יומני ביקורת של Cloud ב-Cloud Storage

בדף הזה תמצאו מידע משלים על השימוש ביומני הביקורת של Cloud ב-Cloud Storage. בעזרת יומני הביקורת של Cloud תוכלו ליצור רשומות של פעולות API שמתבצעות ב-Cloud Storage.

סקירה כללית

שירותיGoogle Cloud יוצרים יומני ביקורת שבהם מתועדים אירועי גישה למשאבי Google Cloud ופעילויות אדמין שמבוצעות בהם. אפשר גם לצרף מידע מותאם אישית ליומני הביקורת בשביל מידע מפורט יותר על אופן הגישה למשאבים שלכם.

הפרויקטים שלכם ב- Google Cloud כוללים רק יומני ביקורת של משאבים שמשויכים ישירות לפרויקט ב- Google Cloud . משאבים אחרים Google Cloud כמו תיקיות, ארגונים וחשבונות לחיוב, מכילים את יומני הביקורת של הישות עצמה.

לפרטים נוספים, ראו סקירה כללית על יומני הביקורת של Cloud. להבנה עמוקה יותר של הפורמט של יומני הביקורת, קראו את המאמר הסבר על יומני הביקורת.

יומני הביקורת הזמינים

סוגי יומני הביקורת הבאים זמינים ב-Cloud Storage:

  • יומני הביקורת Admin Activity: רשומות על פעולות שמבוצעות על ידי משתמשים ומשנות את ההגדרות או את המטא-נתונים של משאבי Cloud Storage.

  • יומני הביקורת של גישה לנתונים: רשומות של פעולות שמבוצעות על ידי משתמשים ושלא מתועדות ביומני הביקורת של פעילות האדמין. יש כמה תתי-סוגים של יומני הביקורת Data Access:

    • ADMIN_READ: רשומות על פעולות לקריאת ההגדרות או המטא-נתונים של משאבי Cloud Storage.

    • DATA_READ: רשומות על פעולות לקריאת נתוני משאבים ב-Cloud Storage שסופקו על ידי המשתמש.

    • DATA_WRITE: רשומות על פעולות שמשנות נתוני משאבים ב-Cloud Storage שהמשתמשים סיפקו.

    כדי לקבל את יומני הביקורת Data Access, אתם צריכים להפעיל אותם באופן מפורש.

  • יומני הביקורת System Event: רשומות על פעולות לשינוי משאבי Cloud Storage. הם נוצרים על ידי Google Cloud מערכות ולא על ידי פעולות של משתמשים.

נוסף על יומני הביקורת של Cloud Storage, אפשר ליצור באמצעות יומני הביקורת של Cloud גם יומני ביקורת של Storage Insights.

לתיאורים מלאים של סוגי יומני הביקורת, קראו את המאמר סוגים של יומני ביקורת.

פעולות מבוקרות

הטבלה הבאה מסכמת אילו פעולות ב-Cloud Storage תואמות לכל סוג של יומן ביקורת:

