Some or all of the information on this page might not apply to Cloud de Confiance by S3NS. See Differences from Google Cloud for more details.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

רישום ביומן ביקורת של מנהל המשאבים

במסמך הזה מתוארים יומני הביקורת שנוצרים על ידי מנהל המשאבים כחלק מיומני הביקורת של Cloud.

סקירה כללית

שירותיCloud de Confiance by S3NS יוצרים יומני ביקורת שבהם מתועדים אירועי גישה למשאבי Cloud de Confiance ופעילויות אדמין שמבוצעות בהם.

הפרויקטים שלכם ב- Cloud de Confiance כוללים רק יומני ביקורת של משאבים שמשויכים ישירות לפרויקט ב- Cloud de Confiance . Cloud de Confiance משאבים אחרים Cloud de Confiance כמו תיקיות, ארגונים וחשבונות לחיוב, מכילים את יומני הביקורת של הישות עצמה.

לפרטים נוספים, ראו סקירה כללית על יומני הביקורת של Cloud. להבנה עמוקה יותר של הפורמט של יומני הביקורת, קראו את המאמר הסבר על יומני הביקורת.

יומני הביקורת הזמינים

אלה סוגי יומני הביקורת שזמינים למנהל המשאבים:

יומני הביקורת Admin Activity

כוללים רישום של פעולות במסגרת הרשאת admin write, שבהן נכתב מידע במטא-נתונים או ההגדרות.

לא ניתן להשבית את יומני הביקורת Admin Activity.
יומני הביקורת Data Access

כוללים רישום של פעולות במסגרת הרשאת admin read, שבהן נקרא מידע ממטא-נתונים או מהגדרות. היומנים כוללים גם פעולות במסגרת ההרשאות data read ו-data write, שבהן נקראים או נכתבים נתונים שהמשתמשים סיפקו.

כדי לקבל את יומני הביקורת Data Access, אתם צריכים להפעיל אותם באופן מפורש.

לתיאורים מלאים של סוגי יומני הביקורת, קראו את המאמר סוגים של יומני ביקורת.

פעולות מבוקרות

הטבלה הבאה מסכמת אילו פעולות API מתאימות לכל סוג של יומן ביקורת ב-מנהל המשאבים:

קטגוריית יומני הביקורת	פעולות ב-Resource Manager
יומני Admin Activity‏ (ADMIN_WRITE)	`UpdateContactInfo` ‫v3: `cloudresourcemanager.v3.organizations.setIamPolicy` `cloudresourcemanager.v3.folders.create` `cloudresourcemanager.v3.folders.delete` `cloudresourcemanager.v3.folders.move` `cloudresourcemanager.v3.folders.patch` `cloudresourcemanager.v3.folders.setIamPolicy` `cloudresourcemanager.v3.folders.undelete` `cloudresourcemanager.v3.projects.create` `cloudresourcemanager.v3.projects.delete` `cloudresourcemanager.v3.projects.move` `cloudresourcemanager.v3.projects.patch` `cloudresourcemanager.v3.projects.setIamPolicy` `cloudresourcemanager.v3.projects.undelete` `cloudresourcemanager.v3.tagBindings.create` `cloudresourcemanager.v3.tagBindings.delete` `cloudresourcemanager.v3.tagKeys.create` `cloudresourcemanager.v3.tagKeys.delete` `cloudresourcemanager.v3.tagKeys.patch` `cloudresourcemanager.v3.tagKeys.setIamPermissions` `cloudresourcemanager.v3.tagValues.create` `cloudresourcemanager.v3.tagValues.delete` `cloudresourcemanager.v3.tagValues.patch` `cloudresourcemanager.v3.tagValues.setIamPermissions` v2beta1: `cloudresourcemanager.v2beta1.folders.create` `cloudresourcemanager.v2beta1.folders.delete` `cloudresourcemanager.v2beta1.folders.move` `cloudresourcemanager.v2beta1.folders.update` `cloudresourcemanager.v2beta1.folders.setIamPolicy` `cloudresourcemanager.v2beta1.folders.undelete` ‫v2: `cloudresourcemanager.v2.folders.create` `cloudresourcemanager.v2.folders.delete` `cloudresourcemanager.v2.folders.move` `cloudresourcemanager.v2.folders.update` `cloudresourcemanager.v2.folders.setIamPolicy` `cloudresourcemanager.v2.folders.undelete` ‫v1beta1: `cloudresourcemanager.v1beta1.organizations.setIamPolicy` `cloudresourcemanager.v1beta1.organizations.update` `cloudresourcemanager.v1beta1.projects.create` `cloudresourcemanager.v1beta1.projects.delete` `cloudresourcemanager.v1beta1.projects.setIamPolicy` `cloudresourcemanager.v1beta1.projects.undelete` `cloudresourcemanager.v1beta1.projects.update` v1: `cloudresourcemanager.v1.folders.clearOrgPolicy` `cloudresourcemanager.v1.folders.setOrgPolicy` `cloudresourcemanager.v1.organizations.clearOrgPolicy` `cloudresourcemanager.v1.organizations.setIamPolicy` `cloudresourcemanager.v1.organizations.setOrgPolicy` `cloudresourcemanager.v1.projects.clearOrgPolicy` `cloudresourcemanager.v1.projects.create` `cloudresourcemanager.v1.projects.delete` `cloudresourcemanager.v1.projects.setIamPolicy` `cloudresourcemanager.v1.projects.setOrgPolicy` `cloudresourcemanager.v1.projects.undelete` `cloudresourcemanager.v1.projects.update`
יומני גישה לנתונים (ADMIN_READ)	`GetContactInfo` ‫v3: `cloudresourcemanager.v3.organizations.get` `cloudresourcemanager.v3.organizations.getIamPolicy` `cloudresourcemanager.v3.organizations.search` `cloudresourcemanager.v3.folders.get` `cloudresourcemanager.v3.folders.getIamPolicy` `cloudresourcemanager.v3.folders.list` `cloudresourcemanager.v3.folders.search` `cloudresourcemanager.v3.projects.get` `cloudresourcemanager.v3.projects.getIamPolicy` `cloudresourcemanager.v3.projects.list` `cloudresourcemanager.v3.projects.search` `cloudresourcemanager.v3.tagKeys.get` `cloudresourcemanager.v3.tagKeys.getIamPolicy` `cloudresourcemanager.v3.tagKeys.list` `cloudresourcemanager.v3.tagValues.get` `cloudresourcemanager.v3.tagValues.getIamPolicy` `cloudresourcemanager.v3.tagValues.list` v2beta1: `cloudresourcemanager.v2beta1.folders.get` `cloudresourcemanager.v2beta1.folders.getIamPolicy` `cloudresourcemanager.v2beta1.folders.list` ‫v2: `cloudresourcemanager.v2.folders.get` `cloudresourcemanager.v2.folders.getIamPolicy` `cloudresourcemanager.v2.folders.list` ‫v1beta1: `cloudresourcemanager.v1beta1.organizations.get` `cloudresourcemanager.v1beta1.organizations.getIamPolicy` `cloudresourcemanager.v1beta1.projects.get` `cloudresourcemanager.v1beta1.projects.getIamPolicy` v1: `cloudresourcemanager.v1.folders.getEffectiveOrgPolicy` `cloudresourcemanager.v1.folders.getOrgPolicy` `cloudresourcemanager.v1.folders.listAvailableOrgPolicyConstraints` `cloudresourcemanager.v1.folders.listOrgPolicies` `cloudresourcemanager.v1.organizations.get` `cloudresourcemanager.v1.organizations.getEffectiveOrgPolicy` `cloudresourcemanager.v1.organizations.getIamPolicy` `cloudresourcemanager.v1.organizations.getOrgPolicy` `cloudresourcemanager.v1.organizations.listAvailableOrgPolicyConstraints` `cloudresourcemanager.v1.organizations.listOrgPolicies` `cloudresourcemanager.v1.projects.get` `cloudresourcemanager.v1.projects.getEffectiveOrgPolicy` `cloudresourcemanager.v1.projects.getIamPolicy` `cloudresourcemanager.v1.projects.listAvailableOrgPolicyConstraints` `cloudresourcemanager.v1.projects.listOrgPolicies`
יומני Data Access‏ (ADMIN_READ בשם השירות המשולב)^[1]	‫v3: `cloudresourcemanager.v3.tagBindings.list` `cloudresourcemanager.v3.effectiveTags.list`
יומני Data Access (ADMIN_READ במסגרת Organization Policy Service)^[2]	‫v2: `orgpolicy.policies.getEffectivePolicy`

‫^[1] כדי להפעיל את היומן הזה, צריך להפעיל את ADMIN_READ בקטע של השירות עבור המשאב הספציפי שאליו מצורף התג.

