Trang này được dịch bởi Cloud Translation API.

Ghi nhật ký kiểm tra

Trang này mô tả nhật ký kiểm tra do Cloud Search tạo trong Nhật ký kiểm tra trên Cloud.

Tổng quan

Các dịch vụ của Google Cloud ghi nhật ký kiểm tra để giúp bạn trả lời các câu hỏi "Ai đã làm gì, ở đâu và khi nào" trong tài nguyên của bạn. Các dự án trên Cloud chỉ chứa nhật ký kiểm tra cho những tài nguyên nằm ngay trong dự án. Các thực thể khác, chẳng hạn như thư mục, tổ chức và tài khoản thanh toán trên đám mây, chứa nhật ký kiểm tra cho chính thực thể đó.

Để biết thông tin tổng quan chung về Nhật ký kiểm tra trên Cloud, hãy xem phần Nhật ký kiểm tra trên Cloud. Để hiểu rõ hơn về Nhật ký kiểm tra trên Cloud, hãy xem phần Tìm hiểu về nhật ký kiểm tra.

Cloud Audit Logs cung cấp các nhật ký kiểm tra sau đây cho mỗi dự án, thư mục và tổ chức trên đám mây:

Nhật ký kiểm tra Hoạt động của quản trị viên chứa các mục tương ứng với những phương thức thực hiện các thao tác ghi của Quản trị viên. Các phương thức tương ứng với Hoạt động của quản trị viên:Các thao tác ghi của quản trị viên sẽ được đề cập trong phần Các thao tác được kiểm tra sắp tới.
Nhật ký kiểm tra quyền truy cập dữ liệu chứa các mục tương ứng với các phương thức thực hiện các thao tác Đọc của quản trị viên, Ghi dữ liệu và Đọc dữ liệu. Các phương thức tương ứng với các thao tác Truy cập dữ liệu:Đọc của quản trị viên, Truy cập dữ liệu:Ghi dữ liệu, Truy cập dữ liệu:Đọc dữ liệu sẽ được đề cập trong phần Các thao tác được kiểm tra sắp tới.
Nhật ký kiểm tra sự kiện hệ thống
Nhật ký kiểm tra về việc bị từ chối theo chính sách

Cloud Search ghi nhật ký kiểm tra Hoạt động của quản trị viên. Nhật ký này ghi lại những thao tác sửa đổi cấu hình hoặc siêu dữ liệu của một tài nguyên. Bạn không thể tắt nhật ký kiểm tra Hoạt động của quản trị viên.

Chỉ khi bạn bật một cách rõ ràng, Cloud Search mới ghi nhật ký kiểm tra Quyền truy cập dữ liệu. Nhật ký kiểm tra quyền truy cập vào dữ liệu chứa các lệnh gọi API đọc cấu hình hoặc siêu dữ liệu của tài nguyên, cũng như các lệnh gọi API do người dùng thực hiện để tạo, sửa đổi hoặc đọc dữ liệu tài nguyên do người dùng cung cấp.

Cloud Search không ghi nhật ký kiểm tra Sự kiện hệ thống.

Cloud Search không ghi nhật ký kiểm tra Policy Denied.

Các thao tác được kiểm tra

Sau đây là thông tin tóm tắt về những thao tác API tương ứng với từng loại nhật ký kiểm tra trong Cloud Search:

Danh mục nhật ký kiểm tra	Các thao tác trên Cloud Search
Hoạt động của quản trị viên: Quản trị viên ghi	indexing.datasources.updateSchema indexing.datasources.deleteSchema settings.datasources.create settings.datasources.delete settings.datasources.update settings.searchapplications.create settings.searchapplications.delete settings.searchapplications.reset settings.searchapplications.update settings.updateCustomer cloudsearch.IdentitySourceService.create cloudsearch.IdentitySourceService.update cloudsearch.IdentitySourceService.delete
Quyền truy cập vào dữ liệu: Quản trị viên có quyền đọc	indexing.datasources.getSchema settings.datasources.get settings.datasources.list settings.searchapplications.get settings.searchapplications.list settings.getCustomer cloudsearch.IdentitySourceService.get cloudsearch.IdentitySourceService.list
Quyền truy cập vào dữ liệu: Quyền ghi dữ liệu	indexing.datasources.items.delete indexing.datasources.items.deleteQueueItems indexing.datasources.items.index indexing.datasources.items.poll indexing.datasources.items.push indexing.datasources.items.unreserve indexing.datasources.items.upload media.upload
Quyền truy cập vào dữ liệu: Đọc dữ liệu	indexing.datasources.items.get indexing.datasources.items.list operations.get operations.list debug.datasources.items.checkAccess debug.datasources.items.searchByViewUrl stats.getIndex stats.getQuery stats.getSession stats.getUser stats.index.datasources.get stats.query.searchapplications.get stats.session.searchapplications.get stats.user.search applications.get debug.identitysources.items.listForunmappedidentity debug.identitysources.unmappedids.list debug.datasources.items.unmappedids.list query.sources.list query.suggest query.search stats.getSearchapplication

