Acessar os registros de auditoria de uso do Gemini Enterprise com o Cloud Logging

Nesta página, descrevemos como configurar e acessar os registros de auditoria de uso do Gemini Enterprise.

Principais conceitos

Esta seção apresenta os principais conceitos relacionados à capacidade de observação no Gemini Enterprise.

Conceito Descrição
Registros de auditoria de uso Os registros de auditoria de uso são registros de atividades administrativas e acessos nos recursos do Google Cloud . Eles fornecem informações detalhadas sobre quem realizou qual ação, quando e de onde. Esses registros são essenciais para auditoria de segurança, compliance e compreensão de como seus recursos estão sendo usados.

Antes de começar

Antes de configurar os registros de auditoria, verifique se você tem o seguinte:

Informações registradas

A tabela a seguir resume os dados de uso registrados pelo Gemini Enterprise:

Caminho do serviço Dados registrados
SearchService.Search

Registra os dados nas fontes usadas para embasamento ou como entrada de LLM.

Solicitação:
  • query
  • user_info

Resposta:
  • attribution_token
  • results.id
AssistantService.Assist

Registra a solicitação e a resposta do assistente do Gemini Enterprise.

Solicitação:
  • name
  • query.text
  • query.parts

Resposta:
  • assist_token
  • answer.name
  • answer.state
  • answer.replies.grounded_content.text
  • answer.replies.grounded_content.text_grounding_metadata.segments
  • answer.replies.grounded_content.text_grounding_metadata.references
  • answer.skipped_reasons
AssistantService.StreamAssist Solicitação:
  • name
  • query.text
  • query.parts
  • agents_spec

Resposta:
  • assist_token
  • answer.name
  • answer.state
  • answer.replies.grounded_content.text
  • answer.replies.grounded_content.text_grounding_metadata.segments
  • answer.replies.grounded_content.text_grounding_metadata.references
  • answer.skipped_reasons
ConversationSearchService.AnswerQuery Solicitação:
  • serving_config
  • query.query_id
  • query.text
  • session
  • user_pseudo_id
  • end_user_spec
  • answer_generation_spec.model_spec.model_version
  • answer_generation_spec.prompt_spec.preamble
  • answer_generation_spec.include_citations
  • answer_generation_spec.answer_language_code
  • answer_generation_spec.ignore_adversarial_query
  • answer_generation_spec.ignore_non_answer_seeking_query
  • answer_generation_spec.ignore_jail_breaking_query

Resposta:
  • answer
  • answer_query_token
EngineService.CreateEngine Solicitação:
  • engine_id
  • engine.name
  • engine.create_time
  • engine.display_name
  • engine.update_time
  • engine.data_store_ids
  • engine.data_stores

Resposta:
  • engine_id
  • engine.name
  • engine.create_time
  • engine.display_name
  • engine.update_time
  • engine.data_store_ids
  • engine.data_stores
EngineService.UpdateEngine Solicitação:
  • engine.name
  • engine.create_time
  • engine.display_name
  • engine.update_time
  • engine.data_store_ids
  • engine.data_stores
  • update_mask

Resposta:
  • engine.name
  • engine.create_time
  • engine.display_name
  • engine.update_time
  • engine.data_store_ids
  • engine.data_stores
AgentService.SetIamPolicy Solicitação:
  • policy.bindings.roles
  • policy.bindings.members

Resposta:
  • policy.bindings.roles
  • policy.bindings.members
AgentService.CreateAgent Solicitação:
  • parent
  • agent_id
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case

Resposta:
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case
AgentService.UpdateAgent Solicitação:
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case
  • update_mask

Resposta:
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case
AgentService.CreateAgentRequest Solicitação:
  • parent
  • agent_id
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case

Resposta:
  • agent.name
  • agent.display_name
  • agent.create_time
  • agent.update_time
  • agent.definition_case
GroundedGenerationService.GenerateGroundedContent Solicitação:
  • contents
  • location
  • generation_spec
  • system_instruction
  • safety_settings
  • user_labels
  • grounding_spec.explicit_search_queries
  • grounding_spec.grounding_sources

Resposta:
  • content
  • grounding_metadata
  • grounding_score
DataConnectorService.UpdateDataConnector Solicitação:
  • data_connector.name
  • data_connector.create_time
  • data_connector.update_time
  • data_connector.data_source
  • data_connector.refresh_interval
  • data_connector.bap_config

Resposta:
  • data_connector.name
  • data_connector.create_time
  • data_connector.update_time
  • data_connector.data_source
  • data_connector.refresh_interval
  • data_connector.bap_config
AssistantService.AddContextFile Solicitação:
  • name
  • file_name

Resposta:
  • session
  • file_id
AssistantService.UploadSessionFile Solicitação:
  • name
  • blob.filename

Resposta:
  • file_id
UserEventService.WriteUserEvent Solicitação:
  • All fields in the request body

Resposta:
  • Nenhum campo é registrado

Acessar registros de auditoria de uso

Para acessar e conferir todos os registros de auditoria de uso do Gemini Enterprise, siga estas etapas:

  1. No console do Google Cloud , acesse a página Análise de registros.

    Acessar a Análise de registros

  2. Selecione o projeto Google Cloud em que você ativou a geração de registros de auditoria.

  3. Para mostrar apenas os registros do Gemini Enterprise, insira a seguinte consulta no campo do editor de consultas e clique em Executar consulta:

      logName="projects/PROJECT_ID/logs/discoveryengine.googleapis.com%2Fgemini_enterprise_user_activity" OR logName=~"projects/PROJECT_ID/logs/discoveryengine.googleapis.com%2Fgen_ai.*"

    Substitua:

    • PROJECT_ID: ID do projeto.

Controlar o acesso a registros

É possível controlar o acesso aos registros no Cloud Logging. Para orientações detalhadas sobre métodos de controle de acesso, incluindo o uso de condições do IAM para acesso refinado, consulte Controle de acesso com o IAM.

Controle de acesso padrão

Por padrão, o Gemini Enterprise envia dados do Cloud Logging para o bucket _Default. Os seguintes papéis do IAM controlam o acesso a esse bucket:

Controle de acesso granular

Se o projeto tiver registros com diferentes níveis de sensibilidade, use várias Google Cloud e ferramentas do Cloud Logging para configurar um controle de acesso mais refinado.

É possível configurar o controle de acesso refinado usando as seguintes opções:

Opção Descrição
Condições do IAM Configure o controle de acesso refinado usando as condições do IAM. Para mais informações, consulte Papéis do Logging.
Visualizações de registro Use visualizações de registros para limitar o acesso do usuário a um subconjunto de registros em um bucket de registros. Para mais informações, consulte Configurar visualizações de registros em um bucket de registros.
Coletores de registros Use gravadores de registros para rotear registros sensíveis a um projeto separado com acesso mais restritivo do IAM. Para mais informações, consulte Rotear registros para destinos compatíveis.
Tags Use tags para gerenciar o acesso do IAM a buckets de registros individuais em um projeto. Para mais informações, consulte Usar tags para gerenciar o acesso a buckets de registros.
Controle de acesso no nível do campo Use o controle de acesso no nível do campo para ocultar ou restringir o acesso a campos específicos em entradas de registro. Para mais informações, consulte Configurar o acesso no nível do campo.

A seguir