Accedere ai log di controllo dell'utilizzo di Gemini Enterprise con Cloud Logging

Questa pagina descrive come configurare e accedere agli audit log di utilizzo per Gemini Enterprise.

Concetti fondamentali

Questa sezione introduce i concetti chiave relativi all'osservabilità in Gemini Enterprise.

Concetto Descrizione
Audit log di utilizzo Gli audit log di utilizzo sono record delle attività amministrative e degli accessi all'interno delle tue Google Cloud risorse. Forniscono informazioni dettagliate su chi ha eseguito l'azione, quando e da dove. Questi log sono essenziali per i controlli di sicurezza, la conformità e la comprensione di come vengono utilizzate le risorse.

Prima di iniziare

Prima di configurare gli audit log, assicurati di avere:

Informazioni registrate

La seguente tabella riassume i dati di utilizzo registrati da Gemini Enterprise:

Percorso del servizio Dati registrati
SearchService.Search

Registra i dati sulle origini utilizzate per il grounding o come input LLM.

Richiesta:
  • query
  • user_info

Risposta:
  • attribution_token
  • results.id
AssistantService.Assist

Registra la richiesta e la risposta dell'assistente Gemini Enterprise.

Richiesta:
  • name
  • query.text
  • query.parts

Risposta:
  • assist_token
  • answer.name
  • answer.state
  • answer.replies.grounded_content.text
  • answer.replies.grounded_content.text_grounding_metadata.segments
  • answer.replies.grounded_content.text_grounding_metadata.references
  • answer.skipped_reasons
AssistantService.StreamAssist Richiesta:
  • name
  • query.text
  • query.parts
  • agents_spec

Risposta:
  • assist_token
  • answer.name
  • answer.state
  • answer.replies.grounded_content.text
  • answer.replies.grounded_content.text_grounding_metadata.segments
  • answer.replies.grounded_content.text_grounding_metadata.references
  • answer.skipped_reasons
ConversationSearchService.AnswerQuery Richiesta:
  • serving_config
  • query.query_id
  • query.text
  • session
  • user_pseudo_id
  • end_user_spec
  • answer_generation_spec.model_spec.model_version
  • answer_generation_spec.prompt_spec.preamble
  • answer_generation_spec.include_citations
  • answer_generation_spec.answer_language_code
  • answer_generation_spec.ignore_adversarial_query
  • answer_generation_spec.ignore_non_answer_seeking_query
  • answer_generation_spec.ignore_jail_breaking_query

Risposta:
  • answer
  • answer_query_token
EngineService.CreateEngine Richiesta:
  • engine_id
  • engine.name
  • engine.create_time
  • engine.display_name
  • engine.update_time
  • engine.data_store_ids
  • engine.data_stores

Risposta:
  • engine_id
  • engine.name
  • engine.create_time
  • engine.display_name
  • engine.update_time
  • engine.data_store_ids
  • engine.data_stores
EngineService.UpdateEngine Richiesta:
  • engine.name
  • engine.create_time
  • engine.display_name
  • engine.update_time
  • engine.data_store_ids
  • engine.data_stores
  • update_mask

Risposta:
  • engine.name
  • engine.create_time
  • engine.display_name
  • engine.update_time
  • engine.data_store_ids
  • engine.data_stores
AgentService.SetIamPolicy Richiesta:
  • policy.bindings.roles
  • policy.bindings.members

Risposta:
  • policy.bindings.roles
  • policy.bindings.members
AgentService.CreateAgent Richiesta:
  • parent
  • agent_id
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case

Risposta:
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case
AgentService.UpdateAgent Richiesta:
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case
  • update_mask

Risposta:
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case
AgentService.CreateAgentRequest Richiesta:
  • parent
  • agent_id
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case

Risposta:
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case
GroundedGenerationService.GenerateGroundedContent Richiesta:
  • contents
  • location
  • generation_spec
  • system_instruction
  • safety_settings
  • user_labels
  • grounding_spec.explicit_search_queries
  • grounding_spec.grounding_sources

Risposta:
  • content
  • grounding_metadata
  • grounding_score
DataConnectorService.UpdateDataConnector Richiesta:
  • data_connector.name
  • data_connector.create_time
  • data_connector.update_time
  • data_connector.data_source
  • data_connector.refresh_interval
  • data_connector.bap_config

Risposta:
  • data_connector.name
  • data_connector.create_time
  • data_connector.update_time
  • data_connector.data_source
  • data_connector.refresh_interval
  • data_connector.bap_config
AssistantService.AddContextFile Richiesta:
  • name
  • file_name

Risposta:
  • session
  • file_id
AssistantService.UploadSessionFile Richiesta:
  • name
  • blob.filename

Risposta:
  • file_id

Accedere agli audit log di utilizzo

Per accedere e visualizzare tutti gli audit log di utilizzo di Gemini Enterprise:

  1. Nella Google Cloud console, vai alla pagina Esplora log.

    Vai a Esplora log

  2. Seleziona il Google Cloud progetto per cui hai abilitato l'audit logging.

  3. Per visualizzare solo i log di Gemini Enterprise, inserisci la seguente query nel campo dell'editor query e fai clic su Esegui query:

      logName="projects/PROJECT_ID/logs/discoveryengine.googleapis.com%2Fgemini_enterprise_user_activity" OR logName=~"projects/PROJECT_ID/logs/discoveryengine.googleapis.com%2Fgen_ai.*"

    Sostituisci quanto segue:

    • PROJECT_ID: l'ID progetto.

Controllo dell'accesso ai log

Puoi controllare l'accesso ai log in Cloud Logging. Per indicazioni dettagliate sui metodi di controllo dell'accesso, incluso l'utilizzo delle condizioni IAM per l'accesso granulare, consulta Controllo dell'accesso con IAM.

Controllo dell'accesso predefinito

Per impostazione predefinita, Gemini Enterprise invia i dati di Cloud Logging al bucket _Default. I seguenti ruoli IAM controllano l'accesso a questo bucket:

Controllo dell'accesso granulare

Se il tuo progetto contiene log con diversi livelli di sensibilità, puoi utilizzare diversi Google Cloud strumenti di Cloud Logging per configurare un controllo dell'accesso più granulare.

Puoi configurare il controllo dell'accesso granulare utilizzando le seguenti opzioni:

Opzione Descrizione
Condizioni IAM Configura il controllo dell'accesso granulare utilizzando le condizioni IAM. Per saperne di più, consulta Ruoli di logging.
Visualizzazioni log Utilizza le visualizzazioni log per limitare l'accesso degli utenti a un sottoinsieme di log all'interno di un bucket di log. Per saperne di più, consulta Configurare le visualizzazioni log in un bucket di log.
Sink di log Utilizza i sink di log per instradare i log sensibili a un progetto separato con un accesso IAM più restrittivo. Per saperne di più, consulta Instrada i log verso destinazioni supportate.
Tag Utilizza i tag per gestire l'accesso IAM ai singoli bucket di log all'interno di un progetto. Per saperne di più, consulta Utilizzare i tag per gestire l'accesso ai bucket di log.
Controllo dell'accesso a livello di campo Utilizza il controllo dell'accesso a livello di campo per nascondere o limitare l'accesso a campi specifici all'interno delle voci di log. Per saperne di più, consulta Configurare l'accesso a livello di campo.

Passaggi successivi