רישום ביומן הביקורת ב-Compliance Manager

במאמר הזה מוסבר על רישום ביומני ביקורת ב-Compliance Manager.שירותי Google Cloud יוצרים יומני ביקורת שבהם מתועדים אירועי גישה למשאבי Google Cloud ופעילויות אדמין שנעשות בהם. אתם יכולים לקרוא מידע נוסף על יומני הביקורת של Cloud במאמרים האלה:

• הסוגים של יומני הביקורת
• המבנה של רשומות ביומני הביקורת
• שמירה וניתוב של יומני ביקורת
• מחירון מקוצר של Cloud Logging
• הפעלת יומני ביקורת של גישה לנתונים

שם השירות

יומני הביקורת של Compliance Manager משתמשים בשם השירות cloudsecuritycompliance.googleapis.com. אתם יכולים לסנן לפי השירות הזה:

    protoPayload.serviceName="cloudsecuritycompliance.googleapis.com"
  

‫Methods לפי סוג ההרשאה

לכל הרשאה ב-IAM יש מאפיין type עם enum שיכול להיות אחד מארבעת הערכים הבאים: ADMIN_READ,‏ ADMIN_WRITE,‏ DATA_READ או DATA_WRITE. כשקוראים ל-method, ב-Compliance Manager נוצר יומן ביקורת שהקטגוריה שלו תלויה במאפיין type של ההרשאה שנדרשת לביצוע ה-method. ה-methods שבשבילן צריך הרשאה ב-IAM עם הערכים DATA_READ‏, DATA_WRITE או ADMIN_READ במאפיין type יוצרות יומני ביקורת של Data Access. ה-methods שבשבילן צריך הרשאה ב-IAM עם הערכים ADMIN_WRITE במאפיין type יוצרות יומני ביקורת של Admin Activity.

יומני ביקורת של ממשק ה-API

במאמר בנושא ניהול הזהויות והרשאות הגישה (IAM) ל-Compliance Manager מוסבר איך מתבצעת הבדיקה של ההרשאות לכל method, ואילו הרשאות נבדקות.

google.cloud.cloudsecuritycompliance.v1.Audit

יומני הביקורת הבאים משויכים ל-methods ששייכות ל-google.cloud.cloudsecuritycompliance.v1.Audit.

CreateFrameworkAudit

• Method:‏ google.cloud.cloudsecuritycompliance.v1.Audit.CreateFrameworkAudit
  
• סוג יומן הביקורת: גישה לנתונים
  
• הרשאות:
  • cloudsecuritycompliance.frameworkAudits.create - DATA_WRITE
• ה-method היא פעולה ממושכת או פעולת סטרימינג: פעולה ממושכת
  
• סינון לפי ה-method: ‏ protoPayload.methodName="google.cloud.cloudsecuritycompliance.v1.Audit.CreateFrameworkAudit"
  

GenerateFrameworkAuditScopeReport

• Method:‏ google.cloud.cloudsecuritycompliance.v1.Audit.GenerateFrameworkAuditScopeReport
  
• סוג יומן הביקורת: גישה לנתונים
  
• הרשאות:
  • cloudsecuritycompliance.auditScopeReports.generate - DATA_WRITE
• ה-method היא פעולה ממושכת או פעולת סטרימינג: לא.
  
• סינון לפי ה-method: ‏ protoPayload.methodName="google.cloud.cloudsecuritycompliance.v1.Audit.GenerateFrameworkAuditScopeReport"
  

GetFrameworkAudit

• Method:‏ google.cloud.cloudsecuritycompliance.v1.Audit.GetFrameworkAudit
  
• סוג יומן הביקורת: גישה לנתונים
  
• הרשאות:
  • cloudsecuritycompliance.frameworkAudits.get - DATA_READ
• ה-method היא פעולה ממושכת או פעולת סטרימינג: לא.
  
• סינון לפי ה-method: ‏ protoPayload.methodName="google.cloud.cloudsecuritycompliance.v1.Audit.GetFrameworkAudit"
  

ListFrameworkAudits

• Method:‏ google.cloud.cloudsecuritycompliance.v1.Audit.ListFrameworkAudits
  
• סוג יומן הביקורת: גישה לנתונים
  
• הרשאות:
  • cloudsecuritycompliance.frameworkAudits.list - DATA_READ
• ה-method היא פעולה ממושכת או פעולת סטרימינג: לא.
  