סוג יומן הביקורת תת-סוג פעולות ב-Cloud Storage
Admin Activity ADMIN_WRITE
  • הגדרה של מדיניות IAM לקטגוריה או לתיקייה מנוהלת
  • הגדרת רשימות ACL של אובייקטים1
  • יצירת קטגוריות
  • מחיקת קטגוריות
  • שחזור קטגוריות שנמחקו זמנית
  • העברת קטגוריות
  • עדכון המטא-נתונים של קטגוריות
  • יצירת קישורי תגים לקטגוריות
  • מחיקת קישורי תגים בקטגוריות
  • יצירת תיקיות מנוהלות
  • מחיקת תיקיות מנוהלות
  • עדכון ההגדרה של Storage Intelligence לפרויקט, לתיקייה או לארגון
  • יצירת מטמונים של Anywhere Cache
  • השהיית מטמון של Anywhere Cache
  • המשך של מטמון Resuming Anywhere
  • השבתת המטמון של Anywhere Cache
  • עדכון מטמון Anywhere
  • יצירת מפתחות HMAC
  • מחיקה של מפתחות HMAC
  • עדכון מפתחות HMAC
  • ביטול פעולות ממושכות
  • מחיקת פעולות ממושכות
  • יצירת הגדרות של דוחות מלאי ב-Storage Insights
  • עדכון הגדרות של דוחות מלאי ב-Storage Insights
  • מחיקת הגדרות של דוחות מלאי ב-Storage Insights
  • יצירת הגדרות של מערכי נתונים ב-Storage Insights
  • עדכון ההגדרות של מערכי נתונים ב-Storage Insights
  • מחיקת הגדרות של מערכי נתונים ב-Storage Insights
  • קישור הגדרות של קבוצת נתונים של Storage Insights
  • ביטול הקישור של הגדרות קבוצת נתונים ב-Storage Insights
גישה לנתונים ADMIN_READ
  • אחזור כללי מדיניות IAM של קטגוריה או של תיקייה מנוהלת
  • אחזור רשימות ACL של אובייקטים
  • אחזור מטא-נתונים של קטגוריות
  • הצגת רשימה של קטגוריות
  • הצגת רשימה של קישורי תגים לקטגוריות
  • הצגת רשימה של תגים אפקטיביים בקטגוריות
  • אחזור מטא-נתונים של תיקיות מנוהלות
  • הצגת רשימה של תיקיות מנוהלות
  • קבלת הגדרת Storage Intelligence לפרויקט, לתיקייה או לארגון
  • קובצי מטמון של Anywhere Cache
  • מטמון Listing Anywhere
  • אחזור של מפתחות HMAC
  • הצגת רשימת מפתחות HMAC
  • קבלת פעולות ממושכות
  • הצגת רשימה של פעולות ממושכות
  • אחזור הגדרות של דוחות מלאי ב-Storage Insights
  • הצגת רשימת הגדרות של דוחות מלאי ב-Storage Insights
  • אחזור דוחות מלאי של Storage Insights
  • הצגת רשימה של דוחות מלאי ב-Storage Insights
  • אחזור הגדרות של קבוצות נתונים ב-Storage Insights
  • הצגת רשימה של הגדרות של קבוצות נתונים ב-Storage Insights
גישה לנתונים DATA_READ
  • אחזור נתונים של אובייקטים
  • אחזור מטא-נתונים של אובייקטים
  • הצגת רשימה של אובייקטים
  • אחזור מטא-נתונים של תיקיות
  • הצגת רשימה של תיקיות
  • העתקת אובייקטים2
  • הרכבת אובייקטים2
  • הצגת רשימה של העלאות מרובות חלקים פעילות באמצעות API בפורמט XML
  • הצגת רשימה של חלקי העלאות מרובות חלקים באמצעות API בפורמט XML
גישה לנתונים DATA_WRITE
  • יצירת אובייקטים
  • מחיקת אובייקטים
  • שחזור אובייקטים שנמחקו זמנית
  • העברת אובייקטים
  • עדכון מטא-נתונים של אובייקטים ללא ACL
  • הגדרת תקופות שמירה לאובייקטים
  • ביטול של תקופות שמירה לא נעולות של אובייקטים
  • העתקת אובייקטים2
  • הרכבת אובייקטים2
  • התחלת העלאות מרובות חלקים באמצעות API בפורמט XML
  • יצירת חלקים בהעלאה מרובת חלקים באמצעות API בפורמט XML
  • ביטול העלאות מרובות חלקים באמצעות API בפורמט XML
  • השלמת העלאות מרובות חלקים באמצעות API בפורמט XML
  • יצירת תיקיות
  • מחיקת תיקיות
  • שינוי השם של תיקיות
אירוע במערכת
  • תחילת תהליך ההעברה של הדלי3
  • סיום תהליך ההעברה של דלי

1 יומני ביקורת Admin Activity לא נוצרים אם בזמן יצירת האובייקט מוגדרות רשימות ACL.

2 הפעולות האלה כוללות גם קריאה וגם כתיבה של נתונים. לכן כל אחת מהפעולות יוצרת שתי רשומות ביומן.

3 יכול להיות שהעברת ה-Bucket לא תתחיל מיד אחרי הבקשה הראשונית. יומן אירועי המערכת נכתב כשהתהליך מתחיל בפועל.

הגבלות

יומני הביקורת של Cloud ב-Cloud Storage כפופים להגבלות הבאות:

אם אתם צריכים יכולות רישום ביומן באחד מהמקרים האלה, כדאי להשתמש ביומני השימוש ב-Cloud Storage.

הפורמט של יומן הביקורת

הרשומות ביומן הביקורת כוללות את המרכיבים הבאים:

  • הרשומה עצמה ביומן, שהיא אובייקט LogEntry. היא כוללת את השדות השימושיים הבאים:

    • השדה logName מכיל את מזהה המשאב ואת סוג יומן הביקורת.
    • השדה resource מכיל את היעד של הפעולה המבוקרת.
    • השדה timestamp מכיל את השעה של הפעולה המבוקרת.
    • השדה protoPayload מכיל את המידע המבוקר.

