監査ロギング

このページでは、Google Cloud Deploy のアクティビティ用に作成された監査ログについて説明します。

監査ログの概要

Google Cloud サービスでは、Google Cloud プロジェクトおよび組織内で「誰がいつどこで何をしたか」の確認に役立つ監査ログが記録されます。

Google Cloud Deploy の場合、監査を目的とする管理アクティビティのみが記録されます。この監査情報はデフォルトで提供されます。 管理アクティビティは、Google Cloud Deploy リソースの構成やメタデータを変更するオペレーションで構成されます。Google Cloud Deploy リソースを作成、更新、削除する API 呼び出しは、管理ロギングには含まれません。

詳しくは、Cloud Audit Logs をご覧ください。

監査対象のオペレーション

監査のためにログに記録される Google Cloud Deploy オペレーションのリストは次のとおりです。

• projects.locations.deliveryPipelines.create
• projects.locations.deliveryPipelines.delete
• projects.locations.deliveryPipelines.setIamPolicy
• projects.locations.deliveryPipelines.update
• projects.locations.deliveryPipelines.releases.create
• projects.locations.deliveryPipelines.releases.rollouts.create
• projects.locations.deliveryPipelines.releases.rollouts.approve
• projects.locations.deliveryPipelines.releases.rollouts.retryJob
• projects.locations.targets.create
• projects.locations.targets.delete
• projects.locations.targets.setIamPolicy
• projects.locations.targets.update

他のサービスの監査ログとは異なり、Google Cloud Deploy には ADMIN_READ および ADMIN_WRITE データ アクセスログしかなく、DATA_READ ログと DATA_WRITE ログはありません。DATA_READ ログと DATA_WRITE ログは、ユーザーデータを保存および管理するサービスにのみ使用されます。Google Cloud Deploy はリソースを管理構成情報と見なします。

ログにアクセスするための権限

次のユーザーは管理アクティビティ ログを閲覧できます。

• プロジェクト オーナー、編集者、閲覧者
• ログ閲覧者の IAM 役割を持つユーザー
• logging.logEntries.list IAM 権限を持つユーザー

詳細については、IAM のロールと権限をご覧ください。

監査ログ形式

監査ログエントリの構造は、次のとおりです。

• 完全なログエントリを含む LogEntry タイプのオブジェクト。
• LogEntry オブジェクトの protoPayload フィールドに保持される AuditLog タイプのオブジェクト。

これらのオブジェクトにどのような情報が保持されているかを知ると監査ログエントリについて理解を深めることができ、ログ エクスプローラや Cloud Logging API を使用して監査ログエントリを取得するのに役立ちます。

すべての監査ログエントリには、監査ログの名前、リソース、サービスが含まれています。

• logName: このフィールドは、管理アクティビティの監査ログか、データアクセスの監査ログかを表します。Google Cloud Deploy の場合、これは管理アクティビティのみです。次に例を示します。

  projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com/activity
  organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com/activity
  

  プロジェクトまたは組織内で、これらのログ名の末尾には省略形の activity が付いています。

• serviceName: Google Cloud Deploy の場合、このフィールドには clouddeploy.googleapis.com が含まれます。

  リソースタイプは単一のサービスに属しますが、サービスは複数のリソースタイプを持つことができます。サービスとリソースの一覧については、サービスとリソースのマッピングをご覧ください。

詳細については、監査ログのデータ型をご覧ください。

ログを有効にする

管理者アクティビティ ログはデフォルトで有効になり、ログに記録されます。これらのログは、ログ取り込み割り当ての計算対象になりません。 デフォルトでは、データアクセス ログは記録されませんが、記録するように構成できます。

割り当てと上限

Logging の制限については、割り当てと制限をご覧ください。

ログの表示

管理アクティビティの概要を表示するには:

• Google Cloud のアクティビティを開きます。

  アクティビティに移動

ログを選択してフィルタリングし、詳細を表示するには:

1. [ログ エクスプローラ] ページを開きます。

   [ログ エクスプローラ] ページに移動

2. ログ エクスプローラで、監査ログを表示するリソースを選択します。

3. [ログ名] プルダウンで、表示するログの名前を選択します。

   管理アクティビティ監査ログの場合は [アクティビティ] を選択し、データアクセス監査ログ（ログが使用可能な場合）の場合は data_access を選択します。

監査ログがログ エクスプローラに表示されます。

ログ エクスプローラの高度なフィルタ インターフェースを使用して、リソースタイプとログ名を指定することもできます。詳細については、監査ログの取得をご覧ください。

監査ログのエクスポート

ログの一部またはすべてのコピーを他のアプリケーション、他のリポジトリ、サードパーティにエクスポートすることができます。ログをエクスポートする方法については、ログのエクスポートをご覧ください。

組織では、集約シンクを作成して、組織のすべてのプロジェクト、フォルダ、請求先アカウントのログエントリをエクスポートできます。他のシンクと同様に、集約シンクにも個々のログエントリを選択するフィルタが含まれます。監査ログを集約してエクスポートする方法については、集約シンクをご覧ください。

API を使用してログエントリを読み取る方法については、entries.list をご覧ください。SDK を使用してログエントリを読み取る方法については、ログエントリの読み取りをご覧ください。

次のステップ

• [ログ エクスプローラ] ページでログのフィルタリング方法を確認する。
• [シンクを構成して管理する] ページでログのエクスポート手順を確認する。