Logging audit

Halaman ini menjelaskan log audit yang dibuat Cloud Search sebagai bagian dari Cloud Audit Logs.

Ringkasan

Layanan Google Cloud menulis log audit untuk membantu Anda menjawab pertanyaan "Siapa yang melakukan apa, di mana, dan kapan" dalam resource Anda. Project Cloud Anda hanya berisi log audit untuk resource yang berada langsung dalam project. Entitas lain, seperti folder, organisasi, dan akun Penagihan Cloud, berisi log auditnya sendiri.

Untuk ringkasan umum, lihat Cloud Audit Logs. Untuk mengetahui detail selengkapnya, lihat Memahami log audit.

Cloud Audit Logs menyediakan log berikut untuk setiap project, folder, dan organisasi Cloud:

  • Log audit Aktivitas Admin: entri untuk metode yang melakukan operasi tulis Admin.
  • Log audit Akses Data: entri untuk metode yang melakukan operasi Pembacaan admin, Penulisan data, dan Pembacaan data.
  • Log audit Peristiwa Sistem
  • Log audit Kebijakan Ditolak

Cloud Search menulis log audit Aktivitas Admin untuk mencatat operasi yang mengubah konfigurasi atau metadata resource. Anda tidak dapat menonaktifkan log audit Aktivitas Admin.

Cloud Search menulis log audit Akses Data hanya jika Anda mengaktifkannya secara eksplisit. Log ini berisi panggilan API yang membaca konfigurasi atau metadata resource, dan panggilan API berbasis pengguna yang membuat, mengubah, atau membaca data resource yang disediakan pengguna.

Cloud Search tidak menulis log audit Peristiwa Sistem atau Kebijakan Ditolak.

Operasi yang diaudit

Tabel berikut meringkas operasi API yang sesuai untuk setiap jenis log audit di Cloud Search:

Kategori log audit Operasi Cloud Search
Aktivitas Admin: Penulisan admin indexing.datasources.updateSchema
indexing.datasources.deleteSchema
settings.datasources.create
settings.datasources.delete
settings.datasources.update
settings.searchapplications.create
settings.searchapplications.delete
settings.searchapplications.reset
settings.searchapplications.update
settings.updateCustomer
cloudsearch.IdentitySourceService.create
cloudsearch.IdentitySourceService.update
cloudsearch.IdentitySourceService.delete
Akses Data: Admin baca indexing.datasources.getSchema
settings.datasources.get
settings.datasources.list
settings.searchapplications.get
settings.searchapplications.list
settings.getCustomer
cloudsearch.IdentitySourceService.get
cloudsearch.IdentitySourceService.list
Akses Data: Penulisan data indexing.datasources.items.delete
indexing.datasources.items.deleteQueueItems
indexing.datasources.items.index
indexing.datasources.items.poll
indexing.datasources.items.push
indexing.datasources.items.unreserve
indexing.datasources.items.upload
media.upload
Akses Data: Data dibaca indexing.datasources.items.get
indexing.datasources.items.list
operations.get
operations.list
debug.datasources.items.checkAccess
debug.datasources.items.searchByViewUrl
stats.getIndex
stats.getQuery
stats.getSession
stats.getUser
stats.index.datasources.get
stats.query.searchapplications.get
stats.session.searchapplications.get
stats.user.search applications.get
debug.identitysources.items.listForunmappedidentity
debug.identitysources.unmappedids.list
debug.datasources.items.unmappedids.list
query.sources.list
query.suggest
query.search
stats.getSearchapplication

Format log audit

Entri log audit mencakup objek berikut. Anda dapat melihatnya di Cloud Logging menggunakan Logs Explorer, Cloud Logging API, atau alat command line gcloud.

Entri log itu sendiri adalah objek LogEntry. Kolom yang berguna meliputi:

  • logName: ID resource dan jenis log audit.
  • resource: target operasi yang diaudit.
  • timeStamp: waktu operasi yang diaudit.
  • protoPayload: informasi yang diaudit.

Data logging audit adalah objek AuditLog di kolom protoPayload.

Informasi audit khusus layanan opsional adalah objek khusus layanan. Untuk integrasi sebelumnya, objek ini berada di kolom serviceData pada objek AuditLog; integrasi berikutnya menggunakan kolom metadata.

Untuk mengetahui informasi selengkapnya, lihat Memahami log audit.

Nama log

Nama resource Cloud Audit Logs menunjukkan project atau entity Google Cloud lainnya yang memiliki log, dan jenis log audit. Contoh:

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Nama layanan

Log audit Cloud Search menggunakan nama layanan cloudsearch.googleapis.com.

Jenis resource

Log audit Cloud Search menggunakan jenis resource audited_resource untuk semua log. Untuk jenis resource lainnya, lihat Jenis resource yang dimonitor.

Mengaktifkan logging audit

Secara default, logging audit dinonaktifkan untuk Cloud Search API. Untuk mengaktifkan logging audit untuk Cloud Search:

  1. (Opsional) Jika Anda belum membuat project Google Cloud untuk menyimpan log, lihat Mengonfigurasi akses ke Cloud Search API.
  2. Dapatkan project ID untuk project Google Cloud tempat Anda ingin menyimpan log. Lihat Mengidentifikasi project.
  3. Tentukan kategori log yang akan diaktifkan untuk API tertentu. Lihat Operasi yang diaudit.

