יומני ביקורת של VPC Service Controls

במסמך הזה מתוארים יומני הביקורת שנוצרים על ידי VPC Service Controls כחלק מיומני הביקורת של Cloud.

סקירה כללית

שירותיGoogle Cloud יוצרים יומני ביקורת שבהם מתועדים אירועי גישה למשאבי Google Cloud ופעילויות אדמין שמבוצעות בהם.

הפרויקטים שלכם ב- Google Cloud כוללים רק יומני ביקורת של משאבים שמשויכים ישירות לפרויקט ב- Google Cloud . משאבים אחרים Google Cloud כמו תיקיות, ארגונים וחשבונות לחיוב, מכילים את יומני הביקורת של הישות עצמה.

לפרטים נוספים, ראו סקירה כללית על יומני הביקורת של Cloud. להבנה עמוקה יותר של הפורמט של יומני הביקורת, קראו את המאמר הסבר על יומני הביקורת.

יומני הביקורת הזמינים

אלה סוגי יומני הביקורת שזמינים ל-VPC Service Controls:

יומני ביקורת Policy Denied

מזהה מקרים שבהם הגישה של משתמש או חשבון שירות נדחתה בגלל הפרה של מדיניות האבטחה. שם השירות ושם ה-method ביומני ביקורת של מדיניות שנדחתה מציינים את שמות המשאבים שהגישה אליהם נדחתה למשתמש או לחשבון השירות.

אי אפשר להשבית את יומני הביקורת Policy Denied. עם זאת, אפשר להוסיף את הפריטים הבאים ל מסנן ההחרגה ב-_Default sink כדי להחריג יומני ביקורת של 'המדיניות נדחתה': LOG_ID("cloudaudit.googleapis.com/policy"). אפשר גם להשבית את יעד _Default ב-Cloud Logging כדי למנוע ניתוב של יומנים לקטגוריית _Default.

לתיאורים מלאים של סוגי יומני הביקורת, קראו את המאמר סוגים של יומני ביקורת.

פעולות מבוקרות

הטבלה הבאה מסכמת אילו פעולות API מתאימות לכל סוג של רישום ביומן הביקורת ב-VPC Service Controls:

קטגוריית יומני הביקורת	שיטות של VPC Service Controls
יומני ביקורת Policy Denied	יש תמיכה בשיטות של השירותים שמשולבים עם VPC Service Controls.

תוכן הרשומה ביומן הביקורת

כל רשומה ביומן הביקורת מכילה מידע שאפשר לחלק לשתי קטגוריות עיקריות: מידע על הקריאה המקורית ומידע על הפרות של מדיניות האבטחה. השדה הזה מאוכלס על ידי VPC Service Controls API באופן הבא:

