Logging konfigurieren

In diesem Dokument wird beschrieben, wie Sie Model Armor so konfigurieren, dass die folgenden Vorgänge protokolliert werden:

  • Vorgänge zum Erstellen, Aktualisieren oder Löschen einer Vorlage
  • Vorgänge, mit denen ein Nutzer-Prompt oder eine Modellantwort bereinigt wird

Model Armor verwendet Audit-Logs, um Verwaltungs- und Ressourcenverwaltungsaktivitäten aufzuzeichnen. Weitere Informationen finden Sie unter Audit-Logging für Model Armor.

Informationen zur Preisgestaltung von Logs finden Sie auf der Seite Cloud Logging – Preise. Je nach Menge der verarbeiteten Daten können auch Gebühren für die Nutzung von Model Armor anfallen. Weitere Informationen finden Sie unter Model Armor – Preise.

Hinweise

Führen Sie diese Aufgaben aus, bevor Sie die verbleibenden Aufgaben auf dieser Seite erledigen.

Erforderliche Berechtigungen erhalten

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Model Armor Admin (roles/modelarmor.admin) für die Model Armor-Vorlage zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Konfigurieren der Protokollierung für Model Armor benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

APIs aktivieren

Sie müssen Model Armor APIs aktivieren, bevor Sie Model Armor verwenden können.

Console

  1. Enable the Model Armor API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  2. Wählen Sie das Projekt aus, für das Sie Model Armor aktivieren möchten.

gcloud

Führen Sie die folgenden Schritte mit der Google Cloud CLI und der Model Armor API aus, bevor Sie beginnen:

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Führen Sie den folgenden Befehl aus, um den API-Endpunkt für den Model Armor-Dienst festzulegen.

    gcloud config set api_endpoint_overrides/modelarmor "https://modelarmor.LOCATION.rep.googleapis.com/"

    Ersetzen Sie LOCATION durch die Region, in der Sie Model Armor verwenden möchten.

    3. Trafficbereinigung einrichten

    Bei von Google verwalteten MCP-Servern (Model Context Protocol) können Sie die Bereinigung von Traffic über Mindesteinstellungen einrichten. Weitere Informationen finden Sie unter Schutz für Google- und Google Cloud -Remote-MCP-Server konfigurieren. (Vorschau)

    Logging in Vorlagen konfigurieren

    In Vorlagen werden die Filter und Grenzwerte für verschiedene Sicherheitskategorien definiert. Wenn Sie eine Model Armor-Vorlage erstellen oder aktualisieren, können Sie angeben, ob Model Armor bestimmte Vorgänge protokollieren soll. Verwenden Sie die folgenden Flags in den Vorlagenmetadaten:

    • log_template_operations: Ein boolescher Wert, der die Protokollierung der Vorgänge zum Erstellen, Aktualisieren, Lesen und Löschen von Vorlagen aktiviert.

    • log_sanitize_operations: Ein boolescher Wert, der das Logging der Bereinigungsoperationen aktiviert. Die Logs enthalten den Prompt und die Antwort, die Bewertungsergebnisse von Model Armor und zusätzliche Metadatenfelder.

    Console

    1. Rufen Sie in der Google Cloud Console die Seite Model Armor auf.

      Zu Model Armor

    2. Prüfen Sie, ob Sie das Projekt aufrufen, für das Sie Model Armor aktiviert haben.

    3. Klicken Sie auf der Seite Model Armor auf Vorlage erstellen. Weitere Informationen zum Erstellen von Vorlagen finden Sie unter Model Armor-Vorlagen erstellen.

    4. Wählen Sie im Abschnitt Logging konfigurieren die Vorgänge aus, für die Sie das Logging konfigurieren möchten.

    5. Klicken Sie auf Erstellen.

    REST 

      curl -X POST \
      -d '{ "filterConfig": {}, "templateMetadata": { "logTemplateOperations": true, "logSanitizeOperations": true } }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer $(gcloud auth print-access-token)" \
      "https://modelarmor.LOCATION.rep.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/templates?template_id=TEMPLATE_ID"

    Ersetzen Sie Folgendes:

    • PROJECT_ID: die ID des Projekts, zu dem die Vorlage gehört.
    • LOCATION: der Speicherort der Vorlage.
    • TEMPLATE_ID: die ID der Vorlage.

    Python

    Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Model Armor Python SDK installieren.

       request = modelarmor_v1.CreateTemplateRequest(
     parent="projects/PROJECT_ID/locations/LOCATION",
     template_id="TEMPLATE_ID",
     template={
        "name": "projects/PROJECT_ID/locations/LOCATION/templates/TEMPLATE_ID",
        "filter_config": {},
        "template_metadata": {
           "log_template_operations": True,
           "log_sanitize_operations": True
        }
     }
   )
   response = client.create_template(request=request)

    Ersetzen Sie Folgendes:

    • PROJECT_ID: die ID des Projekts, zu dem die Vorlage gehört.
    • LOCATION: der Speicherort der Vorlage.
    • TEMPLATE_ID: die ID der Vorlage.

