감사 로깅

이 페이지에서는 Google Cloud Deploy 활동에 대해 생성된 감사 로그를 설명합니다.

감사 로깅 요약

Google Cloud 서비스는 감사 로그를 작성하여 Google Cloud 프로젝트 및 조직 내에서 '누가, 언제, 어디서, 무엇을 했는가'라는 질문에 답하도록 도움을 줍니다.

Google Cloud Deploy의 경우 관리자 활동만 감사 목적으로 로깅됩니다. 이 감사 정보는 기본적으로 제공됩니다. 관리자 활동은 Google Cloud Deploy 리소스의 구성 또는 메타데이터를 수정하는 작업들로 구성됩니다. Google Cloud Deploy 리소스를 만들거나, 업데이트, 삭제하는 API 호출은 관리자 로깅에 포함되지 않습니다.

자세한 내용은 Cloud 감사 로그를 참조하세요.

감사 대상 작업

다음은 감사를 위해 로깅되는 Google Cloud Deploy 작업 목록입니다.

  • projects.locations.deliveryPipelines.create
  • projects.locations.deliveryPipelines.delete
  • projects.locations.deliveryPipelines.setIamPolicy
  • projects.locations.deliveryPipelines.update
  • projects.locations.deliveryPipelines.releases.create
  • projects.locations.deliveryPipelines.releases.rollouts.create
  • projects.locations.deliveryPipelines.releases.rollouts.approve
  • projects.locations.targets.create
  • projects.locations.targets.delete
  • projects.locations.targets.setIamPolicy
  • projects.locations.targets.update

다른 서비스의 감사 로그와 달리 Google Cloud Deploy에는 ADMIN_READADMIN_WRITE 데이터 액세스 로그만 있고, DATA_READDATA_WRITE 로그를 제공하지 않습니다. DATA_READDATA_WRITE 로그는 사용자 데이터를 저장 및 관리하는 서비스에만 사용됩니다. Google Cloud Deploy는 해당 리소스를 관리 구성 정보로 고려합니다.

로그 액세스 권한

관리자 활동 로그를 볼 수 있는 사용자는 다음과 같습니다.

자세한 내용은 IAM 역할 및 권한을 참조하세요.

감사 로그 형식

감사 로그 항목 구조는 다음과 같습니다.

  • 전체 로그 항목을 포함하는 LogEntry 유형의 객체
  • LogEntry 객체의 protoPayload 필드에 보관되는 AuditLog 유형의 객체

이러한 객체에 어떤 정보가 보관되는지 알면 감사 로그를 쉽게 이해하고 로그 뷰어와 Cloud Logging API를 사용하여 감사 로그 항목을 검색할 수 있습니다.

모든 감사 로그 항목에는 감사 로그의 이름, 리소스, 서비스가 포함됩니다.

  • logName: 이 필드는 로그가 관리자 활동 또는 데이터 액세스 감사 로그인지를 나타냅니다. Google Cloud Deploy에는 관리자 활동만 있습니다. 예를 들면 다음과 같습니다.

    projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com/activity
    organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com/activity
    

    프로젝트 또는 조직 내에서 이러한 로그 이름에는 축약된 activity의 서픽스가 포함됩니다.

  • serviceName: Google Cloud Deploy의 경우 필드에 clouddeploy.googleapis.com이 포함됩니다.

    리소스 유형은 하나의 서비스에 속하지만 한 서비스가 여러 리소스 유형을 가질 수 있습니다. 서비스와 리소스의 목록은 리소스에 서비스 매핑하기를 참조하세요.

자세한 내용은 감사 로그 데이터 유형을 참조하세요.

로그 사용 설정

관리자 활동 로그는 기본적으로 사용 설정되고 기록됩니다. 이 로그는 로그 수집 할당량에 포함되지 않습니다. 데이터 액세스 로그는 기록되지 않습니다.

할당량 및 한도

로깅에 대한 제한사항은 할당량 및 한도를 참조하세요.

로그 보기

관리 활동 요약을 보려면 다음 안내를 따르세요.

로그를 선택 및 필터링하고 자세히 보려면 다음 안내를 따르세요.

  1. 로그 뷰어 페이지를 엽니다.

    로그 뷰어 페이지로 이동

  2. 첫 번째 드롭다운 메뉴에서 확인할 감사 로그의 리소스를 선택합니다. 특정 프로젝트 또는 '모든 프로젝트'를 선택합니다.

  3. 두 번째 메뉴에서 확인하려는 로그 이름을 선택합니다. 관리 활동 감사 로그는 activity, 데이터 액세스 감사 로그(로그를 이용할 수 있는 경우)는 data_access입니다.

감사 로그가 로그 뷰어에 나타납니다.

또한 로그 뷰어의 고급 필터 인터페이스를 사용하여 리소스 유형과 로그 이름을 지정할 수 있습니다. 자세한 내용은 감사 로그 검색을 참조하세요.

감사 로그 내보내기

로그의 일부 또는 전체 사본을 다른 애플리케이션, 다른 저장소, 제3자에게 내보낼 수 있습니다. 로그를 내보내는 방법은 로그 내보내기를 참조하세요.

조직의 경우 조직의 모든 프로젝트, 폴더, 결제 계정에서 로그 항목을 내보낼 수 있는 집계 싱크를 만들 수 있습니다. 여타 싱크와 마찬가지로 집계 싱크도 개별 로그 항목을 선택하는 필터를 포함합니다. 감사 로그를 집계하고 내보내려면 집계 싱크를 참조하세요.

API를 통해 로그 항목을 읽으려면 entries.list를 참조하세요. SDK를 사용하여 로그 항목을 읽으려면 로그 항목 읽기를 참조하세요.

다음 단계