  • אובייקט מסוג AuditLog ששמור בשדה protoPayload של הרשומה ביומן, ומכיל את הנתונים של יומני הביקורת.

    • בשדה protoPayload, השדה metadata כולל מידע שספציפי ל-Cloud Storage. לדוגמה, היומן של בקשת GET של אובייקט בפעולת שכתוב כולל שדה destination בשדה metadata של יומן הביקורת, כדי לציין את הקטגוריה שאליה הועתקו הנתונים.

    • בשדה protoPayload, מידע נוסף על ביקורת שספציפי ל-Cloud Storage נכלל בשדות הבקשה והתגובה כשמופעל מצב רישום מפורט ביומן ביקורת. שימו לב שאתם לא צריכים לאכוף רישום מפורט ביומני הביקורת כדי לצרף מידע מותאם אישית ליומני הביקורת.

למידע על שדות אחרים באובייקטים האלה ואיך לפרש אותם, קראו את המאמר הסבר על יומני הביקורת.

שם יומן הביקורת

השמות של יומני הביקורת ב-Cloud כוללים את מזהי המשאבים שמציינים אתGoogle Cloud הפרויקט או ישות אחרת Google Cloud שיומני הביקורת בבעלותם. בנוסף, הם מציינים אם היומן מכיל את נתוני הביקורת Admin Activity או Data Access.

אלה השמות של יומני הביקורת, כולל המשתנים שמציינים את מזהי המשאבים:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access

   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Factivity
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fdata_access

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

שם השירות

יומני הביקורת של Cloud Storage משתמשים בשם השירות storage.googleapis.com.

יומני הביקורת של Storage Insights משתמשים בשם השירות storageinsights.googleapis.com.

במאמר מיפוי השירותים למשאבים תוכלו למצוא רשימה של כל שמות השירותים של Cloud Logging API וסוגי המשאבים במעקב שתואמים להם.

סוגי המשאבים

יומני הביקורת של Cloud Storage משתמשים בסוג המשאב gcs_bucket.

במאמר סוגי המשאבים במעקב תוכלו למצוא רשימה של כל סוגי המשאבים במעקב ב-Cloud Logging ותיאור שלהם.

הפעלת הרישום ביומן הביקורת

יומני הביקורת Admin Activity תמיד מופעלים, ולא ניתן להשבית אותם.

יומני הביקורת Data Access מושבתים כברירת מחדל, ולא מתבצעת כתיבה אליהם אלא אם כן מפעילים אותם בצורה מפורשת.

להסבר איך מפעילים את כל יומני הביקורת Data Access או חלק מהם, ראו הגדרת יומני ביקורת Data Access.

הרשאות ותפקידים

ההרשאות והתפקידים ב-IAM קובעים את אפשרויות הגישה שלכם לנתוני יומני הביקורת במשאבי Google Cloud .

כשמחליטים אילו הרשאות ותפקידים ספציפיים לרישום ביומן יחולו על התרחיש לדוגמה שלכם, מומלץ להביא בחשבון את הנקודות הבאות:

  • התפקיד 'צפייה ביומנים' (roles/logging.viewer) מאפשר גישה לקריאה בלבד ליומני הביקורת Admin Activity,‏ Policy Denied ו-System Event. משתמשים בתפקיד הזה לא יכולים לצפות ביומני הביקורת Data Access שנמצאים בקטגוריות _Required ו-_Default.

  • התפקיד 'צפייה ביומנים פרטיים' ((roles/logging.privateLogViewer) כולל את ההרשאות שכלולות בתפקיד roles/logging.viewer, וגם את האפשרות לקרוא את יומני הביקורת Data Access בקטגוריות _Required ו-_Default.

    חשוב לזכור שאם היומנים הפרטיים האלה מאוחסנים בקטגוריות שהוגדרו על ידי משתמשים, כל משתמש שיש לו הרשאה לקרוא את היומנים בקטגוריות האלה יוכל לקרוא את היומנים הפרטיים. מידע נוסף על קטגוריות ביומן מופיע במאמר סקירה כללית על ניתוב ואחסון.

במאמר בקרת גישה באמצעות IAM תוכלו לקרוא מידע נוסף על ההרשאות והתפקידים ב-IAM שחלים על הנתונים של יומני הביקורת.