שדה ביומן הביקורת	תיאור
`serviceName`	השירות שהגישה אליו מוגבלת על ידי גבולות גזרה לשירות. הבקשה לשירות הזה הפרה בדיקה של VPC Service Controls, והתוצאה הייתה יצירה של יומן הביקורת הזה.
`methodName`	השם של הפעלת ה-method שהובילה להפרה של מדיניות האבטחה שמתוארת ברשומה. בדרך כלל, `methodName` הוא ה-method שמשויך לשירות Google Cloud שצוין בשדה `serviceName`.
`authenticationInfo.principalEmail`	כתובת האימייל של המשתמש או חשבון השירות שהנפיקו את הבקשה. יכול להיות שחלק מכתובות האימייל יוסתרו. מידע נוסף מופיע במאמר בנושא זהויות של מבצעי קריאות ביומני ביקורת.
`resourceName`	המשאב Google Cloud שצוין בבקשה המקורית מהלקוח. ‫`resourceName` יכול להיות פרויקט, תיקייה, ארגון או משאב כמו Google Cloud קטגוריה.
`requestMetadata.callerIp`	כתובת ה-IP של מבצע הקריאה. אם השיחה הגיעה מהאינטרנט, אז ‫`requestMetadata.callerIp` היא כתובת IPv4 או IPv6 ציבורית. אם השיחה יצאה ממכונה וירטואלית ב-Compute Engine, אז ‫`requestMetadata.callerIp` היא כתובת ה-IP של המכונה הווירטואלית. כתובת ה-IP של מכונת ה-VM יכולה להיות כתובת IP פנימית או כתובת IP חיצונית. אם השיחה בוצעה מתוך רשת הייצור הפנימית של Google, הערך בשדה הזה הוא `private`. המקרה הזה מתרחש כשהשיחה נשלחת משירות Google Cloud אחד לשירות אחר.
`request_metadata.caller_network`	שם הרשת של המתקשר. הערך הזה מוגדר רק אם הפרויקט של המארח ברשת שייך לאותו ארגון או פרויקט שאליו שייך המשאב שהייתה אליו גישה. Google Cloud מידע נוסף זמין במאמר רשתות VPC.
`status`	הסטטוס הכללי של הטיפול בפעולה שמתוארת ברשומה.
`metadata`	המידע על הפרת מדיניות האבטחה.
`metadata.resourceNames`	השמות של המשאבים שקשורים להפרת מדיניות האבטחה שמתוארת ברשומה.
`metadata.dryRun`	ערך בוליאני שהוא `True` אם יומן הביקורת הוא של בדיקת מדיניות בהרצה יבשה. מידע נוסף זמין במאמר בנושא מצב פרימטר לבדיקות לגבולות גזרה לשירות.
`metadata.vpcServiceControlsTroubleshootToken`	טוקן לפתרון בעיות שמאפשר לאבחן את ההפרה באמצעות כלי ניתוח ההפרות.
`metadata.vpcServiceControlsUniqueId`	המזהה הייחודי של ההפרה ב-VPC Service Controls שמתוארת ברשומה.
`metadata.violationReason`	הסיבה להפרה. לדוגמה, `RESOURCE_NOT_IN_SAME_SERVICE_PERIMETER` מציין שהמשאבים שאליהם מתבצעת גישה לא שייכים לאותו גבולות גזרה לשירות.
`metadata.securityPolicyInfo`	השם של גבולות גזרה לשירות שבו התרחשה ההפרה, והמזהה הייחודי של הארגון שאליו שייכים גבולות הגזרה.
`metadata.egressViolations`	הפרה של יציאה מתרחשת בדרך כלל כשבקשה נכשלת כי המקור מוגן על ידי גבול גזרה לשירות, ומשאב היעד נמצא מחוץ לגבול הגזרה. המקור יכול להיות פרויקט או רשת VPC.
`metadata.ingressViolations`	סוג ההפרה. לרוב, ההפרה הזו מתרחשת אם הבקשה מנסה לגשת למשאב יעד שמוגן על ידי גבולות גזרה לשירות. המקור יכול להיות פרויקט או רשת VPC. השדה הזה מכיל מבנה שמסביר את הפרת הכניסה.
`metadata.servicePerimeter`	השם של גבולות הגזרה לשירות שקשורים להפרה.
`metadata.source`	השדה הזה מכיל את המקור של הבקשה, שיכול להיות פרויקט או רשת VPC.
`metadata.targetResource`	המשאב שהבקשה כוונה אליו, שגרם להפרה. השדה הזה יכול להיות פרויקט.
`metadata.targetResourcePermissions`	רשימת הרשאות ה-IAM שנדרשות כדי לגשת למשאב היעד. כדי לפתור את ההפרה, צריך להגדיר כללי תעבורת נתונים נכנסת או תעבורת נתונים יוצאת כדי לאפשר את תפקידי ה-IAM שמכילים את ההרשאות האלה. אם הרשאת ה-IAM הנדרשת לא ידועה או שהיא משירות או משיטה שלא נתמכים, VPC Service Controls רושם `vpcsc.permissions.unavailable`בשדה הזה. אפשר להתעלם מההפרה `vpcsc.permissions.unavailable` אלא אם משתמשים בתפקידי IAM בכללי תעבורת נתונים נכנסת (ingress) או תעבורת נתונים יוצאת (egress). אם נתקלתם בהפרה הזו בבקשה שכלל כניסה או יציאה אמור לאפשר על סמך תפקידי IAM, אתם יכולים לפנות אל Cloud Customer Care.
`metadata.accessLevels`	כל רמות הגישה התואמות בארגון ששייך לאותה מדיניות גישה. יכול להיות שרמות הגישה האלה לא צוינו בהיקף שהופר, ולכן הן עלולות לגרום להפרה של `NO_MATCHING_ACCESS_LEVEL`.
`metadata.intermediateServices`	רשימת השירותים שמעורבים בשרשרת הבקשות. השדה הזה ריק בבקשות שהמשתמשים יוזמים.
`metadata.deviceState`	המצב של המכשיר שיוצר את הבקשה כשהמדיניות של המכשיר מופעלת. ערך ברירת המחדל של השדה הזה הוא `Unknown`.

