Audit logging

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Questa pagina descrive gli audit log creati per l'attività Google Cloud Deploy.

Riepilogo audit logging

I servizi Google Cloud scrivono audit log per aiutarti a rispondere alle domande di chi ha fatto cosa, dove e quando, all'interno dei tuoi progetti e organizzazioni Google Cloud.

Per Google Cloud Deploy, solo le attività di amministrazione vengono registrate per scopi di controllo. Queste informazioni di controllo vengono fornite per impostazione predefinita. L'attività di amministrazione consiste in operazioni che modificano la configurazione o i metadati di una risorsa di Google Cloud Deploy. Qualsiasi chiamata API che crea, aggiorna o elimina una risorsa di Google Cloud Deploy non è inclusa nel logging dell'amministratore.

Per ulteriori informazioni, consulta Cloud Audit Logs.

Operazioni con audit

Di seguito è riportato un elenco delle operazioni di Google Cloud Deploy che vengono registrate per il controllo:

  • projects.locations.deliveryPipelines.create
  • projects.locations.deliveryPipelines.delete
  • projects.locations.deliveryPipelines.setIamPolicy
  • projects.locations.deliveryPipelines.update
  • projects.locations.deliveryPipelines.releases.create
  • projects.locations.deliveryPipelines.releases.rollouts.create
  • projects.locations.deliveryPipelines.releases.rollouts.approve
  • projects.locations.deliveryPipelines.releases.rollouts.retryJob
  • projects.locations.targets.create
  • projects.locations.targets.delete
  • projects.locations.targets.setIamPolicy
  • projects.locations.targets.update

A differenza degli audit log per altri servizi, Google Cloud Deploy ha solo i log di accesso ai dati ADMIN_READ e ADMIN_WRITE e non offre i log DATA_READ e DATA_WRITE. I log DATA_READ e DATA_WRITE vengono utilizzati solo per i servizi che archiviano e gestiscono i dati utente e Google Cloud Deploy considera le proprie risorse come informazioni di configurazione amministrative.

Autorizzazioni per l'accesso ai log

I seguenti utenti possono visualizzare i log delle attività di amministrazione:

Per saperne di più, consulta Autorizzazioni e ruoli IAM.

Formato degli audit log

Le voci dei log di controllo hanno la seguente struttura:

  • Un oggetto di tipo LogEntry contenente l'intera voce di log.
  • Un oggetto di tipo AuditLog contenuto nel campo protoPayload dell'oggetto LogEntry.

Conoscere le informazioni contenute in questi oggetti consente di comprendere e recuperare le voci dell'audit log utilizzando Esplora log e l'API Cloud Logging.

Tutte le voci del log di controllo contengono il nome di un log di controllo, di una risorsa e di un servizio:

  • logName: questo campo indica se il log è un log di controllo Attività di amministrazione o Accesso ai dati. Per Google Cloud Deploy, queste sono solo attività di amministrazione. Ad esempio:

    projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com/activity
    organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com/activity
    

    All'interno di un progetto o di un'organizzazione, questi nomi di log hanno un suffisso activity.

  • serviceName: per Google Cloud Deploy, il campo contiene clouddeploy.googleapis.com.

    I tipi di risorsa appartengono a un singolo servizio, ma un servizio può avere diversi tipi di risorse. Per un elenco di servizi e risorse, consulta la sezione Mappatura dei servizi su risorse.

Per maggiori dettagli, vedi Tipi di dati del log di controllo.

Attivazione dei log

I log delle attività di amministrazione sono abilitati e registrati per impostazione predefinita. Questi log non vengono conteggiati ai fini della quota di importazione dei log. Per impostazione predefinita, i log di accesso ai dati non vengono registrati, ma puoi configurarli in modo da registrarli.

Quote e limiti

Per informazioni sulle limitazioni di Logging, consulta Quote e limiti.

Visualizzazione dei log

Per visualizzare un riepilogo delle tue attività amministrative:

Per selezionare e filtrare i log e visualizzarli in dettaglio:

  1. Apri la pagina Esplora log:

    Vai alla pagina Esplora log

  2. In Esplora log, seleziona la risorsa di cui vuoi visualizzare gli audit log.

  3. Nel menu a discesa Nome log, seleziona il nome del log che vuoi visualizzare.

    Seleziona Attività per gli audit log per le attività di amministrazione e data_access per gli audit log di accesso ai dati (se i log sono disponibili).

Esplora log, in Google Cloud Console, che mostra i selettori di risorse e nomi di log.

Gli audit log vengono mostrati in Esplora log.

Puoi anche utilizzare l'interfaccia dei filtri avanzati di Esplora log per specificare il tipo di risorsa e il nome del log. Per ulteriori informazioni, consulta Recupero dei log di controllo.

Esportazione log di controllo

Puoi esportare copie di alcuni o tutti i tuoi log in altre applicazioni, altri repository o terze parti. Per esportare i log, vedi Esportazione dei log.

Un'organizzazione può creare un sink aggregato per esportare le voci di log da tutti i progetti, le cartelle e gli account di fatturazione dell'organizzazione. Come in qualsiasi sink, il sink aggregato contiene un filtro che seleziona singole voci di log. Per aggregare ed esportare gli audit log, vedi sink aggregati.

Per leggere le voci di log tramite l'API, consulta entries.list. Per leggere le voci di log utilizzando l'SDK, consulta Lettura delle voci di log.

Passaggi successivi