• סינון לפי ה-method: ‏ protoPayload.methodName="google.cloud.cloudsecuritycompliance.v1.Audit.ListFrameworkAudits"
  

google.cloud.cloudsecuritycompliance.v1.CmEnrollmentService

יומני הביקורת הבאים משויכים ל-methods ששייכות ל-google.cloud.cloudsecuritycompliance.v1.CmEnrollmentService.

CalculateEffectiveCmEnrollment

• Method:‏ google.cloud.cloudsecuritycompliance.v1.CmEnrollmentService.CalculateEffectiveCmEnrollment
  
• סוג יומן הביקורת: גישה לנתונים
  
• הרשאות:
  • cloudsecuritycompliance.cmEnrollments.get - DATA_READ
• ה-method היא פעולה ממושכת או פעולת סטרימינג: לא.
  
• סינון לפי ה-method: ‏ protoPayload.methodName="google.cloud.cloudsecuritycompliance.v1.CmEnrollmentService.CalculateEffectiveCmEnrollment"
  

UpdateCmEnrollment

• Method:‏ google.cloud.cloudsecuritycompliance.v1.CmEnrollmentService.UpdateCmEnrollment
  
• סוג יומן הביקורת: פעילות אדמין
  
• הרשאות:
  • cloudsecuritycompliance.cmEnrollments.update - ADMIN_WRITE
• ה-method היא פעולה ממושכת או פעולת סטרימינג: לא.
  
• סינון לפי ה-method: ‏ protoPayload.methodName="google.cloud.cloudsecuritycompliance.v1.CmEnrollmentService.UpdateCmEnrollment"
  

google.cloud.cloudsecuritycompliance.v1.Config

יומני הביקורת הבאים משויכים ל-methods ששייכות ל-google.cloud.cloudsecuritycompliance.v1.Config.

CreateCloudControl

• Method:‏ google.cloud.cloudsecuritycompliance.v1.Config.CreateCloudControl
  
• סוג יומן הביקורת: פעילות אדמין
  
• הרשאות:
  • cloudsecuritycompliance.cloudControls.create - ADMIN_WRITE
• ה-method היא פעולה ממושכת או פעולת סטרימינג: לא.
  
• סינון לפי ה-method: ‏ protoPayload.methodName="google.cloud.cloudsecuritycompliance.v1.Config.CreateCloudControl"
  

CreateFramework

• Method:‏ google.cloud.cloudsecuritycompliance.v1.Config.CreateFramework
  
• סוג יומן הביקורת: פעילות אדמין
  
• הרשאות:
  • cloudsecuritycompliance.frameworks.create - ADMIN_WRITE
• ה-method היא פעולה ממושכת או פעולת סטרימינג: לא.
  
• סינון לפי ה-method: ‏ protoPayload.methodName="google.cloud.cloudsecuritycompliance.v1.Config.CreateFramework"
  

DeleteCloudControl

• Method:‏ google.cloud.cloudsecuritycompliance.v1.Config.DeleteCloudControl
  
• סוג יומן הביקורת: פעילות אדמין
  
• הרשאות:
  • cloudsecuritycompliance.cloudControls.delete - ADMIN_WRITE
• ה-method היא פעולה ממושכת או פעולת סטרימינג: לא.
  
• סינון לפי ה-method: ‏ protoPayload.methodName="google.cloud.cloudsecuritycompliance.v1.Config.DeleteCloudControl"
  

DeleteFramework

• Method:‏ google.cloud.cloudsecuritycompliance.v1.Config.DeleteFramework
  
• סוג יומן הביקורת: פעילות אדמין
  
• הרשאות:
  • cloudsecuritycompliance.frameworks.delete - ADMIN_WRITE
• ה-method היא פעולה ממושכת או פעולת סטרימינג: לא.
  
