רישום ביומן ביקורת של Dataflow

במאמר הזה מפורטות השיטות שנבדקות ב-Dataflow.שירותי Google Cloud יוצרים יומני ביקורת שבהם מתועדים אירועי גישה למשאבי Google Cloud והפעולות שהאדמינים עשו בהם. אתם יכולים לקרוא מידע נוסף על יומני הביקורת של Cloud במאמרים האלה:

שם השירות

כדי להציג את יומני הביקורת של Dataflow:

  1. נכנסים לדף Logs Explorer במסוף Google Cloud :

    כניסה לדף Logs Explorer

  2. מעתיקים את השאילתה הבאה לשדה Query ב-Logs Explorer ולוחצים על Run query.

        protoPayload.serviceName="dataflow.googleapis.com"

קודי Method לפי סוג ההרשאה

לכל הרשאה ב-IAM יש מאפיין type עם enum שיכול להיות אחד מארבעת הערכים הבאים: ADMIN_READ,‏ ADMIN_WRITE,‏ DATA_READ או DATA_WRITE. כשקוראים ל-method, ב-Dataflow נוצר יומן ביקורת שהקטגוריה שלו תלויה במאפיין type של ההרשאה שנדרשת לביצוע ה-method. ה-methods שבשבילן צריך הרשאה ב-IAM עם הערכים DATA_READ‏, DATA_WRITE או ADMIN_READ במאפיין type יוצרות יומני ביקורת של Data Access. ה-methods שבשבילן צריך הרשאה ב-IAM עם הערכים ADMIN_WRITE במאפיין type יוצרות יומני ביקורת של Admin Activity.

ה-methods של ה-API ברשימה הבאה שמסומנות ב-(LRO) הן פעולות ממושכות. בדרך כלל, ה-methods האלה יוצרות שתי רשומות ביומן הביקורת: אחת כשהפעולה מתחילה ואחת כשהיא מסתיימת. אתם יכולים לקרוא מידע נוסף במאמר בנושא יומני ביקורת של פעולות ממושכות.
סוג ההרשאה Methods
ADMIN_WRITE dataflow.jobs.create
dataflow.jobs.cancel
OTHER resourcemanager.projects.get: כדי להפעיל את היומן הזה, צריך להפעיל את ADMIN_READ בקטע של השירות cloudresourcemanager.googleapis.com.
resourcemanager.projects.get: כדי להפעיל את היומן הזה, צריך להפעיל את ADMIN_READ בקטע של השירות cloudresourcemanager.googleapis.com.
resourcemanager.projects.get: כדי להפעיל את היומן הזה, צריך להפעיל את ADMIN_READ בקטע של השירות cloudresourcemanager.googleapis.com.
resourcemanager.projects.get: כדי להפעיל את היומן הזה, צריך להפעיל את ADMIN_READ בקטע של השירות cloudresourcemanager.googleapis.com.

יומני ביקורת של ממשק ה-API

במאמר בנושא ניהול הזהויות והרשאות הגישה (IAM) ל-Dataflow מוסבר איך מתבצעת הבדיקה של ההרשאות לכל method ואילו הרשאות נבדקות.

google.dataflow.v1beta3.FlexTemplatesService

יומני הביקורת הבאים משויכים ל-methods ששייכות ל-google.dataflow.v1beta3.FlexTemplatesService.

get

  • Method:‏ resourcemanager.projects.get
  • סוג יומן הביקורת: גישה לנתונים
  • הרשאות:
    • resourcemanager.projects.get - ADMIN_READ
  • ה-method היא פעולה ממושכת או פעולת סטרימינג: לא.
  • סינון לפי ה-method: ‏ protoPayload.methodName="resourcemanager.projects.get"

google.dataflow.v1beta3.JobsV1Beta3

יומני הביקורת הבאים משויכים ל-methods ששייכות ל-google.dataflow.v1beta3.JobsV1Beta3.