‫^[2] כדי להפעיל את היומן הזה, צריך להפעיל את ADMIN_READ ב-Organization Policy Service API.

יומני הביקורת של פעולות התגים בשירותים אחרים, כמו cloudsql.instances.listEffectiveTags, נכתבים במשאב האב ונכללים ביומני הביקורת של מנהל המשאבים. הם לא נכללים ביומני הביקורת של משאב השירות. כדי לראות את היומנים האלה, צריך להפעיל את האפשרות ADMIN_READ בשירות עבור המשאב הספציפי שאליו מצורף התג.

הפעולות GetContactInfo ו-UpdateContactInfo תומכות בשירות ContactInfo בהתאם לתקנה הכללית להגנה על מידע (GDPR) של האיחוד האירופי. הפעולות האלה מעדכנות ומאחזרות פרטים ליצירת קשר של נציג באיחוד האירופי ושל האחראי להגנה על המידע. אפשר לשנות את הפרטים האלה במסוף Cloud de Confiance בדף Cloud de Confiance Privacy & Security (פרטיות ואבטחה).

הפורמט של יומן הביקורת

הרשומות ביומן הביקורת כוללות את האובייקטים הבאים:

הרשומה עצמה, שהיא אובייקט מסוג LogEntry. אלה כמה מהשדות השימושיים ברשומה:
- השדה logName מכיל את מזהה המשאב ואת סוג יומן הביקורת. המשאב הוא פרויקט, תיקייה, ארגון או חשבון לחיוב.
- השדה resource מכיל את היעד של הפעולה המבוקרת.
- השדה timeStamp מכיל את השעה של הפעולה המבוקרת.
- השדה protoPayload מכיל את המידע המבוקר.
אובייקט מסוג AuditLog ששמור בשדה protoPayload של הרשומה ביומן, ומכיל את הנתונים של יומני הביקורת.
- השדה @type מוגדר ל-"type.googleapis.com/google.cloud.audit.AuditLog".
- השדה serviceName מזהה את השירות שכתב את יומן הביקורת. הפורמט של השדה הזה הוא ספציפי לשירות.
אובייקט ספציפי לשירות שמכיל מידע אופציונלי על ביקורת ספציפית לשירות. בשילובים קודמים, האובייקט הזה נשמר בשדה serviceData של האובייקט AuditLog. בשילובים מאוחרים יותר נעשה שימוש בשדה metadata.

למידע על שדות אחרים באובייקטים האלה, ואיך לפרש אותם, קראו את המאמר הסבר על יומני הביקורת.

שם יומן הביקורת

השמות של יומני הביקורת ב-Cloud כוללים את מזהי המשאבים, שמהם אפשר להבין לאיזהCloud de Confiance פרויקט או ישות אחרת Cloud de Confiance ב-Google Cloud יומני הביקורת שייכים. בנוסף, הם מציינים אם היומן מכיל נתוני ביקורת מסוג Admin Activity, ‏ Data Access‏, Policy Denied או System Event.

אלה השמות של יומני הביקורת, כולל המשתנים שמציינים את מזהי המשאבים:

‫

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Factivity
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

שם השירות

יומני הביקורת של מנהל המשאבים משתמשים בשם השירות cloudresourcemanager.googleapis.com.

במאמר מיפוי של השירותים למשאבים תוכלו למצוא רשימה של כל שמות השירותים של Cloud Logging API וסוגי המשאבים התואמים במעקב.

סוגי המשאבים

יומני הביקורת של מנהל המשאבים משתמשים בסוג המשאב project בכל יומני הביקורת.

במאמר סוגי המשאבים במעקב תוכלו למצוא רשימה של כל סוגי המשאבים במעקב ב-Cloud Logging ותיאור שלהם.

זהויות של מתקשרים

כתובת ה-IP של מבצע הקריאה שמורה בשדה RequestMetadata.caller_ip של האובייקט AuditLog. יכול להיות שרישום ביומן יצנזר זהויות מסוימות של מתקשרים וכתובות IP.

מידע על הצנזורה של מידע ביומני ביקורת מופיע במאמר בנושא זהויות של מבצעי קריאות ביומני ביקורת.

הפעלת הרישום ביומן הביקורת

יומני הביקורת Admin Activity תמיד מופעלים, ולא ניתן להשבית אותם.

יומני הביקורת Data Access מושבתים כברירת מחדל, ולא מתעדכנים אלא אם כן מפעילים אותם בצורה מפורשת (למעט יומני Data Access של BigQuery, שלא ניתן להשבית אותם).

