Visualizzazione degli audit log di Cloud

Questa pagina descrive gli audit log creati da Cloud IoT Core come parte degli audit log di Cloud.

Panoramica

I servizi Google Cloud scrivono audit log per aiutarti a rispondere alle domande "Chi ha fatto cosa, dove e quando". Ciascuno dei tuoi progetti Cloud contengono solo gli audit log delle risorse che si trovano direttamente all'interno del progetto. Le altre entità, tra cui cartelle, organizzazioni e account di fatturazione, contengono audit log specifici.

Cloud IoT Core scrive e fornisce per impostazione predefinita audit log per l'attività di amministrazione, che include le operazioni che modificano la configurazione o i metadati di una risorsa. incluse le impostazioni dispositivo, le configurazioni cloud-to-device e le impostazioni del Registro di sistema dei dispositivi.

Cloud IoT Core scrive e non fornisce per impostazione predefinita i log di controllo per l'accesso ai dati, che registrano le chiamate API che leggono i dati forniti dagli utenti.

Abilitazione degli audit log

I log di controllo delle attività di amministrazione sono abilitati per impostazione predefinita e possono essere disabilitati soltanto tramite le esclusioni di Cloud Logging.

La maggior parte degli audit log di accesso a Google Cloud Data è disabilitata per impostazione predefinita. Fanno eccezione i log di controllo di accesso ai dati per BigQuery, che sono abilitati per impostazione predefinita e non possono essere disabilitati; i log di accesso ai dati di BigQuery non vengono conteggiati ai fini della quota di logging del progetto.

Per abilitare alcuni o tutti i log di accesso ai dati, consulta Configurazione dei log di accesso ai dati.

I log di accesso ai dati che configuri possono influire sui prezzi dei log nella suite operativa di Google Cloud. Per ulteriori informazioni, consulta la sezione Prezzi in questa pagina.

Operazioni con audit

La tabella seguente riepiloga le operazioni API corrispondenti a ogni tipo di audit log in Cloud IoT Core:

Categoria di audit log	Operazioni di Cloud IoT Core
Log delle attività di amministrazione	`CreateDeviceRegistry` `DeleteDeviceRegistry` `UpdateDeviceRegistry` `CreateDevice` `DeleteDevice` `UpdateDevice` `ModifyCloudToDeviceConfig` `SetIamPolicy`
Log di accesso ai dati (`ADMIN_READ`)	`GetDeviceRegistry` `ListDeviceRegistries` `GetDevice` `ListDevices` `GetIamPolicy`
Log di accesso ai dati (`DATA_READ`)	Nessuno
Log di accesso ai dati (`DATA_WRITE`)	Nessuno

Log di accesso ai dati

Esistono tre categorie di log di controllo dell'accesso ai dati: ADMIN_READ, DATA_READ e DATA_WRITE. Tuttavia, Cloud IoT Core utilizza solo ADMIN_READlog di accesso ai dati. Questo perché i log DATA_READ e DATA_WRITE vengono utilizzati solo per i servizi che archiviano e gestiscono i dati utente (ad esempio Cloud Storage, Cloud Spanner e Cloud SQL), che non si applicano a Cloud IoT Core.

Tipo di log Accesso ai dati	Descrizione	Disponibilità
`ADMIN_READ`	Operazioni che leggono la configurazione o i metadati di una risorsa.	Cloud IoT Core non fornisce `ADMIN_READ` log per impostazione predefinita.
`DATA_READ`	Operazioni che leggono i dati forniti dagli utenti da una risorsa.	Cloud IoT Core non fornisce log `DATA_READ`.
`DATA_WRITE`	Operazioni che scrivono i dati forniti dagli utenti in una risorsa.	Cloud IoT Core non fornisce log `DATA_WRITE`.

Puoi configurare le informazioni di controllo non fornite per impostazione predefinita. Per conoscere i dettagli, consulta Configurazione dei log di accesso ai dati.

Formato degli audit log

Le voci dei log di controllo, che possono essere visualizzate utilizzando il visualizzatore log, l'API o il comando SDK gcloud logging, includono i seguenti oggetti:

La voce di log stessa, che è un oggetto di tipo LogEntry. Di seguito vengono riportati alcuni campi utili:
- logName contiene l'identificazione del progetto e il tipo di log di controllo
- resource contiene il target dell'operazione controllata
- timestamp contiene l'ora dell'operazione controllata
- protoPayload contiene le informazioni controllate
Le informazioni di controllo, che sono un oggetto AuditLog contenuto nel campo protoPayload della voce di log.

Per altri campi in questi oggetti, gli esempi dei loro contenuti e le query di esempio sulle informazioni negli oggetti, consulta Tipi di log di controllo.

