このページは Cloud Translation API によって翻訳されました。

Certificate Manager の監査ロギング

このドキュメントでは、Certificate Manager の監査ログについて説明します。Google Cloud サービスでは、管理アクティビティと、Google Cloud リソース内のアクセスを記録する監査ログを書き込みます。詳しくは、Cloud Audit Logs の概要をご覧ください。

このページの最終生成日時は 2024-05-21 17:57:08 UTC です。

サービス名

Certificate Manager 監査ログでは、サービス名 certificatemanager.googleapis.com が使用されます。

メソッド（権限タイプ別）

DATA_READ、DATA_WRITE、ADMIN_READ の各権限タイプを確認するメソッドの場合は、データアクセス監査ログです。ADMIN_WRITE 権限タイプを確認するメソッドの場合、管理アクティビティ監査ログです。

権限タイプ	メソッド
ADMIN_READ	google.cloud.certificatemanager.v1.CertificateManager.GetCertificate google.cloud.certificatemanager.v1.CertificateManager.GetCertificateIssuanceConfig google.cloud.certificatemanager.v1.CertificateManager.GetCertificateMap google.cloud.certificatemanager.v1.CertificateManager.GetCertificateMapEntry google.cloud.certificatemanager.v1.CertificateManager.GetDnsAuthorization google.cloud.certificatemanager.v1.CertificateManager.GetTrustConfig google.cloud.certificatemanager.v1.CertificateManager.ListCertificateIssuanceConfigs google.cloud.certificatemanager.v1.CertificateManager.ListCertificateMapEntries google.cloud.certificatemanager.v1.CertificateManager.ListCertificateMaps google.cloud.certificatemanager.v1.CertificateManager.ListCertificates google.cloud.certificatemanager.v1.CertificateManager.ListDnsAuthorizations google.cloud.certificatemanager.v1.CertificateManager.ListTrustConfigs google.longrunning.Operations.GetOperation google.longrunning.Operations.ListOperations
ADMIN_WRITE	google.cloud.certificatemanager.v1.CertificateManager.CreateCertificate google.cloud.certificatemanager.v1.CertificateManager.CreateCertificateIssuanceConfig google.cloud.certificatemanager.v1.CertificateManager.CreateCertificateMap google.cloud.certificatemanager.v1.CertificateManager.CreateCertificateMapEntry google.cloud.certificatemanager.v1.CertificateManager.CreateDnsAuthorization google.cloud.certificatemanager.v1.CertificateManager.CreateTrustConfig google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificate google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificateIssuanceConfig google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificateMap google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificateMapEntry google.cloud.certificatemanager.v1.CertificateManager.DeleteDnsAuthorization google.cloud.certificatemanager.v1.CertificateManager.DeleteTrustConfig google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificate google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificateMap google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificateMapEntry google.cloud.certificatemanager.v1.CertificateManager.UpdateDnsAuthorization google.cloud.certificatemanager.v1.CertificateManager.UpdateTrustConfig google.longrunning.Operations.CancelOperation google.longrunning.Operations.DeleteOperation

権限タイプ

メソッド

ADMIN_READ

google.cloud.certificatemanager.v1.CertificateManager.GetCertificate
google.cloud.certificatemanager.v1.CertificateManager.GetCertificateIssuanceConfig
google.cloud.certificatemanager.v1.CertificateManager.GetCertificateMap
google.cloud.certificatemanager.v1.CertificateManager.GetCertificateMapEntry
google.cloud.certificatemanager.v1.CertificateManager.GetDnsAuthorization
google.cloud.certificatemanager.v1.CertificateManager.GetTrustConfig
google.cloud.certificatemanager.v1.CertificateManager.ListCertificateIssuanceConfigs
google.cloud.certificatemanager.v1.CertificateManager.ListCertificateMapEntries
google.cloud.certificatemanager.v1.CertificateManager.ListCertificateMaps
google.cloud.certificatemanager.v1.CertificateManager.ListCertificates
google.cloud.certificatemanager.v1.CertificateManager.ListDnsAuthorizations
google.cloud.certificatemanager.v1.CertificateManager.ListTrustConfigs
google.longrunning.Operations.GetOperation
google.longrunning.Operations.ListOperations