• סינון לפי ה-method: ‏ protoPayload.methodName="google.cloud.cloudsecuritycompliance.v1.Config.DeleteFramework"
  

GetCloudControl

• Method:‏ google.cloud.cloudsecuritycompliance.v1.Config.GetCloudControl
  
• סוג יומן הביקורת: גישה לנתונים
  
• הרשאות:
  • cloudsecuritycompliance.cloudControls.get - DATA_READ
• ה-method היא פעולה ממושכת או פעולת סטרימינג: לא.
  
• סינון לפי ה-method: ‏ protoPayload.methodName="google.cloud.cloudsecuritycompliance.v1.Config.GetCloudControl"
  

GetFramework

• Method:‏ google.cloud.cloudsecuritycompliance.v1.Config.GetFramework
  
• סוג יומן הביקורת: גישה לנתונים
  
• הרשאות:
  • cloudsecuritycompliance.frameworks.get - DATA_READ
• ה-method היא פעולה ממושכת או פעולת סטרימינג: לא.
  
• סינון לפי ה-method: ‏ protoPayload.methodName="google.cloud.cloudsecuritycompliance.v1.Config.GetFramework"
  

ListCloudControls

• Method:‏ google.cloud.cloudsecuritycompliance.v1.Config.ListCloudControls
  
• סוג יומן הביקורת: גישה לנתונים
  
• הרשאות:
  • cloudsecuritycompliance.cloudControls.list - DATA_READ
• ה-method היא פעולה ממושכת או פעולת סטרימינג: לא.
  
• סינון לפי ה-method: ‏ protoPayload.methodName="google.cloud.cloudsecuritycompliance.v1.Config.ListCloudControls"
  

ListFrameworks

• Method:‏ google.cloud.cloudsecuritycompliance.v1.Config.ListFrameworks
  
• סוג יומן הביקורת: גישה לנתונים
  
• הרשאות:
  • cloudsecuritycompliance.frameworks.list - DATA_READ
• ה-method היא פעולה ממושכת או פעולת סטרימינג: לא.
  
• סינון לפי ה-method: ‏ protoPayload.methodName="google.cloud.cloudsecuritycompliance.v1.Config.ListFrameworks"
  

UpdateCloudControl

• Method:‏ google.cloud.cloudsecuritycompliance.v1.Config.UpdateCloudControl
  
• סוג יומן הביקורת: פעילות אדמין
  
• הרשאות:
  • cloudsecuritycompliance.cloudControls.update - ADMIN_WRITE
• ה-method היא פעולה ממושכת או פעולת סטרימינג: לא.
  
• סינון לפי ה-method: ‏ protoPayload.methodName="google.cloud.cloudsecuritycompliance.v1.Config.UpdateCloudControl"
  

UpdateFramework

• Method:‏ google.cloud.cloudsecuritycompliance.v1.Config.UpdateFramework
  
• סוג יומן הביקורת: פעילות אדמין
  
• הרשאות:
  • cloudsecuritycompliance.frameworks.update - ADMIN_WRITE
• ה-method היא פעולה ממושכת או פעולת סטרימינג: לא.
  
• סינון לפי ה-method: ‏ protoPayload.methodName="google.cloud.cloudsecuritycompliance.v1.Config.UpdateFramework"
  

google.cloud.cloudsecuritycompliance.v1.Deployment

יומני הביקורת הבאים משויכים ל-methods ששייכות ל-google.cloud.cloudsecuritycompliance.v1.Deployment.

CreateFrameworkDeployment

• Method:‏ google.cloud.cloudsecuritycompliance.v1.Deployment.CreateFrameworkDeployment
  
• סוג יומן הביקורת: פעילות אדמין
  
• הרשאות:
  • cloudsecuritycompliance.frameworkDeployments.create - ADMIN_WRITE
• ה-method היא פעולה ממושכת או פעולת סטרימינג: פעולה ממושכת
  
• סינון לפי ה-method: ‏ protoPayload.methodName="google.cloud.cloudsecuritycompliance.v1.Deployment.CreateFrameworkDeployment"
  

DeleteFrameworkDeployment

• Method:‏ google.cloud.cloudsecuritycompliance.v1.Deployment.DeleteFrameworkDeployment
  
• סוג יומן הביקורת: פעילות אדמין
  
• הרשאות:
  • cloudsecuritycompliance.frameworkDeployments.delete - ADMIN_WRITE
• ה-method היא פעולה ממושכת או פעולת סטרימינג: פעולה ממושכת
  
