تصف هذه الصفحة سجلات التدقيق التي تم إنشاؤها بواسطة Cloud Search كجزء من سجلات تدقيق Cloud.
نظرة عامة
تنشئ خدمات Google Cloud سجلات التدقيق لمساعدتك في الإجابة عن الأسئلة، "مَن نفّذ ماذا وأين ومتى؟" ضمن مواردك. لا تحتوي مشاريع السحابة إلا على سجلات التدقيق للموارد الموجودة مباشرةً داخل المشروع. وتحتوي الكيانات الأخرى، مثل المجلدات والمؤسسات وحسابات فوترة Cloud، على سجلات التدقيق الخاصة بالكيان نفسه.
للحصول على نظرة عامة حول سجلات تدقيق Cloud، يمكنك الاطّلاع على سجلات تدقيق Cloud. لفهم سجلات التدقيق في Cloud بشكل أفضل، يمكنك مراجعة مقالة فهم سجلات التدقيق.
توفّر "سجلّات التدقيق في السحابة الإلكترونية" سجلات التدقيق التالية لكل مشروع ومجلد ومؤسسة على السحابة الإلكترونية:
- سجلات تدقيق نشاط المشرف التي تحتوي على إدخالات متوافقة مع الطرق التي تنفذ عمليات كتابة المشرف. يتم تناول الطرق المقابلة لنشاط المشرف:عمليات الكتابة للمشرف في قسم العمليات المدققة القادم.
- سجلات تدقيق الوصول إلى البيانات التي تحتوي على إدخالات مقابلة للطرق التي تؤدي إلى تنفيذ عمليات قراءة المشرف وكتابة البيانات وقراءة البيانات. ستتم تغطية الطرق المقابلة لعمليات الوصول إلى البيانات:قراءة المشرف، الوصول إلى البيانات:كتابة البيانات، الوصول إلى البيانات:عمليات قراءة البيانات في قسم العمليات المدققة القادم.
- سجلات تدقيق أحداث النظام
- سجلات التدقيق المرفوضة للسياسات
يكتب Cloud Search سجلات تدقيق نشاط المشرف، والتي تسجل العمليات التي تعدِّل الضبط أو البيانات الوصفية للمورد. لا يمكنك إيقاف سجلات تدقيق نشاط المشرف.
فقط في حال تفعيل هذا الخيار صراحةً، تتم كتابة سجلات تدقيق الوصول إلى البيانات في Cloud Search. تحتوي سجلات تدقيق "الوصول إلى البيانات" على طلبات بيانات من واجهة برمجة التطبيقات تقرأ إعدادات الموارد أو بياناتها الوصفية، بالإضافة إلى طلبات بيانات من واجهة برمجة التطبيقات مستندة إلى المستخدم لإنشاء بيانات الموارد المقدّمة من المستخدم أو تعديلها أو قراءتها.
لا يكتب Cloud Search سجلات تدقيق أحداث النظام.
لا يكتب Cloud Search سجلات التدقيق "تم رفض السياسة".
العمليات التي تخضع للتدقيق
يلخص ما يلي عمليات واجهة برمجة التطبيقات التي تتوافق مع كل نوع سجل تدقيق في Cloud Search:
فئة سجلّات التدقيق | عمليات Cloud Search |
---|---|
نشاط المشرف: كتابة المشرف | Indexing.datasources.updateSchema indexing.datasources.deleteSchema settings.datasources.create settings.datasources.delete settings.datasources.update settings.searchapplications.create settings.searchapplications.reset settings.searchapplications.reset settings.searchapplications.update settings.updateCustomer cloudsearch.IdentitySourceService.create cloudsearch.searchSourceService.create cloudsearch.searchSourceService.create cloudsearch.searchSourceService.create |
الوصول إلى البيانات: قراءة المشرف | indexing.datasources.getSchema settings.datasources.get settings.datasources.list settings.searchapplications.get settings.searchapplications.list settings.getCustomer cloudsearch.IdentitySourceService.get cloudsearch.IdentitySourceService.list |
الوصول إلى البيانات: كتابة البيانات | indexing.datasources.items.delete indexing.datasources.items.deleteQueueItems indexing.datasources.items.index indexing.datasources.items.poll indexing.datasources.items.push indexing.datasources.items.unreserve indexing.datasources.items.upload media.upload |
الوصول إلى البيانات: قراءة البيانات | index.datasources.items.get indexing.datasources.items.list operations.get operations.list debug.datasources.items.checkAccess debug.datasources.items.searchByViewUrl stats.getIndex stats.getQuery stats.getSession stats.index.searchdatasources.get stats.datasources.items.checkAccess debug.datasources.items.searchByViewUrl stats.getIndex stats.getQuery stats.getSession stats.index.searchdatasources.get |
تنسيق سجلّ التدقيق
تتضمن إدخالات سجل التدقيق، التي يمكن عرضها في Cloud Logging باستخدام Logs Explorer، أو Cloud Logging API، أو أداة سطر أوامر gcloud، الكائنات التالية:
الإدخال في السجلّ نفسه، وهو كائن من النوع
LogEntry
.