צפייה ביומנים

תוכלו לשלוח שאילתה על כל יומני הביקורת, או לשלוח שאילתה על יומנים מסוימים לפי שם יומן הביקורת שלהם. השם של יומן הביקורת כולל את מזהה המשאב של Google Cloud הפרויקט, התיקייה, החשבון לחיוב או הארגון שבמידע של יומני הביקורת שלהם רוצים לצפות. אפשר להגדיר בשאילתות את השדות LogEntry שנוספו לאינדקס. למידע נוסף על שליחת שאילתות על היומנים, ראו יצירת שאילתות ב-Logs Explorer.

בעזרת הכלי Logs Explorer אפשר להציג רשומות יומן בודדות. אם אתם רוצים להשתמש ב-SQL כדי לנתח קבוצות של רשומות ביומן, אתם יכולים להשתמש בדף Log Analytics. למידע נוסף:

אפשר לצפות ברוב יומני הביקורת ב-Cloud Logging באמצעותGoogle Cloud המסוף, Google Cloud CLI או Logging API. עם זאת, כדי לצפות ביומני ביקורת שקשורים לחיוב, אפשר להשתמש רק ב-Google Cloud CLI או ב-Logging API.

המסוף

ב Google Cloud מסוף, תוכלו להשתמש ב-Logs Explorer כדי לאחזר את הרשומות ביומן הביקורת של Google Cloud הפרויקט, התיקייה או הארגון:

  1. במסוף Google Cloud , נכנסים לדף Logs Explorer:

    כניסה אל Logs Explorer

    אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שכותרת המשנה שלה היא Logging.

  2. בוחרים פרויקט, תיקייה או ארגון קיימים Google Cloud .

  3. כדי להציג את כל יומני הביקורת, מזינים אחת מהשאילתות הבאות בשדה עורך השאילתות ולוחצים על Run query:

    logName:"cloudaudit.googleapis.com"

    protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog"

  4. כדי להציג את יומני הביקורת למשאב וסוג יומן ביקורת ספציפיים, בחלונית Query builder, מבצעים את הפעולות הבאות:

    • בקטע Resource Type, בוחרים את המשאב שרוצים לראות את יומני הביקורת שלו. Google Cloud

    • בקטע Log name, בוחרים את סוג יומן הביקורת שרוצים לראות:

      • ליומני הביקורת Admin Activity בוחרים באפשרות activity.
      • ליומני הביקורת Data Access בוחרים באפשרות data_access.
      • ליומני הביקורת System Event בוחרים באפשרות system_event.
      • ליומני הביקורת Policy Denied בוחרים באפשרות policy.

    • לוחצים על Run query.

    אם האפשרויות האלה לא מוצגות, המשמעות היא שאין יומני ביקורת מאותו סוג ב Google Cloud פרויקט, בתיקייה או בארגון.

    לא הצלחתם לצפות ביומנים ב-Logs Explorer? פתרון בעיות

    מידע נוסף על שליחת שאילתות באמצעות Logs Explorer מופיע במאמר יצירת שאילתות ב-Logs Explorer.

gcloud

הכלי Google Cloud CLI מספק גישה ל-Logging API באמצעות ממשק שורת הפקודה (CLI). חשוב לציין מזהה משאב תקין בכל אחד משמות היומנים. לדוגמה, אם שאילתה כוללת את השדה PROJECT_ID, מזהה הפרויקט שאתם מציינים חייב להתייחס לפרויקטGoogle Cloud שבחרתם.

כדי לקרוא את הרשומות ביומן הביקורת ברמת הפרויקט, מריצים את הפקודה הבאה: Google Cloud 

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

כדי לקרוא את הרשומות ביומן הביקורת ברמת התיקייה, מריצים את הפקודה הבאה:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

כדי לקרוא את הרשומות ביומן הביקורת ברמת הארגון, מריצים את הפקודה הבאה:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

כדי לקרוא את הרשומות ביומן הביקורת ברמת החשבון לחיוב ב-Cloud, מריצים את הפקודה הבאה:

gcloud logging read "logName : billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com" \
    --billing-account=BILLING_ACCOUNT_ID

כדי לקרוא את הרשומות ביומן שנרשמו לפני יותר מיום אחד, מוסיפים לפקודה את הדגל --freshness.

למידע נוסף על השימוש ב-CLI של gcloud:‏ gcloud logging read.

REST

כשיוצרים את השאילתות, חשוב לציין מזהה משאב תקין בכל אחד משמות היומנים. לדוגמה, אם שאילתה כוללת את השדה PROJECT_ID, מזהה הפרויקט שאתם מציינים חייב להתייחס לפרויקטGoogle Cloud שבחרתם.