• סינון לפי ה-method: ‏ protoPayload.methodName="google.cloud.cloudsecuritycompliance.v1.Deployment.DeleteFrameworkDeployment"
  

GetCloudControlDeployment

• Method:‏ google.cloud.cloudsecuritycompliance.v1.Deployment.GetCloudControlDeployment
  
• סוג יומן הביקורת: גישה לנתונים
  
• הרשאות:
  • cloudsecuritycompliance.cloudControlDeployments.get - ADMIN_READ
• ה-method היא פעולה ממושכת או פעולת סטרימינג: לא.
  
• סינון לפי ה-method: ‏ protoPayload.methodName="google.cloud.cloudsecuritycompliance.v1.Deployment.GetCloudControlDeployment"
  

GetFrameworkDeployment

• Method:‏ google.cloud.cloudsecuritycompliance.v1.Deployment.GetFrameworkDeployment
  
• סוג יומן הביקורת: גישה לנתונים
  
• הרשאות:
  • cloudsecuritycompliance.frameworkDeployments.get - ADMIN_READ
• ה-method היא פעולה ממושכת או פעולת סטרימינג: לא.
  
• סינון לפי ה-method: ‏ protoPayload.methodName="google.cloud.cloudsecuritycompliance.v1.Deployment.GetFrameworkDeployment"
  

ListCloudControlDeployments

• Method:‏ google.cloud.cloudsecuritycompliance.v1.Deployment.ListCloudControlDeployments
  
• סוג יומן הביקורת: גישה לנתונים
  
• הרשאות:
  • cloudsecuritycompliance.cloudControlDeployments.list - ADMIN_READ
• ה-method היא פעולה ממושכת או פעולת סטרימינג: לא.
  
• סינון לפי ה-method: ‏ protoPayload.methodName="google.cloud.cloudsecuritycompliance.v1.Deployment.ListCloudControlDeployments"
  

ListFrameworkDeployments

• Method:‏ google.cloud.cloudsecuritycompliance.v1.Deployment.ListFrameworkDeployments
  
• סוג יומן הביקורת: גישה לנתונים
  
• הרשאות:
  • cloudsecuritycompliance.frameworkDeployments.list - ADMIN_READ
• ה-method היא פעולה ממושכת או פעולת סטרימינג: לא.
  
• סינון לפי ה-method: ‏ protoPayload.methodName="google.cloud.cloudsecuritycompliance.v1.Deployment.ListFrameworkDeployments"
  

google.cloud.cloudsecuritycompliance.v1.Monitoring

יומני הביקורת הבאים משויכים ל-methods ששייכות ל-google.cloud.cloudsecuritycompliance.v1.Monitoring.

AggregateFrameworkComplianceReport

• Method:‏ google.cloud.cloudsecuritycompliance.v1.Monitoring.AggregateFrameworkComplianceReport
  
• סוג יומן הביקורת: גישה לנתונים
  
• הרשאות:
  • cloudsecuritycompliance.frameworkComplianceReports.aggregate - DATA_READ
• ה-method היא פעולה ממושכת או פעולת סטרימינג: לא.
  
• סינון לפי ה-method: ‏ protoPayload.methodName="google.cloud.cloudsecuritycompliance.v1.Monitoring.AggregateFrameworkComplianceReport"
  

FetchFrameworkComplianceReport

• Method:‏ google.cloud.cloudsecuritycompliance.v1.Monitoring.FetchFrameworkComplianceReport
  
• סוג יומן הביקורת: גישה לנתונים
  
• הרשאות:
  • cloudsecuritycompliance.frameworkComplianceReports.get - DATA_READ
• ה-method היא פעולה ממושכת או פעולת סטרימינג: לא.
  
• סינון לפי ה-method: ‏ protoPayload.methodName="google.cloud.cloudsecuritycompliance.v1.Monitoring.FetchFrameworkComplianceReport"
  

ListControlComplianceSummaries

• Method:‏ google.cloud.cloudsecuritycompliance.v1.Monitoring.ListControlComplianceSummaries
  
• סוג יומן הביקורת: גישה לנתונים
  
• הרשאות:
  • cloudsecuritycompliance.controlComplianceSummaries.list - DATA_READ
• ה-method היא פעולה ממושכת או פעולת סטרימינג: לא.
  