ADMIN_WRITE

google.cloud.certificatemanager.v1.CertificateManager.CreateCertificate
google.cloud.certificatemanager.v1.CertificateManager.CreateCertificateIssuanceConfig
google.cloud.certificatemanager.v1.CertificateManager.CreateCertificateMap
google.cloud.certificatemanager.v1.CertificateManager.CreateCertificateMapEntry
google.cloud.certificatemanager.v1.CertificateManager.CreateDnsAuthorization
google.cloud.certificatemanager.v1.CertificateManager.CreateTrustConfig
google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificate
google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificateIssuanceConfig
google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificateMap
google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificateMapEntry
google.cloud.certificatemanager.v1.CertificateManager.DeleteDnsAuthorization
google.cloud.certificatemanager.v1.CertificateManager.DeleteTrustConfig
google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificate
google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificateMap
google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificateMapEntry
google.cloud.certificatemanager.v1.CertificateManager.UpdateDnsAuthorization
google.cloud.certificatemanager.v1.CertificateManager.UpdateTrustConfig
google.longrunning.Operations.CancelOperation
google.longrunning.Operations.DeleteOperation

API インターフェースごとの監査ログ

評価対象の権限と各メソッドでの評価方法については、Identity and Access Management のドキュメントで Certificate Manager の情報をご覧ください。

google.cloud.certificatemanager.v1.CertificateManager

google.cloud.certificatemanager.v1.CertificateManager に属するメソッドに関連付けられた監査ログの詳細。

google.cloud.certificatemanager.v1.CertificateManager.CreateCertificate

メソッド: google.cloud.certificatemanager.v1.CertificateManager.CreateCertificate
監査ログのタイプ: 管理アクティビティ
権限:
- certificatemanager.certs.create - ADMIN_WRITE
メソッドは長時間実行オペレーションかストリーミングか: 長時間実行オペレーション
このメソッドのフィルタ: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.CreateCertificate"

google.cloud.certificatemanager.v1.CertificateManager.CreateCertificateIssuanceConfig

メソッド: google.cloud.certificatemanager.v1.CertificateManager.CreateCertificateIssuanceConfig
監査ログのタイプ: 管理アクティビティ
権限:
- certificatemanager.certissuanceconfigs.create - ADMIN_WRITE
メソッドは長時間実行オペレーションかストリーミングか: 長時間実行オペレーション
このメソッドのフィルタ: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.CreateCertificateIssuanceConfig"

google.cloud.certificatemanager.v1.CertificateManager.CreateCertificateMap

メソッド: google.cloud.certificatemanager.v1.CertificateManager.CreateCertificateMap
監査ログのタイプ: 管理アクティビティ
権限:
- certificatemanager.certmaps.create - ADMIN_WRITE
メソッドは長時間実行オペレーションかストリーミングか: 長時間実行オペレーション
このメソッドのフィルタ: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.CreateCertificateMap"

google.cloud.certificatemanager.v1.CertificateManager.CreateCertificateMapEntry

メソッド: google.cloud.certificatemanager.v1.CertificateManager.CreateCertificateMapEntry
監査ログのタイプ: 管理アクティビティ
権限:
- certificatemanager.certmapentries.create - ADMIN_WRITE
メソッドは長時間実行オペレーションかストリーミングか: 長時間実行オペレーション
このメソッドのフィルタ: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.CreateCertificateMapEntry"

google.cloud.certificatemanager.v1.CertificateManager.CreateDnsAuthorization

メソッド: google.cloud.certificatemanager.v1.CertificateManager.CreateDnsAuthorization
監査ログのタイプ: 管理アクティビティ
権限:
- certificatemanager.dnsauthorizations.create - ADMIN_WRITE
メソッドは長時間実行オペレーションかストリーミングか: 長時間実行オペレーション
このメソッドのフィルタ: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.CreateDnsAuthorization"

google.cloud.certificatemanager.v1.CertificateManager.CreateTrustConfig

メソッド: google.cloud.certificatemanager.v1.CertificateManager.CreateTrustConfig
監査ログのタイプ: 管理アクティビティ
権限:
- certificatemanager.trustconfigs.create - ADMIN_WRITE
メソッドは長時間実行オペレーションかストリーミングか: 長時間実行オペレーション
このメソッドのフィルタ: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.CreateTrustConfig"

google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificate

メソッド: google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificate
監査ログのタイプ: 管理アクティビティ
権限:
- certificatemanager.certs.delete - ADMIN_WRITE
メソッドは長時間実行オペレーションかストリーミングか: 長時間実行オペレーション
このメソッドのフィルタ: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificate"

