Auf dieser Seite werden die Audit-Logs beschrieben, die für Cloud Deploy-Aktivitäten erstellt werden.
Übersicht über das Audit-Logging
Google Cloud-Dienste schreiben Audit-Logs, um Ihnen Antworten auf Fragen wie "Wer hat was wo und wann getan?" innerhalb Ihrer Google Cloud-Projekte und -Organisationen zu liefern.
Bei Cloud Deploy werden zu Auditzwecken nur Administratoraktivitäten protokolliert. Diese Überprüfungsinformationen werden standardmäßig bereitgestellt. Administratoraktivitäten umfassen Vorgänge, bei denen die Konfiguration oder Metadaten einer Cloud Deploy-Ressource geändert werden. API-Aufrufe, durch die eine Cloud Deploy-Ressource erstellt, aktualisiert oder gelöscht wird, sind nicht im Administrator-Logging enthalten.
Weitere Informationen finden Sie unter Cloud-Audit-Logs.
Geprüfte Vorgänge
Im Folgenden finden Sie eine Liste der Cloud Deploy-Vorgänge, die für die Prüfung protokolliert werden:
projects.locations.customTargetTypes.create
projects.locations.customTargetTypes.delete
projects.locations.customTargetTypes.update
projects.locations.deliveryPipelines.create
projects.locations.deliveryPipelines.delete
projects.locations.deliveryPipelines.setIamPolicy
projects.locations.deliveryPipelines.update
projects.locations.deliveryPipelines.automation.create
projects.locations.deliveryPipelines.automation.delete
projects.locations.deliveryPipelines.automation.setIamPolicy
projects.locations.deliveryPipelines.automation.update
projects.locations.deliveryPipelines.automationRuns.cancel
projects.locations.deliveryPipelines.releases.create
projects.locations.deliveryPipelines.releases.rollouts.advance
projects.locations.deliveryPipelines.releases.rollouts.approve
projects.locations.deliveryPipelines.releases.rollouts.cancel
projects.locations.deliveryPipelines.releases.rollouts.create
projects.locations.deliveryPipelines.releases.rollouts.ignoreJob
projects.locations.deliveryPipelines.releases.rollouts.jobRuns.terminate
projects.locations.deliveryPipelines.releases.rollouts.retryJob
projects.locations.targets.create
projects.locations.targets.delete
projects.locations.targets.setIamPolicy
projects.locations.targets.update
Im Gegensatz zu Audit-Logs für andere Dienste bietet Cloud Deploy nur Datenzugriffslogs für ADMIN_READ
und ADMIN_WRITE
und keine DATA_READ
- und DATA_WRITE
-Logs. DATA_READ
- und DATA_WRITE
-Logs werden nur für Dienste verwendet, die Nutzerdaten speichern und verwalten. Cloud Deploy betrachtet die Ressourcen als administrative Konfigurationsinformationen.
Berechtigungen für den Zugriff auf die Logs
Die folgenden Nutzer können Logs für Administratoraktivitäten ansehen:
- Projektinhaber, -bearbeiter und -betrachter
- Nutzer mit der IAM-Rolle Log-Betrachter
- Nutzer mit der IAM-Berechtigung
logging.logEntries.list
Weitere Informationen finden Sie unter IAM-Rollen und -Berechtigungen.
Audit-Logformat
Audit-Logeinträge haben folgende Struktur:
- Ein Objekt vom Typ
LogEntry
, das den gesamten Logeintrag enthält. - Ein Objekt vom Typ
AuditLog
, das im FeldprotoPayload
des ObjektsLogEntry
enthalten ist.
Wenn Sie wissen, welche Informationen in diesen Objekten enthalten sind, können Sie Ihre Audit-Logeinträge mit dem Log-Explorer und der Cloud Logging API besser verstehen und abrufen.
Alle Audit-Log-Einträge enthalten den Namen des Audit-Logs, der Ressource und des Dienstes.
logName: In diesem Feld wird angegeben, ob es sich bei dem Log um ein Audit-Log für die Administratoraktivität oder für den Datenzugriff handelt. Bei Cloud Deploy sind diese nur Administratoraktivitäten. Beispiel:
projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com/activity organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com/activity
Innerhalb eines Projekts oder einer Organisation haben diese Lognamen das Kurzsuffix
activity
.serviceName: Für Cloud Deploy enthält das Feld
clouddeploy.googleapis.com
.Ressourcentypen gehören jeweils zu einem Dienst, wobei ein Dienst mehrere Ressourcentypen haben kann. Unter Dienste zu Ressourcen zuordnen finden Sie eine Liste der Dienste und Ressourcen.
Weitere Informationen erhalten Sie unter Audit-Log-Datentypen.
Logs aktivieren
Logs für Administratoraktivitäten werden standardmäßig aktiviert und erfasst. Diese Logs werden nicht auf Ihr Logaufnahmekontingent angerechnet. Standardmäßig werden Datenzugriffslogs nicht aufgezeichnet. Sie können sie aber konfigurieren.
Kontingente und Limits
Informationen zu Einschränkungen bei Logging finden Sie unter Kontingente und Limits.
Logs ansehen
So zeigen Sie eine Zusammenfassung Ihrer Administratoraktivität an:
Öffnen Sie Google Cloud Activity:
So wählen Sie Ihre Logs aus, filtern diese und zeigen sie im Detail an:
Öffnen Sie die Seite Log-Explorer:
Wählen Sie im Log-Explorer die Ressource aus, deren Audit-Logs Sie ansehen möchten.
Wählen Sie im Drop-down-Menü Logname den Namen des Logs aus, das Sie sich ansehen möchten.
Wählen Sie Aktivität für Audit-Logs zur Administratoraktivität und data_access für Audit-Logs zum Datenzugriff (sofern die Logs verfügbar sind) aus.
Die Audit-Logs werden im Log-Explorer angezeigt.
Sie können auch die erweiterte Filteroberfläche des Log-Explorers verwenden, um den Ressourcentyp und den Lognamen anzugeben. Weitere Informationen finden Sie unter Audit-Logs abrufen.
Audit-Logs exportieren
Sie können Kopien einiger oder aller Logs in andere Anwendungen, andere Repositories oder für Dritte exportieren. Informationen zum Exportieren von Logs finden Sie unter Logs exportieren.
Eine Organisation kann eine zusammengefasste Senke erstellen, um Logeinträge aus allen Projekten, Ordnern und Rechnungskonten der Organisation zu exportieren. Wie alle anderen Senken enthält auch die zusammengefasste Senke einen Filter für die Auswahl einzelner Logeinträge. Informationen zum Aggregieren und Exportieren Ihrer Audit-Logs finden Sie unter Aggregierte Senken.
Informationen zum Lesen der Logeinträge über die API finden Sie unter entries.list. Informationen zum Lesen der Logeinträge mit dem SDK erhalten Sie unter Logeinträge lesen.
Nächste Schritte
- Anleitung zum Filtern von Logs auf der Seite Log-Explorer
- Anleitung zum Exportieren von Logs auf der Seite Senken konfigurieren und verwalten