Bu sayfada, Cloud Search tarafından Cloud Denetleme Günlükleri kapsamında oluşturulan denetleme günlükleri açıklanmaktadır.
Genel bakış
Google Cloud hizmetleri, kaynaklarınızda "Kim neyi, nerede ve ne zaman yaptı" sorularını yanıtlamanıza yardımcı olmak için denetleme günlükleri yazar. Cloud projeleriniz, yalnızca doğrudan proje içindeki kaynakların denetleme günlüklerini içerir. Klasörler, kuruluşlar ve Cloud Billing hesapları gibi diğer varlıklar, varlığın kendisine ait denetleme günlüklerini içerir.
Cloud Denetleme Günlükleri'ne genel bir bakış için Cloud Denetleme Günlükleri başlıklı makaleyi inceleyin. Cloud Denetleme Günlükleri hakkında daha ayrıntılı bilgi için Denetleme günlüklerini anlama bölümünü inceleyin.
Cloud Denetleme Günlükleri, her bir Cloud projesi, klasör ve kuruluş için aşağıdaki denetleme günlüklerini sağlar:
- Yönetici yazma işlemlerini gerçekleştiren yöntemlere karşılık gelen girişleri içeren Yönetici Etkinliği denetleme günlükleri. Yönetici Etkinliği:Yönetici yazma işlemlerine karşılık gelen yöntemler, daha sonra sıralanacak Denetlenen işlemler bölümünde ele alınmıştır.
- Yönetici okuma, Veri yazma ve Veri okuma işlemleri gerçekleştirme yöntemlerine karşılık gelen girişleri içeren Veri Erişimi denetleme günlükleri. Veri Erişimi:Yönetici okuma, Veri Erişimi:Veri yazma, Veri Erişimi:Veri okuma işlemlerine karşılık gelen yöntemler, ileride Denetlenen işlemler bölümünde ele alınmıştır.
- Sistem Etkinliği denetleme günlükleri
- Politika Reddedildi denetleme günlükleri
Cloud Search, bir kaynağın yapılandırmasını veya meta verilerini değiştiren işlemleri kaydeden Yönetici Etkinliği denetleme günlüklerine yazar. Yönetici Etkinliği denetleme günlüklerini devre dışı bırakamazsınız.
Cloud Search, yalnızca açıkça etkinleştirilirse Veri Erişimi denetleme günlüklerine yazar. Veri Erişimi denetleme günlüklerinde, kaynakların yapılandırmasını veya meta verilerini okuyan API çağrılarının yanı sıra kullanıcı tarafından sağlanan kaynak verilerini oluşturan, değiştiren veya okuyan kullanıcı odaklı API çağrıları da bulunur.
Cloud Search, Sistem Etkinliği denetleme günlüklerini yazmaz.
Cloud Search, Politika Reddedildi denetleme günlüklerini yazmaz.
Denetlenen işlemler
Aşağıda, Cloud Search'teki her bir denetleme günlüğü türüne karşılık gelen API işlemleri özetlenmiştir:
Denetleme günlükleri kategorisi | Cloud Search işlemleri |
---|---|
Yönetici Etkinliği: Yönetici yazma | dizine ekleme.datasources.updateSchema indexing.datasources.deleteSchema settings.datasources.create settings.datasources.delete settings.datasources.update settings.searchapplications.create settings.searchapplications.delete settings.searchapplications.reset settings.searchSourceService.update settings.updateCustomer cloudsearch.IdentitySourceService.create cloudsearch.cloudsearchIdentityService.update |
Veri erişimi: Yönetici okuma | indexing.datasources.getSchema settings.datasources.get settings.datasources.list settings.searchapplications.get settings.searchapplications.list settings.getCustomer cloudsearch.IdentitySourceService.get cloudsearch.IdentitySourceService.list |
Veri Erişimi: Veri yazma | indexing.datasources.items.delete indexing.datasources.items.deleteQueueItems indexing.datasources.items.index indexing.datasources.items.poll indexing.datasources.items.push indexing.datasources.items.unreserve indexing.datasources.items.upload media.upload |
Veri Erişimi: Veri okuma | indexing.datasources.items.get indexing.datasourcesmappedsearchids.items.list indexing.datasourcessources.items.list operations.get operations.list debug.datasources.items.searchByViewUrl stats.getIndex stats.getQuery stats.getSessionindex stats.getQuery stats.getSessionstas%C4%C5%9F%C3%B1t%C4%B1t%C3%B1t%C3%B1t%C3%B1t%C3%B1t%C3%B1t%C3%BC%C3%BC%C3%BCml%; |
Denetleme günlüğü biçimi
Günlük Gezgini, Cloud Logging API veya gcloud komut satırı aracı kullanılarak Cloud Logging'de görüntülenebilecek denetleme günlüğü girişleri aşağıdaki nesneleri içerir:
LogEntry
türünde bir nesne olan günlük girişinin kendisi.