לדוגמה, אם רוצים להשתמש ב-Logging API כדי לצפות ברשומות יומן הביקורת ברמת הפרויקט:

  1. עוברים לקטע Try this API במאמרי העזרה של ה-method entries.list.

  2. מזינים את הפרטים הבאים בקטע Request body בטופס Try this API. אם לוחצים על הטופס למילוי פרטים אוטומטי, גוף הבקשה יאוכלס בפרטים באופן אוטומטי אבל תצטרכו לציין PROJECT_ID תקין בכל אחד משמות יומני הביקורת.

    {
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}

  3. לוחצים על Execute.

הוספת מידע מותאם אישית ליומני הביקורת

אתם יכולים לצרף לבקשות מידע מותאם אישית ליומני הביקורת, על ידי הוספת הכותרת x-goog-custom-audit-KEY: VALUE בבקשה. בנוסף, בקשות API בפורמט XML תומכות בשימוש בפרמטר השאילתה x-goog-custom-audit-KEY=VALUE. המידע המותאם אישית יתווסף לשדה metadata של protoPayload ברשומה ביומן הביקורת.

כשמוסיפים מידע מותאם אישית ליומן ביקורת, חשוב לשים לב לשיקולים הבאים:

  • כל KEY, כולל הקידומת x-goog-custom-audit-, יכול להכיל עד 64 תווים, וכל VALUE יכול להכיל עד 1,200 תווים.

  • כל בקשה יכולה להכיל עד 4 רשומות של כותרות או פרמטרים ביחד.

דוגמאות לרשומות של כותרות

ברשימה הבאה מוצגות דוגמאות לצמדי מפתח/ערך שאפשר לכלול ברשומות של כותרות:

  • x-goog-custom-audit-job: test-job-id-here
  • x-goog-custom-audit-user: user ID test 1
  • x-goog-custom-audit-internal-user-id: MATR2022-11
  • x-goog-custom-audit-tracking-ticket: TT/1516512851
  • x-goog-custom-audit-justification: Removed customer identity record at customer request
  • x-goog-custom-audit-customer-id: USCU12315154

דוגמאות לבקשות

שורת הפקודה

gcloud storage hash gs://example_bucket/example_object.jpeg --additional-headers=x-goog-custom-audit-job="job name",x-goog-custom-audit-user="test user"

ספריות לקוח

C++‎

להסבר איך מוסיפים כותרות מותאמות אישית לבקשות, ראו הוספת כותרות בהתאמה אישית.

C#‎

להסבר איך מוסיפים כותרות מותאמות אישית לבקשות, ראו הוספת כותרות בהתאמה אישית.

Go

להסבר איך מוסיפים כותרות מותאמות אישית לבקשות, ראו הוספת כותרות בהתאמה אישית.

Java

להסבר איך מוסיפים כותרות מותאמות אישית לבקשות, ראו הוספת כותרות בהתאמה אישית.

Node.js

להסבר איך מוסיפים כותרות מותאמות אישית לבקשות, ראו הוספת כותרות בהתאמה אישית.

PHP

להסבר איך מוסיפים כותרות מותאמות אישית לבקשות, ראו הוספת כותרות בהתאמה אישית.

Python

להסבר איך מוסיפים כותרות מותאמות אישית לבקשות, ראו הוספת כותרות בהתאמה אישית.

Ruby

להסבר איך מוסיפים כותרות מותאמות אישית לבקשות, ראו הוספת כותרות בהתאמה אישית.

ממשקי API בארכיטקטורת REST

‫API בפורמט JSON

curl -X GET "https://storage.googleapis.com/storage/v1/b/example_bucket/o/example_object" \
-H "Authorization: Bearer ya29.AHES6ZRVmB7fkLtd1XTmq6mo0S1wqZZi3-Lh_s-6Uw7p8vtgSwg" \
-H "x-goog-custom-audit-job: job name" \
-H "x-goog-custom-audit-user: test user"

‫API בפורמט XML

curl -X GET "https://storage.googleapis.com/example_bucket/example_object" \
-H "Authorization: Bearer ya29.AHES6ZRVmB7fkLtd1XTmq6mo0S1wqZZi3-Lh_s-6Uw7p8vtgSwg" \
-H "x-goog-custom-audit-job: job name" \
-H "x-goog-custom-audit-user: test user"