הסבר על הפעלת יומני הביקורת Data Access מופיע במאמר הפעלת יומני הביקורת Data Access.

הרשאות ותפקידים

ההרשאות והתפקידים ב-IAM קובעים את אפשרויות הגישה שלכם לנתוני יומני הביקורת במשאבי Cloud de Confiance .

כשמחליטים אילו הרשאות ותפקידים ספציפיים לרישום ביומן יחולו על התרחיש לדוגמה שלכם, מומלץ להביא בחשבון את הנקודות הבאות:

התפקיד 'צפייה ביומנים' (roles/logging.viewer) נותן הרשאת קריאה בלבד ביומני הביקורת Admin Activity,‏ Policy Denied ו-System Event. משתמשים שהוקצה להם רק התפקיד הזה לא יכולים לצפות ביומני הביקורת Data Access שנמצאים בקטגוריה _Default.
התפקיד 'צפייה ביומנים פרטיים' ((roles/logging.privateLogViewer) כולל את ההרשאות שכלולות בתפקיד roles/logging.viewer, וגם את האפשרות לקרוא את יומני הביקורת Data Access בקטגוריה _Default.

חשוב לזכור שאם היומנים הפרטיים האלה מאוחסנים בקטגוריות שהוגדרו על ידי משתמשים, כל משתמש שיש לו הרשאה לקרוא את היומנים בקטגוריות האלה יוכל לקרוא את היומנים הפרטיים. מידע נוסף על קטגוריות ביומן מופיע במאמר סקירה כללית על ניתוב ואחסון.

במאמר בקרת גישה באמצעות IAM תוכלו לקרוא מידע נוסף על ההרשאות והתפקידים ב-IAM שחלים על הנתונים של יומני הביקורת.

צפייה ביומנים

תוכלו לשלוח שאילתה על כל יומני הביקורת, או לשלוח שאילתה על יומנים מסוימים לפי שם יומן הביקורת שלהם. השם של יומן הביקורת כולל את מזהה המשאב של Cloud de Confiance הפרויקט, התיקייה, החשבון לחיוב או הארגון שבמידע של יומני הביקורת שלהם רוצים לצפות. תוכלו להוסיף לשאילתות שדות LogEntry שנוספו לאינדקס. למידע נוסף על שליחת שאילתות על היומנים, ראו את המאמר בנושא יצירת שאילתות ב-Logs Explorer.

אפשר לצפות ברוב יומני הביקורת ב-Cloud Logging באמצעותCloud de Confiance המסוף, Google Cloud CLI או Logging API. עם זאת, כדי לצפות ביומני ביקורת שקשורים לחיוב, אפשר להשתמש רק ב-Google Cloud CLI או ב-Logging API.

המסוף

ב Cloud de Confiance מסוף, תוכלו להשתמש ב-Logs Explorer כדי לאחזר את הרשומות ביומן הביקורת של Cloud de Confiance הפרויקט, התיקייה או הארגון:

במסוף Cloud de Confiance , נכנסים לדף Logs Explorer:
כניסה אל Logs Explorer

אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שכותרת המשנה שלה היא Logging.
בוחרים פרויקט, תיקייה או ארגון קיימים ב- Cloud de Confiance .
כדי להציג את כל יומני הביקורת, מזינים אחת מהשאילתות הבאות בשדה עורך השאילתות ולוחצים על Run query:
```
logName:"cloudaudit.googleapis.com"
```
```
protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog"
```
כדי להציג את יומני הביקורת למשאב וסוג יומן ביקורת ספציפיים, בחלונית Query builder, מבצעים את הפעולות הבאות:
- בקטע Resource Type, בוחרים את המשאב שרוצים לראות את יומני הביקורת שלו. Cloud de Confiance
- בקטע Log name, בוחרים את סוג יומן הביקורת שרוצים לראות:
  - ליומני הביקורת Admin Activity בוחרים באפשרות activity.
  - ליומני הביקורת Data Access בוחרים באפשרות data_access.
  - ליומני הביקורת System Event בוחרים באפשרות system_event.
  - ליומני הביקורת Policy Denied בוחרים באפשרות policy.
- לוחצים על Run query.
אם האפשרויות האלה לא מוצגות, המשמעות היא שאין יומני ביקורת מאותו סוג ב Cloud de Confiance פרויקט, בתיקייה או בארגון.