  4. Gunakan metode REST API updateCustomer() untuk memperbarui auditLogSettings dengan kategori:

    1. Dapatkan token akses OAuth 2.0. Lihat Menggunakan OAuth 2.0 untuk Mengakses Google API. Gunakan salah satu cakupan berikut:
      • https://www.googleapis.com/auth/cloud_search.settings.indexing
      • https://www.googleapis.com/auth/cloud_search.settings
      • https://www.googleapis.com/auth/cloud_search

    2. Jalankan perintah curl ini: bash curl --request PATCH \ 'https://cloudsearch.googleapis.com/v1/settings/customer?updateMask=auditLoggingSettings&key=[YOUR_API_KEY]' \ --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \ --header 'Content-Type: application/json' \ --data '{"auditLoggingSettings": { "project": "projects/PROJECT_ID", "CATEGORY1": "true", "CATEGORY2": "true" } }' Ganti YOUR_ACCESS_TOKEN, PROJECT_ID, dan kategori (logAdminReadActions, logDataWriteActions, atau logDataReadActions). Tindakan tulis admin diaktifkan secara default. Untuk mencatat metode kueri, aktifkan kategori Pembacaan data.

      Permintaan berikutnya ke Cloud Search API akan membuat log di project yang ditentukan.

  5. Logging audit untuk metode kueri memerlukan kategori Data dibaca. Untuk mengaktifkan logging untuk query.sources.list, query.suggest, dan query.search:

    1. Ambil nama untuk setiap aplikasi penelusuran, dalam bentuk searchapplications/<search_application_id>.
    2. Panggil settings.searchapplications.update dengan enableAuditLog yang ditetapkan ke true.

  6. Untuk mengaktifkan logging audit untuk panggilan dari cloudsearch.google.com, pastikan kategori Data dibaca diaktifkan dan perbarui searchapplications/default.

Lihat log di Logs Explorer pada konsol Google Cloud. Gunakan filter ini untuk log audit Cloud Search:

protoPayload.serviceName="cloudsearch.googleapis.com"

Untuk mengetahui informasi selengkapnya, lihat Ringkasan Logs Explorer.

Izin log audit

Izin Identity and Access Management (IAM) menentukan log mana yang dapat Anda lihat atau ekspor. Untuk mengetahui informasi selengkapnya, lihat Memahami peran.

Untuk melihat log audit Aktivitas Admin, Anda harus memiliki salah satu peran IAM berikut:

Untuk melihat log audit Akses Data, Anda harus memiliki salah satu peran berikut:

Jika Anda menggunakan log audit dari entity non-project, seperti organisasi, ubah peran project Cloud ke peran organisasi yang sesuai.

Melihat log

Untuk melihat log, Anda memerlukan ID project, folder, atau organisasi Cloud. Anda dapat menentukan kolom LogEntry lainnya, seperti resource.type. Lihat Membuat kueri di Logs Explorer.

Nama log audit mengikuti format ini: 

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy



folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy



organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Anda memiliki beberapa opsi untuk melihat entri log audit Anda.

Konsol

  1. Buka halaman Logging > Logs Explorer di konsol Google Cloud. Buka Logs Explorer
  2. Pilih project Anda.
  3. Di panel Query builder, pilih resource dan jenis log. Untuk mengetahui detail selengkapnya tentang proses kueri menggunakan Logs Explorer baru, lihat Membuat kueri di Logs Explorer.

gcloud

Jalankan perintah ini untuk log tingkat project: 

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" 

  --project=PROJECT_ID

API

  1. Buka bagian Try this API untuk metode entries.list.
  2. Gunakan isi permintaan ini, dengan mengganti PROJECT_ID dengan project ID yang Anda pilih: 
    {
"resourceNames": ["projects/PROJECT_ID"],
"pageSize": 5,
"filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}
  3. Klik Execute.

Untuk mengetahui detail selengkapnya tentang kueri, lihat Bahasa kueri logging.

Untuk mendapatkan contoh entri log audit dan cara mencari informasi yang paling penting di dalamnya, lihat Memahami log audit.

Mengekspor log audit

Anda dapat mengekspor log audit seperti log lainnya. Lihat Mengekspor log.

  • Ekspor ke Cloud Storage, BigQuery, atau Pub/Sub untuk retensi yang lebih lama atau penelusuran lanjutan.
  • Gunakan sink gabungan untuk mengelola log di seluruh organisasi.
  • Mengecualikan log Akses Data untuk mengelola alokasi log. Lihat Mengecualikan log.

Harga dan retensi

Cloud Logging tidak mengenakan biaya untuk log audit Aktivitas Admin. Cloud Logging mengenakan biaya untuk log audit Akses Data. Lihat Harga Google Cloud Operations Suite.

Periode retensi untuk log audit Cloud Search:

  • Log Aktivitas Admin: 400 hari.
  • Log Akses Data: 30 hari.

Batasan saat ini

Batasan logging audit Cloud Search:

  • Ukuran entri log harus kurang dari 512 KB. Jika entri melebihi 512 KB, kolom response akan dihapus. Jika masih melebihi 512 KB, kolom request akan dihapus. Jika masih melebihi 512 KB, seluruh entri akan dihapus.
  • Isi respons tidak dicatat untuk metode list(), get(), dan suggest().
  • Hanya panggilan kueri dari cloudsearch.google.com dan aplikasi penelusuran pelanggan yang dicatat.
  • Untuk panggilan search(), hanya Query, RequestOptions, dan DataSourceRestriction yang dicatat dalam permintaan. Respons hanya mengaudit URL dan metadata.
  • Panggilan backend untuk ekspor data tidak diaudit.