Audit logging

La pagina descrive gli audit log creati da Cloud Build.

Riepilogo audit log

I servizi Google Cloud scrivono audit log per aiutarti a rispondere a domande come "chi ha fatto cosa, dove e quando?" nei tuoi progetti e organizzazioni Google Cloud.

Le informazioni controllate sono suddivise in diverse categorie:

  • Attività di amministrazione: operazioni che modificano la configurazione o i metadati di una risorsa di Cloud Build. Qualsiasi chiamata API che crea o annulla una build e crea, elimina, abilita, disabilita o aggiorna un trigger rientra in questa categoria. Queste informazioni di controllo sono fornite per impostazione predefinita.

  • Accesso ai dati (ADMIN_READ): operazioni che leggono la configurazione o i metadati di un progetto, una build o un trigger. Queste informazioni di controllo non sono fornite per impostazione predefinita.

  • Accesso ai dati (DATA_READ): operazioni che leggono i dati forniti dall'utente da una risorsa. Queste informazioni di controllo non sono fornite per impostazione predefinita.

  • Accesso ai dati (DATA_WRITE): operazioni che scrivono i dati forniti dall'utente in una risorsa. Queste informazioni di controllo non sono fornite per impostazione predefinita.

Per ulteriori informazioni, vedi Cloud Audit Logging.

Operazioni con audit

La tabella seguente riepiloga le operazioni dell'API Cloud Build elencate in ogni categoria di log di controllo:

Categoria di audit log Operazioni di Cloud Build
Attività di amministrazione
  • projects.builds.create
  • projects.builds.cancel
  • projects.builds.approve
  • projects.triggers.create
  • projects.triggers.delete
  • projects.triggers.update
  • Esecuzione dei trigger utilizzando il pulsante Esegui trigger in Google Cloud Console
  • Creazione/aggiornamento di criteri IAM
Accesso ai dati (ADMIN_READ)
  • projects.builds.get
  • projects.builds.list
  • projects.triggers.list
  • projects.triggers.get
  • Recupero dei criteri IAM
Accesso ai dati (DATA_READ) Nessuno
Accesso ai dati (DATA_WRITE) Nessuno

A differenza degli audit log per altri servizi, Cloud Build ha solo log di accesso ai dati ADMIN_READ e non offre log DATA_READ e DATA_WRITE. Questo perché i log DATA_READ e DATA_WRITE vengono utilizzati solo per i servizi che archiviano e gestiscono i dati utente e Cloud Build considera le build e i trigger come informazioni di configurazione amministrative.

Autorizzazioni per l'accesso ai log

I seguenti utenti possono visualizzare i log delle attività di amministrazione:

I seguenti utenti possono visualizzare i log di accesso ai dati:

  • Proprietari del progetto.
  • Utenti con il ruolo Visualizzatore log privati.
  • Utenti con l'autorizzazione IAM logging.privateLogEntries.list.

Per istruzioni sulla concessione delle autorizzazioni IAM, consulta la sezione Configurare il controllo degli accessi.

Formato degli audit log

Le voci del log di controllo hanno la seguente struttura:

  • Un oggetto di tipo LogEntry che contiene l'intera voce di log.
  • Un oggetto di tipo AuditLog che si trova nel campo protoPayload dell'oggetto LogEntry.

Conoscere le informazioni contenute in questi oggetti ti aiuterà a comprendere e recuperare le voci dei log di controllo utilizzando Esplora log e l'API Stackdriver Logging.

Tutte le voci degli audit log contengono il nome di uno audit log, una risorsa e un servizio:

  • logName: questo campo indica se il log è un log di controllo dell'attività di amministrazione o dell'accesso ai dati. Ad esempio:

    projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity
    projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
    organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Factivity
    organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
    

    All'interno di un progetto o di un'organizzazione, questi nomi di log contengono il suffisso activity o data_access abbreviato.

  • Tipo di risorsa monitorata:

    • build: include il progetto, la build e il trigger di build per l'operazione controllata.
  • serviceName: per Cloud Build, il campo conterrà cloudbuild.googleapis.com.

    I tipi di risorse appartengono a un singolo servizio, ma un servizio può avere vari tipi di risorse. Per un elenco dei servizi e delle risorse, consulta Mappatura dei servizi sulle risorse.

Per maggiori dettagli, vedi Tipi di dati del log di controllo.

Abilitazione dei log in corso...

I log delle attività di amministrazione sono attivi e registrati per impostazione predefinita. Questi log non vengono conteggiati ai fini della quota di importazione dei log.

I log di accesso ai dati per le operazioni di Cloud Build non sono registrati per impostazione predefinita. Puoi configurare gli audit log di accesso ai dati nel tuo progetto o organizzazione. Per informazioni su come abilitare i log per le operazioni di tipo accesso dati, consulta Configurazione dei log di accesso ai dati.

Quote e limiti

I log delle attività di amministrazione non sono inclusi nel calcolo della quota di importazione dei log.

Le operazioni di accesso ai dati sono voluminose e vengono conteggiate per la quota di importazione dei log.

Per ulteriori informazioni, consulta la sezione Quote e limiti.

Visualizzazione dei log

Per visualizzare un riepilogo della tua attività di amministrazione:

Per selezionare e filtrare i log e visualizzarli in dettaglio:

  1. Apri la pagina Esplora log:

    Vai alla pagina Esplora log

  2. Nel primo menu a discesa, seleziona la risorsa di cui vuoi visualizzare i log di controllo. Seleziona un progetto specifico o "tutti i progetti".

  3. Nel secondo menu, seleziona il nome del log che vuoi visualizzare: activity per i log di controllo dell'attività dell'amministratore e data_access per i log di controllo di accesso ai dati (se i log sono disponibili).

I log di controllo vengono visualizzati in Esplora log.

Puoi anche utilizzare l'interfaccia avanzata del filtro di Esplora log per specificare il tipo di risorsa e il nome del log. Per maggiori informazioni, consulta la sezione Recupero dei log di controllo.

Esportazione degli audit log

Puoi esportare copie di alcuni o tutti i log in altre applicazioni, altri repository o terze parti. Per esportare i log, vedi Esportazione dei log.

Un'organizzazione può creare un sink aggregato per esportare le voci di log di tutti i progetti, le cartelle e gli account di fatturazione dell'organizzazione. Come in qualsiasi sink, il sink aggregato contiene un filtro che seleziona singole voci di log. Per aggregare ed esportare i log di controllo, consulta la sezione Sink aggregati.

Per leggere le voci di log tramite l'API, consulta entries.list. Per leggere le voci di log tramite l'SDK, consulta Lettura delle voci di log.

Passaggi successivi