Kullanışlı alanlar şunlardır:
logName
, kaynak kimliğini ve denetleme günlüğü türünü içerir.resource
, denetlenen işlemin hedefini içerir.timeStamp
, denetlenen işlemin zamanını içerir.protoPayload
, denetlenen bilgileri içerir.- Günlük girişinin protoPayload alanında tutulan bir AuditLog nesnesi olan denetleme günlüğü verileri.
İsteğe bağlı hizmete özgü denetim bilgileri (hizmete özgü bir nesnedir).
Önceki entegrasyonlar için bu nesne, AuditLog
nesnesinin serviceData
alanında tutulur. Sonraki entegrasyonlarda metadata
alanını kullanır.
Bu nesnelerdeki diğer alanlar ve bunların nasıl yorumlanacağı hakkında bilgi edinmek için Denetleme günlüklerini anlama bölümünü inceleyin.
Günlük adı
Cloud Denetleme Günlükleri kaynak adları, Cloud projesini veya denetim günlüklerinin sahibi olan diğer Google Cloud varlıklarını ve günlükte Yönetici Etkinliği, Veri Erişimi, Politika Reddedildi veya Sistem Etkinliği denetleme günlük kaydı verileri bulunup bulunmadığını belirtir. Örneğin, aşağıda proje düzeyindeki Yönetici Etkinliği denetleme günlükleri ve bir kuruluşun Veri Erişimi denetleme günlükleri için günlük adları gösterilmektedir. Değişkenler, proje ve kuruluş tanımlayıcılarını gösterir.
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
Hizmet adı
Cloud Search denetleme günlükleri, cloudsearch.googleapis.com
hizmet adını kullanır.
Kaynak türleri
Cloud Search denetleme günlükleri, tüm denetleme günlükleri için audited_resource
kaynak türünü kullanır.
Diğer kaynak türlerinin listesi için İzlenen kaynak türleri bölümüne bakın.
Denetleme günlüğünü etkinleştir
Cloud Search API için denetleme günlüğü varsayılan olarak devre dışıdır. Google Cloud Search için denetleme günlüğünü etkinleştirmek üzere:
(İsteğe bağlı) Günlükleri depolamak için bir Google Cloud Platform projesi oluşturmadıysanız Google Cloud Search API'ye erişimi yapılandırma başlıklı makaleye bakın.
Günlükleri depolamak istediğiniz Google Cloud için proje kimliğini alın. Proje kimliğini nasıl edineceğinizi öğrenmek için Projeleri tanımlama bölümünü inceleyin.
Belirli bir API için denetleme günlüğünü etkinleştirmek istiyorsanız etkinleştirilecek günlük kategorisini belirlemeniz gerekir. API'ler ve karşılık gelen kategorileri için bu belgenin önceki bölümlerinden Denetlenen işlemler bölümüne bakın.