تشمل الحقول المفيدة ما يلي:
- يحتوي
logName
على رقم تعريف المورد ونوع سجلّ التدقيق. - يتضمن
resource
هدف العملية التي تم التدقيق فيها. - يتضمّن
timeStamp
وقت العملية التي تم التدقيق فيها. - يتضمّن
protoPayload
المعلومات التي تم التدقيق فيها. - بيانات تسجيل التدقيق، وهي كائن AuditLog محفوظ في حقل protoPayload لإدخال السجلّ.
معلومات التدقيق الاختيارية الخاصة بالخدمة، وهي عنصر خاص بالخدمة.
في عمليات الدمج السابقة، يتم الاحتفاظ بهذا العنصر في الحقل serviceData
للكائن AuditLog
، بينما تستخدم عمليات الدمج اللاحقة الحقل metadata
.
للاطّلاع على الحقول الأخرى في هذه العناصر وكيفية تفسيرها، راجِع القسم فهم سجلات التدقيق.
اسم السجلّ
تشير أسماء موارد سجلات تدقيق السحابة الإلكترونية إلى مشروع Google Cloud أو كيان آخر من Google Cloud يملك سجلات التدقيق، وما إذا كان السجلّ يحتوي على بيانات "نشاط المشرف" أو "الوصول إلى البيانات" أو "رفض السياسة" أو "بيانات تسجيل تدقيق النظام". على سبيل المثال، يوضح ما يلي أسماء السجلات لسجلات تدقيق نشاط المشرف على مستوى المشروع وسجلات تدقيق الوصول إلى البيانات في المؤسسة. تشير المتغيرات إلى معرّفات المشروع والمؤسسة.
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
اسم الخدمة
تستخدم سجلات تدقيق Cloud Search اسم الخدمة cloudsearch.googleapis.com
.
أنواع الموارد
تستخدم سجلات تدقيق Cloud Search نوع المورد audited_resource
لجميع سجلات
التدقيق.
للحصول على قائمة بأنواع الموارد الأخرى، راجِع أنواع الموارد الخاضعة للمراقبة.
تفعيل تسجيل التدقيق
يتم إيقاف تسجيل التدقيق لواجهة برمجة تطبيقات Cloud Search تلقائيًا. لتفعيل تسجيل التدقيق في Google Cloud Search:
(اختياري) إذا لم يسبق لك إنشاء مشروع في Google Cloud Platform لتخزين السجلات، يُرجى الرجوع إلى ضبط إمكانية الوصول إلى Google Cloud Search API.
احصل على رقم تعريف مشروع Google Cloud الذي تريد تخزين السجلات فيه. لمعرفة كيفية الحصول على رقم تعريف مشروع، يمكنك الرجوع إلى تحديد المشروعات.
لتفعيل تسجيل التدقيق لواجهة برمجة تطبيقات معيّنة، عليك تحديد فئة السجلّ الخاصة بها لتفعيلها. بالنسبة إلى واجهات برمجة التطبيقات والفئات المقابلة لها، يُرجى الرجوع إلى العمليات التي تم التدقيق فيها سابقًا في هذا المستند.
