Questa pagina descrive gli audit log creati per l'attività Cloud Deploy.
Riepilogo dell'audit logging
I servizi Google Cloud scrivono audit log per aiutarti a rispondere a domande quali "chi ha fatto cosa, dove e quando?" nei progetti e nelle organizzazioni Google Cloud.
Per Cloud Deploy, solo le attività di amministrazione vengono registrate per scopi di controllo. Queste informazioni di controllo sono fornite per impostazione predefinita. L'attività di amministrazione consiste in operazioni che modificano la configurazione o i metadati di una risorsa Cloud Deploy. Qualsiasi chiamata API che crea, aggiorna o elimina una risorsa Cloud Deploy non è inclusa nel logging dell'amministratore.
Per saperne di più, consulta Cloud Audit Logs.
Operazioni con audit
Di seguito è riportato un elenco delle operazioni di Cloud Deploy registrate per il controllo:
projects.locations.deliveryPipelines.createprojects.locations.deliveryPipelines.deleteprojects.locations.deliveryPipelines.setIamPolicyprojects.locations.deliveryPipelines.updateprojects.locations.deliveryPipelines.releases.createprojects.locations.deliveryPipelines.releases.rollouts.advanceprojects.locations.deliveryPipelines.releases.rollouts.approveprojects.locations.deliveryPipelines.releases.rollouts.cancelprojects.locations.deliveryPipelines.releases.rollouts.createprojects.locations.deliveryPipelines.releases.rollouts.ignoreJobprojects.locations.deliveryPipelines.releases.rollouts.jobRuns.terminateprojects.locations.deliveryPipelines.releases.rollouts.retryJobprojects.locations.targets.createprojects.locations.targets.deleteprojects.locations.targets.setIamPolicyprojects.locations.targets.update
A differenza degli audit log per altri servizi, Cloud Deploy include solo i log di accesso ai dati ADMIN_READ e ADMIN_WRITE e non offre i log DATA_READ e DATA_WRITE. I log DATA_READ e DATA_WRITE vengono utilizzati solo per i servizi che archiviano e gestiscono i dati utente e Cloud Deploy considera le sue risorse come informazioni di configurazione amministrative.
Autorizzazioni per l'accesso ai log
I seguenti utenti possono visualizzare i log delle attività di amministrazione:
- Proprietari del progetto, editor e visualizzatori.
- Utenti con il ruolo IAM Visualizzatore log.
- Utenti con l'autorizzazione IAM
logging.logEntries.list.
Per ulteriori informazioni, consulta Autorizzazioni e ruoli IAM.
Formato degli audit log
Le voci del log di controllo hanno la seguente struttura:
- Un oggetto di tipo
LogEntryche contiene l'intera voce di log. - Un oggetto di tipo
AuditLogdetenuto nel campoprotoPayloaddell'oggettoLogEntry.
Sapere quali sono le informazioni contenute in questi oggetti ti aiuta a comprendere e recuperare le voci degli audit log utilizzando Esplora log e l'API Cloud Logging.
Tutte le voci dell'audit log contengono il nome di un audit log, una risorsa e un servizio:
logName: questo campo indica se il log è un audit log dell'attività di amministrazione o di accesso ai dati. Per Cloud Deploy, queste sono solo attività di amministrazione. Ad esempio:
projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com/activity organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com/activityAll'interno di un progetto o di un'organizzazione, a questi nomi di log viene aggiunto il suffisso
activityabbreviato.serviceName: per Cloud Deploy, il campo contiene
clouddeploy.googleapis.com.I tipi di risorse appartengono a un singolo servizio, ma un servizio può avere diversi tipi di risorse. Per un elenco di servizi e risorse, consulta la sezione Mappatura dei servizi alle risorse.
Per maggiori dettagli, vedi Tipi di dati dei log di controllo.
Abilitazione dei log
I log delle attività di amministrazione sono attivati e registrati per impostazione predefinita. Questi log non vengono conteggiati ai fini della quota di importazione dei log. Per impostazione predefinita, i log di accesso ai dati non vengono registrati, ma puoi configurarli in modo che vengano registrati.
Quote e limiti
Per informazioni sulle limitazioni relative a Logging, consulta Quote e limiti.
Visualizzazione dei log
Per visualizzare un riepilogo dell'attività di amministrazione:
Apri Attività cloud di Google:
Per selezionare e filtrare i log e visualizzarli in dettaglio:
Apri la pagina Esplora log:
In Esplora log, seleziona la risorsa di cui vuoi visualizzare gli audit log.
Nel menu a discesa Nome log, seleziona il nome del log da visualizzare.
Seleziona Attività per gli audit log dell'attività di amministrazione e data_access per gli audit log di accesso ai dati (se i log sono disponibili).
Gli audit log vengono visualizzati in Esplora log.
Puoi anche utilizzare l'interfaccia di filtro avanzata di Esplora log per specificare il tipo di risorsa e il nome del log. Per ulteriori informazioni, consulta Recuperare i log di controllo.
Esportazione degli audit log
Puoi esportare copie di alcuni o tutti i log in altre applicazioni, altri repository o terze parti. Per esportare i log, consulta Esportazione dei log.
Un'organizzazione può creare un sink aggregato per esportare le voci di log da tutti i progetti, cartelle e account di fatturazione dell'organizzazione. Come ogni sink, il sink aggregato contiene un filtro che seleziona singole voci di log. Per aggregare ed esportare i log di controllo, consulta Sink aggregati.
Per leggere le voci di log tramite l'API, consulta entries.list. Per leggere le voci di log utilizzando l'SDK, consulta Lettura delle voci di log.
Passaggi successivi
- Leggi la pagina Esplora log per istruzioni su come filtrare i log.
- Leggi la pagina Configurare e gestire i sink per le istruzioni sull'esportazione dei log.