Định dạng nhật ký kiểm tra

Các mục nhật ký kiểm tra (bạn có thể xem trong Cloud Logging bằng Trình khám phá nhật ký, API Cloud Logging hoặc công cụ dòng lệnh gcloud) bao gồm các đối tượng sau:

Chính mục nhật ký, là một đối tượng thuộc loại LogEntry. Sau đây là một số trường hữu ích:

logName chứa mã nhận dạng tài nguyên và loại nhật ký kiểm tra.
resource chứa mục tiêu của thao tác được kiểm tra.
timeStamp chứa thời gian của thao tác được kiểm tra.
protoPayload chứa thông tin đã được kiểm tra.
Dữ liệu ghi nhật ký kiểm tra là một đối tượng AuditLog được lưu giữ trong trường protoPayload của mục nhật ký.

Thông tin kiểm tra không bắt buộc theo từng dịch vụ, là một đối tượng theo từng dịch vụ. Đối với các tiện ích tích hợp trước đó, đối tượng này nằm trong trường serviceData của đối tượng AuditLog; các tiện ích tích hợp sau này sử dụng trường metadata.

Để biết các trường khác trong những đối tượng này và cách diễn giải các trường đó, hãy xem phần Tìm hiểu về nhật ký kiểm tra.

Tên nhật ký

Tên tài nguyên Nhật ký kiểm tra của Cloud cho biết dự án Cloud hoặc thực thể khác trên Google Cloud sở hữu nhật ký kiểm tra, đồng thời cho biết nhật ký có chứa dữ liệu nhật ký kiểm tra Hoạt động của Quản trị viên, Truy cập dữ liệu, Từ chối theo chính sách hay Sự kiện hệ thống hay không. Ví dụ: sau đây cho thấy tên nhật ký cho nhật ký kiểm tra Hoạt động của quản trị viên ở cấp dự án và nhật ký kiểm tra Quyền truy cập dữ liệu của một tổ chức. Các biến này biểu thị mã nhận dạng dự án và tổ chức.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Tên dịch vụ

Nhật ký kiểm tra Cloud Search sử dụng tên dịch vụ cloudsearch.googleapis.com.

Loại tài nguyên

Nhật ký kiểm tra của Cloud Search sử dụng loại tài nguyên audited_resource cho tất cả nhật ký kiểm tra.

Để xem danh sách các loại tài nguyên khác, hãy xem bài viết Các loại tài nguyên được giám sát.

Bật tính năng ghi nhật ký kiểm tra

Theo mặc định, tính năng ghi nhật ký kiểm tra sẽ bị tắt đối với Cloud Search API. Cách bật tính năng ghi nhật ký kiểm tra cho Google Cloud Search:

