Halaman ini menjelaskan log audit yang dibuat untuk aktivitas Cloud Deploy.
Ringkasan logging audit
Layanan Google Cloud menulis log audit untuk membantu Anda menjawab pertanyaan "siapa yang melakukan apa, di mana, dan kapan?" dalam project dan organisasi Google Cloud Anda.
Untuk Cloud Deploy, hanya aktivitas admin yang dicatat dalam log untuk tujuan audit. Informasi audit ini disediakan secara default. Aktivitas admin terdiri dari operasi yang mengubah konfigurasi atau metadata resource Cloud Deploy. Setiap panggilan API yang membuat, memperbarui, atau menghapus resource Cloud Deploy tidak disertakan dalam logging admin.
Untuk mengetahui informasi selengkapnya, lihat Log Audit Cloud.
Operasi yang diaudit
Berikut adalah daftar operasi Cloud Deploy yang dicatat dalam log untuk diaudit:
projects.locations.customTargetTypes.create
projects.locations.customTargetTypes.delete
projects.locations.customTargetTypes.update
projects.locations.deliveryPipelines.create
projects.locations.deliveryPipelines.delete
projects.locations.deliveryPipelines.setIamPolicy
projects.locations.deliveryPipelines.update
projects.locations.deliveryPipelines.automation.create
projects.locations.deliveryPipelines.automation.delete
projects.locations.deliveryPipelines.automation.setIamPolicy
projects.locations.deliveryPipelines.automation.update
projects.locations.deliveryPipelines.automationRuns.cancel
projects.locations.deliveryPipelines.releases.create
projects.locations.deliveryPipelines.releases.rollouts.advance
projects.locations.deliveryPipelines.releases.rollouts.approve
projects.locations.deliveryPipelines.releases.rollouts.cancel
projects.locations.deliveryPipelines.releases.rollouts.create
projects.locations.deliveryPipelines.releases.rollouts.ignoreJob
projects.locations.deliveryPipelines.releases.rollouts.jobRuns.terminate
projects.locations.deliveryPipelines.releases.rollouts.retryJob
projects.locations.targets.create
projects.locations.targets.delete
projects.locations.targets.setIamPolicy
projects.locations.targets.update
Tidak seperti log audit untuk layanan lain, Cloud Deploy hanya memiliki log akses data ADMIN_READ
dan ADMIN_WRITE
serta tidak menawarkan log DATA_READ
dan DATA_WRITE
. Log DATA_READ
dan DATA_WRITE
hanya digunakan untuk layanan yang menyimpan dan mengelola data pengguna, dan Cloud Deploy menganggap resource-nya sebagai informasi konfigurasi administratif.
Izin untuk mengakses log
Pengguna berikut dapat melihat log aktivitas admin:
- Pemilik, editor, dan pelihat project.
- Pengguna dengan peran IAM Logs Viewer.
- Pengguna dengan izin IAM
logging.logEntries.list
.
Lihat peran dan izin IAM untuk mengetahui informasi selengkapnya.
Format log audit
Entri log audit memiliki struktur berikut:
- Objek dengan jenis
LogEntry
yang berisi seluruh entri log. - Objek dengan jenis
AuditLog
yang disimpan di kolomprotoPayload
dari objekLogEntry
.
Mengetahui informasi yang disimpan dalam objek ini akan membantu Anda memahami dan mengambil entri log audit menggunakan Logs Explorer dan Cloud Logging API.
Semua entri log audit berisi nama log audit, resource, dan layanan:
logName: Kolom ini menunjukkan apakah log adalah log audit Aktivitas Admin atau Akses Data. Untuk Cloud Deploy, ini hanya aktivitas admin. Contoh:
projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com/activity organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com/activity
Dalam project atau organisasi, nama log ini diberi akhiran
activity
yang disingkat.serviceName: Untuk Cloud Deploy, kolom berisi
clouddeploy.googleapis.com
.Jenis resource dimiliki oleh satu layanan, tetapi layanan dapat memiliki beberapa jenis resource. Untuk mengetahui daftar layanan dan resource, lihat Memetakan layanan ke resource.
Untuk mengetahui detail selengkapnya, lihat Jenis Data Log Audit.
Mengaktifkan log
Log aktivitas admin diaktifkan dan dicatat secara default. Log ini tidak mengurangi kuota penyerapan log Anda. Secara default, log akses data tidak dicatat, tetapi Anda dapat mengonfigurasinya agar direkam.
Kuota dan batas
Untuk mengetahui informasi tentang batasan terkait Logging, lihat Kuota dan Batas.
Melihat log
Untuk melihat ringkasan Aktivitas Admin Anda:
Buka Aktivitas Cloud Google:
Untuk memilih dan memfilter log serta melihatnya secara mendetail:
Buka halaman Logs Explorer:
Di Logs Explorer, pilih Resource yang log auditnya ingin Anda lihat.
Di drop-down Log name, pilih nama log yang ingin Anda lihat.
Pilih Activity untuk log audit Aktivitas Admin, dan data_access untuk log audit Akses Data (jika log tersedia).
Log audit ditampilkan di Logs Explorer.
Anda juga dapat menggunakan antarmuka filter lanjutan Logs Explorer untuk menentukan jenis resource dan nama log. Untuk mengetahui informasi lebih lanjut, baca artikel Mengambil log audit.
Mengekspor log audit
Anda dapat mengekspor salinan beberapa atau semua log Anda ke aplikasi lain, repositori lain, atau pihak ketiga. Untuk mengekspor log, lihat Mengekspor log.
Organisasi dapat membuat sink gabungan yang dapat mengekspor entri log dari semua project, folder, dan akun penagihan organisasi. Seperti sink lainnya, sink gabungan Anda berisi filter yang memilih masing-masing entri log. Untuk menggabungkan dan mengekspor log audit, lihat Sink gabungan.
Untuk membaca entri log Anda melalui API, lihat entries.list. Untuk membaca entri log Anda menggunakan SDK, lihat Membaca entri log.
Langkah selanjutnya
- Baca halaman Logs Explorer untuk mendapatkan petunjuk tentang cara memfilter log.
- Baca halaman Mengonfigurasi dan mengelola sink untuk mendapatkan petunjuk tentang cara mengekspor log.