google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificateIssuanceConfig

メソッド: google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificateIssuanceConfig
監査ログのタイプ: 管理アクティビティ
権限:
- certificatemanager.certissuanceconfigs.delete - ADMIN_WRITE
メソッドは長時間実行オペレーションかストリーミングか: 長時間実行オペレーション
このメソッドのフィルタ: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificateIssuanceConfig"

google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificateMap

メソッド: google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificateMap
監査ログのタイプ: 管理アクティビティ
権限:
- certificatemanager.certmaps.delete - ADMIN_WRITE
メソッドは長時間実行オペレーションかストリーミングか: 長時間実行オペレーション
このメソッドのフィルタ: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificateMap"

google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificateMapEntry

メソッド: google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificateMapEntry
監査ログのタイプ: 管理アクティビティ
権限:
- certificatemanager.certmapentries.delete - ADMIN_WRITE
メソッドは長時間実行オペレーションかストリーミングか: 長時間実行オペレーション
このメソッドのフィルタ: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificateMapEntry"

google.cloud.certificatemanager.v1.CertificateManager.DeleteDnsAuthorization

メソッド: google.cloud.certificatemanager.v1.CertificateManager.DeleteDnsAuthorization
監査ログのタイプ: 管理アクティビティ
権限:
- certificatemanager.dnsauthorizations.delete - ADMIN_WRITE
メソッドは長時間実行オペレーションかストリーミングか: 長時間実行オペレーション
このメソッドのフィルタ: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.DeleteDnsAuthorization"

google.cloud.certificatemanager.v1.CertificateManager.DeleteTrustConfig

メソッド: google.cloud.certificatemanager.v1.CertificateManager.DeleteTrustConfig
監査ログのタイプ: 管理アクティビティ
権限:
- certificatemanager.trustconfigs.delete - ADMIN_WRITE
メソッドは長時間実行オペレーションかストリーミングか: 長時間実行オペレーション
このメソッドのフィルタ: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.DeleteTrustConfig"

google.cloud.certificatemanager.v1.CertificateManager.GetCertificate

メソッド: google.cloud.certificatemanager.v1.CertificateManager.GetCertificate
監査ログのタイプ: データアクセス
権限:
- certificatemanager.certs.get - ADMIN_READ
メソッドは長時間実行オペレーションまたはストリーミングのどちらであるか: どちらでもない
このメソッドのフィルタ: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.GetCertificate"

google.cloud.certificatemanager.v1.CertificateManager.GetCertificateIssuanceConfig

メソッド: google.cloud.certificatemanager.v1.CertificateManager.GetCertificateIssuanceConfig
監査ログのタイプ: データアクセス
権限:
- certificatemanager.certissuanceconfigs.get - ADMIN_READ
メソッドは長時間実行オペレーションまたはストリーミングのどちらであるか: どちらでもない
このメソッドのフィルタ: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.GetCertificateIssuanceConfig"

google.cloud.certificatemanager.v1.CertificateManager.GetCertificateMap

メソッド: google.cloud.certificatemanager.v1.CertificateManager.GetCertificateMap
監査ログのタイプ: データアクセス
権限:
- certificatemanager.certmaps.get - ADMIN_READ
メソッドは長時間実行オペレーションまたはストリーミングのどちらであるか: どちらでもない
このメソッドのフィルタ: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.GetCertificateMap"

google.cloud.certificatemanager.v1.CertificateManager.GetCertificateMapEntry

メソッド: google.cloud.certificatemanager.v1.CertificateManager.GetCertificateMapEntry
監査ログのタイプ: データアクセス
権限:
- certificatemanager.certmapentries.get - ADMIN_READ
メソッドは長時間実行オペレーションまたはストリーミングのどちらであるか: どちらでもない
このメソッドのフィルタ: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.GetCertificateMapEntry"

google.cloud.certificatemanager.v1.CertificateManager.GetDnsAuthorization

メソッド: google.cloud.certificatemanager.v1.CertificateManager.GetDnsAuthorization
監査ログのタイプ: データアクセス
権限:
- certificatemanager.dnsauthorizations.get - ADMIN_READ
メソッドは長時間実行オペレーションまたはストリーミングのどちらであるか: どちらでもない
このメソッドのフィルタ: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.GetDnsAuthorization"

google.cloud.certificatemanager.v1.CertificateManager.GetTrustConfig

メソッド: google.cloud.certificatemanager.v1.CertificateManager.GetTrustConfig
監査ログのタイプ: データアクセス
権限:
- certificatemanager.trustconfigs.get - ADMIN_READ
メソッドは長時間実行オペレーションまたはストリーミングのどちらであるか: どちらでもない
このメソッドのフィルタ: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.GetTrustConfig"

google.cloud.certificatemanager.v1.CertificateManager.ListCertificateIssuanceConfigs