(không bắt buộc) Nếu bạn chưa tạo dự án trên Google Cloud Platform để lưu trữ nhật ký, hãy tham khảo phần Định cấu hình quyền truy cập vào API Google Cloud Search.
Lấy mã dự án cho Google Cloud mà bạn muốn lưu trữ nhật ký. Để tìm hiểu cách lấy mã dự án, hãy tham khảo phần Xác định dự án.
Để bật tính năng ghi nhật ký kiểm tra cho một API cụ thể, bạn cần xác định danh mục nhật ký của API đó để bật. Để biết các API và danh mục tương ứng, hãy tham khảo phần Các thao tác được kiểm tra ở phần đầu tài liệu này.
Sử dụng phương thức updateCustomer() REST API để cập nhật auditLogSettings bằng các danh mục nhật ký cần bật:
1. Lấy mã truy cập OAuth 2.0 từ Máy chủ uỷ quyền của Google. Để biết thông tin về cách lấy mã thông báo, hãy tham khảo bước 2 trong phần Sử dụng OAuth 2.0 để truy cập vào các API của Google. Sử dụng một trong các phạm vi OAuth sau đây trong khi lấy mã truy cập:
  - https://www.googleapis.com/auth/cloud_search.settings.indexing
  - https://www.googleapis.com/auth/cloud_search.settings
  - https://www.googleapis.com/auth/cloud_search
2. Chạy lệnh curl sau.
```
curl --request PATCH \
'https://cloudsearch.googleapis.com/v1/settings/customer?updateMask=auditLoggingSettings&key=[YOUR_API_KEY]' \
--header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
--header 'Content-Type: application/json' \
--data '{"auditLoggingSettings": { "project": "projects/PROJECT_ID", "CATEGORY1": "true", "CATEGORY2": "true" } }'
```
Trong trường hợp:
- YOUR_ACCESS_TOKEN là mã truy cập OAuth 2.0 thu được ở bước 4a.
- PROJECT_ID là mã dự án mà bạn nhận được ở bước 2.
- CATEGORY1, CATEGORY2, … là những danh mục bạn chọn bật ở bước 3. Các giá trị hợp lệ là logAdminReadActions, logDataWriteActions và logDataReadActions. Các thao tác ghi của quản trị viên được bật theo mặc định và không thể tắt. Nếu muốn ghi nhật ký kiểm tra cho các phương thức truy vấn, bạn phải bật danh mục Đọc dữ liệu.
Sau khi bạn cập nhật AuditLoggingSettings, các yêu cầu tiếp theo đối với Cloud Search API sẽ tạo nhật ký kiểm tra trong mã dự án được chỉ định trong AuditLoggingSettings.
Tính năng ghi nhật ký kiểm tra cho các phương thức truy vấn yêu cầu bạn bật danh mục Đọc dữ liệu (thực hiện ở bước 4). Để bật tính năng ghi nhật ký kiểm tra cho các phương thức truy vấn (query.sources.list, query.suggest và query.search), hãy làm theo các bước bổ sung sau:
1. Đối với mỗi ứng dụng tìm kiếm mà bạn muốn bật tính năng ghi nhật ký kiểm tra, hãy truy xuất tên. Tên phải có dạng searchapplications/<search_application_id>.
2. Sử dụng tên để gọi settings.searchapplications.update với enableAuditLog được đặt thành true.
Để bật tính năng ghi nhật ký kiểm tra cho các lệnh gọi từ cloudsearch.google.com, hãy đảm bảo bạn đã bật danh mục Đọc dữ liệu (bước 4). Ngoài ra, hãy thực hiện bước 5b với name là searchapplications/default .

Sau khi bật, bạn có thể xem nhật ký trong phần Trình khám phá nhật ký của Google Cloud Console. Sử dụng bộ lọc sau đây để chỉ xem nhật ký kiểm tra Cloud Search:

protoPayload.serviceName="cloudsearch.googleapis.com"

Để biết thông tin về cách xem nhật ký, hãy tham khảo bài viết Tổng quan về trình khám phá nhật ký.

Quyền đối với nhật ký kiểm tra

Quyền và vai trò Quản lý danh tính và quyền truy cập sẽ xác định những nhật ký kiểm tra mà bạn có thể xem hoặc xuất. Nhật ký nằm trong các dự án trên Cloud và một số thực thể khác, bao gồm cả tổ chức, thư mục và tài khoản thanh toán trên Cloud. Để biết thêm thông tin, hãy xem phần Tìm hiểu về các vai trò.

Để xem nhật ký kiểm tra Hoạt động của quản trị viên, bạn phải có một trong các vai trò IAM sau đây trong dự án chứa nhật ký kiểm tra:

Chủ sở hữu dự án, Người chỉnh sửa dự án hoặc Người xem dự án
Vai trò Trình xem nhật ký ghi nhật ký
Vai trò IAM tuỳ chỉnh có quyền IAM logging.logEntries.list

Để xem nhật ký kiểm tra quyền truy cập dữ liệu, bạn phải có một trong các vai trò sau trong dự án chứa nhật ký kiểm tra:

Chủ dự án
Vai trò Trình xem nhật ký riêng tư của tính năng ghi nhật ký
Vai trò IAM tuỳ chỉnh có quyền IAM logging.privateLogEntries.list

Nếu bạn đang sử dụng nhật ký kiểm tra từ một thực thể không phải dự án, chẳng hạn như một tổ chức, hãy thay đổi vai trò dự án trên Cloud thành vai trò tổ chức phù hợp.

