Mit Cloud Logging auf Audit-Logs zur Nutzung von Gemini Enterprise zugreifen

Auf dieser Seite wird beschrieben, wie Sie Nutzungs-Audit-Logs für Gemini Enterprise einrichten und darauf zugreifen.

Wichtige Konzepte

In diesem Abschnitt werden wichtige Konzepte im Zusammenhang mit der Beobachtbarkeit in Gemini Enterprise vorgestellt.

Konzept Beschreibung
Audit-Logs zur Nutzung Nutzungs-Audit-Logs sind Aufzeichnungen von Administratoraktivitäten und Zugriffen in Ihren Google Cloud -Ressourcen. Sie enthalten detaillierte Informationen dazu, wer welche Aktion wann und wo ausgeführt hat. Diese Logs sind für Sicherheitsprüfungen, Compliance und das Verständnis der Nutzung Ihrer Ressourcen unerlässlich.

Hinweis

Bevor Sie Audit-Logs konfigurieren, müssen folgende Voraussetzungen erfüllt sein:

  • Aktivieren Sie die Einstellungen für die Beobachtbarkeit. Weitere Informationen finden Sie unter Beobachtbarkeitseinstellungen aktivieren.
  • Zum Aktivieren der Audit-Logs benötigen Sie die IAM-Rolle Gemini Enterprise Admin (roles/discoveryengine.agentspaceAdmin).
  • Für den Zugriff auf Cloud Logging benötigen Sie die IAM-Rolle Logs Viewer (roles/logging.viewer).
  • Sie müssen eine Gemini Enterprise-App erstellt haben. Informationen zum Erstellen einer App finden Sie unter App erstellen.

Logdaten

In der folgenden Tabelle sind die von Gemini Enterprise protokollierten Nutzungsdaten zusammengefasst:

Dienstpfad In Logs erfasste Daten
SearchService.Search

Protokolliert die Daten zu den Quellen, die für die Fundierung oder als LLM-Eingabe verwendet werden.

Anfrage:
  • query
  • user_info

Antwort:
  • attribution_token
  • results.id
AssistantService.Assist

Protokolliert die Anfrage und Antwort des Gemini Enterprise-Assistenten.

Anfrage:
  • name
  • query.text
  • query.parts

Antwort:
  • assist_token
  • answer.name
  • answer.state
  • answer.replies.grounded_content.text
  • answer.replies.grounded_content.text_grounding_metadata.segments
  • answer.replies.grounded_content.text_grounding_metadata.references
  • answer.skipped_reasons
AssistantService.StreamAssist Anfrage:
  • name
  • query.text
  • query.parts
  • agents_spec

Antwort:
  • assist_token
  • answer.name
  • answer.state
  • answer.replies.grounded_content.text
  • answer.replies.grounded_content.text_grounding_metadata.segments
  • answer.replies.grounded_content.text_grounding_metadata.references
  • answer.skipped_reasons
ConversationSearchService.AnswerQuery Anfrage:
  • serving_config
  • query.query_id
  • query.text
  • session
  • user_pseudo_id
  • end_user_spec
  • answer_generation_spec.model_spec.model_version
  • answer_generation_spec.prompt_spec.preamble
  • answer_generation_spec.include_citations
  • answer_generation_spec.answer_language_code
  • answer_generation_spec.ignore_adversarial_query
  • answer_generation_spec.ignore_non_answer_seeking_query
  • answer_generation_spec.ignore_jail_breaking_query

Antwort:
  • answer
  • answer_query_token
EngineService.CreateEngine Anfrage:
  • engine_id
  • engine.name
  • engine.create_time
  • engine.display_name
  • engine.update_time
  • engine.data_store_ids
  • engine.data_stores

Antwort:
  • engine_id
  • engine.name
  • engine.create_time
  • engine.display_name
  • engine.update_time
  • engine.data_store_ids
  • engine.data_stores
EngineService.UpdateEngine Anfrage:
  • engine.name
  • engine.create_time
  • engine.display_name
  • engine.update_time
  • engine.data_store_ids
  • engine.data_stores
  • update_mask

Antwort:
  • engine.name
  • engine.create_time
  • engine.display_name
  • engine.update_time
  • engine.data_store_ids
  • engine.data_stores
AgentService.SetIamPolicy Anfrage:
  • policy.bindings.roles
  • policy.bindings.members

Antwort:
  • policy.bindings.roles
  • policy.bindings.members
AgentService.CreateAgent Anfrage:
  • parent
  • agent_id
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case

