות ל-API שמופעלות על ידי משתמשים ויוצרות, משנות או קוראות נתוני משאבים שסופקו על ידי משתמשים.

‫Cloud Search לא כותב יומני ביקורת מסוג System Event או Policy Denied.

פעולות מבוקרות

הטבלה הבאה מסכמת אילו פעולות API מתאימות לכל סוג של רישום ביומן הביקורת ב-Cloud Search:

קטגוריית יומני הביקורת פעולות ב-Cloud Search
Admin Activity: Admin write indexing.datasources.updateSchema
indexing.datasources.deleteSchema
settings.datasources.create
settings.datasources.delete
settings.datasources.update
settings.searchapplications.create
settings.searchapplications.delete
settings.searchapplications.reset
settings.searchapplications.update
settings.updateCustomer
cloudsearch.IdentitySourceService.create
cloudsearch.IdentitySourceService.update
cloudsearch.IdentitySourceService.delete
גישה לנתונים: אדמין קורא indexing.datasources.getSchema
settings.datasources.get
settings.datasources.list
settings.searchapplications.get
settings.searchapplications.list
settings.getCustomer
cloudsearch.IdentitySourceService.get
cloudsearch.IdentitySourceService.list
גישה לנתונים: כתיבת נתונים indexing.datasources.items.delete
indexing.datasources.items.deleteQueueItems
indexing.datasources.items.index
indexing.datasources.items.poll
indexing.datasources.items.push
indexing.datasources.items.unreserve
indexing.datasources.items.upload
media.upload
גישה לנתונים: קריאת נתונים indexing.datasources.items.get
indexing.datasources.items.list
operations.get
operations.list
debug.datasources.items.checkAccess
debug.datasources.items.searchByViewUrl
stats.getIndex
stats.getQuery
stats.getSession
stats.getUser
stats.index.datasources.get
stats.query.searchapplications.get
stats.session.searchapplications.get
stats.user.search applications.get
debug.identitysources.items.listForunmappedidentity
debug.identitysources.unmappedids.list
debug.datasources.items.unmappedids.list
query.sources.list
query.suggest
query.search
stats.getSearchapplication

הפורמט של יומן הביקורת

הרשומות ביומן הביקורת כוללות את האובייקטים הבאים. אפשר לראות אותם ב-Cloud Logging באמצעות Logs Explorer,‏ Cloud Logging API או כלי שורת הפקודה gcloud.

הרשומה עצמה ביומן היא אובייקט LogEntry. אלה כמה מהשדות השימושיים ברשומה:

  • logName: מזהה המשאב וסוג יומן הביקורת.
  • resource: היעד של הפעולה שנבדקה.
  • timeStamp: השעה של הפעולה שנבדקה.
  • protoPayload: המידע שנבדק.

הנתונים של יומני הביקורת הם אובייקט מסוג AuditLog בשדה protoPayload.

אובייקט ספציפי לשירות שמכיל מידע אופציונלי על ביקורת ספציפית לשירות. בשילובים קודמים, האובייקט הזה נמצא בשדה serviceData של האובייקט AuditLog. בשילובים מאוחרים יותר נעשה שימוש בשדה metadata.

מידע נוסף זמין במאמר הסבר על יומני הביקורת.

שם יומן הביקורת

השמות של המשאבים ביומני הביקורת ב-Cloud מציינים את הפרויקט או ישות אחרת ב-Google Cloud שיומני הביקורת בבעלותם, ואת סוג יומן הביקורת. לדוגמה:

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

שם השירות

יומני הביקורת של Cloud Search משתמשים בשם השירות cloudsearch.googleapis.com.

סוגי המשאבים

יומני הביקורת של Cloud Search משתמשים בסוג המשאב audited_resource בכל היומנים. במאמר סוגי משאבים במעקב תוכלו למצוא מידע על סוגי משאבים נוספים.

הפעלת הרישום ביומן הביקורת

כברירת מחדל, רישום ביומן הביקורת מושבת עבור Cloud Search API. כדי להפעיל רישום ביומני ביקורת ב-Cloud Search:

  1. (אופציונלי) אם לא יצרתם פרויקט ב-Google Cloud לאחסון יומנים, אפשר לעיין במאמר בנושא הגדרת גישה ל-Cloud Search API.
  2. משיגים את מזהה הפרויקט של פרויקט Google Cloud שבו רוצים לאחסן את היומנים. איך מזהים פרויקטים
  3. קובעים את קטגוריית היומן שרוצים להפעיל עבור API ספציפי. פעולות מבוקרות

  4. משתמשים ב-method ‏updateCustomer() ב-REST API כדי לעדכן את auditLogSettings בקטגוריות:

    1. מקבלים אסימון גישה מסוג OAuth 2.0. מידע נוסף זמין במאמר בנושא שימוש ב-OAuth 2.0 לגישה ל-Google APIs. משתמשים באחד מההיקפים הבאים:
      • https://www.googleapis.com/auth/cloud_search.settings.indexing
      • https://www.googleapis.com/auth/cloud_search.settings
      • https://www.googleapis.com/auth/cloud_search

    2. מריצים את פקודת ה-curl הבאה: bash curl --request PATCH \ 'https://cloudsearch.googleapis.com/v1/settings/customer?updateMask=auditLoggingSettings&key=[YOUR_API_KEY]' \ --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \ --header 'Content-Type: application/json' \ --data '{"auditLoggingSettings": { "project": "projects/PROJECT_ID", "CATEGORY1": "true", "CATEGORY2": "true" } }' מחליפים את YOUR_ACCESS_TOKEN, PROJECT_ID ואת הקטגוריות (logAdminReadActions, logDataWriteActions או logDataReadActions). פעולות כתיבה של אדמין מופעלות כברירת מחדל. כדי לרשום ביומן את שיטות השאילתה, מפעילים את הקטגוריה Data read.