استخدِم طريقة واجهة برمجة التطبيقات في
updateCustomer()
REST لتعديل سمة التدقيق في المربّعات باستخدام فئات السجلات المطلوبة لتفعيلها:يمكنك الحصول على رمز دخول OAuth 2.0 من "خادم تفويض Google". للحصول على معلومات حول الحصول على الرمز المميّز، يُرجى الرجوع إلى الخطوة الثانية من استخدام OAuth 2.0 للوصول إلى Google APIs. استخدام أحد نطاقات OAuth التالية أثناء الحصول على رمز الدخول:
https://www.googleapis.com/auth/cloud_search.settings.indexing
https://www.googleapis.com/auth/cloud_search.settings
https://www.googleapis.com/auth/cloud_search
شغِّل أمر curl التالي.
curl --request PATCH \ 'https://cloudsearch.googleapis.com/v1/settings/customer?updateMask=auditLoggingSettings&key=[YOUR_API_KEY]' \ --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \ --header 'Content-Type: application/json' \ --data '{"auditLoggingSettings": { "project": "projects/PROJECT_ID", "CATEGORY1": "true", "CATEGORY2": "true" } }'
المكان:
YOUR_ACCESS_TOKEN
هو رمز دخول OAuth 2.0 الذي يتم الحصول عليه في الخطوة 4 (أ).PROJECT_ID
هو رقم تعريف المشروع الذي تم الحصول عليه في الخطوة 2.CATEGORY1
وCATEGORY2
و…
هي الفئات التي اخترت تفعيلها في الخطوة 3. القيم الصالحة هيlogAdminReadActions
وlogDataWriteActions
وlogDataReadActions
. يتم تفعيل إجراءات الكتابة للمشرف تلقائيًا ولا يمكن إيقافها. إذا أردت تسجيل التدقيق لطرق طلب البحث، يجب تفعيل فئة "قراءة البيانات".
بعد تحديث
AuditLoggingSettings
، تنشئ الطلبات الإضافية إلى واجهة برمجة تطبيقات Cloud Search سجلّ تدقيق في رقم تعريف المشروع المحدّد فيAuditLoggingSettings
.يتطلب تسجيل التدقيق لطرق طلب البحث تفعيل فئة قراءة البيانات (تم في الخطوة 4). لتفعيل تسجيل التدقيق لطرق طلب البحث (
query.sources.list
وquery.suggest
وquery.search
)، يُرجى اتّباع الخطوات الإضافية التالية:بالنسبة إلى كل تطبيق بحث تريد تفعيل تسجيل التدقيق له، استرجع الاسم. يجب أن يكون الاسم على شكل
searchapplications/<search_application_id>
.يمكنك استخدام الاسم المطلوب الاتصال به
settings.searchapplications.update
مع ضبطenableAuditLog
علىtrue
.
لتفعيل تسجيل التدقيق للمكالمات الواردة من
cloudsearch.google.com
، تأكَّد من تفعيل فئة قراءة البيانات (الخطوة 4). بالإضافة إلى ذلك، نفِّذ الخطوة 5(ب) باستخدامname
منsearchapplications/default
.
بعد التفعيل، يمكن الاطّلاع على السجلات في قسم "مستكشف السجلات" في Google Cloud Console. يمكنك استخدام الفلتر التالي لعرض سجلات تدقيق Cloud Search فقط:
protoPayload.serviceName="cloudsearch.googleapis.com"
للحصول على معلومات حول طريقة عرض السجلات، يُرجى الرجوع إلى نظرة عامة على مستكشف السجلات.
أذونات سجلّ التدقيق
وتحدِّد أذونات وأدوار "إدارة الهوية وإمكانية الوصول" سجلات التدقيق التي يمكنك عرضها أو تصديرها. تتوفّر السجلات في مشاريع Cloud وفي بعض الكيانات الأخرى، بما في ذلك المؤسسات والمجلدات وحسابات فوترة Cloud. لمزيد من المعلومات، يُرجى الاطّلاع على فهم الأدوار.
لعرض سجلات تدقيق نشاط المشرف، يجب أن يكون لديك أحد أدوار إدارة الهوية وإمكانية الوصول (IAM) التالية في المشروع الذي يحتوي على سجلات التدقيق:
- مالك المشروع أو محرر المشروع أو عارض المشروع
- دور عارض السجلات للتسجيل
- دور مخصص لإدارة الهوية وإمكانية الوصول مع
إذن "إدارة الهوية وإمكانية الوصول"
logging.logEntries.list
لعرض سجلات تدقيق الوصول إلى البيانات، يجب أن يكون لديك أحد الأدوار التالية في المشروع يحتوي على سجلات التدقيق:
- مالك المشروع
- دور مُشاهد السجلات الخاصة للتسجيل
- دور مخصّص لإدارة الهوية وإمكانية الوصول
يمتلك إذن "إدارة الهوية وإمكانية الوصول"
logging.privateLogEntries.list
إذا كنت تستخدم سجلات التدقيق من كيان غير تابع للمشروع، مثل مؤسسة، عليك تغيير أدوار المشروع على Google Cloud إلى أدوار مؤسسة مناسبة.
