On-Demand Scanning API 审核日志记录

本文档介绍了 On-Demand Scanning API 的审核日志记录。Google Cloud 服务会生成审核日志,以记录 Google Cloud 资源中的管理和访问活动。 如需详细了解 Cloud Audit Logs,请参阅以下内容:

服务名称

On-Demand Scanning API 审核日志使用服务名称 ondemandscanning.googleapis.com。 针对此服务的过滤条件:

    protoPayload.serviceName="ondemandscanning.googleapis.com"
  

方法(按权限类型)

每个 IAM 权限都有一个 type 属性,该属性的值是一个枚举,可以是以下四个值之一:ADMIN_READADMIN_WRITEDATA_READDATA_WRITE。在您调用某个方法时,On-Demand Scanning API 会生成一个审核日志,其类别取决于执行该方法所需权限的 type 属性。需要 IAM 权限且 type 属性值为 DATA_READDATA_WRITEADMIN_READ 的方法会生成数据访问审核日志。需要 IAM 权限且 type 属性值为 ADMIN_WRITE 的方法会生成管理员活动审核日志。

权限类型 方法
DATA_READ google.cloud.ondemandscanning.v1.ScannerService.ListVulnerabilities
google.cloud.ondemandscanning.v1beta1.ScannerService.ListVulnerabilities
DATA_WRITE google.cloud.ondemandscanning.v1beta1.ScannerService.AnalyzePackages

API 接口审核日志

如需了解如何评估每种方法的权限以及评估哪些权限,请参阅 On-Demand Scanning API 的 Identity and Access Management 文档。

google.cloud.ondemandscanning.v1.ScannerService

以下审核日志与属于 google.cloud.ondemandscanning.v1.ScannerService 的方法相关联。

AnalyzePackages

  • 方法google.cloud.ondemandscanning.v1.ScannerService.AnalyzePackages
  • 审核日志类型数据访问
  • 权限
    • ondemandscanning.scans.analyzePackages - DATA_WRITE
  • 方法是长时间运行的操作或流式传输操作长时间运行的操作
  • 此方法的过滤条件 protoPayload.methodName="google.cloud.ondemandscanning.v1.ScannerService.AnalyzePackages"

ListVulnerabilities

  • 方法google.cloud.ondemandscanning.v1.ScannerService.ListVulnerabilities
  • 审核日志类型数据访问
  • 权限
    • ondemandscanning.scans.listVulnerabilities - DATA_READ
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="google.cloud.ondemandscanning.v1.ScannerService.ListVulnerabilities"

google.cloud.ondemandscanning.v1beta1.ScannerService

以下审核日志与属于 google.cloud.ondemandscanning.v1beta1.ScannerService 的方法相关联。

AnalyzePackages

  • 方法google.cloud.ondemandscanning.v1beta1.ScannerService.AnalyzePackages
  • 审核日志类型数据访问
  • 权限
    • ondemandscanning.scans.analyzePackages - DATA_WRITE
  • 方法是长时间运行的操作或流式传输操作长时间运行的操作
  • 此方法的过滤条件 protoPayload.methodName="google.cloud.ondemandscanning.v1beta1.ScannerService.AnalyzePackages"

ListVulnerabilities

  • 方法google.cloud.ondemandscanning.v1beta1.ScannerService.ListVulnerabilities
  • 审核日志类型数据访问
  • 权限
    • ondemandscanning.scans.listVulnerabilities - DATA_READ
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="google.cloud.ondemandscanning.v1beta1.ScannerService.ListVulnerabilities"