メソッド: google.cloud.certificatemanager.v1.CertificateManager.ListCertificateIssuanceConfigs
監査ログのタイプ: データアクセス
権限:
- certificatemanager.certissuanceconfigs.list - ADMIN_READ
メソッドは長時間実行オペレーションまたはストリーミングのどちらであるか: どちらでもない
このメソッドのフィルタ: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.ListCertificateIssuanceConfigs"

google.cloud.certificatemanager.v1.CertificateManager.ListCertificateMapEntries

メソッド: google.cloud.certificatemanager.v1.CertificateManager.ListCertificateMapEntries
監査ログのタイプ: データアクセス
権限:
- certificatemanager.certmapentries.list - ADMIN_READ
メソッドは長時間実行オペレーションまたはストリーミングのどちらであるか: どちらでもない
このメソッドのフィルタ: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.ListCertificateMapEntries"

google.cloud.certificatemanager.v1.CertificateManager.ListCertificateMaps

メソッド: google.cloud.certificatemanager.v1.CertificateManager.ListCertificateMaps
監査ログのタイプ: データアクセス
権限:
- certificatemanager.certmaps.list - ADMIN_READ
メソッドは長時間実行オペレーションまたはストリーミングのどちらであるか: どちらでもない
このメソッドのフィルタ: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.ListCertificateMaps"

google.cloud.certificatemanager.v1.CertificateManager.ListCertificates

メソッド: google.cloud.certificatemanager.v1.CertificateManager.ListCertificates
監査ログのタイプ: データアクセス
権限:
- certificatemanager.certs.list - ADMIN_READ
メソッドは長時間実行オペレーションまたはストリーミングのどちらであるか: どちらでもない
このメソッドのフィルタ: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.ListCertificates"

google.cloud.certificatemanager.v1.CertificateManager.ListDnsAuthorizations

メソッド: google.cloud.certificatemanager.v1.CertificateManager.ListDnsAuthorizations
監査ログのタイプ: データアクセス
権限:
- certificatemanager.dnsauthorizations.list - ADMIN_READ
メソッドは長時間実行オペレーションまたはストリーミングのどちらであるか: どちらでもない
このメソッドのフィルタ: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.ListDnsAuthorizations"

google.cloud.certificatemanager.v1.CertificateManager.ListTrustConfigs

メソッド: google.cloud.certificatemanager.v1.CertificateManager.ListTrustConfigs
監査ログのタイプ: データアクセス
権限:
- certificatemanager.trustconfigs.list - ADMIN_READ
メソッドは長時間実行オペレーションまたはストリーミングのどちらであるか: どちらでもない
このメソッドのフィルタ: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.ListTrustConfigs"

google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificate

メソッド: google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificate
監査ログのタイプ: 管理アクティビティ
権限:
- certificatemanager.certs.update - ADMIN_WRITE
メソッドは長時間実行オペレーションかストリーミングか: 長時間実行オペレーション
このメソッドのフィルタ: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificate"

google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificateMap

メソッド: google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificateMap
監査ログのタイプ: 管理アクティビティ
権限:
- certificatemanager.certmaps.update - ADMIN_WRITE
メソッドは長時間実行オペレーションかストリーミングか: 長時間実行オペレーション
このメソッドのフィルタ: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificateMap"

google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificateMapEntry

メソッド: google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificateMapEntry
監査ログのタイプ: 管理アクティビティ
権限:
- certificatemanager.certmapentries.update - ADMIN_WRITE
メソッドは長時間実行オペレーションかストリーミングか: 長時間実行オペレーション
このメソッドのフィルタ: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificateMapEntry"

google.cloud.certificatemanager.v1.CertificateManager.UpdateDnsAuthorization

メソッド: google.cloud.certificatemanager.v1.CertificateManager.UpdateDnsAuthorization
監査ログのタイプ: 管理アクティビティ
権限:
- certificatemanager.dnsauthorizations.update - ADMIN_WRITE
メソッドは長時間実行オペレーションかストリーミングか: 長時間実行オペレーション
このメソッドのフィルタ: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.UpdateDnsAuthorization"