הפורמט של יומן הביקורת

הרשומות ביומן הביקורת כוללות את האובייקטים הבאים:

הרשומה עצמה, שהיא אובייקט מסוג LogEntry. אלה כמה מהשדות השימושיים ברשומה:
- השדה logName מכיל את מזהה המשאב ואת סוג יומן הביקורת. המשאב הוא פרויקט, תיקייה, ארגון או חשבון לחיוב.
- השדה resource מכיל את היעד של הפעולה המבוקרת.
- השדה timeStamp מכיל את השעה של הפעולה המבוקרת.
- השדה protoPayload מכיל את המידע המבוקר.
אובייקט מסוג AuditLog ששמור בשדה protoPayload של הרשומה ביומן, ומכיל את הנתונים של יומני הביקורת.
- השדה @type מוגדר ל-"type.googleapis.com/google.cloud.audit.AuditLog".
- השדה serviceName מזהה את השירות שכתב את יומן הביקורת. הפורמט של השדה הזה הוא ספציפי לשירות.
אובייקט ספציפי לשירות שמכיל מידע אופציונלי על ביקורת ספציפית לשירות. בשילובים קודמים, האובייקט הזה נשמר בשדה serviceData של האובייקט AuditLog. בשילובים מאוחרים יותר נעשה שימוש בשדה metadata.

למידע על שדות אחרים באובייקטים האלה, ואיך לפרש אותם, קראו את המאמר הסבר על יומני הביקורת.

שם יומן הביקורת

השמות של יומני הביקורת ב-Cloud כוללים את מזהי המשאבים, שמהם אפשר להבין לאיזהGoogle Cloud פרויקט או ישות אחרת Google Cloud ב-Google Cloud יומני הביקורת שייכים. בנוסף, הם מציינים אם היומן מכיל נתוני ביקורת מסוג Admin Activity, ‏ Data Access‏, Policy Denied או System Event.

אלה השמות של יומני הביקורת, כולל המשתנים שמציינים את מזהי המשאבים:

‫

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Factivity
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

שם השירות

יומני הביקורת של VPC Service Controls משתמשים בשמות השירותים של השירותים שמשולבים עם VPC Service Controls.

במאמר מיפוי של השירותים למשאבים תוכלו למצוא רשימה של כל שמות השירותים של Cloud Logging API וסוגי המשאבים התואמים במעקב.

סוגי המשאבים

יומני הביקורת של VPC Service Controls משתמשים בסוגי המשאבים שנתמכים על ידי השירותים שמשולבים עם VPC Service Controls.

במאמר סוגי המשאבים במעקב תוכלו למצוא רשימה של כל סוגי המשאבים במעקב ב-Cloud Logging ותיאור שלהם.

זהויות המתקשרים

כתובת ה-IP של מבצע הקריאה שמורה בשדה RequestMetadata.caller_ip של האובייקט AuditLog. יכול להיות שרישום ביומן יצנזר זהויות מסוימות של מתקשרים וכתובות IP.

מידע על הצנזורה של מידע ביומני ביקורת מופיע במאמר בנושא זהויות של מבצעי קריאות ביומני ביקורת.

הפעלת הרישום ביומן הביקורת

יומני הביקורת Admin Activity תמיד מופעלים, ולא ניתן להשבית אותם.

הרשאות ותפקידים

ההרשאות והתפקידים ב-IAM קובעים את אפשרויות הגישה שלכם לנתוני יומני הביקורת במשאבי Google Cloud .