Aşağıdakileri etkinleştirmek için ControlLogSettings'i günlük kategorileriyle güncellemek için
updateCustomer()
REST API yöntemini kullanın:Google Yetkilendirme Sunucusu'ndan OAuth 2.0 erişim jetonu alın. Jetonu alma hakkında daha fazla bilgi edinmek için Google API'lerine Erişmek için OAuth 2.0'ı Kullanma bölümünün 2. adımına bakın. Erişim jetonunu alırken aşağıdaki OAuth kapsamlarından birini kullanın:
https://www.googleapis.com/auth/cloud_search.settings.indexing
https://www.googleapis.com/auth/cloud_search.settings
https://www.googleapis.com/auth/cloud_search
Aşağıdaki curl komutunu çalıştırın.
curl --request PATCH \ 'https://cloudsearch.googleapis.com/v1/settings/customer?updateMask=auditLoggingSettings&key=[YOUR_API_KEY]' \ --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \ --header 'Content-Type: application/json' \ --data '{"auditLoggingSettings": { "project": "projects/PROJECT_ID", "CATEGORY1": "true", "CATEGORY2": "true" } }'
Burada:
YOUR_ACCESS_TOKEN
, 4a adımında alınan OAuth 2.0 erişim jetonudur.PROJECT_ID
, 2. adımda elde edilen proje kimliğidir.CATEGORY1
,CATEGORY2
,…
3. adımda etkinleştirmeyi seçtiğiniz kategorilerdir. Geçerli değerlerlogAdminReadActions
,logDataWriteActions
velogDataReadActions
şeklindedir. Yönetici yazma işlemleri varsayılan olarak etkindir ve devre dışı bırakılamaz. Sorgu yöntemleri için denetleme günlüğü oluşturmak istiyorsanız Veri okuma kategorisini etkinleştirmeniz gerekir.
AuditLoggingSettings
güncellendikten sonra, Cloud Search API'ye yapılan diğer isteklerAuditLoggingSettings
politikasında belirtilen proje kimliğinde bir denetleme günlüğü oluşturur.Sorgu yöntemleri için denetleme günlüğü, Veri okuma kategorisinin etkinleştirilmesini gerektirir (4. adımda yapılır). Sorgu yöntemlerinde (
query.sources.list
,query.suggest
vequery.search
) denetleme günlüğünü etkinleştirmek için şu ek adımları uygulayın:Denetleme günlüğünü etkinleştirmek istediğiniz her arama uygulamasının adını alın. Ad,
searchapplications/<search_application_id>
biçiminde olmalıdır.enableAuditLog
true
olarak ayarlanmış şekildesettings.searchapplications.update
öğesini çağırmak için adı kullanın.
cloudsearch.google.com
kaynaklı çağrılar için denetleme günlüğünü etkinleştirmek üzere Veri okuma kategorisinin etkinleştirildiğinden emin olun (4. adım). Buna ek olarak,searchapplications/default
değerininame
ile 5b adımını uygulayın .
Etkinleştirildikten sonra günlükler, Google Cloud Console'un Günlük Gezgini bölümünde görüntülenebilir. Yalnızca Cloud Search denetleme günlüklerini görüntülemek için aşağıdaki filtreyi kullanın:
protoPayload.serviceName="cloudsearch.googleapis.com"
Günlükleri görüntüleme hakkında bilgi edinmek için Günlük gezginine genel bakış bölümüne bakın.
Denetleme günlüğü izinleri
Identity and Access Management izinleri ve rolleri, görüntüleyebileceğiniz veya dışa aktarabileceğiniz denetleme günlüklerini belirler. Günlükler, Cloud projelerinde ve kuruluşlar, klasörler ve Cloud Billing hesapları gibi diğer varlıklarda bulunur. Daha fazla bilgi için Rolleri anlama bölümüne bakın.
Yönetici Etkinliği denetleme günlüklerini görüntülemek için projede denetleme günlüklerinizi içeren aşağıdaki IAM rollerinden birine sahip olmanız gerekir:
- Proje Sahibi, Proje Düzenleyici veya Proje Görüntüleyici
- Logging Günlük Görüntüleyici rolü
logging.logEntries.list
IAM iznine sahip özel IAM rolü
Veri Erişimi denetleme günlüklerini görüntülemek için projede denetleme günlüklerinizi içeren aşağıdaki rollerden birine sahip olmanız gerekir:
- Proje Sahibi
- Logging'in Özel Günlük Görüntüleyici rolü
logging.privateLogEntries.list
IAM iznine sahip özel IAM rolü
Bir kuruluş gibi proje harici bir varlığın denetleme günlüklerini kullanıyorsanız Cloud projesi rollerini uygun kuruluş rolleriyle değiştirin.
