Información sobre registros de auditoría
En este documento se describe el registro de auditoría de Firestore con compatibilidad con MongoDB. Google Cloud Los servicios generan registros de auditoría que registran las actividades administrativas y de acceso en tus recursos de Google Cloud .
Para obtener más información sobre los registros de auditoría de Cloud, consulta los siguientes artículos:
- Tipos de registros de auditoría
- Estructura de las entradas del registro de auditoría
- Almacenar y enrutar registros de auditoría
- Resumen de precios de Cloud Logging
- Habilitar registros de auditoría de acceso a datos
Notas
Al configurar el registro de auditoría, usa el nombre de servicio datastore.googleapis.com
para configurar tanto datastore.googleapis.com como firestore.googleapis.com.
Once configured, logs for the Firestore with MongoDB compatibility API include the service namefirestore.googleapis.com`.
Para ver el tiempo que se ha tardado en procesar una solicitud DATA_READ o DATA_WRITE, consulta el campo processing_duration del objeto metadata de un AuditLog.
El campo processing_duration describe el tiempo que ha tardado la base de datos en procesar una solicitud. Es inferior a la latencia del usuario final. En concreto, no incluye la sobrecarga de la red.
Nombre del servicio
Los registros de auditoría de Firestore usan el nombre de servicio firestore.googleapis.com.
Filtrar por este servicio:
protoPayload.serviceName="firestore.googleapis.com"
Métodos por tipo de permiso
Cada permiso de gestión de identidades y accesos tiene una propiedad type, cuyo valor es una enumeración que puede ser uno de estos cuatro valores: ADMIN_READ, ADMIN_WRITE, DATA_READ o DATA_WRITE. Cuando llamas a un método, Firestore genera un registro de auditoría cuya categoría depende de la propiedad type del permiso necesario para ejecutar el método.
Los métodos que requieren un permiso de gestión de identidades y accesos con el valor type de la propiedad DATA_READ, DATA_WRITE o ADMIN_READ generan registros de auditoría de acceso a datos.
Los métodos que requieren un permiso de gestión de identidades y accesos con el valor type de la propiedad ADMIN_WRITE generate
Admin Activity (Generar actividad de administrador) generan registros de auditoría de actividad de administrador.
| Tipo de permiso | Métodos |
|---|---|
ADMIN_READ |
google.cloud.location.Locations.GetLocationgoogle.cloud.location.Locations.ListLocationsgoogle.firestore.admin.v1.FirestoreAdmin.GetBackupgoogle.firestore.admin.v1.FirestoreAdmin.GetBackupSchedulegoogle.firestore.admin.v1.FirestoreAdmin.GetDatabasegoogle.firestore.admin.v1.FirestoreAdmin.GetFieldgoogle.firestore.admin.v1.FirestoreAdmin.GetIndexgoogle.firestore.admin.v1.FirestoreAdmin.ListBackupSchedulesgoogle.firestore.admin.v1.FirestoreAdmin.ListBackupsgoogle.firestore.admin.v1.FirestoreAdmin.ListDatabasesgoogle.firestore.admin.v1.FirestoreAdmin.ListFieldsgoogle.firestore.admin.v1.FirestoreAdmin.ListIndexesgoogle.firestore.admin.v1beta1.FirestoreAdmin.GetIndexgoogle.firestore.admin.v1.MongoDBCompatible.ListIndexesgoogle.firestore.admin.v1.MongoDBCompatible.ListDatabases
|
ADMIN_WRITE |
google.firestore.admin.v1.FirestoreAdmin.CreateBackupSchedulegoogle.firestore.admin.v1.FirestoreAdmin.CreateDatabasegoogle.firestore.admin.v1.FirestoreAdmin.CreateIndexgoogle.firestore.admin.v1.FirestoreAdmin.DeleteBackupgoogle.firestore.admin.v1.FirestoreAdmin.DeleteBackupSchedulegoogle.firestore.admin.v1.FirestoreAdmin.DeleteDatabasegoogle.firestore.admin.v1.FirestoreAdmin.DeleteIndexgoogle.firestore.admin.v1.FirestoreAdmin.RestoreDatabasegoogle.firestore.admin.v1.FirestoreAdmin.UpdateBackupSchedulegoogle.firestore.admin.v1.FirestoreAdmin.UpdateDatabasegoogle.firestore.admin.v1.FirestoreAdmin.UpdateFieldgoogle.longrunning.Operations.CancelOperationgoogle.longrunning.Operations.DeleteOperation
|
DATA_READ |
google.firestore.v1.MongoDBCompatible.Findgoogle.firestore.v1.MongoDBCompatible.Aggregategoogle.firestore.v1.MongoDBCompatible.GetMoregoogle.firestore.v1.MongoDBCompatible.ListCollectionsgoogle.firestore.v1.MongoDBCompatible.Countgoogle.firestore.v1.MongoDBCompatible.Distinctgoogle.firestore.v1.MongoDBCompatible.CommitTransactiongoogle.firestore.v1.MongoDBCompatible.AbortTransactiongoogle.firestore.v1.MongoDBCompatible.EndSessionsgoogle.firestore.v1.MongoDBCompatible.KillCursors
|
DATA_WRITE |
google.firestore.v1.MongoDBCompatible.Insertgoogle.firestore.v1.MongoDBCompatible.Updategoogle.firestore.v1.MongoDBCompatible.Deletegoogle.firestore.v1.MongoDBCompatible.FindAndModifygoogle.firestore.v1.MongoDBCompatible.CreateCollection
|
Identificar a los autores de las solicitudes
Las entradas del registro de auditoría incluyen información sobre la identidad que ha realizado la operación registrada. Para identificar el elemento que llama a una solicitud, consulta los siguientes campos de un objeto AuditLog:
La identidad de la persona que llama se almacena en el campo
AuthenticationInfo. Esto puede incluir elprincipalEmaildel usuario. Esta información se oculta en ocasiones.El campo
callerIpdel objetorequestMetadatade una entradaAuditLogincluye la dirección IP de la persona que llama.