عرض السجلات
للعثور على سجلات التدقيق وعرضها، عليك معرفة معرّف المشروع أو المجلد أو المؤسسة على السحابة الإلكترونية التي تريد عرض معلومات تسجيل التدقيق لها. يمكنك تحديد حقول
LogEntry
الأخرى المفهرَسة، مثل resource.type. لمعرفة التفاصيل، يُرجى الاطّلاع على مقالة
إنشاء طلبات البحث في مستكشف السجلات.
في ما يلي أسماء سجلات التدقيق، وهي تتضمّن متغيرات لمعرّفات المشروع أو المجلد أو المؤسسة على السحابة الإلكترونية:
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy
تتوفّر لك العديد من الخيارات لعرض إدخالات سجلّ التدقيق.
وحدة التحكم
يمكنك استخدام مستكشف السجلات في Cloud Console لاسترداد إدخالات سجل التدقيق لمشروعك على Cloud:
في Cloud Console، انتقِل إلى صفحة التسجيل > مستكشف السجلات.
في صفحة مستكشف السجلات، اختَر مشروعًا حاليًا على السحابة الإلكترونية.
في لوحة أداة إنشاء طلبات البحث، نفِّذ ما يلي:
في المورد، اختَر نوع مورد Google Cloud الذي تريد الاطّلاع على سجلات التدقيق الخاصة به.
في اسم السجل، اختَر نوع سجل التدقيق الذي تريد الاطِّلاع عليه:
- بالنسبة إلى سجلّات تدقيق نشاط المشرف، اختَر النشاط.
- بالنسبة إلى سجلات تدقيق "الوصول إلى البيانات"، اختَر data_access.
- بالنسبة إلى سجلّات تدقيق أحداث النظام، اختَر system_event.
- بالنسبة إلى سجلّات التدقيق "تم رفض السياسة"، اختَر السياسة.
إذا لم تظهر لك هذه الخيارات، هذا يعني عدم توفّر أي سجلات تدقيق من هذا النوع في المشروع على السحابة الإلكترونية.
لمعرفة مزيد من التفاصيل حول إجراء طلبات البحث باستخدام مستكشف السجلات الجديد، يُرجى الاطّلاع على إنشاء طلبات البحث في مستكشف السجلات.
gcloud
يوفر gcloud واجهة سطر أوامر
لواجهة برمجة تطبيقات التسجيل. أدخِل قيمة
PROJECT_ID
أو FOLDER_ID
أو ORGANIZATION_ID
صالحة في كل اسم من أسماء السجلّات.
لقراءة إدخالات سجلّ التدقيق على مستوى مشروع Google Cloud، شغِّل الأمر التالي:
gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \ --project=PROJECT_ID
لقراءة إدخالات سجل التدقيق على مستوى المجلد، شغِّل الأمر التالي:
gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \ --folder=FOLDER_ID
لقراءة إدخالات سجل التدقيق على مستوى المؤسسة، شغِّل الأمر التالي:
gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \ --organization=ORGANIZATION_ID
لمزيد من المعلومات حول استخدام أداة gcloud، يُرجى الاطّلاع على
gcloud logging read
.
API
عند إنشاء طلبات البحث، استبدِل المتغيرات بقيم صالحة، أو استبدل اسم أو معرِّفات سجل التدقيق المناسب على مستوى المشروع أو المجلد أو المؤسسة كما هو مُدرَج في أسماء سجل التدقيق. على سبيل المثال، إذا كان طلب البحث يتضمّن PROJECT_ID، يجب أن يشير معرّف المشروع الذي تقدّمه إلى المشروع المحدّد حاليًا على Google Cloud.
لاستخدام Logging API للاطّلاع على إدخالات سجلّ التدقيق، عليك إجراء ما يلي:
انتقِل إلى القسم Try this API (تجربة واجهة برمجة التطبيقات هذه) في المستندات المتعلقة بطريقة
entries.list
.ضع ما يلي في جزء نص الطلب من نموذج تجربة واجهة برمجة التطبيقات هذه. يؤدي النقر على هذا النموذج الذي تمت تعبئته تلقائيًا إلى ملء نص الطلب تلقائيًا، ولكن يجب توفير
PROJECT_ID
صالح في كل اسم من أسماء السجل.{ "resourceNames": [ "projects/PROJECT_ID" ], "pageSize": 5, "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" }
انقر على تنفيذ.