google.cloud.certificatemanager.v1.CertificateManager.UpdateTrustConfig

メソッド: google.cloud.certificatemanager.v1.CertificateManager.UpdateTrustConfig
監査ログのタイプ: 管理アクティビティ
権限:
- certificatemanager.trustconfigs.update - ADMIN_WRITE
メソッドは長時間実行オペレーションかストリーミングか: 長時間実行オペレーション
このメソッドのフィルタ: protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.UpdateTrustConfig"

google.longrunning.Operations

google.longrunning.Operations に属するメソッドに関連付けられた監査ログの詳細。

google.longrunning.Operations.CancelOperation

メソッド: google.longrunning.Operations.CancelOperation
監査ログのタイプ: 管理アクティビティ
権限:
- certificatemanager.operations.cancel - ADMIN_WRITE
メソッドは長時間実行オペレーションまたはストリーミングのどちらであるか: どちらでもない
このメソッドのフィルタ: protoPayload.methodName="google.longrunning.Operations.CancelOperation"

google.longrunning.Operations.DeleteOperation

メソッド: google.longrunning.Operations.DeleteOperation
監査ログのタイプ: 管理アクティビティ
権限:
- certificatemanager.operations.delete - ADMIN_WRITE
メソッドは長時間実行オペレーションまたはストリーミングのどちらであるか: どちらでもない
このメソッドのフィルタ: protoPayload.methodName="google.longrunning.Operations.DeleteOperation"

google.longrunning.Operations.GetOperation

メソッド: google.longrunning.Operations.GetOperation
監査ログのタイプ: データアクセス
権限:
- certificatemanager.operations.get - ADMIN_READ
メソッドは長時間実行オペレーションまたはストリーミングのどちらであるか: どちらでもない
このメソッドのフィルタ: protoPayload.methodName="google.longrunning.Operations.GetOperation"

google.longrunning.Operations.ListOperations

メソッド: google.longrunning.Operations.ListOperations
監査ログの種類: データアクセス
権限:
- certificatemanager.operations.list - ADMIN_READ
メソッドは長時間実行オペレーションまたはストリーミングのどちらであるか: どちらでもない
このメソッドのフィルタ: protoPayload.methodName="google.longrunning.Operations.ListOperations"

利用可能な監査ログ

公開証明書認証局では、次の種類の監査ログを使用できます。

管理アクティビティ監査ログ

メタデータまたは構成情報を書き込む「管理書き込み」オペレーションが含まれます。

管理アクティビティ監査ログは無効にできません。
データアクセス監査ログ

メタデータまたは構成情報を読み取る「管理読み取り」オペレーションが含まれます。

データアクセス監査ログを受信するには、監査ログを明示的に有効にする必要があります。

監査ログタイプの詳細については、監査ログの種類をご覧ください。

監査ログ形式

監査ログエントリには、次のオブジェクトが含まれます。

ログエントリ自体。LogEntry タイプのオブジェクトです。よく使用されるフィールドは次のとおりです。
- logName には、リソース ID と監査ログの種類が含まれます。
- resource には、監査対象オペレーションのターゲットが含まれます。
- timeStamp には、監査対象オペレーションの時間が含まれます。
- protoPayload には、監査対象の情報が含まれます。
監査ロギングデータ。ログエントリの protoPayload フィールドに保持される AuditLog オブジェクトです。
任意のサービス固有の監査情報。サービス固有のオブジェクトです。前のインテグレーションでは、このオブジェクトは AuditLog オブジェクトの serviceData フィールドに保持されています。後のインテグレーションでは、metadata フィールドを使用します。

これらのオブジェクトのその他のフィールドと、その解釈方法については、監査ログについてをご覧ください。

ログ名

Cloud Audit Logs のログ名には、監査ログを所有する Google Cloud プロジェクトまたは他の Google Cloud エンティティ、およびログに管理アクティビティ、データアクセス、ポリシーの拒否、システムイベントの監査ログデータが含まれているかどうかを示すリソース識別子が含まれます。

リソース識別子の変数を含む監査ログ名は次のとおりです。

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Factivity
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

監査ロギングを有効にする

管理アクティビティ監査ログは常に有効になっています。無効にすることはできません。

データアクセス監査ログはデフォルトで無効になっており、明示的に有効にしない限り書き込まれません（例外は BigQuery のデータアクセス監査ログで、これは無効にすることができません）。

