Logging audit

Halaman ini menjelaskan log audit yang dibuat oleh Cloud Build.

Ringkasan logging audit

Layanan Google Cloud menulis log audit untuk membantu Anda menjawab pertanyaan "siapa yang melakukan apa, di mana, dan kapan?" dalam project dan organisasi Google Cloud Anda.

Informasi yang diaudit dibagi menjadi beberapa kategori informasi:

  • Aktivitas Admin: Operasi yang mengubah konfigurasi atau metadata resource Cloud Build. Setiap panggilan API yang membuat atau membatalkan build, dan membuat, menghapus, mengaktifkan, menonaktifkan, atau memperbarui pemicu akan dimasukkan ke dalam kategori ini. Informasi audit ini disediakan secara default.

  • Akses Data (ADMIN_READ): Operasi yang membaca konfigurasi atau metadata project, build, atau pemicu. Informasi audit ini tidak diberikan secara default.

  • Akses Data (DATA_READ): Operasi yang membaca data yang disediakan pengguna dari resource. Informasi audit ini tidak disediakan secara default.

  • Akses Data (DATA_WRITE): Operasi yang menulis data yang disediakan pengguna ke resource. Informasi audit ini tidak disediakan secara default.

Untuk informasi selengkapnya, lihat Logging Audit Cloud.

Operasi yang diaudit

Tabel berikut meringkas operasi Cloud Build API mana yang tercantum di setiap kategori log audit:

Kategori log audit Operasi Cloud Build
Aktivitas admin
  • projects.builds.create
  • projects.builds.cancel
  • projects.builds.approve
  • projects.triggers.create
  • projects.triggers.delete
  • projects.triggers.update
  • Menjalankan pemicu menggunakan tombol Jalankan Pemicu di Konsol Google Cloud
  • Membuat/memperbarui kebijakan IAM
Akses data (ADMIN_READ)
  • projects.builds.get
  • projects.builds.list
  • projects.triggers.list
  • projects.triggers.get
  • Mendapatkan kebijakan IAM
Akses data (DATA_READ) Tidak ada
Akses data (DATA_WRITE) Tidak ada

Tidak seperti log audit untuk layanan lainnya, Cloud Build hanya memiliki log akses data ADMIN_READ dan tidak menawarkan log DATA_READ dan DATA_WRITE. Hal ini karena log DATA_READ dan DATA_WRITE hanya digunakan untuk layanan yang menyimpan dan mengelola data pengguna, dan Cloud Build menganggap build dan pemicu sebagai informasi konfigurasi administratif.

Izin untuk mengakses log

Pengguna berikut dapat melihat log aktivitas admin:

Pengguna berikut dapat melihat log akses data:

  • Pemilik project.
  • Pengguna dengan peran IAM Private Logs Viewer.
  • Pengguna dengan izin IAM logging.privateLogEntries.list.

Untuk mengetahui petunjuk tentang cara memberikan izin IAM, lihat Mengonfigurasi Kontrol Akses.

Format log audit

Entri log audit memiliki struktur berikut:

  • Objek dengan jenis LogEntry yang berisi seluruh entri log.
  • Objek dengan jenis AuditLog yang disimpan di kolom protoPayload dari objek LogEntry.

Mengetahui informasi yang disimpan dalam objek ini akan membantu Anda memahami dan mengambil entri log audit menggunakan Logs Explorer dan Stackdriver Logging API.

Semua entri log audit berisi nama log audit, resource, dan layanan:

  • logName: Kolom ini akan menunjukkan apakah log adalah log audit Aktivitas Admin atau Akses Data. Contoh:

    projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity
projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Factivity
organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access

    Dalam project atau organisasi, nama log ini diberi akhiran activity atau data_access yang disingkat.

  • Jenis resource yang dimonitor:

    • build: Mencakup project, build, dan pemicu build untuk operasi yang diaudit.

  • serviceName: Untuk Cloud Build, kolomnya akan berisi cloudbuild.googleapis.com.

    Jenis resource dimiliki oleh satu layanan, tetapi layanan dapat memiliki beberapa jenis resource. Untuk mengetahui daftar layanan dan resource, lihat Memetakan layanan ke resource.

Untuk mengetahui detail selengkapnya, lihat Jenis Data Log Audit.

Mengaktifkan log

Log aktivitas admin diaktifkan dan dicatat secara default. Log ini tidak mengurangi kuota penyerapan log Anda.

Log akses data untuk operasi Cloud Build tidak dicatat secara default. Anda dapat mengonfigurasi log audit Akses Data di project atau organisasi Anda. Guna mempelajari cara mengaktifkan log untuk operasi jenis akses data, lihat Mengonfigurasi Log Akses Data.

Kuota dan batas

Log Aktivitas Admin tidak diperhitungkan dalam kuota penyerapan log Anda.

Operasi akses data memerlukan volume yang tinggi dan dapat mengurangi kuota penyerapan log Anda.

Untuk mengetahui informasi selengkapnya, lihat Kuota dan Batas.

Melihat log

Untuk melihat ringkasan Aktivitas Admin Anda:

Untuk memilih dan memfilter log serta melihatnya secara mendetail:

  1. Buka halaman Logs Explorer:

    Buka halaman Logs Explorer

  2. Di menu drop-down pertama, pilih resource yang log auditnya ingin Anda lihat. Pilih project tertentu atau "semua project".

  3. Di menu kedua, pilih nama log yang ingin Anda lihat: activity untuk log audit Aktivitas Admin dan data_access untuk log audit Akses Data (jika log tersedia).

Log audit akan muncul di Logs Explorer.

Anda juga dapat menggunakan antarmuka filter lanjutan Logs Explorer untuk menentukan jenis resource dan nama log. Untuk mengetahui informasi lebih lanjut, baca artikel Mengambil log audit.

Mengekspor log audit

Anda dapat mengekspor salinan beberapa atau semua log Anda ke aplikasi lain, repositori lain, atau pihak ketiga. Untuk mengekspor log, lihat Mengekspor log.

Organisasi dapat membuat sink gabungan yang dapat mengekspor entri log dari semua project, folder, dan akun penagihan organisasi. Seperti sink lainnya, sink gabungan Anda berisi filter yang memilih masing-masing entri log. Untuk menggabungkan dan mengekspor log audit, lihat Sink gabungan.

Untuk membaca entri log Anda melalui API, lihat entries.list. Untuk membaca entri log Anda menggunakan SDK, lihat Membaca entri log.

Langkah berikutnya