لمزيد من التفاصيل حول طلب البحث، يُرجى الاطّلاع على لغة طلب البحث لتسجيل الدخول.
للحصول على نموذج لإدخال سجل تدقيق وكيفية العثور على أهم المعلومات فيه، راجع فهم سجلات التدقيق.
تصدير سجلات التدقيق
يمكنك تصدير سجلات التدقيق بالطريقة نفسها التي تصدّر بها أنواعًا أخرى من السجلات. للحصول على تفاصيل حول طريقة تصدير السجلّات، يمكنك الاطّلاع على تصدير السجلات. في ما يلي بعض تطبيقات تصدير سجلات التدقيق:
للاحتفاظ بسجلات التدقيق لفترة زمنية أطول أو لاستخدام إمكانات بحث أكثر فعالية، يمكنك تصدير نُسخ من سجلات التدقيق إلى Cloud Storage أو BigQuery أو Pub/Sub. باستخدام النشر/الاشتراك، يمكنك التصدير إلى تطبيقات أخرى ومستودعات أخرى وإلى جهات خارجية.
لإدارة سجلات التدقيق في المؤسسة بأكملها، يمكنك إنشاء مخازن مجمّعة يمكنها تصدير السجلات من أي مشاريع على السحابة الإلكترونية أو من جميع المشاريع في المؤسسة.
إذا كانت سجلات تدقيق الوصول إلى البيانات المفعَّلة تدفع مشاريعك على السحابة الإلكترونية إلى تخصيص حصصها، يمكنك تصدير سجلّات تدقيق الوصول إلى البيانات واستبعادها من التسجيل. لمزيد من التفاصيل، يُرجى الاطّلاع على استبعاد السجلات.
الأسعار والاحتفاظ بالبيانات
لا تحصِّل منك ميزة "التسجيل في السحابة الإلكترونية" رسومًا مقابل سجلّات التدقيق التي لا يمكن إيقافها، بما في ذلك جميع سجلّات تدقيق "نشاط المشرف". تحصّل منك خدمة Cloud Logging رسومًا مقابل سجلات تدقيق "الوصول إلى البيانات" التي تطلبها صراحةً.
لمزيد من المعلومات حول أسعار سجلات التدقيق، يُرجى الاطّلاع على مقالة أسعار حزمة عمليات Google Cloud.
مدة التخزين المرتبطة بسجلات تدقيق Cloud Search هي:
- سجلات نشاط المشرف (أو سجلات المشرف) - يتم الاحتفاظ بهذه السجلات لمدة 400 يومًا.
- سجلات الوصول إلى البيانات (قراءة المشرف وكتابة البيانات وقراءة البيانات) - يتم الاحتفاظ بهذه السجلات لمدة 30 يومًا.
لمزيد من المعلومات حول مدة مساحة التخزين، يُرجى الاطّلاع على فترات الاحتفاظ بالتسجيلات.
القيود الحالية
يخضع تسجيل تدقيق Cloud Search للقيود الحالية التالية:
يجب أن يكون حجم إدخال السجلّ أقل من 512 كيلوبايت. إذا زاد الحجم عن 512 كيلوبايت، سيتم إسقاط الاستجابة من إدخال السجل. وإذا لم يؤدِّ ذلك إلى تقليل الحجم إلى 512 كيلوبايت أو أقل، سيتم تجاهل الطلب. وأخيرًا، إذا كان الحجم لا يزال يتجاوز 512 كيلوبايت، سيتم إسقاط إدخال السجل.
لا يتم تسجيل نصوص الاستجابة لطرق
list()
وget()
وsuggest()
. ومع ذلك، فإنّ حالات الردّ متاحة.لا يتم تسجيل سوى طلبات البيانات من واجهة برمجة تطبيقات طلب البحث من
cloudsearch.google.com
(في حال تفعيلها) وتطبيقات بحث العملاء.لمكالمات
search()
، يتم تسجيل دخولQuery
وRequestOptions
وDataSourceRestriction
فقط في الطلب. وفي الرد، يتم فقط تدقيق عنوان URL والبيانات الوصفية (المصدر وobjectType
) لكلSearchResult
.لا يتم التدقيق في المكالمات الصادرة إلى الواجهة الخلفية في Cloud Search وتلك المقابلة لتصدير البيانات.