Accéder aux journaux d'audit de l'utilisation de Gemini Enterprise avec Cloud Logging

Cette page explique comment configurer les journaux d'audit d'utilisation pour Gemini Enterprise et y accéder.

Concepts clés

Cette section présente les concepts clés liés à l'observabilité dans Gemini Enterprise.

Concept Description
Journaux d'audit d'utilisation Les journaux d'audit d'utilisation sont des enregistrements des activités administratives et des accès au sein de vos Google Cloud ressources. Ils fournissent des informations détaillées sur l'auteur de l'action, le moment où elle a été effectuée et l'endroit d'où elle a été effectuée. Ces journaux sont essentiels pour l'audit de sécurité, la conformité et la compréhension de l'utilisation de vos ressources.

Avant de commencer

Avant de configurer les journaux d'audit, assurez-vous de disposer des éléments suivants :

Informations consignées

Le tableau suivant récapitule les données d'utilisation enregistrées par Gemini Enterprise :

Chemin d'accès au service Données enregistrées
SearchService.Search

Enregistre les données sur les sources utilisées pour l'ancrage ou comme entrée LLM.

Requête :
  • query
  • user_info

Réponse :
  • attribution_token
  • results.id
AssistantService.Assist

Enregistre la requête et la réponse de l'assistant Gemini Enterprise.

Requête :
  • name
  • query.text
  • query.parts

Réponse :
  • assist_token
  • answer.name
  • answer.state
  • answer.replies.grounded_content.text
  • answer.replies.grounded_content.text_grounding_metadata.segments
  • answer.replies.grounded_content.text_grounding_metadata.references
  • answer.skipped_reasons
AssistantService.StreamAssist Requête :
  • name
  • query.text
  • query.parts
  • agents_spec

Réponse :
  • assist_token
  • answer.name
  • answer.state
  • answer.replies.grounded_content.text
  • answer.replies.grounded_content.text_grounding_metadata.segments
  • answer.replies.grounded_content.text_grounding_metadata.references
  • answer.skipped_reasons
ConversationSearchService.AnswerQuery Requête :
  • serving_config
  • query.query_id
  • query.text
  • session
  • user_pseudo_id
  • end_user_spec
  • answer_generation_spec.model_spec.model_version
  • answer_generation_spec.prompt_spec.preamble
  • answer_generation_spec.include_citations
  • answer_generation_spec.answer_language_code
  • answer_generation_spec.ignore_adversarial_query
  • answer_generation_spec.ignore_non_answer_seeking_query
  • answer_generation_spec.ignore_jail_breaking_query

Réponse :
  • answer
  • answer_query_token
EngineService.CreateEngine Requête :
  • engine_id
  • engine.name
  • engine.create_time
  • engine.display_name
  • engine.update_time
  • engine.data_store_ids
  • engine.data_stores

Réponse :
  • engine_id
  • engine.name
  • engine.create_time
  • engine.display_name
  • engine.update_time
  • engine.data_store_ids
  • engine.data_stores
EngineService.UpdateEngine Requête :
  • engine.name
  • engine.create_time
  • engine.display_name
  • engine.update_time
  • engine.data_store_ids
  • engine.data_stores
  • update_mask

Réponse :
  • engine.name
  • engine.create_time
  • engine.display_name
  • engine.update_time
  • engine.data_store_ids
  • engine.data_stores
AgentService.SetIamPolicy Requête :
  • policy.bindings.roles
  • policy.bindings.members

Réponse :
  • policy.bindings.roles
  • policy.bindings.members
AgentService.CreateAgent Requête :
  • parent
  • agent_id
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case

Réponse :
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case
AgentService.UpdateAgent Requête :
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case
  • update_mask

Réponse :
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case
AgentService.CreateAgentRequest Requête :
  • parent
  • agent_id
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case

Réponse :
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case
GroundedGenerationService.GenerateGroundedContent Requête :
  • contents
  • location
  • generation_spec
  • system_instruction
  • safety_settings
  • user_labels
  • grounding_spec.explicit_search_queries
  • grounding_spec.grounding_sources

Réponse :
  • content
  • grounding_metadata
  • grounding_score
DataConnectorService.UpdateDataConnector Requête :
  • data_connector.name
  • data_connector.create_time
  • data_connector.update_time
  • data_connector.data_source
  • data_connector.refresh_interval
  • data_connector.bap_config

Réponse :
  • data_connector.name
  • data_connector.create_time
  • data_connector.update_time
  • data_connector.data_source
  • data_connector.refresh_interval
  • data_connector.bap_config
AssistantService.AddContextFile Requête :
  • name
  • file_name

Réponse :
  • session
  • file_id
AssistantService.UploadSessionFile Requête :
  • name
  • blob.filename

Réponse :
  • file_id
UserEventService.WriteUserEvent Requête :
  • All fields in the request body

Réponse :
  • Aucun champ n'est enregistré

Accéder aux journaux d'audit d'utilisation

Pour accéder à tous les journaux d'audit d'utilisation de Gemini Enterprise et les afficher, procédez comme suit :

  1. Dans la Google Cloud console, accédez à la page Explorateur de journaux.

    Accéder à l'explorateur de journaux

  2. Sélectionnez le Google Cloud projet pour lequel vous avez activé la journalisation des audits.

  3. Pour n'afficher que les journaux Gemini Enterprise, saisissez la requête suivante dans le champ de l'éditeur de requête, puis cliquez sur Exécuter la requête :

      logName="projects/PROJECT_ID/logs/discoveryengine.googleapis.com%2Fgemini_enterprise_user_activity" OR logName=~"projects/PROJECT_ID/logs/discoveryengine.googleapis.com%2Fgen_ai.*"

    Remplacez les éléments suivants :

    • PROJECT_ID : par l'ID du projet.

Contrôler l'accès aux journaux

Vous pouvez contrôler l'accès aux journaux dans Cloud Logging. Pour obtenir des instructions détaillées sur les méthodes de contrôle des accès, y compris l'utilisation de conditions IAM pour un accès précis, consultez Contrôle des accès avec IAM.

Contrôle des accès par défaut

Par défaut, Gemini Enterprise envoie les données Cloud Logging au bucket _Default. Les rôles IAM suivants contrôlent l'accès à ce bucket :

Contrôle précis des accès

Si votre projet contient des journaux avec différents niveaux de sensibilité, vous pouvez utiliser plusieurs Google Cloud outils Cloud Logging pour configurer contrôle des accès plus précis.

Vous pouvez configurer un contrôle précis des accès à l'aide des options suivantes :

Option Description
Conditions IAM Configurez un contrôle précis des accès à l'aide de conditions IAM. Pour en savoir plus, consultez Rôles Logging.
Vues de journaux Utilisez des vues de journaux pour limiter l'accès des utilisateurs à un sous-ensemble de journaux dans un bucket de journaux. Pour en savoir plus, consultez Configurer des vues de journaux sur un bucket de journaux.
Récepteurs de journaux Utilisez des récepteurs de journaux pour acheminer les journaux sensibles vers un projet distinct avec un accès IAM plus restrictif. Pour en savoir plus, consultez Acheminer les journaux vers des destinations compatibles.
Tags Utilisez des tags pour gérer l'accès IAM à des buckets de journaux individuels dans un projet. Pour en savoir plus, consultez Utiliser des tags pour gérer l'accès aux buckets de journaux.
Contrôle des accès au niveau du champ Utilisez le contrôle des accès au niveau du champ pour masquer ou restreindre l'accès à des champs spécifiques dans les entrées de journal. Pour en savoir plus, consultez Configurer l'accès au niveau du champ.

Étape suivante