Antwort:
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case
AgentService.UpdateAgent Anfrage:
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case
  • update_mask

Antwort:
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case
AgentService.CreateAgentRequest Anfrage:
  • parent
  • agent_id
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case

Antwort:
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case
GroundedGenerationService.GenerateGroundedContent Anfrage:
  • contents
  • location
  • generation_spec
  • system_instruction
  • safety_settings
  • user_labels
  • grounding_spec.explicit_search_queries
  • grounding_spec.grounding_sources

Antwort:
  • content
  • grounding_metadata
  • grounding_score
DataConnectorService.UpdateDataConnector Anfrage:
  • data_connector.name
  • data_connector.create_time
  • data_connector.update_time
  • data_connector.data_source
  • data_connector.refresh_interval
  • data_connector.bap_config

Antwort:
  • data_connector.name
  • data_connector.create_time
  • data_connector.update_time
  • data_connector.data_source
  • data_connector.refresh_interval
  • data_connector.bap_config
AssistantService.AddContextFile Anfrage:
  • name
  • file_name

Antwort:
  • session
  • file_id
AssistantService.UploadSessionFile Anfrage:
  • name
  • blob.filename

Antwort:
  • file_id
UserEventService.WriteUserEvent Anfrage:
  • All fields in the request body

Antwort:
  • Keine Felder protokolliert

Auf Audit-Logs zur Nutzung zugreifen

So greifen Sie auf alle Audit-Logs zur Nutzung von Gemini Enterprise zu und rufen sie auf:

  1. Rufen Sie in der Google Cloud Console die Seite Log-Explorer auf.

    Zum Log-Explorer

  2. Wählen Sie das Google Cloud -Projekt aus, für das Sie die Audit-Logs aktiviert haben.

  3. Wenn Sie nur Gemini Enterprise-Logs aufrufen möchten, geben Sie die folgende Abfrage in das Feld des Abfrageeditors ein und klicken Sie auf Abfrage ausführen:

      logName="projects/PROJECT_ID/logs/discoveryengine.googleapis.com%2Fgemini_enterprise_user_activity" OR logName=~"projects/PROJECT_ID/logs/discoveryengine.googleapis.com%2Fgen_ai.*"

    Ersetzen Sie Folgendes:

    • PROJECT_ID: die Projekt-ID.

Zugriff auf Logs steuern

Sie können den Zugriff auf die Logs in Cloud Logging steuern. Eine detaillierte Anleitung zu Methoden der Zugriffssteuerung, einschließlich der Verwendung von IAM-Bedingungen für den detaillierten Zugriff, finden Sie unter Zugriffssteuerung mit IAM.

Standardzugriffssteuerung

Standardmäßig sendet Gemini Enterprise Cloud Logging-Daten an den _Default-Bucket. Der Zugriff auf diesen Bucket wird durch die folgenden IAM-Rollen gesteuert:

Detaillierte Zugriffssteuerung

Wenn Ihr Projekt Logs mit unterschiedlichen Vertraulichkeitsstufen enthält, können Sie mehrere Google Cloud und Cloud Logging-Tools verwenden, um eine detailliertere Zugriffssteuerung zu konfigurieren.

Sie können eine detaillierte Zugriffssteuerung mit den folgenden Optionen konfigurieren:

Option Beschreibung
IAM-Bedingungen Richten Sie eine detaillierte Zugriffssteuerung mit IAM-Bedingungen ein. Weitere Informationen finden Sie unter Logging-Rollen.
Logansichten Mit Logansichten können Sie den Nutzerzugriff auf eine Teilmenge von Logs in einem Log-Bucket einschränken. Weitere Informationen finden Sie unter Logansichten für einen Log-Bucket konfigurieren.
Logsenken Verwenden Sie Logsenken, um vertrauliche Logs an ein separates Projekt mit restriktiverem IAM-Zugriff weiterzuleiten. Weitere Informationen finden Sie unter Logs an unterstützte Ziele weiterleiten.
Tags Mit Tags können Sie den IAM-Zugriff auf einzelne Log-Buckets in einem Projekt verwalten. Weitere Informationen finden Sie unter Tags zum Verwalten des Zugriffs auf Log-Buckets verwenden.
Zugriffssteuerung auf Feldebene Mit der Zugriffssteuerung auf Feldebene können Sie den Zugriff auf bestimmte Felder in Logeinträgen ausblenden oder einschränken. Weitere Informationen finden Sie unter Zugriff auf Feldebene konfigurieren.

Nächste Schritte