审核日志记录

本页面介绍了为 Cloud Deploy 活动创建的审核日志。

审核日志摘要

Google Cloud 服务会写入审核日志，可帮助解答在您的 Google Cloud 项目和组织中“谁在何时在何处执行了什么操作”等疑问。

对于 Cloud Deploy，仅会出于审核目的记录管理员活动。 默认情况下，系统提供此审核信息。 管理员活动包括修改 Cloud Deploy 资源的配置或元数据的操作。管理员日志记录中不包含创建、更新或删除 Cloud Deploy 资源的任何 API 调用。

如需了解详情，请参阅 Cloud Audit Logs。

审核的操作

以下是记录以供审核的 Cloud Deploy 操作的列表：

• projects.locations.customTargetTypes.create
• projects.locations.customTargetTypes.delete
• projects.locations.customTargetTypes.update
• projects.locations.deliveryPipelines.create
• projects.locations.deliveryPipelines.delete
• projects.locations.deliveryPipelines.setIamPolicy
• projects.locations.deliveryPipelines.update
• projects.locations.deliveryPipelines.automation.create
• projects.locations.deliveryPipelines.automation.delete
• projects.locations.deliveryPipelines.automation.setIamPolicy
• projects.locations.deliveryPipelines.automation.update
• projects.locations.deliveryPipelines.automationRuns.cancel
• projects.locations.deliveryPipelines.releases.create
• projects.locations.deliveryPipelines.releases.rollouts.advance
• projects.locations.deliveryPipelines.releases.rollouts.approve
• projects.locations.deliveryPipelines.releases.rollouts.cancel
• projects.locations.deliveryPipelines.releases.rollouts.create
• projects.locations.deliveryPipelines.releases.rollouts.ignoreJob
• projects.locations.deliveryPipelines.releases.rollouts.jobRuns.terminate
• projects.locations.deliveryPipelines.releases.rollouts.retryJob
• projects.locations.targets.create
• projects.locations.targets.delete
• projects.locations.targets.setIamPolicy
• projects.locations.targets.update

与其他服务的审核日志不同，Cloud Deploy 只有 ADMIN_READ 和 ADMIN_WRITE 数据访问日志，不提供 DATA_READ 和 DATA_WRITE 日志。DATA_READ 和 DATA_WRITE 日志仅用于存储和管理用户数据的服务，Cloud Deploy 将其资源视为管理配置信息。

访问日志的权限

以下用户可以查看管理员活动日志：

• 项目所有者、编辑者和查看者。
• 具有 Logs Viewer IAM 角色的用户。
• 拥有 logging.logEntries.list IAM 权限的用户。

如需了解更多信息，请参阅 IAM 角色和权限。

审核日志格式

审核日志条目的结构如下：

• 一个类型为 LogEntry 的对象，其中包含整个日志条目。
• 一个类型为 AuditLog 的对象，保存在 LogEntry 对象的 protoPayload 字段中。

了解这些对象中保存了哪些信息有助于您使用日志浏览器和 Cloud Logging API 了解和检索审核日志条目。

所有审核日志条目都包含审核日志、资源和服务的名称：

• logName：此字段指示日志是管理活动还是数据访问审核日志。对于 Cloud Deploy，这些只是管理员活动。例如：

  projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com/activity
  organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com/activity
  

  在项目或组织中，这些日志名称以缩写 activity 为后缀。

• serviceName：对于 Cloud Deploy，该字段包含 clouddeploy.googleapis.com。

  资源类型归属于某一项服务，但一项服务可以有多种资源类型。如需查看服务和资源的列表，请参阅将服务映射到资源。

如需了解详情，请参阅审核日志数据类型。

启用日志

默认情况下，系统会启用并记录管理员活动日志。这些日志不计入您的日志提取配额。默认情况下，系统不会记录数据访问日志，但您可以配置这些日志以便记录。

配额和限制

如需了解 Logging 的限制，请参阅配额和限制。

查看日志

要查看管理员活动的摘要，请执行以下操作：

• 打开 Google Cloud 活动：

  转到“活动”

如需选择和过滤日志并详细查看日志，请执行以下操作：

1. 打开 Logs Explorer 页面：

   进入“Logs Explorer”页面

2. 在日志浏览器中，选择要查看其审核日志的资源。

3. 在日志名称下拉列表中，选择要查看的日志的名称。

   对于管理员活动审核日志，选择活动，为数据访问审核日志选择 data_access（如果提供了这些日志）。

审核日志显示在 Logs Explorer 中。

您还可以使用日志浏览器高级过滤条件界面指定资源类型和日志名称。如需了解详情，请参阅检索审核日志。

导出审核日志

您可以将部分或全部日志的副本导出到其他应用、其他存储库或第三方。要导出日志，请参阅导出日志。

组织可以创建一个汇总接收器，以便从组织的所有项目、文件夹和结算账号中导出日志条目。与任何接收器一样，汇总接收器中包含一个用于选择单个日志条目的过滤条件。如需汇总和导出审核日志，请参阅汇总接收器。

要通过 API 读取日志条目，请参阅 entries.list。要使用 SDK 读取日志条目，请参阅读取日志条目。

后续步骤

• 参阅日志浏览器页面以了解有关过滤日志的说明。
• 如需了解如何导出日志，请参阅配置和管理接收器页面。