审核日志记录

本页面介绍了 Cloud Build 创建的审核日志。

审核日志摘要

Google Cloud 服务会写入审核日志,可帮助解答在您的 Google Cloud 项目和组织中“谁在何时在何处执行了什么操作”等疑问。

审核信息可分为不同的类别:

  • 管理员活动:修改 Cloud Build 资源的配置或元数据的操作。任何创建或取消构建,以及创建、删除、启用、停用或更新触发器的 API 调用都属于此类别。默认情况下,系统提供此审核信息。

  • 数据访问 (ADMIN_READ):读取项目、构建或触发器的配置或元数据的操作。默认情况下,系统不提供此审核信息。

  • 数据访问 (DATA_READ):从资源读取用户所提供数据的操作。默认情况下,系统不提供此审核信息。

  • 数据访问 (DATA_WRITE):将用户提供的数据写入资源的操作。默认情况下,系统不提供此审核信息。

如需了解详情,请参阅 Cloud Audit Logging

审核的操作

下表汇总了每个审核日志类别中列出的 Cloud Build API 操作:

审核日志类别 Cloud Build 操作
管理活动
  • projects.builds.create
  • projects.builds.cancel
  • projects.builds.approve
  • projects.triggers.create
  • projects.triggers.delete
  • projects.triggers.update
  • 使用 Google Cloud Console 中的运行触发器按钮运行触发器
  • 创建/更新 IAM 政策
数据访问 (ADMIN_READ)
  • projects.builds.get
  • projects.builds.list
  • projects.triggers.list
  • projects.triggers.get
  • 获取 IAM 政策
数据访问 (DATA_READ)
数据访问 (DATA_WRITE)

与其他服务的审核日志不同,Cloud Build 只有 ADMIN_READ 数据访问日志,并且不提供 DATA_READDATA_WRITE 日志。这是因为 DATA_READDATA_WRITE 日志仅用于存储和管理用户数据的服务,而 Cloud Build 将构建和触发器视为管理配置信息。

访问日志的权限

以下用户可以查看管理员活动日志:

以下用户可以查看数据访问日志:

  • 项目所有者。
  • 具有 Private Logs Viewer IAM 角色的用户。
  • 拥有 logging.privateLogEntries.list IAM 权限的用户。

有关授予 IAM 权限的说明,请参阅配置访问控制

审核日志格式

审核日志条目的结构如下:

  • 一个类型为 LogEntry 的对象,其中包含整个日志条目。
  • 一个类型为 AuditLog 的对象,保存在 LogEntry 对象的 protoPayload 字段中。

了解这些对象中保存了哪些信息有助于您使用日志查看器和 Stackdriver Logging API 来了解和检索审核日志条目。

所有审核日志条目都包含审核日志、资源和服务的名称:

  • logName:此字段指示日志是管理员活动还是数据访问审核日志。例如:

    projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity
    projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
    organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Factivity
    organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
    

    在项目或组织中,这些日志名称以缩写 activitydata_access 为后缀。

  • 受监控的资源类型

    • build:包括审核的操作相关的项目、构建和构建触发器。
  • serviceName:对于 Cloud Build,该字段包含 cloudbuild.googleapis.com

    资源类型属于单项服务,但一项服务可以有多种资源类型。如需查看服务和资源的列表,请参阅将服务映射到资源

如需了解详情,请参阅审核日志数据类型

启用日志

默认情况下,系统会启用并记录管理员活动日志。这些日志不计入您的日志提取配额

默认情况下,系统不记录 Cloud Build 操作相关的数据访问日志。您可以在项目或组织中配置数据访问审核日志。要了解如何启用数据访问型操作日志,请参阅配置数据访问日志

配额和限制

管理员活动日志不计入您的日志提取配额。

数据访问操作量较大,因此会计入您的日志提取配额。

如需了解详情,请参阅配额和限制

查看日志

要查看管理员活动的摘要,请执行以下操作:

如需选择和过滤日志并详细查看日志,请执行以下操作:

  1. 打开“日志查看器”页面

    转到“日志查看器”页面

  2. 在第一个下拉菜单中,选择您要查看其审核日志的资源。选择特定项目或“所有项目”。

  3. 在第二个菜单中,选择您要查看的日志名称:activity 表示管理员活动审核日志,data_access 表示数据访问审核日志(如果提供了这些日志)。

随后,审核日志会显示在日志查看器中。

您还可以使用日志查看器的高级过滤条件界面指定资源类型和日志名称。如需了解详情,请参阅检索审核日志

导出审核日志

您可以将部分或全部日志的副本导出到其他应用、其他存储库或第三方。要导出日志,请参阅导出日志

组织可以创建一个汇总接收器,以便从组织的所有项目、文件夹和结算帐号中导出日志条目。与任何接收器一样,汇总接收器中包含一个用于选择单个日志条目的过滤条件。如需汇总和导出审核日志,请参阅汇总接收器

要通过 API 读取日志条目,请参阅 entries.list。要使用 SDK 读取日志条目,请参阅读取日志条目

后续步骤