Mit Cloud Logging auf Audit-Logs zur Nutzung von Gemini Enterprise zugreifen

Auf dieser Seite wird beschrieben, wie Sie Nutzungs-Audit-Logs für Gemini Enterprise einrichten und darauf zugreifen.

Wichtige Konzepte

In diesem Abschnitt werden wichtige Konzepte im Zusammenhang mit der Beobachtbarkeit in Gemini Enterprise vorgestellt.

Konzept Beschreibung
Nutzungs-Audit-Logs Nutzungs-Audit-Logs sind Aufzeichnungen von administrativen Aktivitäten und Zugriffen in Ihren Google Cloud Ressourcen. Sie enthalten detaillierte Informationen darüber, wer wann und von wo aus welche Aktion ausgeführt hat. Diese Logs sind unerlässlich für Sicherheitsaudits, Compliance und das Verständnis der Nutzung Ihrer Ressourcen.

Hinweis

Bevor Sie Audit-Logs konfigurieren, müssen die folgenden Voraussetzungen erfüllt sein:

Logdaten

In der folgenden Tabelle sind die von Gemini Enterprise protokollierten Nutzungsdaten zusammengefasst:

Dienstpfad In Logs erfasste Daten
SearchService.Search

Protokolliert die Daten zu den Quellen, die für die Grounding-Funktion oder als LLM-Eingabe verwendet werden.

Anfrage:
  • query
  • user_info

Antwort:
  • attribution_token
  • results.id
AssistantService.Assist

Protokolliert die Anfrage und Antwort des Gemini Enterprise-Assistenten.

Anfrage:
  • name
  • query.text
  • query.parts

Antwort:
  • assist_token
  • answer.name
  • answer.state
  • answer.replies.grounded_content.text
  • answer.replies.grounded_content.text_grounding_metadata.segments
  • answer.replies.grounded_content.text_grounding_metadata.references
  • answer.skipped_reasons
AssistantService.StreamAssist Anfrage:
  • name
  • query.text
  • query.parts
  • agents_spec

Antwort:
  • assist_token
  • answer.name
  • answer.state
  • answer.replies.grounded_content.text
  • answer.replies.grounded_content.text_grounding_metadata.segments
  • answer.replies.grounded_content.text_grounding_metadata.references
  • answer.skipped_reasons
ConversationSearchService.AnswerQuery Anfrage:
  • serving_config
  • query.query_id
  • query.text
  • session
  • user_pseudo_id
  • end_user_spec
  • answer_generation_spec.model_spec.model_version
  • answer_generation_spec.prompt_spec.preamble
  • answer_generation_spec.include_citations
  • answer_generation_spec.answer_language_code
  • answer_generation_spec.ignore_adversarial_query
  • answer_generation_spec.ignore_non_answer_seeking_query
  • answer_generation_spec.ignore_jail_breaking_query

Antwort:
  • answer
  • answer_query_token
EngineService.CreateEngine Anfrage:
  • engine_id
  • engine.name
  • engine.create_time
  • engine.display_name
  • engine.update_time
  • engine.data_store_ids
  • engine.data_stores

Antwort:
  • engine_id
  • engine.name
  • engine.create_time
  • engine.display_name
  • engine.update_time
  • engine.data_store_ids
  • engine.data_stores
EngineService.UpdateEngine Anfrage:
  • engine.name
  • engine.create_time
  • engine.display_name
  • engine.update_time
  • engine.data_store_ids
  • engine.data_stores
  • update_mask

Antwort:
  • engine.name
  • engine.create_time
  • engine.display_name
  • engine.update_time
  • engine.data_store_ids
  • engine.data_stores
AgentService.SetIamPolicy Anfrage:
  • policy.bindings.roles
  • policy.bindings.members

Antwort:
  • policy.bindings.roles
  • policy.bindings.members
AgentService.CreateAgent Anfrage:
  • parent
  • agent_id
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case

Antwort:
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case
AgentService.UpdateAgent Anfrage:
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case
  • update_mask

Antwort:
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case
AgentService.CreateAgentRequest Anfrage:
  • parent
  • agent_id
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case