Günlükleri göster
Denetleme günlüklerini bulmak ve görüntülemek için denetleme günlüğü bilgilerini görüntülemek istediğiniz Cloud projesinin, klasörün veya kuruluşun tanımlayıcısını bilmeniz gerekir. Dizine eklenmiş diğer LogEntry
alanlarını (ör. resource.type) daha ayrıntılı olarak belirleyebilirsiniz. Ayrıntılar için Günlük Gezgini'nde sorgu oluşturma bölümünü inceleyin.
Aşağıda denetleme günlüğü adları verilmiştir. Bu adlar Cloud projesi, klasör veya kuruluşun tanımlayıcıları için değişkenler içerir:
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy
Denetleme günlüğü girişlerinizi görüntülemek için kullanabileceğiniz çeşitli seçenekler vardır.
kullanın.Konsol
Cloud Console'daki Günlük Gezgini'ni kullanarak Cloud projenizle ilgili denetleme günlüğü girişlerinizi alabilirsiniz:
Cloud Console'da Günlük Kaydı > Günlük Gezgini sayfasına gidin.
Günlük Gezgini sayfasında mevcut bir Cloud projesini seçin.
Sorgu oluşturucu bölmesinde aşağıdakileri yapın:
Kaynak bölümünde, denetleme günlüklerini görmek istediğiniz Google Cloud kaynak türünü seçin.
Günlük adı bölümünde, görmek istediğiniz denetleme günlüğü türünü seçin:
- Yönetici Etkinliği denetleme günlükleri için etkinlik'i seçin.
- Veri Erişimi denetleme günlükleri için data_access'i seçin.
- Sistem Etkinliği denetleme günlükleri için system_event öğesini seçin.
- Politika Reddedildi denetleme günlükleri için politika'yı seçin.
Bu seçenekleri görmüyorsanız Cloud projesinde bu tür bir denetleme günlüğü yok demektir.
Yeni Günlük Gezgini'ni kullanarak sorgulama hakkında daha fazla bilgi için Günlük Gezgini'nde sorgu oluşturma bölümüne bakın.
gcloud
gcloud, Logging API'ye bir komut satırı arayüzü sunar. Günlük adlarının her birinde geçerli bir PROJECT_ID
, FOLDER_ID
veya ORGANIZATION_ID
sağlayın.
Google Cloud proje düzeyindeki denetleme günlüğü girişlerinizi okumak için aşağıdaki komutu çalıştırın:
gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \ --project=PROJECT_ID
Klasör düzeyinde denetleme günlüğü girişlerinizi okumak için aşağıdaki komutu çalıştırın:
gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \ --folder=FOLDER_ID
Kuruluş düzeyindeki denetleme günlüğü girişlerinizi okumak için aşağıdaki komutu çalıştırın:
gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \ --organization=ORGANIZATION_ID
gcloud aracını kullanma hakkında daha fazla bilgi için gcloud logging read
bölümüne bakın.
API
Sorgularınızı oluştururken değişkenleri geçerli değerlerle değiştirin ve denetim günlüğü adlarında listelenen proje düzeyinde, klasör düzeyinde veya kuruluş düzeyinde denetleme günlüğü adını ya da tanımlayıcıları değiştirin. Örneğin, sorgunuzda PROJECT_ID bulunuyorsa sağladığınız proje tanımlayıcısı o anda seçili olan Cloud projesine başvurmalıdır.
Denetleme günlüğü girişlerinize bakmak üzere Logging API'yi kullanmak için aşağıdakileri yapın:
entries.list
yöntemiyle ilgili dokümanlarda Bu API'yi deneyin bölümüne gidin.Aşağıdakileri, Bu API'yi deneyin formunun İstek gövdesi bölümüne girin. Önceden doldurulmuş bu formu tıkladığınızda istek gövdesi otomatik olarak doldurulur ancak günlük adlarının her birinde geçerli bir
PROJECT_ID
sağlamanız gerekir.{ "resourceNames": [ "projects/PROJECT_ID" ], "pageSize": 5, "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" }
Execute (Yürüt) seçeneğini tıklayın.
