Acessar os registros de auditoria de uso do Gemini Enterprise com o Cloud Logging

Nesta página, descrevemos como configurar e acessar registros de auditoria de uso do Gemini Enterprise.

Principais conceitos

Esta seção apresenta os principais conceitos relacionados à observabilidade no Gemini Enterprise.

Conceito Descrição
Registros de auditoria de uso Os registros de auditoria de uso são registros de atividades administrativas e acessos nos recursos do Google Cloud . Eles fornecem informações detalhadas sobre quem realizou qual ação, quando e de onde. Esses registros são essenciais para auditoria de segurança, conformidade e para entender como seus recursos estão sendo usados.

Antes de começar

Antes de configurar os registros de auditoria, verifique se você tem o seguinte:

Informações registradas

A tabela a seguir resume os dados de uso registrados pelo Gemini Enterprise:

Caminho do serviço Dados registrados
SearchService.Search

Registra os dados nas fontes usadas para embasamento ou como entrada de LLM.

Solicitação:
  • query
  • user_info

Resposta:
  • attribution_token
  • results.id
AssistantService.Assist

Registra a solicitação e a resposta do assistente do Gemini Enterprise.

Solicitação:
  • name
  • query.text
  • query.parts

Resposta:
  • assist_token
  • answer.name
  • answer.state
  • answer.replies.grounded_content.text
  • answer.replies.grounded_content.text_grounding_metadata.segments
  • answer.replies.grounded_content.text_grounding_metadata.references
  • answer.skipped_reasons
AssistantService.StreamAssist Solicitação:
  • name
  • query.text
  • query.parts
  • agents_spec

Resposta:
  • assist_token
  • answer.name
  • answer.state
  • answer.replies.grounded_content.text
  • answer.replies.grounded_content.text_grounding_metadata.segments
  • answer.replies.grounded_content.text_grounding_metadata.references
  • answer.skipped_reasons
ConversationSearchService.AnswerQuery Solicitação:
  • serving_config
  • query.query_id
  • query.text
  • session
  • user_pseudo_id
  • end_user_spec
  • answer_generation_spec.model_spec.model_version
  • answer_generation_spec.prompt_spec.preamble
  • answer_generation_spec.include_citations
  • answer_generation_spec.answer_language_code
  • answer_generation_spec.ignore_adversarial_query
  • answer_generation_spec.ignore_non_answer_seeking_query
  • answer_generation_spec.ignore_jail_breaking_query

Resposta:
  • answer
  • answer_query_token
EngineService.CreateEngine Solicitação:
  • engine_id
  • engine.name
  • engine.create_time
  • engine.display_name
  • engine.update_time
  • engine.data_store_ids
  • engine.data_stores

Resposta:
  • engine_id
  • engine.name
  • engine.create_time
  • engine.display_name
  • engine.update_time
  • engine.data_store_ids
  • engine.data_stores
EngineService.UpdateEngine Solicitação:
  • engine.name
  • engine.create_time
  • engine.display_name
  • engine.update_time
  • engine.data_store_ids
  • engine.data_stores
  • update_mask

Resposta:
  • engine.name
  • engine.create_time
  • engine.display_name
  • engine.update_time
  • engine.data_store_ids
  • engine.data_stores
AgentService.SetIamPolicy Solicitação:
  • policy.bindings.roles
  • policy.bindings.members

Resposta:
  • policy.bindings.roles
  • policy.bindings.members
AgentService.CreateAgent Solicitação:
  • parent
  • agent_id
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case

Resposta:
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case
AgentService.UpdateAgent Solicitação:
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case
  • update_mask

Resposta:
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case
AgentService.CreateAgentRequest Solicitação:
  • parent
  • agent_id
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case

Resposta:
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case
GroundedGenerationService.GenerateGroundedContent Solicitação:
  • contents
  • location
  • generation_spec
  • system_instruction
  • safety_settings
  • user_labels
  • grounding_spec.explicit_search_queries
  • grounding_spec.grounding_sources

Resposta:
  • content
  • grounding_metadata
  • grounding_score
DataConnectorService.UpdateDataConnector Solicitação:
  • data_connector.name
  • data_connector.create_time
  • data_connector.update_time
  • data_connector.data_source
  • data_connector.refresh_interval
  • data_connector.bap_config

Resposta:
  • data_connector.name
  • data_connector.create_time
  • data_connector.update_time
  • data_connector.data_source
  • data_connector.refresh_interval
  • data_connector.bap_config
AssistantService.AddContextFile Solicitação:
  • name
  • file_name

Resposta:
  • session
  • file_id
AssistantService.UploadSessionFile Solicitação:
  • name
  • blob.filename

Resposta:
  • file_id
UserEventService.WriteUserEvent Solicitação:
  • All fields in the request body

Resposta:
  • Nenhum campo é registrado

Acessar registros de auditoria de uso

Para acessar e visualizar todos os registros de auditoria de uso do Gemini Enterprise, siga estas etapas:

  1. No Google Cloud console do, acesse a página Análise de registros.

    Acessar a Análise de registros

  2. Selecione o Google Cloud projeto em que você ativou a geração de registros de auditoria.

  3. Para mostrar apenas os registros do Gemini Enterprise, insira a consulta a seguir no campo do editor de consultas e clique em Executar consulta:

      logName="projects/PROJECT_ID/logs/discoveryengine.googleapis.com%2Fgemini_enterprise_user_activity" OR logName=~"projects/PROJECT_ID/logs/discoveryengine.googleapis.com%2Fgen_ai.*"

    Substitua:

    • PROJECT_ID: ID do projeto.

Controlar o acesso a registros

É possível controlar o acesso aos registros no Cloud Logging. Para orientações detalhadas sobre métodos de controle de acesso, incluindo o uso de condições do IAM para acesso granular, consulte Controle de acesso com o IAM.

Controle de acesso padrão

Por padrão, o Gemini Enterprise envia dados do Cloud Logging para o bucket _Default. Os papéis do IAM a seguir controlam o acesso a esse bucket:

Controle de acesso granular

Se o projeto contiver registros com níveis de sensibilidade variados, você poderá usar várias Google Cloud ferramentas do Cloud Logging para configurar um controle de acesso mais granular.

É possível configurar o controle de acesso granular usando as seguintes opções:

Opção Descrição
Condições do IAM Configure o controle de acesso granular usando as condições do IAM. Para mais informações, consulte Papéis do Logging.
Visualizações de registro Use as visualizações de registro para limitar o acesso do usuário a um subconjunto de registros em um bucket de registros. Para mais informações, consulte Configurar visualizações de registro em um bucket de registros.
Coletores de registros Use coletores de registros para rotear registros sensíveis para um projeto separado com acesso IAM mais restritivo. Para mais informações, consulte Rotear registros para destinos compatíveis.
Tags Use tags para gerenciar o acesso do IAM a buckets de registros individuais em um projeto. Para mais informações, consulte Usar tags para gerenciar o acesso a buckets de registros.
Controle de acesso no nível do campo Use o controle de acesso no nível do campo para ocultar ou restringir o acesso a campos específicos nas entradas de registro. Para mais informações, consulte Configurar o acesso no nível do campo.

A seguir