이 페이지에서는 Cloud Deploy 활동에 대해 생성된 감사 로그를 설명합니다.
감사 로깅 요약
Google Cloud 서비스는 감사 로그를 작성하여 Google Cloud 프로젝트 및 조직 내에서 '누가, 언제, 어디서, 무엇을 했는가'라는 질문에 답하도록 도움을 줍니다.
Cloud Deploy의 경우 관리자 활동만 감사 목적으로 로깅됩니다. 이 감사 정보는 기본적으로 제공됩니다. 관리자 활동은 Cloud Deploy 리소스의 구성 또는 메타데이터를 수정하는 작업들로 구성됩니다. Cloud Deploy 리소스를 만들거나, 업데이트, 삭제하는 API 호출은 관리자 로깅에 포함되지 않습니다.
자세한 내용은 Cloud 감사 로그를 참조하세요.
감사 대상 작업
다음은 감사를 위해 로깅되는 Cloud Deploy 작업 목록입니다.
projects.locations.customTargetTypes.createprojects.locations.customTargetTypes.deleteprojects.locations.customTargetTypes.updateprojects.locations.deliveryPipelines.createprojects.locations.deliveryPipelines.deleteprojects.locations.deliveryPipelines.setIamPolicyprojects.locations.deliveryPipelines.updateprojects.locations.deliveryPipelines.automation.createprojects.locations.deliveryPipelines.automation.deleteprojects.locations.deliveryPipelines.automation.setIamPolicyprojects.locations.deliveryPipelines.automation.updateprojects.locations.deliveryPipelines.automationRuns.cancelprojects.locations.deliveryPipelines.releases.createprojects.locations.deliveryPipelines.releases.rollouts.advanceprojects.locations.deliveryPipelines.releases.rollouts.approveprojects.locations.deliveryPipelines.releases.rollouts.cancelprojects.locations.deliveryPipelines.releases.rollouts.createprojects.locations.deliveryPipelines.releases.rollouts.ignoreJobprojects.locations.deliveryPipelines.releases.rollouts.jobRuns.terminateprojects.locations.deliveryPipelines.releases.rollouts.retryJobprojects.locations.targets.createprojects.locations.targets.deleteprojects.locations.targets.setIamPolicyprojects.locations.targets.update
다른 서비스의 감사 로그와 달리 Cloud Deploy에는 ADMIN_READ 및 ADMIN_WRITE 데이터 액세스 로그만 있고, DATA_READ 및 DATA_WRITE 로그를 제공하지 않습니다. DATA_READ 및 DATA_WRITE 로그는 사용자 데이터를 저장 및 관리하는 서비스에만 사용됩니다. Cloud Deploy는 해당 리소스를 관리 구성 정보로 고려합니다.
로그 액세스 권한
관리자 활동 로그를 볼 수 있는 사용자는 다음과 같습니다.
- 프로젝트 소유자, 편집자, 뷰어
- 로그 뷰어 IAM 역할을 가진 사용자
logging.logEntries.listIAM 권한을 가진 사용자
자세한 내용은 IAM 역할 및 권한을 참조하세요.
감사 로그 형식
감사 로그 항목 구조는 다음과 같습니다.
이러한 객체에 어떤 정보가 보관되는지 알면 감사 로그를 쉽게 이해하고 로그 탐색기와 Cloud Logging API를 사용하여 감사 로그 항목을 검색할 수 있습니다.
모든 감사 로그 항목에는 감사 로그의 이름, 리소스, 서비스가 포함됩니다.
logName: 이 필드는 로그가 관리자 활동 또는 데이터 액세스 감사 로그인지를 나타냅니다. Cloud Deploy에는 관리자 활동만 있습니다. 예를 들면 다음과 같습니다.
projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com/activity organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com/activity프로젝트 또는 조직 내에서 이러한 로그 이름에는 축약된
activity의 서픽스가 포함됩니다.serviceName: Cloud Deploy의 경우 필드에
clouddeploy.googleapis.com이 포함됩니다.리소스 유형은 하나의 서비스에 속하지만 한 서비스가 여러 리소스 유형을 가질 수 있습니다. 서비스와 리소스의 목록은 리소스에 서비스 매핑하기를 참조하세요.
자세한 내용은 감사 로그 데이터 유형을 참조하세요.
로그 사용 설정
관리자 활동 로그는 기본적으로 사용 설정되고 기록됩니다. 이 로그는 로그 수집 할당량에 포함되지 않습니다. 기본적으로 데이터 액세스 로그는 기록되지 않지만 기록되도록 구성할 수 있습니다.
할당량 및 한도
로깅에 대한 제한사항은 할당량 및 한도를 참조하세요.
로그 보기
관리 활동 요약을 보려면 다음 안내를 따르세요.
Google Cloud 활동을 엽니다.
로그를 선택 및 필터링하고 자세히 보려면 다음 안내를 따르세요.
로그 탐색기 페이지를 엽니다.
로그 탐색기에서 감사 로그를 보려는 리소스를 선택합니다.
로그 이름 드롭다운에서 확인할 로그 이름을 선택합니다.
관리자 활동 감사 로그의 경우에는 Activity를, 데이터 액세스 감사 로그의 경우에는 data_access를 선택합니다(로그가 있는 경우).
감사 로그가 로그 탐색기에 표시됩니다.
또한 로그 탐색기의 고급 필터 인터페이스를 사용하여 리소스 유형과 로그 이름을 지정할 수 있습니다. 자세한 내용은 감사 로그 검색을 참조하세요.
감사 로그 내보내기
로그의 일부 또는 전체 사본을 다른 애플리케이션, 다른 저장소, 제3자에게 내보낼 수 있습니다. 로그를 내보내는 방법은 로그 내보내기를 참조하세요.
조직의 경우 조직의 모든 프로젝트, 폴더, 결제 계정에서 로그 항목을 내보낼 수 있는 집계 싱크를 만들 수 있습니다. 여타 싱크와 마찬가지로 집계 싱크도 개별 로그 항목을 선택하는 필터를 포함합니다. 감사 로그를 집계하고 내보내려면 집계 싱크를 참조하세요.
API를 통해 로그 항목을 읽으려면 entries.list를 참조하세요. SDK를 사용하여 로그 항목을 읽으려면 로그 항목 읽기를 참조하세요.
다음 단계
- 로그 탐색기 페이지에서 로그 필터링에 대한 지침 읽기
- 싱크 구성 및 관리 페이지에서 로그 내보내기에 대한 지침 읽기