Antwort:
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case
GroundedGenerationService.GenerateGroundedContent Anfrage:
  • contents
  • location
  • generation_spec
  • system_instruction
  • safety_settings
  • user_labels
  • grounding_spec.explicit_search_queries
  • grounding_spec.grounding_sources

Antwort:
  • content
  • grounding_metadata
  • grounding_score
DataConnectorService.UpdateDataConnector Anfrage:
  • data_connector.name
  • data_connector.create_time
  • data_connector.update_time
  • data_connector.data_source
  • data_connector.refresh_interval
  • data_connector.bap_config

Antwort:
  • data_connector.name
  • data_connector.create_time
  • data_connector.update_time
  • data_connector.data_source
  • data_connector.refresh_interval
  • data_connector.bap_config
AssistantService.AddContextFile Anfrage:
  • name
  • file_name

Antwort:
  • session
  • file_id
AssistantService.UploadSessionFile Anfrage:
  • name
  • blob.filename

Antwort:
  • file_id
UserEventService.WriteUserEvent Anfrage:
  • All fields in the request body

Antwort:
  • Es werden keine Felder protokolliert

Auf Nutzungs-Audit-Logs zugreifen

So greifen Sie auf alle Nutzungs-Audit-Logs von Gemini Enterprise zu und rufen sie auf:

  1. Rufen Sie in der Google Cloud Console die Seite Log-Explorer auf.

    Zum Log-Explorer

  2. Wählen Sie das Google Cloud Projekt aus, für das Sie das Audit-Logging aktiviert haben.

  3. Wenn Sie nur Gemini Enterprise-Logs anzeigen möchten, geben Sie die folgende Abfrage in das Feld des Abfrage editors ein und klicken Sie auf Abfrage ausführen:

      logName="projects/PROJECT_ID/logs/discoveryengine.googleapis.com%2Fgemini_enterprise_user_activity" OR logName=~"projects/PROJECT_ID/logs/discoveryengine.googleapis.com%2Fgen_ai.*"

    Ersetzen Sie Folgendes:

    • PROJECT_ID: die Projekt-ID.

Zugriff auf Logs steuern

Sie können den Zugriff auf die Logs in Cloud Logging steuern. Eine detaillierte Anleitung zu den Methoden der Zugriffssteuerung, einschließlich der Verwendung von IAM-Bedingungen für den detaillierten Zugriff, finden Sie unter Zugriffssteuerung mit IAM.

Standardzugriffssteuerung

Standardmäßig sendet Gemini Enterprise Cloud Logging-Daten an den Bucket _Default. Die folgenden IAM-Rollen steuern den Zugriff auf diesen Bucket:

Detaillierte Zugriffssteuerung

Wenn Ihr Projekt Logs mit unterschiedlichen Vertraulichkeitsstufen enthält, können Sie verschiedene Google Cloud und Cloud Logging-Tools verwenden, um eine detailliertere Zugriffssteuerung zu konfigurieren.

Sie können die detaillierte Zugriffssteuerung mit den folgenden Optionen konfigurieren:

Option Beschreibung
IAM-Bedingungen Richten Sie die detaillierte Zugriffssteuerung mit IAM-Bedingungen ein. Weitere Informationen finden Sie unter Logging-Rollen.
Logansichten Mit Logansichten können Sie den Nutzerzugriff auf eine Teilmenge von Logs in einem Log-Bucket beschränken. Weitere Informationen finden Sie unter Logansichten für einen Log-Bucket konfigurieren.
Logsenken Mit Logsenken können Sie vertrauliche Logs an ein separates Projekt mit restriktiverem IAM-Zugriff weiterleiten. Weitere Informationen finden Sie unter Logs an unterstützte Ziele weiterleiten.
Tags Mit Tags können Sie den IAM-Zugriff auf einzelne Log-Buckets in einem Projekt verwalten. Weitere Informationen finden Sie unter Tags verwenden, um den Zugriff auf Log-Buckets zu verwalten.
Zugriffssteuerung auf Feldebene Mit der Zugriffssteuerung auf Feldebene können Sie den Zugriff auf bestimmte Felder in Logeinträgen ausblenden oder einschränken. Weitere Informationen finden Sie unter Zugriff auf Feldebene konfigurieren.

Nächste Schritte