    Logging in Mindesteinstellungen konfigurieren

    Mit Mindesteinstellungen werden grundlegende Sicherheitsfilter für alle Gemini-Modelle in Vertex AI und für von Google verwaltete MCP-Server (Model Context Protocol) (Vorabversion) in Ihrem Projekt festgelegt. Wenn Sie die Model Armor-Mindesteinstellungen aktualisieren, können Sie angeben, ob Model Armor-Bereinigungsvorgänge protokolliert werden sollen.

    Sie können das Logging von Bereinigungsoperationen für Vertex AI- und von Google verwaltete MCP-Server einzeln aktivieren. Wenn aktiviert, enthalten die Logs den Prompt und die Antwort (für Vertex AI) oder Tool-Aufrufe und Tool-Antworten (für MCP-Server), die Bewertungsergebnisse von Model Armor und zusätzliche Metadatenfelder.

    Console

    1. Rufen Sie in der Google Cloud Console die Seite Model Armor auf.

      Zu Model Armor

    2. Prüfen Sie, ob Sie das Projekt aufrufen, für das Sie Model Armor aktiviert haben.

    3. Rufen Sie den Tab Floor Settings (Etagenkonfiguration) auf.

    4. Wählen Sie im Abschnitt Logs die Option Von Google verwalteter MCP aus.

    5. Klicken Sie auf Speichern.

    gcloud

    Sie können eines der folgenden Flags verwenden, um das Logging von Bereinigungsaktionen in den Etagen-Einstellungen zu verwalten.

    Verwenden Sie eines der folgenden Flags, um das Logging zu aktivieren:

    • Verwenden Sie für Vertex AI das Flag --enable-vertex-ai-cloud-logging.
    • Verwenden Sie für von Google verwaltete MCP-Server das Flag --enable-google-mcp-server-cloud-logging.

    Verwenden Sie eines der folgenden Flags, um das Logging zu deaktivieren:

    • Verwenden Sie für Vertex AI das Flag --no-enable-vertex-ai-cloud-logging.

    • Verwenden Sie für von Google verwaltete MCP-Server das Flag --no-enable-google-mcp-server-cloud-logging.

    Mit dem folgenden Beispielbefehl wird die Protokollierung von Bereinigungsoperationen sowohl für Vertex AI- als auch für von Google verwaltete MCP-Server aktiviert:

    gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-vertex-ai-cloud-logging \
--enable-google-mcp-server-cloud-logging

    Ersetzen Sie PROJECT_ID durch die ID Ihres Projekts.

    REST

    Mit der Methode UpdateFloorSetting können Sie die Etagen-Einstellungen aktualisieren, um die Protokollierung von Bereinigungsaktionen zu aktivieren. Wenn Sie diese Methode verwenden, müssen Sie den entsprechenden Parameter auf „true“ setzen, um die Protokollierung zu aktivieren:

    • Setzen Sie für Vertex AI aiPlatformFloorSetting.enableCloudLogging auf true.

    • Legen Sie für von Google verwaltete MCP-Server googleMcpServerFloorSetting.enableCloudLogging auf true fest.

    Mit dem folgenden Beispielbefehl wird die Protokollierung von Bereinigungsoperationen sowohl für Vertex AI- als auch für von Google verwaltete MCP-Server aktiviert:

    curl -X PATCH \
 -d '{ "aiPlatformFloorSetting":{ "enableCloudLogging": true}, "googleMcpServerFloorSetting":{ "enableCloudLogging": true}}' \
 -H "Content-Type: application/json" \
 -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    "https://modelarmor.googleapis.com/v1/projects/PROJECT_ID/locations/global/floorSetting?updateMask=aiPlatformFloorSetting.enableCloudLogging,googleMcpServerFloorSetting.enableCloudLogging"

    Ersetzen Sie PROJECT_ID durch die ID Ihres Projekts.