בקשות לכתובות URL חתומות

curl -X GET 'storage.googleapis.com/example_bucket?X-Goog-Algorithm=GOOG4-RSA-SHA256&X-Goog-Credential=example%40example-project.iam.gserviceaccount.com%2F20181026%2Fus-central1%2Fstorage%2Fgoog4_request&X-Goog-Date=20181026T181309Z&X-Goog-Expires=900&X-Goog-SignedHeaders=host,x-goog-custom-audit-job,x-goog-custom-audit-user&X-Goog-Signature=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' \
-H "x-goog-custom-audit-job: job name" \
-H "x-goog-custom-audit-user: test user"

שימו לב שכותרות מותאמות אישית ליומני ביקורת צריכות להיות כלולות גם ב-X-Goog-SignedHeaders.

כדי ליצור בקשה לכתובת URL חתומה שתומכת בהוספת כותרות מותאמות אישית ליומני ביקורת, כאשר יוצרים את כתובת ה-URL החתומה אתם צריכים לכלול בה את הכותרות המותאמות אישית ליומני ביקורת שבהן רוצים להשתמש בבקשה. לדוגמה:

gcloud storage sign-url gs://example_bucket/example_object.jpeg --private-key-file=example-key.json --duration=10m --headers=x-goog-custom-audit-job:"job name",x-goog-custom-audit-user="test user"

כשמגדירים כותרות בהתאמה אישית, אפשר גם להשתמש בספריות לקוח כדי ליצור את כתובת ה-URL החתומה.

במקום להשתמש בכותרות חתומות, אפשר להשתמש בפרמטרים של שאילתה כדי להעביר רשומות מותאמות אישית ביומן הביקורת.

curl -X GET 'storage.googleapis.com/example_bucket?X-Goog-Custom-Audit-Key=Value&X-Goog-Algorithm=GOOG4-RSA-SHA256&X-Goog-Credential=example%40example-project.iam.gserviceaccount.com%2F20181026%2Fus-central1%2Fstorage%2Fgoog4_request&X-Goog-Date=20181026T181309Z&X-Goog-Expires=900&X-Goog-SignedHeaders=host&X-Goog-Signature=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'

צריך לכלול את הפרמטרים האלה של השאילתה כשיוצרים את כתובת ה-URL החתומה. לדוגמה:

gcloud storage sign-url gs://example_bucket/example_object.jpeg --private-key-file=example-key.json --duration=10m --query-params=x-goog-custom-audit-job=job_name,x-goog-custom-audit-user=test_user

דוגמה לרשומה ביומן

protoPayload: {
  @type: "type.googleapis.com/google.cloud.audit.Auditlog",
  ...
  metadata: {
    audit_context: {
      app_context: "EXTERNAL",
      audit_info: {
        x-goog-custom-audit-job: "job name",
        x-goog-custom-audit-user: "test user"
      }
    }
  }
}

למידע נוסף על השדות הכלולים באובייקט protoPayload מסוג type.googleapis.com/google.cloud.audit.Auditlog, עיינו במאמרי העזרה של AuditLog.

ניתוב של יומני ביקורת

ניתן לנתב יומני ביקורת ליעדים נתמכים באותו אופן שבו ניתן לנתב סוגים אחרים של יומנים. כמה סיבות לניתוב יומני הביקורת:

  • אתם יכולים לנתב עותקים של יומני הביקורת ל-Cloud Storage, ל-BigQuery או ל-Pub/Sub, כדי לשמור את יומני הביקורת לפרק זמן ארוך יותר או כדי להשתמש ביכולות חיפוש מתקדמות יותר. באמצעות Pub/Sub אתם יכולים לנתב יומני ביקורת לאפליקציות אחרות, למאגרים אחרים ולצדדים שלישיים.
  • כדי לנהל את יומני הביקורת בארגון כולו, אתם יכולים ליצור aggregated sinks שיכולים לנתב יומנים מכל הפרויקטים ב- Google Cloud , או מחלקם.
  • אם הכתיבה שמופעלת ביומני הביקורת Data Access גורמת לחריגה מהמכסה החינמית שלכם בפרויקטים ב-Google Cloud , אתם יכולים ליצור אובייקטים מסוג sink שיחריגו את הכתיבה ליומני Data Access מ-Cloud Logging.

הוראות לגבי ניתוב יומנים מופיעות במאמר הגדרה וניהול של אובייקטים מסוג sink .

תמחור

למידע על התמחור של Cloud Logging, ראו תמחור של Google Cloud Observability: ‏Cloud Logging.