データアクセス監査ログの一部またはすべてを有効にする方法については、データアクセス監査ログを有効にするをご覧ください。

監査ログの表示

すべての監査ログに対してクエリを実行することも、監査ログ名でログをクエリすることもできます。監査ログ名には、Google Cloud プロジェクト、フォルダ、請求先アカウント、または監査ロギング情報を表示する組織のリソース識別子が含まれています。クエリでは、インデックス付きの LogEntry フィールドを指定できます。SQL クエリをサポートする [ログ分析] ページを使用する場合は、クエリ結果をグラフとして表示できます。

ログのクエリの詳細については、次のページをご覧ください。

Google Cloud コンソール、Google Cloud CLI、または Logging API を使用して、Cloud Logging で監査ログを表示できます。

コンソール

Google Cloud コンソールでは、ログエクスプローラを使用して、Google Cloud プロジェクト、フォルダ、または組織の監査ログエントリを取得できます。

Google Cloud コンソールで、[ログエクスプローラ] ページに移動します。
[ログエクスプローラ] に移動

検索バーを使用してこのページを検索する場合は、小見出しが [Logging] である結果を選択します。
既存の Google Cloud プロジェクト、フォルダ、または組織を選択します。
すべての監査ログを表示するには、次のいずれかのクエリを [クエリエディタ] フィールドに入力し、[クエリを実行] をクリックします。
```
logName:"cloudaudit.googleapis.com"
```
```
protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog"
```
特定のリソースと監査ログタイプの監査ログを表示するには、[クエリビルダー] ペインで次の操作を行います。
- リソースタイプに、表示する監査ログを含む Google Cloud リソースを選択します。
- [ログ名] で、表示する監査ログタイプを選択します。
  - 管理アクティビティ監査ログの場合は、[activity] を選択します。
  - データアクセス監査ログの場合は、[data_access] を選択します。
  - システムイベント監査ログの場合は、[system_event] を選択します。
  - ポリシー拒否監査ログの場合は、[policy] を選択します。
- [クエリを実行] をクリックします。
これらのオプションが表示されない場合、Google Cloud プロジェクト、フォルダ、または組織で利用可能なその種類の監査ログは存在しないことを意味します。

ログエクスプローラでログを表示する際に問題が発生した場合は、トラブルシューティングの情報をご覧ください。

ログエクスプローラを使用したクエリの詳細については、ログエクスプローラでクエリを作成するをご覧ください。 Gemini を使用してログエクスプローラでログエントリを要約する方法については、Gemini の支援を使用してログエントリを要約するをご覧ください。

gcloud

Google Cloud CLI は、Logging API へのコマンドラインインターフェースを提供します。ログ名ごとに有効なリソース識別子を指定します。たとえば、クエリに PROJECT_ID が含まれている場合、指定するプロジェクト ID は、現在選択された Google Cloud プロジェクトを参照している必要があります。

Google Cloud プロジェクトレベルの監査ログエントリを読み取るには、次のコマンドを実行します。

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

フォルダレベルの監査ログエントリを読み取るには、次のコマンドを実行します。

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

組織レベルの監査ログエントリを読み取るには、次のコマンドを実行します。

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

Cloud 請求先アカウントレベルの監査ログエントリを読み取るには、次のコマンドを実行します。

gcloud logging read "logName : billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com" \
    --billing-account=BILLING_ACCOUNT_ID

1 日以上経過したログを読み取るには、コマンドに --freshness フラグを追加します。

gcloud CLI の使用方法に関する詳細については、gcloud logging read をご覧ください。

API

クエリを作成するときは、ログ名ごとに有効なリソース識別子を指定します。たとえば、クエリに PROJECT_ID が含まれている場合、指定するプロジェクト ID は、現在選択された Google Cloud プロジェクトを参照している必要があります。

たとえば、Logging API を使用してプロジェクトレベルの監査ログエントリを表示する手順は次のとおりです。

entries.list メソッドのドキュメント内の [Try this API] セクションに移動します。
[Try this API] フォームのリクエストの本文に、次のコードを入力します。この事前入力されたフォームをクリックすると、リクエストの本文が自動的に入力されますが、それぞれのログ名に有効な PROJECT_ID を指定する必要があります。
```
{
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}
```
[実行] をクリックします。