כשמחליטים אילו הרשאות ותפקידים ספציפיים לרישום ביומן יחולו על התרחיש לדוגמה שלכם, מומלץ להביא בחשבון את הנקודות הבאות:

התפקיד 'צפייה ביומנים' (roles/logging.viewer) נותן הרשאת קריאה בלבד ביומני הביקורת Admin Activity,‏ Policy Denied ו-System Event. משתמשים שהוקצה להם רק התפקיד הזה לא יכולים לצפות ביומני הביקורת Data Access שנמצאים בקטגוריה _Default.
התפקיד 'צפייה ביומנים פרטיים' ((roles/logging.privateLogViewer) כולל את ההרשאות שכלולות בתפקיד roles/logging.viewer, וגם את האפשרות לקרוא את יומני הביקורת Data Access בקטגוריה _Default.

חשוב לזכור שאם היומנים הפרטיים האלה מאוחסנים בקטגוריות שהוגדרו על ידי משתמשים, כל משתמש שיש לו הרשאה לקרוא את היומנים בקטגוריות האלה יוכל לקרוא את היומנים הפרטיים. מידע נוסף על קטגוריות ביומן מופיע במאמר סקירה כללית על ניתוב ואחסון.

במאמר בקרת גישה באמצעות IAM תוכלו לקרוא מידע נוסף על ההרשאות והתפקידים ב-IAM שחלים על הנתונים של יומני הביקורת.

צפייה ביומנים

תוכלו לשלוח שאילתה על כל יומני הביקורת, או לשלוח שאילתה על יומנים מסוימים לפי שם יומן הביקורת שלהם. השם של יומן הביקורת כולל את מזהה המשאב של Google Cloud הפרויקט, התיקייה, החשבון לחיוב או הארגון שבמידע של יומני הביקורת שלהם רוצים לצפות. אפשר להגדיר בשאילתות את השדות LogEntry שנוספו לאינדקס. למידע נוסף על שליחת שאילתות על היומנים, ראו יצירת שאילתות ב-Logs Explorer.

בעזרת הכלי Logs Explorer אפשר להציג רשומות יומן בודדות. אם אתם רוצים להשתמש ב-SQL כדי לנתח קבוצות של רשומות ביומן, אתם יכולים להשתמש בדף Log Analytics. למידע נוסף:

אפשר לצפות ברוב יומני הביקורת ב-Cloud Logging באמצעותGoogle Cloud המסוף, Google Cloud CLI או Logging API. עם זאת, כדי לצפות ביומני ביקורת שקשורים לחיוב, אפשר להשתמש רק ב-Google Cloud CLI או ב-Logging API.

המסוף

ב Google Cloud מסוף, תוכלו להשתמש ב-Logs Explorer כדי לאחזר את הרשומות ביומן הביקורת של Google Cloud הפרויקט, התיקייה או הארגון:

במסוף Google Cloud , נכנסים לדף Logs Explorer:
כניסה אל Logs Explorer

אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שכותרת המשנה שלה היא Logging.
בוחרים פרויקט, תיקייה או ארגון קיימים Google Cloud .
כדי להציג את כל יומני הביקורת, מזינים אחת מהשאילתות הבאות בשדה עורך השאילתות ולוחצים על Run query:
```
logName:"cloudaudit.googleapis.com"
```
```
protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog"
```
כדי להציג את יומני הביקורת למשאב וסוג יומן ביקורת ספציפיים, בחלונית Query builder, מבצעים את הפעולות הבאות:
- בקטע Resource Type, בוחרים את המשאב שרוצים לראות את יומני הביקורת שלו. Google Cloud
- בקטע Log name, בוחרים את סוג יומן הביקורת שרוצים לראות:
  - ליומני הביקורת Admin Activity בוחרים באפשרות activity.
  - ליומני הביקורת Data Access בוחרים באפשרות data_access.
  - ליומני הביקורת System Event בוחרים באפשרות system_event.
  - ליומני הביקורת Policy Denied בוחרים באפשרות policy.
- לוחצים על Run query.
אם האפשרויות האלה לא מוצגות, המשמעות היא שאין יומני ביקורת מאותו סוג ב Google Cloud פרויקט, בתיקייה או בארגון.

