このページでは、Cloud Deploy アクティビティ用に作成された監査ログについて説明します。
監査ログの概要
Google Cloud サービスでは、Google Cloud プロジェクトおよび組織内で「誰がいつどこで何をしたか」の確認に役立つ監査ログが記録されます。
Cloud Deploy では、監査目的でのみ管理アクティビティが記録されます。この監査情報はデフォルトで提供されます。 管理アクティビティは、Cloud Deploy リソースの構成やメタデータを変更するオペレーションで構成されます。Cloud Deploy リソースを作成、更新、削除する API 呼び出しは管理ロギングに含まれません。
詳しくは、Cloud Audit Logs をご覧ください。
監査対象のオペレーション
監査のためにログに記録される Cloud Deploy オペレーションのリストは次のとおりです。
projects.locations.customTargetTypes.create
projects.locations.customTargetTypes.delete
projects.locations.customTargetTypes.update
projects.locations.deliveryPipelines.create
projects.locations.deliveryPipelines.delete
projects.locations.deliveryPipelines.setIamPolicy
projects.locations.deliveryPipelines.update
projects.locations.deliveryPipelines.automation.create
projects.locations.deliveryPipelines.automation.delete
projects.locations.deliveryPipelines.automation.setIamPolicy
projects.locations.deliveryPipelines.automation.update
projects.locations.deliveryPipelines.automationRuns.cancel
projects.locations.deliveryPipelines.releases.create
projects.locations.deliveryPipelines.releases.rollouts.advance
projects.locations.deliveryPipelines.releases.rollouts.approve
projects.locations.deliveryPipelines.releases.rollouts.cancel
projects.locations.deliveryPipelines.releases.rollouts.create
projects.locations.deliveryPipelines.releases.rollouts.ignoreJob
projects.locations.deliveryPipelines.releases.rollouts.jobRuns.terminate
projects.locations.deliveryPipelines.releases.rollouts.retryJob
projects.locations.targets.create
projects.locations.targets.delete
projects.locations.targets.setIamPolicy
projects.locations.targets.update
他のサービスの監査ログと異なり、Cloud Deploy は ADMIN_READ
および ADMIN_WRITE
データアクセス ログのみ提供し、DATA_READ
ログと DATA_WRITE
ログを提供しません。DATA_READ
ログと DATA_WRITE
ログは、ユーザーデータを格納および管理するサービスにのみ使用されます。Cloud Deploy では、そのリソースを管理構成情報と見なします。
ログにアクセスするための権限
次のユーザーは管理アクティビティ ログを閲覧できます。
- プロジェクト オーナー、編集者、閲覧者
- ログ閲覧者の IAM 役割を持つユーザー
logging.logEntries.list
IAM 権限を持つユーザー
詳細については、IAM のロールと権限をご覧ください。
監査ログ形式
監査ログエントリの構造は、次のとおりです。
これらのオブジェクトにどのような情報が保持されているかを知ると監査ログエントリについて理解を深めることができ、ログ エクスプローラや Cloud Logging API を使用して監査ログエントリを取得するのに役立ちます。
すべての監査ログエントリには、監査ログの名前、リソース、サービスが含まれています。
logName: このフィールドは、ログが管理アクティビティの監査ログとデータアクセスの監査ログのどちらであるかを表します。Cloud Deploy の場合、これらは管理アクティビティ専用です。次に例を示します。
projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com/activity organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com/activity
プロジェクトまたは組織内で、これらのログ名の末尾には省略形の
activity
が付いています。serviceName: Cloud Deploy の場合、このフィールドには
clouddeploy.googleapis.com
が含まれます。リソースタイプは単一のサービスに属しますが、サービスは複数のリソースタイプを持つことができます。サービスとリソースの一覧については、サービスとリソースのマッピングをご覧ください。
詳細については、監査ログのデータ型をご覧ください。
ログを有効にする
管理者アクティビティ ログはデフォルトで有効になり、ログに記録されます。これらのログは、ログ取り込み割り当ての計算対象になりません。 デフォルトでは、データアクセス ログは記録されませんが、記録するように構成できます。
割り当てと上限
Logging の制限については、割り当てと制限をご覧ください。
ログの表示
管理アクティビティの概要を表示するには:
Google Cloud のアクティビティを開きます。
ログを選択してフィルタリングし、詳細を表示するには:
[ログ エクスプローラ] ページを開きます。
ログ エクスプローラで、監査ログを表示する [リソース] を選択します。
[ログ名] プルダウンから、表示するログの名前を選択します。
管理アクティビティ監査ログの場合は [アクティビティ]、データアクセス監査ログの場合は [data_access] を選択します(ログが使用可能な場合)。
監査ログがログ エクスプローラに表示されます。
ログ エクスプローラの高度なフィルタのインターフェースを使用して、リソースタイプとログ名を指定することもできます。詳細については、監査ログの取得をご覧ください。
監査ログのエクスポート
ログの一部またはすべてのコピーを他のアプリケーション、他のリポジトリ、サードパーティにエクスポートすることができます。ログをエクスポートする方法については、ログのエクスポートをご覧ください。
組織では、集約シンクを作成して、組織のすべてのプロジェクト、フォルダ、請求先アカウントのログエントリをエクスポートできます。他のシンクと同様に、集約シンクにも個々のログエントリを選択するフィルタが含まれます。監査ログを集約してエクスポートする方法については、集約シンクをご覧ください。
API を使用してログエントリを読み取る方法については、entries.list をご覧ください。SDK を使用してログエントリを読み取る方法については、ログエントリの読み取りをご覧ください。
次のステップ
- [ログ エクスプローラ] ページでログのフィルタリング方法を確認する。
- ログのエクスポートの手順については、シンクの構成と管理のページをご覧ください。