לא הצלחתם לצפות ביומנים ב-Logs Explorer? פתרון בעיות

מידע נוסף על שליחת שאילתות באמצעות Logs Explorer מופיע במאמר יצירת שאילתות ב-Logs Explorer.

gcloud

הכלי Google Cloud CLI מספק גישה ל-Logging API באמצעות ממשק שורת הפקודה (CLI). חשוב לציין מזהה משאב תקין בכל אחד משמות היומנים. לדוגמה, אם שאילתה כוללת את השדה PROJECT_ID, מזהה הפרויקט שאתם מציינים חייב להתייחס לפרויקט ב-Cloud de Confiance שבחרתם.

כדי לקרוא את הרשומות ביומן הביקורת ברמת הפרויקט Cloud de Confiance , מריצים את הפקודה הבאה:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

כדי לקרוא את הרשומות ביומן הביקורת ברמת התיקייה, מריצים את הפקודה הבאה:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

כדי לקרוא את הרשומות ביומן הביקורת ברמת הארגון, מריצים את הפקודה הבאה:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

כדי לקרוא את הרשומות ביומן הביקורת ברמת החשבון לחיוב ב-Cloud, מריצים את הפקודה הבאה:

gcloud logging read "logName : billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com" \
    --billing-account=BILLING_ACCOUNT_ID

כדי לקרוא את הרשומות ביומן שנרשמו לפני יותר מיום אחד, מוסיפים לפקודה את הדגל --freshness.

למידע נוסף על השימוש ב-CLI של gcloud:‏ gcloud logging read.

REST

כדי לשלוח שאילתות לנתוני היומנים באמצעות Cloud Logging API, משתמשים בשיטה entries.list.

שאילתות לדוגמה

כדי להשתמש בשאילתות לדוגמה בטבלה הבאה, צריך לבצע את השלבים האלה:

מחליפים את המשתנים בביטוי השאילתה בפרטי הפרויקט שלכם ולאחר מכן מעתיקים את הביטוי באמצעות סמל הלוח .
במסוף Cloud de Confiance , נכנסים לדף Logs Explorer:
כניסה אל Logs Explorer

אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שכותרת המשנה שלה היא Logging.
מפעילים את האפשרות Show query כדי לפתוח את שדה עורך השאילתות, ואז מדביקים בתוכו את הביטוי:
לוחצים על Run query. היומנים שעונים על השאילתה מוצגים בחלונית Query results.

כדי לאתר יומני ביקורת של מנהל המשאבים, משתמשים בשאילתות הבאות ב-Logs Explorer:

שם השאילתה	ביטוי
הפרויקט נוצר	log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName="CreateProject" resource.labels.project_id="`PROJECT_ID`"
הפרויקט נמחק	log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"DeleteProject" resource.labels.project_id="`PROJECT_ID`"

שם השאילתה

ביטוי

הפרויקט נוצר

log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName="CreateProject"
resource.labels.project_id="PROJECT_ID"

הפרויקט נמחק

log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"DeleteProject"
resource.labels.project_id="PROJECT_ID"

ניתוב של יומני ביקורת

אתם יכולים לנתב יומני ביקורת ליעדים נתמכים באותו אופן שבו אתם יכולים לנתב סוגים אחרים של יומנים. כמה סיבות לניתוב יומני הביקורת:

אתם יכולים לנתב עותקים של יומני הביקורת ל-Cloud Storage, ל-BigQuery או ל-Pub/Sub, כדי לשמור את יומני הביקורת לפרק זמן ארוך יותר ולהשתמש ביכולות חיפוש מתקדמות יותר. באמצעות Pub/Sub אתם יכולים לנתב יומני ביקורת לאפליקציות אחרות, למאגרים אחרים ולצדדים שלישיים.
כדי לנהל את יומני הביקורת בארגון כולו, אתם יכולים ליצור aggregated sinks שיכולים לנתב יומנים מכל הפרויקטים ב- Cloud de Confiance , או מחלקם.

אם הכתיבה המופעלת ליומני הביקורת Data Access גורמת לחריגה ממכסת הרישומים שלכם ביומן בפרויקטים ב-Cloud de Confiance , אתם יכולים ליצור אובייקטים מסוג sink שיחריגו את הכתיבה ליומני Data Access מ-Cloud Logging.

הוראות לגבי ניתוב יומנים מופיעות במאמר ניתוב יומנים ליעדים נתמכים.