create

  • Method:‏ dataflow.jobs.create
  • סוג יומן הביקורת: פעילות אדמין
  • הרשאות:
    • dataflow.jobs.create - ADMIN_WRITE
  • ה-method היא פעולה ממושכת או פעולת סטרימינג: לא.
  • סינון לפי ה-method: ‏ protoPayload.methodName="dataflow.jobs.create"

cancel

  • Method:‏ dataflow.jobs.cancel
  • סוג יומן הביקורת: פעילות אדמין
  • הרשאות:
    • dataflow.jobs.cancel - ADMIN_WRITE
    • dataflow.jobs.updateContents - ADMIN_WRITE
  • ה-method היא פעולה ממושכת או פעולת סטרימינג: לא.
  • סינון לפי ה-method: ‏ protoPayload.methodName="dataflow.jobs.cancel"

google.dataflow.v1beta3.TemplatesService

יומני הביקורת הבאים משויכים ל-methods ששייכות ל-google.dataflow.v1beta3.TemplatesService.

get

  • Method:‏ resourcemanager.projects.get
  • סוג יומן הביקורת: גישה לנתונים
  • הרשאות:
    • resourcemanager.projects.get - ADMIN_READ
  • ה-method היא פעולה ממושכת או פעולת סטרימינג: לא.
  • סינון לפי ה-method: ‏ protoPayload.methodName="resourcemanager.projects.get"

get

  • Method:‏ resourcemanager.projects.get
  • סוג יומן הביקורת: גישה לנתונים
  • הרשאות:
    • resourcemanager.projects.get - ADMIN_READ
  • ה-method היא פעולה ממושכת או פעולת סטרימינג: לא.
  • סינון לפי ה-method: ‏ protoPayload.methodName="resourcemanager.projects.get"

get

  • Method:‏ resourcemanager.projects.get
  • סוג יומן הביקורת: גישה לנתונים
  • הרשאות:
    • resourcemanager.projects.get - ADMIN_READ
  • ה-method היא פעולה ממושכת או פעולת סטרימינג: לא.
  • סינון לפי ה-method: ‏ protoPayload.methodName="resourcemanager.projects.get"

אילו methods לא יוצרות יומני ביקורת

יכולות להיות כמה סיבות שב-method מסוימת לא נוצרים יומני ביקורת:

  • מדובר ב-method שיש בה נפח גבוה של יומנים, שיצירה שלהם עלולה לגרור עלויות גבוהות של אחסון ויצירה.
  • הערך של הביקורת נמוך.
  • כבר יש יומן ביקורת או יומן פלטפורמה אחרים שמכסים את ה-method.

ה-methods הבאות לא יוצרות יומני ביקורת:

  • google.dataflow.v1beta3.DebugCaptureV1Beta3.GetConfig
  • google.dataflow.v1beta3.DebugCaptureV1Beta3.GetWorkerStacktraces
  • google.dataflow.v1beta3.DebugCaptureV1Beta3.SendCapture
  • google.dataflow.v1beta3.JobsV1Beta3.AggregatedListJobs
  • google.dataflow.v1beta3.JobsV1Beta3.CheckActiveJobs
  • google.dataflow.v1beta3.JobsV1Beta3.GetJob
  • google.dataflow.v1beta3.JobsV1Beta3.ListJobs
  • google.dataflow.v1beta3.JobsV1Beta3.SnapshotJob
  • google.dataflow.v1beta3.MessagesV1Beta3.ListJobMessages
  • google.dataflow.v1beta3.MetricsV1Beta3.GetJobExecutionDetails
  • google.dataflow.v1beta3.MetricsV1Beta3.GetJobMetrics
  • google.dataflow.v1beta3.MetricsV1Beta3.GetStageExecutionDetails
  • google.dataflow.v1beta3.SnapshotsV1Beta3.DeleteSnapshot
  • google.dataflow.v1beta3.SnapshotsV1Beta3.GetSnapshot
  • google.dataflow.v1beta3.SnapshotsV1Beta3.ListSnapshots
  • google.dataflow.v1beta3.WorkItemsV1Beta3.LeaseWorkItem
  • google.dataflow.v1beta3.WorkItemsV1Beta3.ReportWorkItemStatus
  • google.dataflow.v1beta3.WorkerMessagesV1Beta3.SendWorkerMessages
  • google.dataflow.v1beta3.mcp.DataflowMcp.ListJobsTool