    Python

    Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Model Armor Python SDK installieren.

    from google.cloud.modelarmor import v1 as modelarmor_v1
from google.protobuf import field_mask_pb2

# TODO: Initialize the ModelArmorClient, "client"
# client = modelarmor_v1.ModelArmorClient()

project_id = "PROJECT_ID"
location = "global"

floor_setting_name = f"projects/{project_id}/locations/{location}/floorSetting"

request = modelarmor_v1.UpdateFloorSettingRequest(
    floor_setting=modelarmor_v1.FloorSetting(
        name=floor_setting_name,
        ai_platform_floor_setting=modelarmor_v1.FloorSetting.AiPlatformFloorSetting(
            enable_cloud_logging=True
        ),
        google_mcp_server_floor_setting=modelarmor_v1.FloorSetting.GoogleMcpServerFloorSetting(
            enable_cloud_logging=True
        ),
    ),
    update_mask=field_mask_pb2.FieldMask(
        paths=["ai_platform_floor_setting.enable_cloud_logging", "google_mcp_server_floor_setting.enable_cloud_logging"]
    )
)

try:
    response = client.update_floor_setting(request=request)
    print("Successfully updated floor settings logging.")
    print(response)
except Exception as e:
    print(f"An error occurred: {e}")

    Ersetzen Sie PROJECT_ID durch die ID Ihres Projekts.

    Logs ansehen

    So rufen Sie Model Armor-Logs mit dem Log-Explorer in Logging auf:

    1. Rufen Sie in der Google Cloud Console den Log-Explorer auf. Weitere Informationen finden Sie unter Logs mit dem Log-Explorer ansehen.
    2. Filtern Sie die Logs nach dem Dienstnamen modelarmor.googleapis.com.
    3. Suchen Sie nach Einträgen, die sich auf die Vorgänge beziehen, die Sie in Ihrer Vorlage aktiviert haben. Eine Liste aller Dienstnamen und überwachten Ressourcentypen finden Sie unter Überwachte Ressourcen und Dienste.

    Model Armor-Logs filtern

    Mit Log-Labels können Sie die Model Armor-Logs nach Bereinigungsoperationen und Vorlagenprotokollierung filtern. Führen Sie dazu die folgenden Schritte aus:

    Führen Sie die folgende Abfrage im Log-Explorer aus, um die Logs für Bereinigungsoperationen zu filtern.

    jsonPayload.@type="type.googleapis.com/google.cloud.modelarmor.logging.v1.SanitizeOperationLogEntry"

    Wenn Sie die Logs des Bereinigungsvorgangs weiter eingrenzen möchten, können Sie in der Abfrage eine Projekt-ID, einen Clientnamen oder eine Korrelations-ID angeben.

    • Projekt-ID verwenden:

      jsonPayload.@type="type.googleapis.com%2Fgoogle.cloud.modelarmor.logging.v1.SanitizeOperationLogEntry";project=PROJECT_ID

    • Clientname verwenden:

      jsonPayload.@type="type.googleapis.com/google.cloud.modelarmor.logging.v1.SanitizeOperationLogEntry"
labels."modelarmor.googleapis.com/client_name"="CLIENT_NAME"

    • Korrelations-ID verwenden:

      labels."modelarmor.googleapis.com/client_correlation_id"="CORRELATION_ID"

    Ersetzen Sie Folgendes:

    • PROJECT_ID: die Google Cloud Projekt-ID.
    • CLIENT_NAME: Der Name Ihres Clients.
    • CORRELATION_ID: die eindeutige Kennung, die Sie für eine bestimmte Anfrage generieren.

    Logs und zugehörige Ereignisse korrelieren

    Wenn Sie Logs und Ereignisse für eine bestimmte Interaktion in Beziehung setzen möchten, können Sie eine Client-Korrelations-ID verwenden. Diese ID ist eine eindeutige Kennung, die Sie generieren (z. B. eine UUID), um eine bestimmte Anfrage in Ihrem System nachzuverfolgen. Wenn Sie eine Client-Korrelations-ID in einem curl-Header festlegen möchten, verwenden Sie die Option -H, um einen benutzerdefinierten Header in Ihre Anfrage einzufügen.

    Hier ist das Beispielformat:

    curl -X POST -d  '{"userPromptData": { "text": 'USER_PROMPT' } }' \
    -H "Content-Type: application/json" \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "MA-Client-Correlation-Id: $uuid" \
    "https://modelarmor.LOCATION.rep.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/templates/TEMPLATE_ID:sanitizeUserPrompt"

curl -X POST \
    -d  '{"modelResponseData": { "text": 'MODEL_RESPONSE' }, "userPrompt": 'USER_PROMPT' }' \
    -H "Content-Type: application/json" \
    -H "MA-Client-Correlation-Id: $uuid" \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    "https://modelarmor.LOCATION.rep.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/templates/TEMPLATE_ID:sanitizeModelResponse"

    Ersetzen Sie Folgendes:

    • PROJECT_ID: die ID des Projekts, zu dem die Vorlage gehört.
    • LOCATION: der Speicherort der Vorlage.
    • TEMPLATE_ID: die ID der Vorlage.
    • USER_PROMPT: Der Prompt, der dem Modell zur Verfügung gestellt wurde.
    • MODEL_RESPONSE: Die vom Modell empfangene Antwort.