Audit-Logging in Trace

In diesem Dokument wird das Audit-Logging für Cloud Trace beschrieben.Dienste von Google Cloud generieren Audit-Logs, in denen Verwaltungs- und Zugriffsaktivitäten in Ihren Ressourcen von Google Cloud aufgezeichnet werden. Weitere Informationen zu Cloud-Audit-Logs finden Sie unter den folgenden Links:

Dienstname

Für Audit-Logs von Cloud Trace wird der Dienstname cloudtrace.googleapis.com verwendet. Filter für diesen Dienst: 

    protoPayload.serviceName="cloudtrace.googleapis.com"

Methoden nach Berechtigungstyp

Jede IAM-Berechtigung hat ein type-Attribut, dessen Wert „enum“ ist. Er kann einen der folgenden vier Werte haben: ADMIN_READ, ADMIN_WRITE, DATA_READ oder DATA_WRITE. Wenn Sie eine Methode aufrufen, generiert Cloud Trace ein Audit-Log, dessen Kategorie vom Attribut type der Berechtigung abhängt, die für die Ausführung der Methode erforderlich ist. Methoden, die eine IAM-Berechtigung mit dem type-Attributwert DATA_READ, DATA_WRITE oder ADMIN_READ erfordern, generieren Audit-Logs zum Datenzugriff. Methoden, die eine IAM-Berechtigung mit dem type-Attributwert ADMIN_WRITE erfordern, generieren Audit-Logs zur Administratoraktivität.

API-Methoden in der folgenden Liste, die mit (LRO) gekennzeichnet sind, sind Vorgänge mit langer Ausführungszeit. Diese Methoden generieren in der Regel zwei Audit-Log-Einträge: einen beim Start und einen beim Ende des Vorgangs. Weitere Informationen finden Sie unter Audit-Logs für Vorgänge mit langer Ausführungszeit.
Berechtigungstyp Methoden
ADMIN_READ google.devtools.cloudtrace.v2beta1.TracingConfigService.GetTraceSink
google.devtools.cloudtrace.v2beta1.TracingConfigService.ListTraceSinks
ADMIN_WRITE google.devtools.cloudtrace.v2beta1.TracingConfigService.CreateTraceSink
google.devtools.cloudtrace.v2beta1.TracingConfigService.DeleteTraceSink
google.devtools.cloudtrace.v2beta1.TracingConfigService.UpdateTraceSink
DATA_READ google.devtools.cloudtrace.v1.TraceService.GetTrace
google.devtools.cloudtrace.v1.TraceService.ListTraces

Audit-Logs der API-Schnittstelle

Informationen dazu, wie und welche Berechtigungen für die einzelnen Methoden evaluiert werden, finden Sie in der Dokumentation zu Identity and Access Management für Cloud Trace.

google.devtools.cloudtrace.v1.TraceService

Die folgenden Audit-Logs sind Methoden zugeordnet, die zu google.devtools.cloudtrace.v1.TraceService gehören.

GetTrace

  • Methode: google.devtools.cloudtrace.v1.TraceService.GetTrace
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • cloudtrace.traces.get - DATA_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder ein Streamingvorgang: Nein.
  • Filter für diese Methode: protoPayload.methodName="google.devtools.cloudtrace.v1.TraceService.GetTrace"

ListTraces

  • Methode: google.devtools.cloudtrace.v1.TraceService.ListTraces
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • cloudtrace.traces.list - DATA_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder ein Streamingvorgang: Nein.
  • Filter für diese Methode: protoPayload.methodName="google.devtools.cloudtrace.v1.TraceService.ListTraces"

google.devtools.cloudtrace.v2beta1.TracingConfigService

Die folgenden Audit-Logs sind Methoden zugeordnet, die zu google.devtools.cloudtrace.v2beta1.TracingConfigService gehören.

CreateTraceSink

  • Methode: google.devtools.cloudtrace.v2beta1.TracingConfigService.CreateTraceSink
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • cloudtrace.tracesinks.create - ADMIN_WRITE
  • Methode ist ein Vorgang mit langer Ausführungszeit oder ein Streamingvorgang: Nein.
  • Filter für diese Methode: protoPayload.methodName="google.devtools.cloudtrace.v2beta1.TracingConfigService.CreateTraceSink"

DeleteTraceSink

  • Methode: google.devtools.cloudtrace.v2beta1.TracingConfigService.DeleteTraceSink
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • cloudtrace.tracesinks.delete - ADMIN_WRITE
  • Methode ist ein Vorgang mit langer Ausführungszeit oder ein Streamingvorgang: Nein.
  • Filter für diese Methode: protoPayload.methodName="google.devtools.cloudtrace.v2beta1.TracingConfigService.DeleteTraceSink"

GetTraceSink

  • Methode: google.devtools.cloudtrace.v2beta1.TracingConfigService.GetTraceSink
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • cloudtrace.tracesinks.get - ADMIN_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder ein Streamingvorgang: Nein.
  • Filter für diese Methode: protoPayload.methodName="google.devtools.cloudtrace.v2beta1.TracingConfigService.GetTraceSink"

ListTraceSinks

  • Methode: google.devtools.cloudtrace.v2beta1.TracingConfigService.ListTraceSinks
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • cloudtrace.tracesinks.list - ADMIN_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder ein Streamingvorgang: Nein.
  • Filter für diese Methode: protoPayload.methodName="google.devtools.cloudtrace.v2beta1.TracingConfigService.ListTraceSinks"

UpdateTraceSink

  • Methode: google.devtools.cloudtrace.v2beta1.TracingConfigService.UpdateTraceSink
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • cloudtrace.tracesinks.update - ADMIN_WRITE
  • Methode ist ein Vorgang mit langer Ausführungszeit oder ein Streamingvorgang: Nein.
  • Filter für diese Methode: protoPayload.methodName="google.devtools.cloudtrace.v2beta1.TracingConfigService.UpdateTraceSink"

Methoden, die keine Audit-Logs generieren

Folgende Gründe können dazu führen, dass eine Methode möglicherweise keine Audit-Logs generiert:

  • Es ist eine Methode mit hohem Volumen, die erhebliche Kosten für die Generierung und Speicherung von Logs erzeugt.
  • Die Methode hat einen geringen Audit-Wert.
  • Die Methode wird bereits von einem anderen Audit- oder Plattformlog abgedeckt.

Die folgenden Methoden generieren keine Audit-Logs:

  • google.devtools.cloudtrace.v1.TraceService.PatchTraces
  • google.devtools.cloudtrace.v2.TraceService.BatchWriteSpans
  • google.devtools.cloudtrace.v2.TraceService.CreateSpan