לא הצלחתם לצפות ביומנים ב-Logs Explorer? פתרון בעיות

מידע נוסף על שליחת שאילתות באמצעות Logs Explorer מופיע במאמר יצירת שאילתות ב-Logs Explorer.

gcloud

הכלי Google Cloud CLI מספק גישה ל-Logging API באמצעות ממשק שורת הפקודה (CLI). חשוב לציין מזהה משאב תקין בכל אחד משמות היומנים. לדוגמה, אם שאילתה כוללת את השדה PROJECT_ID, מזהה הפרויקט שאתם מציינים חייב להתייחס לפרויקטGoogle Cloud שבחרתם.

כדי לקרוא את הרשומות ביומן הביקורת ברמת הפרויקט, מריצים את הפקודה הבאה: Google Cloud

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

כדי לקרוא את הרשומות ביומן הביקורת ברמת התיקייה, מריצים את הפקודה הבאה:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

כדי לקרוא את הרשומות ביומן הביקורת ברמת הארגון, מריצים את הפקודה הבאה:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

כדי לקרוא את הרשומות ביומן הביקורת ברמת החשבון לחיוב ב-Cloud, מריצים את הפקודה הבאה:

gcloud logging read "logName : billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com" \
    --billing-account=BILLING_ACCOUNT_ID

כדי לקרוא את הרשומות ביומן שנרשמו לפני יותר מיום אחד, מוסיפים לפקודה את הדגל --freshness.

למידע נוסף על השימוש ב-CLI של gcloud:‏ gcloud logging read.

REST

כשיוצרים את השאילתות, חשוב לציין מזהה משאב תקין בכל אחד משמות היומנים. לדוגמה, אם שאילתה כוללת את השדה PROJECT_ID, מזהה הפרויקט שאתם מציינים חייב להתייחס לפרויקטGoogle Cloud שבחרתם.

לדוגמה, אם רוצים להשתמש ב-Logging API כדי לצפות ברשומות יומן הביקורת ברמת הפרויקט:

עוברים לקטע Try this API במאמרי העזרה של ה-method entries.list.
מזינים את הפרטים הבאים בקטע Request body בטופס Try this API. אם לוחצים על הטופס למילוי פרטים אוטומטי, גוף הבקשה יאוכלס בפרטים באופן אוטומטי אבל תצטרכו לציין PROJECT_ID תקין בכל אחד משמות יומני הביקורת.
```
{
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}
```
לוחצים על Execute.

שאילתות לדוגמה

כדי להשתמש בשאילתות לדוגמה בטבלה הבאה, צריך לבצע את השלבים האלה:

מחליפים את המשתנים בביטוי השאילתה בפרטי הפרויקט שלכם ולאחר מכן מעתיקים את הביטוי באמצעות סמל הלוח .
במסוף Google Cloud , נכנסים לדף Logs Explorer:
כניסה אל Logs Explorer

אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שכותרת המשנה שלה היא Logging.
מפעילים את האפשרות Show query כדי לפתוח את שדה עורך השאילתות, ואז מדביקים בתוכו את הביטוי:
לוחצים על Run query. היומנים שעונים על השאילתה מוצגים בחלונית Query results.

כדי לאתר יומני ביקורת של VPC Service Controls, משתמשים בשאילתות הבאות ב-Logs Explorer:

