Audit-Logging

Auf dieser Seite werden die Audit-Logs beschrieben, die für Google Cloud Deploy-Aktivitäten erstellt werden.

Übersicht über das Audit-Logging

Google Cloud-Dienste schreiben Audit-Logs, um Ihnen Antworten auf Fragen wie "Wer hat was wo und wann getan?" innerhalb Ihrer Google Cloud-Projekte und -Organisationen zu liefern.

Bei Google Cloud Deploy werden nur zu Prüfzwecken Administratoraktivitäten protokolliert. Diese Überprüfungsinformationen werden standardmäßig bereitgestellt. Die Administratoraktivität besteht aus Vorgängen, die die Konfiguration oder Metadaten einer Google Cloud Deploy-Ressource ändern. API-Aufrufe, die eine Google Cloud Deploy-Ressource erstellen, aktualisieren oder löschen, sind nicht im Administrator-Logging enthalten.

Weitere Informationen finden Sie unter Cloud-Audit-Logs.

Geprüfte Vorgänge

Im Folgenden finden Sie eine Liste der Google Cloud-Bereitstellungsvorgänge, die für die Prüfung protokolliert werden:

  • projects.locations.deliveryPipelines.create
  • projects.locations.deliveryPipelines.delete
  • projects.locations.deliveryPipelines.setIamPolicy
  • projects.locations.deliveryPipelines.update
  • projects.locations.deliveryPipelines.releases.create
  • projects.locations.deliveryPipelines.releases.rollouts.create
  • projects.locations.deliveryPipelines.releases.rollouts.approve
  • projects.locations.targets.create
  • projects.locations.targets.delete
  • projects.locations.targets.setIamPolicy
  • projects.locations.targets.update

Im Gegensatz zu Audit-Logs bei anderen Diensten erstellt Google Cloud Deploy nur ADMIN_READ- und ADMIN_WRITE-Datenzugriffslogs und keine DATA_READ- und DATA_WRITE-Logs. DATA_READ- und DATA_WRITE-Logs werden nur für Dienste verwendet, die Nutzerdaten speichern und verwalten. Google Cloud Deploy betrachtet seine Ressourcen als administrative Konfigurationsinformationen.

Berechtigungen für den Zugriff auf die Logs

Die folgenden Nutzer können Logs für Administratoraktivitäten ansehen:

Weitere Informationen finden Sie unter IAM-Rollen und -Berechtigungen.

Audit-Log-Format

Audit-Logeinträge haben folgende Struktur:

  • Ein Objekt vom Typ LogEntry, das den gesamten Logeintrag enthält.
  • Ein Objekt vom Typ AuditLog, das im Feld protoPayload des Objekts LogEntry enthalten ist.

Die Informationen in diesen Objekten bieten eine Unterstützung für das Verständnis und den Abruf Ihrer Audit-Logeinträge in der Loganzeige und der Cloud Logging API.

Alle Audit-Log-Einträge enthalten den Namen des Audit-Logs, der Ressource und des Dienstes.

  • logName: In diesem Feld wird angegeben, ob es sich bei dem Log um ein Audit-Log für die Administratoraktivität oder für den Datenzugriff handelt. Bei Google Cloud Deploy sind dies nur Administratoraktivitäten. Beispiel:

    projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com/activity
    organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com/activity
    

    Innerhalb eines Projekts oder einer Organisation haben diese Lognamen das Kurzsuffix activity.

  • serviceName: Bei Google Cloud Deploy enthält das Feld den Wert clouddeploy.googleapis.com.

    Ressourcentypen gehören jeweils zu einem Dienst, wobei ein Dienst mehrere Ressourcentypen haben kann. Unter Dienste zu Ressourcen zuordnen finden Sie eine Liste der Dienste und Ressourcen.

Weitere Informationen erhalten Sie unter Audit-Log-Datentypen.

Logs aktivieren

Logs für Administratoraktivitäten werden standardmäßig aktiviert und erfasst. Diese Logs werden nicht auf Ihr Logaufnahmekontingent angerechnet. Datenzugriffslogs werden nicht aufgezeichnet.

Kontingente und Limits

Informationen zu Einschränkungen bei Logging finden Sie unter Kontingente und Limits.

Logs ansehen

So zeigen Sie eine Zusammenfassung Ihrer Administratoraktivität an:

So wählen Sie Ihre Logs aus, filtern diese und zeigen sie im Detail an:

  1. Öffnen Sie die Seite Log-Anzeige:

    Loganzeige aufrufen

  2. Wählen Sie im ersten Drop-down-Menü die Ressource aus, deren Audit-Logs angezeigt werden sollen. Wählen Sie ein bestimmtes Projekt oder "Alle Projekte" aus.

  3. Wählen Sie im zweiten Menü den Lognamen aus, den Sie sehen möchten: activity für Audit-Logs der Administratoraktivität und data_access für Audit-Logs des Datenzugriffs (sofern die Logs verfügbar sind).

Die Audit-Logs werden in der Loganzeige aufgeführt.

Sie können mit der erweiterten Filteroberfläche der Loganzeige auch den Ressourcentyp und den Lognamen angeben. Weitere Informationen finden Sie unter Audit-Logs abrufen.

Audit-Logs exportieren

Sie können Kopien einiger oder aller Logs in andere Anwendungen, andere Repositories oder für Dritte exportieren. Informationen zum Exportieren von Logs finden Sie unter Logs exportieren.

Eine Organisation kann eine zusammengefasste Senke erstellen, um Logeinträge aus allen Projekten, Ordnern und Rechnungskonten der Organisation zu exportieren. Wie alle anderen Senken enthält auch die zusammengefasste Senke einen Filter für die Auswahl einzelner Logeinträge. Informationen zum Aggregieren und Exportieren Ihrer Audit-Logs finden Sie unter Aggregierte Senken.

Informationen zum Lesen der Logeinträge über die API finden Sie unter entries.list. Informationen zum Lesen der Logeinträge mit dem SDK erhalten Sie unter Logeinträge lesen.

Nächste Schritte