In questa pagina vengono descritti gli audit log creati per l'attività di Cloud Deploy.
Riepilogo audit logging
I servizi Google Cloud scrivono audit log per aiutarti a rispondere a domande su "chi ha fatto cosa, dove e quando?" all'interno dei tuoi progetti e delle tue organizzazioni Google Cloud.
Per Cloud Deploy, solo l'attività dell'amministratore viene registrata a scopo di controllo. Queste informazioni di controllo sono fornite per impostazione predefinita. L'attività di amministrazione consiste in operazioni che modificano la configurazione o i metadati di una risorsa Cloud Deploy. Qualsiasi chiamata API che crea, aggiorna o elimina una risorsa Cloud Deploy non è inclusa nel logging di amministrazione.
Per ulteriori informazioni, consulta Audit log di Cloud.
Operazioni con audit
Di seguito è riportato un elenco delle operazioni di Cloud Deploy registrate per il controllo:
projects.locations.customTargetTypes.createprojects.locations.customTargetTypes.deleteprojects.locations.customTargetTypes.updateprojects.locations.deliveryPipelines.createprojects.locations.deliveryPipelines.deleteprojects.locations.deliveryPipelines.setIamPolicyprojects.locations.deliveryPipelines.updateprojects.locations.deliveryPipelines.automation.createprojects.locations.deliveryPipelines.automation.deleteprojects.locations.deliveryPipelines.automation.setIamPolicyprojects.locations.deliveryPipelines.automation.updateprojects.locations.deliveryPipelines.automationRuns.cancelprojects.locations.deliveryPipelines.releases.createprojects.locations.deliveryPipelines.releases.rollouts.advanceprojects.locations.deliveryPipelines.releases.rollouts.approveprojects.locations.deliveryPipelines.releases.rollouts.cancelprojects.locations.deliveryPipelines.releases.rollouts.createprojects.locations.deliveryPipelines.releases.rollouts.ignoreJobprojects.locations.deliveryPipelines.releases.rollouts.jobRuns.terminateprojects.locations.deliveryPipelines.releases.rollouts.retryJobprojects.locations.targets.createprojects.locations.targets.deleteprojects.locations.targets.setIamPolicyprojects.locations.targets.update
A differenza degli audit log per gli altri servizi, Cloud Deploy dispone solo dei log di accesso ai dati ADMIN_READ e ADMIN_WRITE e non offre i log DATA_READ e DATA_WRITE. I log DATA_READ e DATA_WRITE vengono utilizzati solo per i servizi che archiviano e gestiscono i dati utente e Cloud Deploy considera le proprie risorse come informazioni di configurazione amministrative.
Autorizzazioni per l'accesso ai log
I seguenti utenti possono visualizzare i log delle attività di amministrazione:
- Proprietari, editor e visualizzatori del progetto.
- Utenti con il ruolo IAM Visualizzatore log.
- Utenti con l'autorizzazione IAM
logging.logEntries.list.
Per ulteriori informazioni, consulta Ruoli e autorizzazioni IAM.
Formato degli audit log
Le voci di audit log hanno la seguente struttura:
- Un oggetto di tipo
LogEntryche contiene l'intera voce di log. - Un oggetto di tipo
AuditLogcontenuto nel campoprotoPayloaddell'oggettoLogEntry.
Sapere quali informazioni sono conservate in questi oggetti aiuta a comprendere e recuperare le voci degli audit log utilizzando Esplora log e l'API Cloud Logging.
Tutte le voci degli audit log contengono il nome di un audit log, di una risorsa e di un servizio:
logName: questo campo indica se il log è un audit log dell'attività di amministrazione o dell'accesso ai dati. Per Cloud Deploy, si tratta di attività solo di amministrazione. Ad esempio:
projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com/activity organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com/activityAll'interno di un progetto o di un'organizzazione, questi nomi di log sono preceduti dal suffisso
activityabbreviato.serviceName: per Cloud Deploy, il campo contiene
clouddeploy.googleapis.com.I tipi di risorse appartengono a un singolo servizio, ma un servizio può avere diversi tipi di risorse. Per un elenco di servizi e risorse, consulta la pagina relativa alla mappatura dei servizi alle risorse.
Per maggiori dettagli, consulta Tipi di dati degli audit log.
Abilitazione dei log
I log delle attività dell'amministratore sono abilitati e registrati per impostazione predefinita. Questi log non incidono sulla quota di importazione dei log. Per impostazione predefinita, i log degli accessi ai dati non vengono registrati, ma puoi configurarli in modo che vengano registrati.
Quote e limiti
Per informazioni sulle limitazioni di Logging, consulta Quote e limiti.
Visualizzazione dei log
Per visualizzare un riepilogo della tua attività di amministrazione:
Apri l'Attività Google Cloud:
Per selezionare e filtrare i log e visualizzarli in dettaglio:
Apri la pagina Esplora log:
In Esplora log, seleziona la risorsa di cui vuoi visualizzare gli audit log.
Nell'elenco a discesa Nome log, seleziona il nome del log che vuoi visualizzare.
Seleziona Attività per gli audit log dell'attività di amministrazione e data_access per gli audit log di accesso ai dati (se i log sono disponibili).
Gli audit log vengono visualizzati in Esplora log.
Puoi anche utilizzare l'interfaccia di filtro avanzata di Esplora log per specificare il tipo di risorsa e il nome log. Per ulteriori informazioni, consulta Recupero degli audit log.
Esportazione degli audit log
Puoi esportare copie di alcuni o di tutti i log in altre applicazioni, altri repository o terze parti. Per esportare i log, vedi Esportazione dei log.
Un'organizzazione può creare un sink aggregato in grado di esportare voci di log da tutti i progetti, le cartelle e gli account di fatturazione dell'organizzazione. Come per qualsiasi sink, il sink aggregato contiene un filtro che seleziona le singole voci di log. Per aggregare ed esportare gli audit log, vedi Sink aggregati.
Per leggere le voci di log tramite l'API, consulta entries.list. Per leggere le voci di log utilizzando l'SDK, consulta Lettura delle voci di log.
Passaggi successivi
- Leggi la pagina Esplora log per istruzioni su come filtrare i log.
- Per istruzioni sull'esportazione dei log, consulta la pagina Configurare e gestire i sink.