Accede a los registros de auditoría de uso de Gemini Enterprise con Cloud Logging

En esta página, se describe cómo configurar los registros de auditoría de uso y acceder a ellos para Gemini Enterprise.

Conceptos clave

En esta sección, se presentan los conceptos clave relacionados con la observabilidad en Gemini Enterprise.

Concepto Descripción
Registros de auditoría de uso Los registros de auditoría de uso son registros de las actividades administrativas y los accesos dentro de tus recursos de Google Cloud . Proporcionan información detallada sobre quién realizó qué acción, cuándo y desde dónde. Estos registros son esenciales para la auditoría de seguridad, el cumplimiento y la comprensión de cómo se usan tus recursos.

Antes de comenzar

Antes de configurar los registros de auditoría, asegúrate de tener lo siguiente:

Información registrada

En la siguiente tabla, se resumen los datos de uso que registra Gemini Enterprise:

Ruta de servicio Datos registrados
SearchService.Search

Registra los datos de las fuentes que se usan para la fundamentación o como entrada del LLM.

Solicitud:
  • query
  • user_info

Respuesta:
  • attribution_token
  • results.id
AssistantService.Assist

Registra la solicitud y la respuesta del asistente de Gemini Enterprise.

Solicitud:
  • name
  • query.text
  • query.parts

Respuesta:
  • assist_token
  • answer.name
  • answer.state
  • answer.replies.grounded_content.text
  • answer.replies.grounded_content.text_grounding_metadata.segments
  • answer.replies.grounded_content.text_grounding_metadata.references
  • answer.skipped_reasons
AssistantService.StreamAssist Solicitud:
  • name
  • query.text
  • query.parts
  • agents_spec

Respuesta:
  • assist_token
  • answer.name
  • answer.state
  • answer.replies.grounded_content.text
  • answer.replies.grounded_content.text_grounding_metadata.segments
  • answer.replies.grounded_content.text_grounding_metadata.references
  • answer.skipped_reasons
ConversationSearchService.AnswerQuery Solicitud:
  • serving_config
  • query.query_id
  • query.text
  • session
  • user_pseudo_id
  • end_user_spec
  • answer_generation_spec.model_spec.model_version
  • answer_generation_spec.prompt_spec.preamble
  • answer_generation_spec.include_citations
  • answer_generation_spec.answer_language_code
  • answer_generation_spec.ignore_adversarial_query
  • answer_generation_spec.ignore_non_answer_seeking_query
  • answer_generation_spec.ignore_jail_breaking_query

Respuesta:
  • answer
  • answer_query_token
EngineService.CreateEngine Solicitud:
  • engine_id
  • engine.name
  • engine.create_time
  • engine.display_name
  • engine.update_time
  • engine.data_store_ids
  • engine.data_stores

Respuesta:
  • engine_id
  • engine.name
  • engine.create_time
  • engine.display_name
  • engine.update_time
  • engine.data_store_ids
  • engine.data_stores
EngineService.UpdateEngine Solicitud:
  • engine.name
  • engine.create_time
  • engine.display_name
  • engine.update_time
  • engine.data_store_ids
  • engine.data_stores
  • update_mask

Respuesta:
  • engine.name
  • engine.create_time
  • engine.display_name
  • engine.update_time
  • engine.data_store_ids
  • engine.data_stores
AgentService.SetIamPolicy Solicitud:
  • policy.bindings.roles
  • policy.bindings.members

Respuesta:
  • policy.bindings.roles
  • policy.bindings.members
AgentService.CreateAgent Solicitud:
  • parent
  • agent_id
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case

Respuesta:
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case
AgentService.UpdateAgent Solicitud:
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case
  • update_mask

Respuesta:
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case
AgentService.CreateAgentRequest Solicitud:
  • parent
  • agent_id
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case

Respuesta:
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case
GroundedGenerationService.GenerateGroundedContent Solicitud:
  • contents
  • location
  • generation_spec
  • system_instruction
  • safety_settings
  • user_labels
  • grounding_spec.explicit_search_queries
  • grounding_spec.grounding_sources

Respuesta:
  • content
  • grounding_metadata
  • grounding_score
DataConnectorService.UpdateDataConnector Solicitud:
  • data_connector.name
  • data_connector.create_time
  • data_connector.update_time
  • data_connector.data_source
  • data_connector.refresh_interval
  • data_connector.bap_config

Respuesta:
  • data_connector.name
  • data_connector.create_time
  • data_connector.update_time
  • data_connector.data_source
  • data_connector.refresh_interval
  • data_connector.bap_config
AssistantService.AddContextFile Solicitud:
  • name
  • file_name

Respuesta:
  • session
  • file_id
AssistantService.UploadSessionFile Solicitud:
  • name
  • blob.filename

Respuesta:
  • file_id
UserEventService.WriteUserEvent Solicitud:
  • All fields in the request body

Respuesta:
  • No se registran campos

Accede a los registros de auditoría de uso

Para acceder a todos los registros de auditoría de uso de Gemini Enterprise y verlos, sigue estos pasos:

  1. En la consola de Google Cloud , accede a la página Explorador de registros.

    Ve al Explorador de registros

  2. Selecciona el proyecto Google Cloud para el que habilitaste el registro de auditoría.

  3. Para mostrar solo los registros de Gemini Enterprise, ingresa la siguiente consulta en el campo del editor de consultas y haz clic en Ejecutar consulta:

      logName="projects/PROJECT_ID/logs/discoveryengine.googleapis.com%2Fgemini_enterprise_user_activity" OR logName=~"projects/PROJECT_ID/logs/discoveryengine.googleapis.com%2Fgen_ai.*"

    Reemplaza lo siguiente:

    • PROJECT_ID: el ID de tu proyecto.

Controlar el acceso a los registros

Puedes controlar el acceso a los registros en Cloud Logging. Para obtener orientación detallada sobre los métodos de control de acceso, incluido el uso de condiciones de IAM para el acceso detallado, consulta Control de acceso con IAM.

Control de acceso predeterminado

De forma predeterminada, Gemini Enterprise envía datos de Cloud Logging al bucket _Default. Los siguientes roles de IAM controlan el acceso a este bucket:

Control de acceso detallado

Si tu proyecto contiene registros con diferentes niveles de sensibilidad, puedes usar varias Google Cloud y herramientas de Cloud Logging para configurar un control de acceso más detallado.

Puedes configurar el control de acceso detallado con las siguientes opciones:

Opción Descripción
Condiciones de IAM Configura un control de acceso detallado con las condiciones de IAM. Para obtener más información, consulta Roles de Logging.
Vistas de registro Usa vistas de registros para limitar el acceso de los usuarios a un subconjunto de registros dentro de un bucket de registros. Para obtener más información, consulta Configura vistas de registros en un bucket de registros.
Receptores de registros Usa receptores de registros para enrutar los registros sensibles a un proyecto independiente con acceso de IAM más restrictivo. Para obtener más información, consulta Enruta registros a destinos compatibles.
Etiquetas Usa etiquetas para administrar el acceso de IAM a buckets de registros individuales dentro de un proyecto. Para obtener más información, consulta Usa etiquetas para administrar el acceso a los buckets de registros.
Control de acceso a nivel de campo Usa el control de acceso a nivel de campo para ocultar o restringir el acceso a campos específicos dentro de las entradas de registro. Para obtener más información, consulta Configura el acceso a nivel del campo.

¿Qué sigue?