Accedere ai log di controllo dell'utilizzo di Gemini Enterprise con Cloud Logging

Questa pagina descrive come configurare e accedere ai log di controllo dell'utilizzo per Gemini Enterprise.

Concetti fondamentali

Questa sezione introduce i concetti chiave relativi all'osservabilità in Gemini Enterprise.

Concetto Descrizione
Log di controllo dell'utilizzo I log di controllo dell'utilizzo sono record delle attività amministrative e degli accessi all'interno delle tue risorse Google Cloud . Forniscono informazioni dettagliate su chi ha eseguito quale azione, quando e da dove. Questi log sono essenziali per l'audit della sicurezza, la conformità e la comprensione di come vengono utilizzate le tue risorse.

Prima di iniziare

Prima di configurare i log di controllo, assicurati di disporre di quanto segue:

Informazioni registrate

La seguente tabella riepiloga i dati di utilizzo registrati da Gemini Enterprise:

Percorso del servizio Dati registrati
SearchService.Search

Registra i dati sulle fonti utilizzate per la base o come input LLM.

Richiesta:
  • query
  • user_info

Risposta:
  • attribution_token
  • results.id
AssistantService.Assist

Registra la richiesta e la risposta dell'assistente Gemini Enterprise.

Richiesta:
  • name
  • query.text
  • query.parts

Risposta:
  • assist_token
  • answer.name
  • answer.state
  • answer.replies.grounded_content.text
  • answer.replies.grounded_content.text_grounding_metadata.segments
  • answer.replies.grounded_content.text_grounding_metadata.references
  • answer.skipped_reasons
AssistantService.StreamAssist Richiesta:
  • name
  • query.text
  • query.parts
  • agents_spec

Risposta:
  • assist_token
  • answer.name
  • answer.state
  • answer.replies.grounded_content.text
  • answer.replies.grounded_content.text_grounding_metadata.segments
  • answer.replies.grounded_content.text_grounding_metadata.references
  • answer.skipped_reasons
ConversationSearchService.AnswerQuery Richiesta:
  • serving_config
  • query.query_id
  • query.text
  • session
  • user_pseudo_id
  • end_user_spec
  • answer_generation_spec.model_spec.model_version
  • answer_generation_spec.prompt_spec.preamble
  • answer_generation_spec.include_citations
  • answer_generation_spec.answer_language_code
  • answer_generation_spec.ignore_adversarial_query
  • answer_generation_spec.ignore_non_answer_seeking_query
  • answer_generation_spec.ignore_jail_breaking_query

Risposta:
  • answer
  • answer_query_token
EngineService.CreateEngine Richiesta:
  • engine_id
  • engine.name
  • engine.create_time
  • engine.display_name
  • engine.update_time
  • engine.data_store_ids
  • engine.data_stores

Risposta:
  • engine_id
  • engine.name
  • engine.create_time
  • engine.display_name
  • engine.update_time
  • engine.data_store_ids
  • engine.data_stores
EngineService.UpdateEngine Richiesta:
  • engine.name
  • engine.create_time
  • engine.display_name
  • engine.update_time
  • engine.data_store_ids
  • engine.data_stores
  • update_mask

Risposta:
  • engine.name
  • engine.create_time
  • engine.display_name
  • engine.update_time
  • engine.data_store_ids
  • engine.data_stores
AgentService.SetIamPolicy Richiesta:
  • policy.bindings.roles
  • policy.bindings.members

Risposta:
  • policy.bindings.roles
  • policy.bindings.members
AgentService.CreateAgent Richiesta:
  • parent
  • agent_id
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case

Risposta:
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case
AgentService.UpdateAgent Richiesta:
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case
  • update_mask

Risposta:
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case
AgentService.CreateAgentRequest Richiesta:
  • parent
  • agent_id
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case

Risposta:
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case
GroundedGenerationService.GenerateGroundedContent Richiesta:
  • contents
  • location
  • generation_spec
  • system_instruction
  • safety_settings
  • user_labels
  • grounding_spec.explicit_search_queries
  • grounding_spec.grounding_sources

Risposta:
  • content
  • grounding_metadata
  • grounding_score
DataConnectorService.UpdateDataConnector Richiesta:
  • data_connector.name
  • data_connector.create_time
  • data_connector.update_time
  • data_connector.data_source
  • data_connector.refresh_interval
  • data_connector.bap_config

Risposta:
  • data_connector.name
  • data_connector.create_time
  • data_connector.update_time
  • data_connector.data_source
  • data_connector.refresh_interval
  • data_connector.bap_config
AssistantService.AddContextFile Richiesta:
  • name
  • file_name

Risposta:
  • session
  • file_id
AssistantService.UploadSessionFile Richiesta:
  • name
  • blob.filename

Risposta:
  • file_id
UserEventService.WriteUserEvent Richiesta:
  • All fields in the request body

Risposta:
  • Nessun campo registrato

Accedere ai log di controllo dell'utilizzo

Per accedere a tutti i log di controllo dell'utilizzo di Gemini Enterprise e visualizzarli:

  1. Nella console Google Cloud , vai alla pagina Esplora log.

    Vai a Esplora log

  2. Seleziona il Google Cloud progetto per il quale hai attivato l'audit logging.

  3. Per visualizzare solo i log di Gemini Enterprise, inserisci la seguente query nel campo dell'editor query e fai clic su Esegui query:

      logName="projects/PROJECT_ID/logs/discoveryengine.googleapis.com%2Fgemini_enterprise_user_activity" OR logName=~"projects/PROJECT_ID/logs/discoveryengine.googleapis.com%2Fgen_ai.*"

    Sostituisci quanto segue:

    • PROJECT_ID: l'ID progetto.

Controllo dell'accesso ai log

Puoi controllare l'accesso ai log in Cloud Logging. Per indicazioni dettagliate sui metodicontrollo dell'accessoo dell'accesso, incluso l'utilizzo delle condizioni IAM per l'accesso granulare, consulta Controllo dell'accesso con IAM.

Controllo dell'accesso predefinito

Per impostazione predefinita, Gemini Enterprise invia i dati di Cloud Logging al bucket _Default. I seguenti ruoli IAM controllano l'accesso a questo bucket:

Controllo dell'accesso granulare

Se il tuo progetto contiene log con diversi livelli di sensibilità, puoi utilizzare diversi Google Cloud e strumenti Cloud Logging per configurare controllo dell'accesso più granulare.

Puoi configurare il controllo dell'accesso granulare utilizzando le seguenti opzioni:

Opzione Descrizione
Condizioni IAM Configura controllo dell'accesso granulare utilizzando le condizioni IAM. Per ulteriori informazioni, consulta Ruoli di logging.
Visualizzazioni log Utilizza le visualizzazioni di log per limitare l'accesso degli utenti a un sottoinsieme di log all'interno di un bucket di log. Per saperne di più, consulta Configurare le visualizzazioni dei log in un bucket di log.
Sink di log Utilizza i sink di log per indirizzare i log sensibili a un progetto separato con un accesso IAM più restrittivo. Per saperne di più, consulta Instrada i log verso destinazioni supportate.
Tag Utilizza i tag per gestire l'accesso IAM ai singoli bucket di log all'interno di un progetto. Per saperne di più, vedi Utilizzare i tag per gestire l'accesso ai bucket dei log.
Controllo dell'accesso a livello di campo Utilizza il controllo dell'accesso a livello di campo per nascondere o limitare l'accesso a campi specifici all'interno delle voci di log. Per saperne di più, consulta la sezione Configurare l'accesso a livello di campo.

Passaggi successivi