תיאור השאילתה	ביטוי
פרטי ההפרה על סמך מזהה דחייה	log_id("cloudaudit.googleapis.com/policy") severity=ERROR resource.type="audited_resource" protoPayload.metadata."@type"="type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" protoPayload.metadata.vpcServiceControlsUniqueId="`UNIQUE_ID`" מחליפים את `UNIQUE_ID` במזהה הייחודי של הדחייה.
הפרות שקשורות לכתובת IP	log_id("cloudaudit.googleapis.com/policy") severity=ERROR resource.type="audited_resource" protoPayload.metadata."@type"="type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" protoPayload.requestMetadata.callerIp="`IP_ADDRESS`" מחליפים את `IP_ADDRESS` בכתובת ה-IP של מבצע הקריאה.
הפרות בשירות	log_id("cloudaudit.googleapis.com/policy") severity=ERROR resource.type="audited_resource" protoPayload.metadata."@type"="type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" protoPayload.serviceName="`SERVICE_NAME`" מחליפים את `SERVICE_NAME` בשם השירות המוגבל.
שינוי ברמת הגישה שבוצע בגבולות גזרה	logName="organizations/`ORGANIZATION_ID`/logs/cloudaudit.googleapis.com%2Factivity" severity=NOTICE protoPayload.serviceName="accesscontextmanager.googleapis.com" protoPayload.methodName="google.identity.accesscontextmanager.v1.AccessContextManager.UpdateServicePerimeter" -protoPayload.metadata.previousState:"`ACCESS_LEVEL`" protoPayload.request.servicePerimeter.status.accessLevels:"`ACCESS_LEVEL`" מחליפים את `ORGANIZATION_ID` במזהה המספרי של הארגון ואת `ACCESS_LEVEL` בשם הייחודי של רמת הגישה.
פעולות CRUD בגבולות גזרה	‫ logName="organizations/`ORGANIZATION_ID`/logs/cloudaudit.googleapis.com%2Factivity" severity=NOTICE protoPayload.serviceName="accesscontextmanager.googleapis.com" protoPayload.methodName=~"google.identity.accesscontextmanager.v1.AccessContextManager.ServicePerimeter" protoPayload.request.servicePerimeter.name=~".`PERIMETER_NAME`$" מחליפים את `PERIMETER_NAME` בשם של ההיקף.
פעולות CRUD ברמת הגישה	logName="organizations/`ORGANIZATION_ID`/logs/cloudaudit.googleapis.com%2Factivity" severity=NOTICE protoPayload.serviceName="accesscontextmanager.googleapis.com" protoPayload.methodName=~"google.identity.accesscontextmanager.v1.AccessContextManager.AccessLevel" protoPayload.request.accessLevel.name=~".`ACCESS_LEVEL`$"
יצירה ועדכון של פעולות לכללי תעבורה נכנסת	logName="organizations/`ORGANIZATION_ID`/logs/cloudaudit.googleapis.com%2Factivity" protoPayload.serviceName="accesscontextmanager.googleapis.com" protoPayload.methodName=~"google.identity.accesscontextmanager.v1.AccessContextManager.ServicePerimeter" protoPayload.request.servicePerimeter.status.ingressPolicies:""
יצירה ועדכון של פעולות לכללים לתעבורת נתונים יוצאת (egress)	logName="organizations/`ORGANIZATION_ID`/logs/cloudaudit.googleapis.com%2Factivity" protoPayload.serviceName="accesscontextmanager.googleapis.com" protoPayload.methodName=~"google.identity.accesscontextmanager.v1.AccessContextManager.ServicePerimeter" protoPayload.request.servicePerimeter.status.egressPolicies:""

ניתוב של יומני ביקורת

אתם יכולים לנתב יומני ביקורת ליעדים נתמכים באותו אופן שבו אתם יכולים לנתב סוגים אחרים של יומנים. כמה סיבות לניתוב יומני הביקורת:

אתם יכולים לנתב עותקים של יומני הביקורת ל-Cloud Storage, ל-BigQuery או ל-Pub/Sub, כדי לשמור את יומני הביקורת לפרק זמן ארוך יותר ולהשתמש ביכולות חיפוש מתקדמות יותר. באמצעות Pub/Sub אתם יכולים לנתב יומני ביקורת לאפליקציות אחרות, למאגרים אחרים ולצדדים שלישיים.
כדי לנהל את יומני הביקורת בארגון כולו, אתם יכולים ליצור aggregated sinks שיכולים לנתב יומנים מכל הפרויקטים ב- Google Cloud , או מחלקם.

הוראות לגבי ניתוב יומנים מופיעות במאמר ניתוב יומנים ליעדים נתמכים.

תמחור

מידע נוסף על התמחור מופיע בקטעים על Cloud Logging בדף תמחור של Google Cloud Observability.