Sorgulama hakkında daha fazla bilgi için Günlük kaydı sorgu dili bölümüne bakın.
Örnek bir denetleme günlüğü girişi ve bu girişteki en önemli bilgilerin nasıl bulunacağını öğrenmek için Denetleme günlüklerini anlama bölümünü inceleyin.
Denetleme günlüklerini dışa aktarma
Denetleme günlüklerini, diğer günlük türlerini dışa aktardığınız şekilde dışa aktarabilirsiniz. Günlüklerinizi dışa aktarmayla ilgili ayrıntılar için Günlükleri dışa aktarma bölümüne bakın. Denetleme günlüklerini dışa aktarmayla ilgili bazı uygulamalar:
Denetleme günlüklerini daha uzun süre saklamak veya daha güçlü arama özelliklerinden yararlanmak için denetleme günlüklerinizin kopyalarını Cloud Storage, BigQuery veya Pub/Sub'a aktarabilirsiniz. Pub/Sub'ı kullanarak başka uygulamalara, diğer depolara ve üçüncü taraflara aktarabilirsiniz.
Denetleme günlüklerinizi kuruluşun tamamında yönetmek için kuruluştaki herhangi bir Cloud projesinden veya tüm Cloud projelerinden günlükleri dışa aktarabilen toplu havuzlar oluşturabilirsiniz.
Etkinleştirilmiş Veri Erişimi denetleme günlükleriniz, Cloud projelerinizi günlük servis birimlerinin üzerine aktarıyorsa Veri Erişimi denetleme günlüklerini dışa aktarabilir ve Logging'den hariç tutabilirsiniz. Ayrıntılar için Günlükleri hariç tutma bölümünü inceleyin.
Fiyatlandırma ve elde tutma
Cloud Logging, tüm Yönetici Etkinliği denetleme günlükleri dahil, devre dışı bırakılamayan denetleme günlükleri için sizden ücret almaz. Cloud Logging, açıkça istediğiniz Veri Erişimi denetleme günlükleri için sizden ücret alır.
Denetleme günlükleri fiyatlandırması hakkında daha fazla bilgi için Google Cloud işlem paketi fiyatlandırması bölümüne bakın.
Cloud Search denetleme günlükleriyle ilişkili depolama süresi şu şekildedir:
- Yönetici Etkinliği günlükleri (veya Yönetici Yazma) - Bu günlükler 400 gün boyunca saklanır.
- Veri Erişimi günlükleri (Yönetici Okuma, Veri Yazma ve Veri Okuma): Bu günlükler 30 gün boyunca saklanır.
Depolama süresi hakkında daha fazla bilgi için Günlük tutma süreleri bölümüne bakın.
Mevcut sınırlamalar
Cloud Search denetleme günlük kaydı şu anda aşağıdaki sınırlamalara sahiptir:
Günlük girişinin boyutu 512 KB'tan az olmalıdır. Boyut 512 KB'ı aşarsa yanıt, günlük girişinden çıkarılır. Bu işlem, boyutu 512 KB veya daha düşük bir değere indirgemezse istek iptal edilir. Son olarak, boyut hâlâ 512 KB'ı aşıyorsa günlük girişi atlanır.
list()
,get()
vesuggest()
yöntemleri için yanıt gövdeleri günlüğe kaydedilmez. Ancak yanıt durumları mevcuttur.Yalnızca
cloudsearch.google.com
(etkinse) ve müşteri arama uygulamalarından gelen Sorgu API'si çağrıları günlüğe kaydedilir.search()
aramaları için isteğe yalnızcaQuery
,RequestOptions
veDataSourceRestriction
kaydedilir. Yanıtta her birSearchResult
için yalnızca URL ve meta veriler (kaynak veobjectType
) denetlenir.Cloud Search arka ucuna yapılan ve veri dışa aktarmayla ilişkili çağrılar denetlenmez.