監査ロギング

このページでは、Google Cloud Deploy のアクティビティ用に作成された監査ログについて説明します。

監査ログの概要

Google Cloud サービスでは、Google Cloud プロジェクトおよび組織内で「誰がいつどこで何をしたか」の確認に役立つ監査ログが記録されます。

Google Cloud Deploy の場合、監査を目的とする管理アクティビティのみが記録されます。この監査情報はデフォルトで提供されます。 管理アクティビティは、Google Cloud Deploy リソースの構成やメタデータを変更するオペレーションで構成されます。Google Cloud Deploy リソースを作成、更新、削除する API 呼び出しは、管理ロギングには含まれません。

詳しくは、Cloud Audit Logs をご覧ください。

監査対象のオペレーション

監査のためにログに記録される Google Cloud Deploy オペレーションのリストは次のとおりです。

  • projects.locations.deliveryPipelines.create
  • projects.locations.deliveryPipelines.delete
  • projects.locations.deliveryPipelines.setIamPolicy
  • projects.locations.deliveryPipelines.update
  • projects.locations.deliveryPipelines.releases.create
  • projects.locations.deliveryPipelines.releases.rollouts.create
  • projects.locations.deliveryPipelines.releases.rollouts.approve
  • projects.locations.targets.create
  • projects.locations.targets.delete
  • projects.locations.targets.setIamPolicy
  • projects.locations.targets.update

他のサービスの監査ログとは異なり、Google Cloud Deploy には ADMIN_READ データ アクセスログおよび ADMIN_WRITE データ アクセスログしかなく、DATA_READ ログと DATA_WRITE ログはありません。DATA_READ ログと DATA_WRITE ログは、ユーザーデータを保存および管理するサービスにのみ使用されます。Google Cloud Deploy はリソースを管理構成情報と見なします。

ログにアクセスするための権限

次のユーザーは管理アクティビティ ログを閲覧できます。

詳細については、IAM のロールと権限をご覧ください。

監査ログ形式

監査ログエントリの構造は、次のとおりです。

  • 完全なログエントリを含む LogEntry タイプのオブジェクト。
  • LogEntry オブジェクトの protoPayload フィールドに保持される AuditLog タイプのオブジェクト。

これらのオブジェクトにどのような情報が保持されているかを知ると監査ログエントリについて理解を深めることができ、ログビューアや Cloud Logging API を使用して監査ログエントリを取得するのに役立ちます。

すべての監査ログエントリには、監査ログの名前、リソース、サービスが含まれています。

  • logName: このフィールドは、管理アクティビティの監査ログか、データアクセスの監査ログかを表します。Google Cloud Deploy の場合、これは管理アクティビティのみです。次に例を示します。

    projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com/activity
    organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com/activity
    

    プロジェクトまたは組織内で、これらのログ名の末尾には省略形の activity が付いています。

  • serviceName: Google Cloud Deploy の場合、このフィールドには clouddeploy.googleapis.com が含まれます。

    リソースタイプは単一のサービスに属しますが、サービスは複数のリソースタイプを持つことができます。サービスとリソースの一覧については、サービスとリソースのマッピングをご覧ください。

詳細については、監査ログのデータ型をご覧ください。

ログを有効にする

管理アクティビティ ログはデフォルトで有効になり、ログに記録されます。これらのログは、ログ取り込み割り当ての計算対象になりません。データアクセス ログは記録されません。

割り当てと上限

Logging の制限については、割り当てと制限をご覧ください。

ログの表示

管理アクティビティの概要を表示するには:

ログを選択してフィルタリングし、詳細を表示するには:

  1. [ログビューア] ページを開きます。

    ログビューア ページに移動

  2. 最初のプルダウン メニューで、監査ログを表示するリソースを選択します。特定のプロジェクトまたは [すべてのプロジェクト] を選択します。

  3. 2 番目のメニューで、表示するログの名前を選択します。管理アクティビティの監査ログの場合は activity、データアクセス監査ログの場合は data_access です(ログが使用可能な場合)。

監査ログがログビューアに表示されます。

ログビューアの高度なフィルタのインターフェースを使用して、リソースタイプとログ名を指定することもできます。詳細については、監査ログの取得をご覧ください。

監査ログのエクスポート

ログの一部またはすべてのコピーを他のアプリケーション、他のリポジトリ、サードパーティにエクスポートすることができます。ログをエクスポートする方法については、ログのエクスポートをご覧ください。

組織では、集約シンクを作成して、組織のすべてのプロジェクト、フォルダ、請求先アカウントのログエントリをエクスポートできます。他のシンクと同様に、集約シンクにも個々のログエントリを選択するフィルタが含まれます。監査ログを集約してエクスポートする方法については、集約シンクをご覧ください。

API を使用してログエントリを読み取る方法については、entries.list をご覧ください。SDK を使用してログエントリを読み取る方法については、ログエントリの読み取りをご覧ください。

次のステップ