Xem nhật ký

Để tìm và xem nhật ký kiểm tra, bạn cần biết mã nhận dạng của dự án, thư mục hoặc tổ chức trên đám mây mà bạn muốn xem thông tin ghi nhật ký kiểm tra. Bạn có thể chỉ định thêm các trường LogEntry được lập chỉ mục khác, chẳng hạn như resource.type; để biết thông tin chi tiết, hãy xem phần Tạo truy vấn trong Trình khám phá nhật ký.

Sau đây là tên nhật ký kiểm tra; chúng bao gồm các biến cho giá trị nhận dạng của dự án, thư mục hoặc tổ chức trên Cloud:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Bạn có một số lựa chọn để xem các mục trong nhật ký kiểm tra.

Giao diện dòng lệnh

Bạn có thể sử dụng Trình khám phá nhật ký trong Cloud Console để truy xuất các mục nhật ký kiểm tra cho dự án trên Cloud:

Trong Cloud Console, hãy chuyển đến trang Logging > Logs Explorer (Ghi nhật ký > Trình khám phá nhật ký).

Chuyển đến trang Logs Explorer

Lưu ý: Nếu bạn đang sử dụng trang Legacy Logs Viewer (Trình xem nhật ký cũ), hãy chuyển sang trang Logs Explorer (Trình khám phá nhật ký).
Trên trang Trình khám phá nhật ký, hãy chọn một dự án Cloud hiện có.
Trong ngăn Trình tạo truy vấn, hãy làm như sau:
- Trong mục Tài nguyên, hãy chọn loại tài nguyên Google Cloud mà bạn muốn xem nhật ký kiểm tra.
- Trong Tên nhật ký, hãy chọn loại nhật ký kiểm tra mà bạn muốn xem:
  - Đối với Nhật ký kiểm tra hoạt động của quản trị viên, hãy chọn hoạt động.
  - Đối với nhật ký kiểm tra quyền truy cập dữ liệu, hãy chọn data_access.
  - Đối với Nhật ký kiểm tra sự kiện hệ thống, hãy chọn system_event.
  - Đối với nhật ký kiểm tra Bị từ chối theo chính sách, hãy chọn chính sách.
Nếu bạn không thấy các lựa chọn này, thì có nghĩa là không có nhật ký kiểm tra nào thuộc loại đó trong dự án trên Cloud.

Để biết thêm thông tin chi tiết về cách truy vấn bằng Logs Explorer mới, hãy xem phần Tạo truy vấn trong Logs Explorer.

gcloud

gcloud cung cấp một giao diện dòng lệnh cho Logging API. Cung cấp PROJECT_ID, FOLDER_ID hoặc ORGANIZATION_ID hợp lệ trong mỗi tên nhật ký.

Để đọc các mục nhật ký kiểm tra cấp dự án trên Google Cloud, hãy chạy lệnh sau:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

Để đọc các mục nhật ký kiểm tra ở cấp thư mục, hãy chạy lệnh sau:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

Để đọc các mục nhật ký kiểm tra ở cấp tổ chức, hãy chạy lệnh sau:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

Để biết thêm thông tin về cách sử dụng công cụ gcloud, hãy xem gcloud logging read.

API

Khi tạo truy vấn, hãy thay thế các biến bằng các giá trị hợp lệ, thay thế tên hoặc mã nhận dạng nhật ký kiểm tra thích hợp ở cấp dự án, cấp thư mục hoặc cấp tổ chức như được liệt kê trong tên nhật ký kiểm tra. Ví dụ: nếu truy vấn của bạn có chứa PROJECT_ID, thì mã nhận dạng dự án mà bạn cung cấp phải đề cập đến dự án Cloud hiện được chọn.

Để sử dụng Logging API nhằm xem các mục trong nhật ký kiểm tra, hãy làm như sau:

Chuyển đến phần Dùng thử API này trong tài liệu về phương thức entries.list.
Đặt nội dung sau vào phần Nội dung yêu cầu của biểu mẫu Dùng thử API này. Khi nhấp vào biểu mẫu được điền sẵn này, nội dung yêu cầu sẽ tự động được điền, nhưng bạn cần cung cấp một PROJECT_ID hợp lệ trong mỗi tên nhật ký.
```
{
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}
```
Nhấp vào Thực thi.