      בקשות עוקבות ל-Cloud Search API יוצרות יומנים בפרויקט שצוין.

  5. כדי להשתמש ביומני ביקורת לשיטות של שאילתות, צריך להשתמש בקטגוריה 'קריאת נתונים'. כדי להפעיל את הרישום ביומן עבור query.sources.list, query.suggest ו-query.search:

    1. מאחזרים את השם של כל אפליקציית חיפוש, בפורמט searchapplications/<search_application_id>.
    2. שיחה למספר settings.searchapplications.update עם enableAuditLog שהוגדר כtrue.

  6. כדי להפעיל רישום ביומן ביקורת של שיחות מ-cloudsearch.google.com, צריך לוודא שהקטגוריה Data read (קריאת נתונים) מופעלת ולעדכן את searchapplications/default.

צפייה ביומנים בכלי Logs Explorer במסוף Google Cloud. שימוש במסנן הזה ביומני ביקורת של Cloud Search:

protoPayload.serviceName="cloudsearch.googleapis.com"

מידע נוסף זמין במאמר סקירה כללית של Logs Explorer.

הרשאות ליומן הביקורת

ההרשאות לניהול זהויות והרשאות גישה (IAM) קובעות אילו יומנים תוכלו להציג או לייצא. מידע נוסף מופיע במאמר הסבר על תפקידים.

כדי לראות את יומני הביקורת Admin Activity, צריך להיות לכם אחד מתפקידי ה-IAM הבאים:

כדי לצפות ביומני הביקורת Data Access, צריך להיות לכם אחד מהתפקידים הבאים:

אם אתם משתמשים ביומני ביקורת מישות שאינה פרויקט, כמו ארגון, אתם צריכים לשנות את התפקידים בפרויקט ב-Cloud לתפקידים מתאימים בארגון.

צפייה ביומנים

כדי להציג יומנים, צריך את המזהה של הפרויקט ב-Cloud, התיקייה או הארגון. אפשר לציין שדות אחרים מסוג LogEntry, כמו resource.type. מידע נוסף זמין במאמר בנושא יצירת שאילתות ב-Logs Explorer.

הפורמט של השמות של יומני הביקורת הוא: 

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy



folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy



organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

יש כמה דרכים לצפייה ברשומות ביומן הביקורת.

המסוף

  1. נכנסים לדף Logging > Logs Explorer במסוף Google Cloud. כניסה לדף Logs Explorer
  2. בוחרים את הפרויקט הרצוי.
  3. בחלונית Query builder, בוחרים את המשאב ואת סוג היומן. מידע נוסף על שליחת שאילתות באמצעות Logs Explorer החדש מופיע במאמר יצירת שאילתות ב-Logs Explorer.

gcloud

מריצים את הפקודה הבאה ליומנים ברמת הפרויקט: 

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" 

  --project=PROJECT_ID

API

  1. עוברים לקטע Try this API במאמרי העזרה של ה-method entries.list.
  2. משתמשים בגוף הבקשה הזה ומחליפים את PROJECT_ID במזהה הפרויקט שבחרתם: 
    {
"resourceNames": ["projects/PROJECT_ID"],
"pageSize": 5,
"filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}
  3. לוחצים על Execute.

פרטים נוספים על שליחת שאילתות זמינים במאמר שפת השאילתות של Logging.

במאמר הסבר על יומני הביקורת מופיעה דוגמה לרשומה ביומן ביקורת והסבר על אופן החיפוש של המידע החשוב ביותר בה.

ייצוא של יומני ביקורת

אפשר לייצא יומני ביקורת כמו יומנים אחרים. ייצוא יומנים

  • ייצוא ל-Cloud Storage, ל-BigQuery או ל-Pub/Sub לצורך שמירה לטווח ארוך או חיפוש מתקדם.
  • כדי לנהל יומנים בארגון, אפשר להשתמש ב-aggregated sinks.
  • כדי לנהל את מכסות היומנים, אפשר להחריג יומני גישה לנתונים. איך מחריגים יומנים

תמחור ושימור

אין חיוב על יומני הביקורת Admin Activity ב-Cloud Logging. יש חיוב על יומני הביקורת Data Access ב-Cloud Logging. ראו תמחור חבילת התפעול של Google Cloud.

תקופות השמירה של יומני ביקורת של Cloud Search:

  • יומני Admin Activity: ‏ 400 ימים.
  • יומני גישה לנתונים: 30 ימים.

מגבלות נוכחיות

מגבלות ברישום ביומני הביקורת של Cloud Search:

  • גודל רשומת היומן חייב להיות קטן מ-512KB. אם רשומה חורגת מ-512KB, השדה response מוסר. אם הגודל עדיין גדול מ-512KB, השדה request יוסר. אם הנפח עדיין גדול מ-512KB, כל הרשומה מושמטת.
  • גופי התשובות לא נרשמים ביומן עבור השיטות list(), get() ו-suggest().
  • רק שיחות שאילתה מ-cloudsearch.google.com ומאפליקציות לחיפוש לקוחות נרשמות ביומן.
  • בשיחות search(), רק Query,‏ RequestOptions ו-DataSourceRestriction מתועדים בבקשה. התשובה כוללת רק ביקורת על כתובת ה-URL והמטא-נתונים.
  • לא מתבצעת ביקורת על קריאות לשרת העורפי לייצוא נתונים.