• סינון לפי ה-method: ‏ protoPayload.methodName="google.cloud.cloudsecuritycompliance.v1.Monitoring.ListControlComplianceSummaries"
  

ListFindingSummaries

• Method:‏ google.cloud.cloudsecuritycompliance.v1.Monitoring.ListFindingSummaries
  
• סוג יומן הביקורת: גישה לנתונים
  
• הרשאות:
  • cloudsecuritycompliance.findingSummaries.list - DATA_READ
• ה-method היא פעולה ממושכת או פעולת סטרימינג: לא.
  
• סינון לפי ה-method: ‏ protoPayload.methodName="google.cloud.cloudsecuritycompliance.v1.Monitoring.ListFindingSummaries"
  

ListFrameworkComplianceSummaries

• Method:‏ google.cloud.cloudsecuritycompliance.v1.Monitoring.ListFrameworkComplianceSummaries
  
• סוג יומן הביקורת: גישה לנתונים
  
• הרשאות:
  • cloudsecuritycompliance.frameworkComplianceSummaries.list - DATA_READ
• ה-method היא פעולה ממושכת או פעולת סטרימינג: לא.
  
• סינון לפי ה-method: ‏ protoPayload.methodName="google.cloud.cloudsecuritycompliance.v1.Monitoring.ListFrameworkComplianceSummaries"
  

google.longrunning.Operations

יומני הביקורת הבאים משויכים ל-methods ששייכות ל-google.longrunning.Operations.

CancelOperation

• Method:‏ google.longrunning.Operations.CancelOperation
  
• סוג יומן הביקורת: פעילות אדמין
  
• הרשאות:
  • cloudsecuritycompliance.operations.cancel - ADMIN_WRITE
• ה-method היא פעולה ממושכת או פעולת סטרימינג: לא.
  
• סינון לפי ה-method: ‏ protoPayload.methodName="google.longrunning.Operations.CancelOperation"
  

DeleteOperation

• Method:‏ google.longrunning.Operations.DeleteOperation
  
• סוג יומן הביקורת: פעילות אדמין
  
• הרשאות:
  • cloudsecuritycompliance.operations.delete - ADMIN_WRITE
• ה-method היא פעולה ממושכת או פעולת סטרימינג: לא.
  
• סינון לפי ה-method: ‏ protoPayload.methodName="google.longrunning.Operations.DeleteOperation"
  

GetOperation

• Method:‏ google.longrunning.Operations.GetOperation
  
• סוג יומן הביקורת: גישה לנתונים
  
• הרשאות:
  • cloudsecuritycompliance.operations.get - ADMIN_READ
• ה-method היא פעולה ממושכת או פעולת סטרימינג: לא.
  
• סינון לפי ה-method: ‏ protoPayload.methodName="google.longrunning.Operations.GetOperation"
  

ListOperations

• Method:‏ google.longrunning.Operations.ListOperations
  
• סוג יומן הביקורת: גישה לנתונים
  
• הרשאות:
  • cloudsecuritycompliance.operations.list - ADMIN_READ
• ה-method היא פעולה ממושכת או פעולת סטרימינג: לא.
  
• סינון לפי ה-method: ‏ protoPayload.methodName="google.longrunning.Operations.ListOperations"
  

אילו methods לא יוצרות יומני ביקורת

יכולות להיות כמה סיבות שב-method מסוימת לא נוצרים יומני ביקורת:

• מדובר ב-method שיש בה נפח גבוה של יומנים, שיצירה שלהם עלולה לגרור עלויות גבוהות של אחסון ויצירה.
• הערך של הביקורת נמוך.
• כבר יש יומן ביקורת או יומן פלטפורמה אחרים שמכסים את ה-method.

ה-methods הבאות לא יוצרות יומני ביקורת:

• google.cloud.cloudsecuritycompliance.v1.Audit.GetOperation
• google.cloud.location.Locations.GetLocation
• google.cloud.location.Locations.ListLocations