Nome log e nome del servizio

I nomi degli audit log di Cloud indicano il progetto o altra entità proprietaria degli audit log e se il log contiene informazioni sull'attività di amministrazione o sull'accesso ai dati. Ad esempio, l'esempio seguente mostra i nomi dei log per l'attività di amministrazione di un progetto e i log di accesso ai dati di un'organizzazione.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Nomi e tipi di risorse dei servizi

Gli audit log di Cloud IoT Core utilizzano il nome del servizio cloudiot.googleapis.com.

Gli audit log di Cloud IoT Core utilizzano i tipi di risorse cloudiot_device e cloudiot_device_registry per tutti gli audit log.

Per maggiori dettagli sui servizi e le risorse di logging, consulta Mappatura dei servizi alle risorse.

Autorizzazioni degli audit log

Le autorizzazioni e i ruoli di Identity and Access Management determinano i log di controllo che puoi visualizzare o esportare. I log si trovano nei progetti e in alcune altre entità, tra cui organizzazioni, cartelle e account di fatturazione. Per ulteriori informazioni, consulta Comprendere i ruoli.

Per visualizzare i log Attività di amministrazione, nel progetto contenente i log di controllo deve essere presente uno dei seguenti ruoli IAM:

Proprietario progetto, Editor progetto o Visualizzatore progetto. Per ulteriori informazioni, vedi Ruoli di base.
Il ruolo Logging Visualizzatore log.
Un ruolo IAM personalizzato con l'autorizzazione IAM logging.logEntries.list.

Per visualizzare i log di accesso ai dati, devi disporre di uno dei seguenti ruoli nel progetto che contiene gli audit log:

Proprietario del progetto.
Il ruolo Visualizzatore log privati di Logging.
Un ruolo IAM personalizzato con l'autorizzazione IAM logging.privateLogEntries.list.

Se utilizzi gli audit log di un'entità non di progetto, ad esempio un'organizzazione, cambia i ruoli di Progetto nei ruoli organizzativi appropriati.

Visualizzazione dei log

Per visualizzare gli audit log di uno dei tuoi progetti, effettua una delle seguenti operazioni:

Visualizza un riepilogo dei log dell'attività di amministrazione nella dashboard Attività.

Vai ad Attività
Visualizza tutti i tuoi audit log utilizzando Esplora log.

Vai alla pagina Esplora log

Per ulteriori dettagli, consulta le seguenti opzioni:

Visualizzatore di base

Per recuperare le voci dei log di controllo, puoi utilizzare l'interfaccia di base di Esplora log:

Nel primo menu, seleziona il tipo di risorsa di cui vuoi visualizzare gli audit log. Seleziona una risorsa specifica oppure tutte le risorse.
Nel secondo menu, seleziona il nome del log che vuoi visualizzare: activity per i log di controllo dell'attività dell'amministratore e data_access per i log di controllo dell'accesso ai dati. Se non vedi una o entrambe le opzioni, significa che non sono disponibili log di controllo di quel tipo.

Visualizzatore avanzato

Passa all'interfaccia del filtro avanzato in Esplora log.
Crea un filtro che specifichi il tipo o i tipi di risorsa e i nomi di log che ti interessano. Per ulteriori informazioni, consultare Recupero degli audit log.

API

Per leggere le voci di log tramite l'API Logging, consulta entries.list.

SDK

Per leggere le voci di log utilizzando l'interfaccia a riga di comando di Google Cloud, consulta Lettura delle voci di log.

Esportazione degli audit log

La procedura di esportazione degli audit log è uguale a quella usata per esportare gli altri tipi di log. Per i dettagli su come esportare i log, consulta Esportazione dei log. Di seguito sono riportate alcune applicazioni legate all'esportazione degli audit log:

Per conservare gli audit log per un periodo di tempo più lungo o per utilizzare funzionalità di ricerca più avanzate, puoi esportare delle copie dei log di controllo in Cloud Storage, BigQuery o Pub/Sub. Tramite Pub/Sub, puoi esportare in altre applicazioni, altri repository e in terze parti.
Per gestire i log di controllo in un'intera organizzazione, puoi creare sink aggregati per esportare i log da uno o tutti i progetti dell'organizzazione.
Se i log abilitati per l'accesso ai dati causano il possibile superamento della soglia consentita per i progetti, puoi esportarli ed escludere quelli di accesso ai dati di log da Logging. Per i dettagli, consulta Esclusione dei log.

Prezzi

Cloud Logging non ti addebita alcun costo per i log di controllo attivati per impostazione predefinita, inclusi tutti i log delle attività di amministrazione. Questi log non incidono sulla quota di importazione dei log.

Cloud Logging ti addebita i log di accesso ai dati che richiedi esplicitamente.

Per ulteriori informazioni sui prezzi dei log, inclusi i prezzi degli audit log, consulta i prezzi della suite operativa di Google Cloud.

Metodi esenti

I seguenti metodi dell'API Cloud IoT Core non vengono registrati nei log di controllo:

registries.testIamPermissions
registries.devices.configVersions.list
registries.devices.states.list