Logging audit

Halaman ini menjelaskan log audit yang dibuat untuk aktivitas Cloud Deploy.

Ringkasan logging audit

Layanan Google Cloud menulis log audit untuk membantu Anda menjawab pertanyaan "siapa yang melakukan apa, di mana, dan kapan?" dalam project dan organisasi Google Cloud Anda.

Untuk Cloud Deploy, hanya aktivitas admin yang dicatat dalam log untuk tujuan audit. Informasi audit ini disediakan secara default. Aktivitas admin terdiri dari operasi yang mengubah konfigurasi atau metadata resource Cloud Deploy. Setiap panggilan API yang membuat, memperbarui, atau menghapus resource Cloud Deploy tidak disertakan dalam logging admin.

Untuk mengetahui informasi selengkapnya, lihat Log Audit Cloud.

Operasi yang diaudit

Berikut adalah daftar operasi Cloud Deploy yang dicatat dalam log untuk diaudit:

  • projects.locations.customTargetTypes.create
  • projects.locations.customTargetTypes.delete
  • projects.locations.customTargetTypes.update
  • projects.locations.deliveryPipelines.create
  • projects.locations.deliveryPipelines.delete
  • projects.locations.deliveryPipelines.setIamPolicy
  • projects.locations.deliveryPipelines.update
  • projects.locations.deliveryPipelines.automation.create
  • projects.locations.deliveryPipelines.automation.delete
  • projects.locations.deliveryPipelines.automation.setIamPolicy
  • projects.locations.deliveryPipelines.automation.update
  • projects.locations.deliveryPipelines.automationRuns.cancel
  • projects.locations.deliveryPipelines.releases.create
  • projects.locations.deliveryPipelines.releases.rollouts.advance
  • projects.locations.deliveryPipelines.releases.rollouts.approve
  • projects.locations.deliveryPipelines.releases.rollouts.cancel
  • projects.locations.deliveryPipelines.releases.rollouts.create
  • projects.locations.deliveryPipelines.releases.rollouts.ignoreJob
  • projects.locations.deliveryPipelines.releases.rollouts.jobRuns.terminate
  • projects.locations.deliveryPipelines.releases.rollouts.retryJob
  • projects.locations.targets.create
  • projects.locations.targets.delete
  • projects.locations.targets.setIamPolicy
  • projects.locations.targets.update

Tidak seperti log audit untuk layanan lain, Cloud Deploy hanya memiliki log akses data ADMIN_READ dan ADMIN_WRITE serta tidak menawarkan log DATA_READ dan DATA_WRITE. Log DATA_READ dan DATA_WRITE hanya digunakan untuk layanan yang menyimpan dan mengelola data pengguna, dan Cloud Deploy menganggap resource-nya sebagai informasi konfigurasi administratif.

Izin untuk mengakses log

Pengguna berikut dapat melihat log aktivitas admin:

Lihat peran dan izin IAM untuk mengetahui informasi selengkapnya.

Format log audit

Entri log audit memiliki struktur berikut:

  • Objek dengan jenis LogEntry yang berisi seluruh entri log.
  • Objek dengan jenis AuditLog yang disimpan di kolom protoPayload dari objek LogEntry.

Mengetahui informasi yang disimpan dalam objek ini akan membantu Anda memahami dan mengambil entri log audit menggunakan Logs Explorer dan Cloud Logging API.

Semua entri log audit berisi nama log audit, resource, dan layanan:

  • logName: Kolom ini menunjukkan apakah log adalah log audit Aktivitas Admin atau Akses Data. Untuk Cloud Deploy, ini hanya aktivitas admin. Contoh:

    projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com/activity
    organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com/activity
    

    Dalam project atau organisasi, nama log ini diberi akhiran activity yang disingkat.

  • serviceName: Untuk Cloud Deploy, kolom berisi clouddeploy.googleapis.com.

    Jenis resource dimiliki oleh satu layanan, tetapi layanan dapat memiliki beberapa jenis resource. Untuk mengetahui daftar layanan dan resource, lihat Memetakan layanan ke resource.

Untuk mengetahui detail selengkapnya, lihat Jenis Data Log Audit.

Mengaktifkan log

Log aktivitas admin diaktifkan dan dicatat secara default. Log ini tidak mengurangi kuota penyerapan log Anda. Secara default, log akses data tidak dicatat, tetapi Anda dapat mengonfigurasinya agar direkam.

Kuota dan batas

Untuk mengetahui informasi tentang batasan terkait Logging, lihat Kuota dan Batas.

Melihat log

Untuk melihat ringkasan Aktivitas Admin Anda:

Untuk memilih dan memfilter log serta melihatnya secara mendetail:

  1. Buka halaman Logs Explorer:

    Buka halaman Logs Explorer

  2. Di Logs Explorer, pilih Resource yang log auditnya ingin Anda lihat.

  3. Di drop-down Log name, pilih nama log yang ingin Anda lihat.

    Pilih Activity untuk log audit Aktivitas Admin, dan data_access untuk log audit Akses Data (jika log tersedia).

Logs Explorer, di konsol Google Cloud, menampilkan pemilih nama log dan resource.

Log audit ditampilkan di Logs Explorer.

Anda juga dapat menggunakan antarmuka filter lanjutan Logs Explorer untuk menentukan jenis resource dan nama log. Untuk mengetahui informasi lebih lanjut, baca artikel Mengambil log audit.

Mengekspor log audit

Anda dapat mengekspor salinan beberapa atau semua log Anda ke aplikasi lain, repositori lain, atau pihak ketiga. Untuk mengekspor log, lihat Mengekspor log.

Organisasi dapat membuat sink gabungan yang dapat mengekspor entri log dari semua project, folder, dan akun penagihan organisasi. Seperti sink lainnya, sink gabungan Anda berisi filter yang memilih masing-masing entri log. Untuk menggabungkan dan mengekspor log audit, lihat Sink gabungan.

Untuk membaca entri log Anda melalui API, lihat entries.list. Untuk membaca entri log Anda menggunakan SDK, lihat Membaca entri log.

Langkah selanjutnya