Audit logging

Nella pagina vengono descritti gli audit log creati da Cloud Build.

Riepilogo audit logging

I servizi Google Cloud scrivono audit log per aiutarti a rispondere a domande su "chi ha fatto cosa, dove e quando?" all'interno dei tuoi progetti e delle tue organizzazioni Google Cloud.

Le informazioni verificate sono suddivise in diverse categorie di informazioni:

• Attività di amministrazione: operazioni che modificano la configurazione o i metadati di una risorsa Cloud Build. Qualsiasi chiamata API che crea o annulla una build e crea, elimina, abilita, disabilita o aggiorna un trigger rientra in questa categoria. Queste informazioni di controllo sono fornite per impostazione predefinita.

• Accesso ai dati (ADMIN_READ): operazioni che leggono la configurazione o i metadati di un progetto, una build o un trigger. Queste informazioni di controllo non sono fornite per impostazione predefinita.

• Accesso ai dati (DATA_READ): operazioni che leggono i dati forniti dall'utente da una risorsa. Queste informazioni di controllo non sono fornite per impostazione predefinita.

• Accesso ai dati (DATA_WRITE): operazioni che scrivono i dati forniti dall'utente in una risorsa. Queste informazioni di controllo non sono fornite per impostazione predefinita.

Per maggiori informazioni, consulta Audit logging di Cloud.

Operazioni con audit

La tabella seguente riassume le operazioni dell'API Cloud Build elencate in ogni categoria di audit log:

Categoria di audit log	Operazioni di Cloud Build
Attività di amministrazione	projects.builds.create projects.builds.cancel projects.builds.approve projects.triggers.create projects.triggers.delete projects.triggers.update Esecuzione dei trigger mediante il pulsante Esegui trigger nella console Google Cloud Creazione/aggiornamento dei criteri IAM
Accesso ai dati (ADMIN_READ)	projects.builds.get projects.builds.list projects.triggers.list projects.triggers.get Recupero dei criteri IAM
Accesso ai dati (DATA_READ)	Nessuna esperienza
Accesso ai dati (DATA_WRITE)	Nessuna esperienza

A differenza degli audit log per altri servizi, Cloud Build dispone solo di ADMIN_READ log di accesso ai dati e non offre i log DATA_READ e DATA_WRITE. Questo perché i log DATA_READ e DATA_WRITE vengono utilizzati solo per i servizi che archiviano e gestiscono i dati utente e Cloud Build considera le build e i trigger come informazioni di configurazione amministrative.

Autorizzazioni per l'accesso ai log

I seguenti utenti possono visualizzare i log delle attività di amministrazione:

• Proprietari, editor e visualizzatori del progetto.
• Utenti con il ruolo IAM Visualizzatore log.
• Utenti con autorizzazione IAM di logging.logEntries.list.

I seguenti utenti possono visualizzare i log di accesso ai dati:

• Proprietari del progetto.
• Utenti con il ruolo IAM Visualizzatore log privati.
• Utenti con l'autorizzazione IAM logging.privateLogEntries.list.

Per istruzioni sulla concessione delle autorizzazioni IAM, consulta Configurazione del controllo dell'accesso.

Formato degli audit log

Le voci di audit log hanno la seguente struttura:

• Un oggetto di tipo LogEntry che contiene l'intera voce di log.
• Un oggetto di tipo AuditLog contenuto nel campo protoPayload dell'oggetto LogEntry.

Sapere quali informazioni sono conservate in questi oggetti ti aiuterà a comprendere e recuperare le voci degli audit log utilizzando Esplora log e l'API Stackdriver Logging.

Tutte le voci degli audit log contengono il nome di un audit log, di una risorsa e di un servizio:

• logName: questo campo indica se il log è un audit log dell'attività di amministrazione o dell'accesso ai dati. Ad esempio:

  projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity
  projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
  organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Factivity
  organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
  

  All'interno di un progetto o di un'organizzazione, questi nomi di log sono suffissi con l'abbreviazione activity o data_access.

• Tipo di risorsa monitorata:

  • build: include il trigger di progetto, build e build per l'operazione controllata.

• serviceName: per Cloud Build, il campo conterrà cloudbuild.googleapis.com.

  I tipi di risorse appartengono a un singolo servizio, ma un servizio può avere diversi tipi di risorse. Per un elenco di servizi e risorse, consulta la pagina relativa alla mappatura dei servizi alle risorse.

Per maggiori dettagli, consulta Tipi di dati degli audit log.

Abilitazione dei log

I log delle attività dell'amministratore sono abilitati e registrati per impostazione predefinita. Questi log non incidono sulla quota di importazione dei log.

I log degli accessi ai dati per le operazioni di Cloud Build non vengono registrati per impostazione predefinita. Puoi configurare gli audit log di accesso ai dati nel progetto o nell'organizzazione. Per informazioni su come abilitare i log per le operazioni di tipo di accesso ai dati, consulta Configurazione dei log di accesso ai dati.

Quote e limiti

I log delle attività di amministrazione non vengono conteggiati ai fini della quota di importazione dei log.

Le operazioni di accesso ai dati sono voluminose e vengono conteggiate ai fini della quota di importazione dei log.

Per saperne di più, consulta Quote e limiti.

Visualizzazione dei log

Per visualizzare un riepilogo della tua attività di amministrazione:

• Apri l'attività della piattaforma Google Cloud:

  Vai ad Attività

Per selezionare e filtrare i log e visualizzarli in dettaglio:

1. Apri la pagina Esplora log:

   Vai alla pagina Esplora log

2. Nel primo menu a discesa, seleziona la risorsa di cui vuoi visualizzare gli audit log. Seleziona un progetto specifico o "tutti i progetti".

3. Nel secondo menu, seleziona il nome del log che vuoi visualizzare: activity per gli audit log dell'attività di amministrazione e data_access per gli audit log di accesso ai dati (se i log sono disponibili).

Gli audit log vengono visualizzati in Esplora log.

Puoi anche utilizzare l'interfaccia di filtro avanzata di Esplora log per specificare il tipo di risorsa e il nome log. Per ulteriori informazioni, consulta Recupero degli audit log.

Esportazione degli audit log

Puoi esportare copie di alcuni o di tutti i log in altre applicazioni, altri repository o terze parti. Per esportare i log, vedi Esportazione dei log.

Un'organizzazione può creare un sink aggregato in grado di esportare voci di log da tutti i progetti, le cartelle e gli account di fatturazione dell'organizzazione. Come per qualsiasi sink, il sink aggregato contiene un filtro che seleziona le singole voci di log. Per aggregare ed esportare gli audit log, vedi Sink aggregati.

Per leggere le voci di log tramite l'API, consulta entries.list. Per leggere le voci di log utilizzando l'SDK, consulta Lettura delle voci di log.

Passaggi successivi

• Leggi la pagina Esplora log per istruzioni su come filtrare i log.
• Per istruzioni sull'esportazione dei log, consulta la pagina Configurare e gestire i sink.
• Scopri come archiviare e visualizzare i log di build.