Để biết thêm thông tin về cách truy vấn, hãy xem phần Ngôn ngữ truy vấn ghi nhật ký.

Để xem một mục nhật ký kiểm tra mẫu và cách tìm thông tin quan trọng nhất trong nhật ký đó, hãy xem bài viết Tìm hiểu về nhật ký kiểm tra.

Xuất nhật ký kiểm tra

Bạn có thể xuất nhật ký kiểm tra theo cách tương tự như cách xuất các loại nhật ký khác. Để biết thông tin chi tiết về cách xuất nhật ký, hãy xem phần Xuất nhật ký. Sau đây là một số ứng dụng của việc xuất nhật ký kiểm tra:

Để lưu giữ nhật ký kiểm tra trong thời gian dài hơn hoặc sử dụng các chức năng tìm kiếm mạnh mẽ hơn, bạn có thể xuất bản sao của nhật ký kiểm tra sang Cloud Storage, BigQuery hoặc Pub/Sub. Khi sử dụng Pub/Sub, bạn có thể xuất sang các ứng dụng khác, các kho lưu trữ khác và cho bên thứ ba.
Để quản lý nhật ký kiểm tra trên toàn bộ tổ chức, bạn có thể tạo các đích tổng hợp có thể xuất nhật ký từ bất kỳ hoặc tất cả dự án trên đám mây trong tổ chức.
Nếu nhật ký kiểm tra quyền truy cập dữ liệu mà bạn đã bật đang đẩy các dự án trên Google Cloud vượt quá hạn mức nhật ký, bạn có thể xuất và loại trừ nhật ký kiểm tra quyền truy cập dữ liệu khỏi tính năng Ghi nhật ký. Để biết thông tin chi tiết, hãy xem phần Loại trừ nhật ký.

Giá và tỷ lệ giữ chân

Cloud Logging không tính phí cho những nhật ký kiểm tra không thể tắt, bao gồm cả tất cả nhật ký kiểm tra Hoạt động của quản trị viên. Cloud Logging tính phí bạn đối với nhật ký kiểm tra Quyền truy cập dữ liệu mà bạn yêu cầu một cách rõ ràng.

Để biết thêm thông tin về giá của nhật ký kiểm tra, hãy xem giá của bộ công cụ hoạt động của Google Cloud.

Thời gian lưu trữ liên quan đến nhật ký kiểm tra của Cloud Search là:

Nhật ký hoạt động của quản trị viên (hoặc Nhật ký ghi của quản trị viên) – Các nhật ký này được lưu giữ trong 400 ngày.
Nhật ký truy cập dữ liệu (Quản trị viên đọc, Ghi dữ liệu và Đọc dữ liệu) – Các nhật ký này được lưu giữ trong 30 ngày.

Để biết thêm thông tin về thời gian lưu trữ, hãy xem phần Khoảng thời gian lưu giữ nhật ký.

Các điểm hạn chế hiện tại

Nhật ký kiểm tra Cloud Search hiện có những hạn chế sau:

Kích thước của mục nhật ký phải nhỏ hơn 512 KB. Nếu kích thước vượt quá 512 KB, thì phản hồi sẽ bị loại bỏ khỏi mục nhập nhật ký. Nếu cách này không giảm kích thước xuống còn 512 KB trở xuống, thì yêu cầu sẽ bị loại bỏ. Cuối cùng, nếu kích thước vẫn vượt quá 512 KB, thì mục nhập nhật ký sẽ bị loại bỏ.
Nội dung phản hồi không được ghi lại cho các phương thức list(), get() và suggest(). Tuy nhiên, trạng thái phản hồi vẫn có sẵn.
Chỉ các lệnh gọi Query API từ cloudsearch.google.com (nếu được bật) và các ứng dụng tìm kiếm của khách hàng mới được ghi nhật ký.
Đối với các lệnh gọi search(), chỉ Query, RequestOptions và DataSourceRestriction được ghi vào nhật ký trong yêu cầu. Trong phản hồi, chỉ có url và siêu dữ liệu (nguồn và objectType) cho mỗi SearchResult được kiểm tra.
Các lệnh gọi được gửi đến phần phụ trợ Cloud Search và tương ứng với việc xuất dữ liệu sẽ không được kiểm tra.