このページでは、AI Platform Vizier で Cloud Audit Logs を使用する際の補足情報について説明します。Cloud Audit Logs を使用すると、AI Platform Vizier で実行された API オペレーションのログを生成できます。
監査ログは、誰がどこでいつ何をしたかを判断するために役立ちます。具体的には、監査ログでは監査の目的で、AI Platform Vizier リソースが Google Cloud Platform プロジェクト内でどのように変更およびアクセスされるかを追跡します。Cloud Audit Logs の一般的なコンセプトと入門ガイドについて詳しくは、Cloud Audit Logs をご覧ください。ログに記録される情報
Cloud Audit Logs のログには、次のタイプがあります。
管理アクティビティ ログ: AI Platform Vizier リソースの構成やメタデータを変更するオペレーションのログエントリが記録されます。管理アクティビティ ログには、カスタム動詞を使用してリソースを作成、削除、更新、または変更する API 呼び出しが含まれます。
データアクセス ログ: get や list など、データを変更しない読み取り専用オペレーションのログエントリが含まれます。他のサービスの監査ログとは異なり、AI Platform Vizier には
ADMIN_READ
データ アクセスログしかなく、通常、DATA_READ
ログやDATA_WRITE
ログはありません。これは、DATA_READ
ログとDATA_WRITE
ログが Cloud Storage、Spanner、Cloud SQL などの AI Platform Vizier には適用されないユーザーデータを保存および管理するサービスにのみ使用されるためです。
次のテーブルに、AI Platform Vizier のオペレーションとログタイプの関係を示します。
ログエントリのタイプ | サブタイプ | オペレーション |
---|---|---|
管理アクティビティ | なし |
|
データアクセス | ADMIN_READ |
|
AI Platform Vizier のログは AuditLog
オブジェクトを使用し、その他の Cloud Audit Logs ログと同じ形式が使用されます。ログには次のような情報が含まれます。
- リクエストを行ったユーザー(ユーザーのメールアドレスなど)
- リクエストされたリソース名
- リクエストの結果
ログの設定
デフォルトでは、管理アクティビティ ログが記録されます。これらのログは、ログ取り込み割り当ての計算対象になりません。
デフォルトでは、データアクセス ログは記録されません。これらのログは、ログ取り込み割り当ての計算対象になります。データアクセスに関連するオペレーションのロギングを有効にする方法については、データアクセス ログの構成をご覧ください。
ログへのアクセス
AI Platform Vizier のログにアクセスできるユーザーは、AI Platform Vizier のログと AI Platform Training のログにもアクセスできます。次のユーザーは管理アクティビティ ログを閲覧できます。
- プロジェクト オーナー、編集者、閲覧者
- IAM ロールがログ閲覧者であるユーザー
logging.logEntries.list
IAM 権限を持つユーザー
次のユーザーは、データアクセス ログを閲覧できます。
- プロジェクト オーナー
- IAM ロールがプライベート ログ閲覧者であるユーザー
logging.privateLogEntries.list
IAM 権限を持つユーザー
アクセス権を付与する手順については、リソースに対するアクセス権の付与、変更、取り消しをご覧ください。
ログの表示
監査ログの読み取りについては、監査ログの表示をご覧ください。
ログのエクスポート
ログの一部またはすべてのコピーを他のアプリケーション、他のリポジトリ、またはサードパーティにエクスポートできます。ログをエクスポートするには、ログのエクスポートの概要をご覧ください。
API を使用してログエントリを読み取る方法については、entries.list をご覧ください。SDK を使用してログエントリを読み取る方法については、ログエントリの読み取りをご覧ください。
次のステップ
- Cloud Logging を確認する。