Cloud Load Balancing 审核日志记录

本文档介绍了 Cloud Load Balancing 的审核日志记录。Google Cloud 服务会生成审核日志,以记录 Google Cloud 资源中的管理和访问活动。 如需详细了解 Cloud Audit Logs,请参阅以下内容:

服务名称

Cloud Load Balancing 审核日志使用服务名称 compute.googleapis.com。针对此服务的过滤条件:

    protoPayload.serviceName="compute.googleapis.com"
  

方法(按权限类型)

每个 IAM 权限都有一个 type 属性,该属性的值是一个枚举,可以是以下四个值之一:ADMIN_READADMIN_WRITEDATA_READDATA_WRITE。若您调用某个方法,则 Cloud Load Balancing 会生成一个审核日志,其类别取决于执行该方法所需权限的 type 属性。需要 IAM 权限且 type 属性值为 DATA_READDATA_WRITEADMIN_READ 的方法会生成数据访问审核日志。需要 IAM 权限且 type 属性值为 ADMIN_WRITE 的方法会生成管理员活动审核日志。

权限类型 方法
ADMIN_READ v1.compute.backendServices.aggregatedList
v1.compute.backendServices.get
v1.compute.backendServices.getHealth
v1.compute.backendServices.getIamPolicy
v1.compute.backendServices.list
v1.compute.backendServices.testIamPermissions
v1.compute.forwardingRules.aggregatedList
v1.compute.forwardingRules.get
v1.compute.forwardingRules.list
v1.compute.targetHttpProxies.aggregatedList
v1.compute.targetHttpProxies.get
v1.compute.targetHttpProxies.list
v1.compute.targetPools.aggregatedList
v1.compute.targetPools.get
v1.compute.targetPools.getHealth
v1.compute.targetPools.list
v1.compute.urlMaps.aggregatedList
v1.compute.urlMaps.get
v1.compute.urlMaps.list
ADMIN_WRITE v1.compute.backendServices.addSignedUrlKey
v1.compute.backendServices.delete
v1.compute.backendServices.deleteSignedUrlKey
v1.compute.backendServices.insert
v1.compute.backendServices.patch
v1.compute.backendServices.setEdgeSecurityPolicy
v1.compute.backendServices.setIamPolicy
v1.compute.backendServices.setSecurityPolicy
v1.compute.backendServices.update
v1.compute.forwardingRules.delete
v1.compute.forwardingRules.insert
v1.compute.forwardingRules.patch
v1.compute.forwardingRules.setLabels
v1.compute.forwardingRules.setTarget
v1.compute.targetHttpProxies.delete
v1.compute.targetHttpProxies.insert
v1.compute.targetHttpProxies.patch
v1.compute.targetHttpProxies.setUrlMap
v1.compute.targetPools.addHealthCheck
v1.compute.targetPools.addInstance
v1.compute.targetPools.delete
v1.compute.targetPools.insert
v1.compute.targetPools.removeHealthCheck
v1.compute.targetPools.removeInstance
v1.compute.targetPools.setBackup
v1.compute.targetPools.setSecurityPolicy
v1.compute.urlMaps.delete
v1.compute.urlMaps.insert
v1.compute.urlMaps.invalidateCache
v1.compute.urlMaps.patch
v1.compute.urlMaps.update
v1.compute.urlMaps.validate

API 接口审核日志

如需了解如何针对每种方法评估权限以及评估哪些权限,请参阅 Cloud Load Balancing 的 Identity and Access Management 文档。

compute.v1.BackendServicesService

以下审核日志与属于 compute.v1.BackendServicesService 的方法相关联。

addSignedUrlKey

  • 方法v1.compute.backendServices.addSignedUrlKey
  • 审核日志类型管理员活动
  • 权限
    • compute.backendServices.addSignedUrlKey - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.backendServices.addSignedUrlKey"

aggregatedList

  • 方法v1.compute.backendServices.aggregatedList
  • 审核日志类型数据访问
  • 权限
    • compute.backendServices.list - ADMIN_READ
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.backendServices.aggregatedList"

delete

  • 方法v1.compute.backendServices.delete
  • 审核日志类型管理员活动
  • 权限
    • compute.backendServices.delete - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.backendServices.delete"

deleteSignedUrlKey

  • 方法v1.compute.backendServices.deleteSignedUrlKey
  • 审核日志类型管理员活动
  • 权限
    • compute.backendServices.deleteSignedUrlKey - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.backendServices.deleteSignedUrlKey"

get

  • 方法v1.compute.backendServices.get
  • 审核日志类型数据访问
  • 权限
    • compute.backendServices.get - ADMIN_READ
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.backendServices.get"

getHealth

  • 方法v1.compute.backendServices.getHealth
  • 审核日志类型数据访问
  • 权限
    • compute.backendServices.get - ADMIN_READ
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.backendServices.getHealth"

getIamPolicy

  • 方法v1.compute.backendServices.getIamPolicy
  • 审核日志类型数据访问
  • 权限
    • compute.backendServices.getIamPolicy - ADMIN_READ
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.backendServices.getIamPolicy"

insert

  • 方法v1.compute.backendServices.insert
  • 审核日志类型管理员活动
  • 权限
    • compute.backendServices.create - ADMIN_WRITE
    • compute.instanceGroups.use - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.backendServices.insert"

list

  • 方法v1.compute.backendServices.list
  • 审核日志类型数据访问
  • 权限
    • compute.backendServices.list - ADMIN_READ
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.backendServices.list"

patch

  • 方法v1.compute.backendServices.patch
  • 审核日志类型管理员活动
  • 权限
    • compute.backendServices.get - ADMIN_READ
    • compute.backendServices.update - ADMIN_WRITE
    • compute.healthChecks.useReadOnly - ADMIN_READ
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.backendServices.patch"

setEdgeSecurityPolicy

  • 方法v1.compute.backendServices.setEdgeSecurityPolicy
  • 审核日志类型管理员活动
  • 权限
    • compute.backendServices.setSecurityPolicy - ADMIN_WRITE
    • compute.securityPolicies.use - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.backendServices.setEdgeSecurityPolicy"

setIamPolicy

  • 方法v1.compute.backendServices.setIamPolicy
  • 审核日志类型管理员活动
  • 权限
    • compute.backendServices.setIamPolicy - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.backendServices.setIamPolicy"

setSecurityPolicy

  • 方法v1.compute.backendServices.setSecurityPolicy
  • 审核日志类型管理员活动
  • 权限
    • compute.backendServices.setSecurityPolicy - ADMIN_WRITE
    • compute.securityPolicies.use - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.backendServices.setSecurityPolicy"

testIamPermissions

  • 方法v1.compute.backendServices.testIamPermissions
  • 审核日志类型数据访问
  • 权限
    • compute.backendServices.list - ADMIN_READ
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.backendServices.testIamPermissions"

update

  • 方法v1.compute.backendServices.update
  • 审核日志类型管理员活动
  • 权限
    • compute.backendServices.update - ADMIN_WRITE
    • compute.healthChecks.useReadOnly - ADMIN_READ
    • compute.instanceGroups.use - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.backendServices.update"

compute.v1.RegionForwardingRulesService

以下审核日志与属于 compute.v1.RegionForwardingRulesService 的方法相关联。

aggregatedList

  • 方法v1.compute.forwardingRules.aggregatedList
  • 审核日志类型数据访问
  • 权限
    • compute.forwardingRules.list - ADMIN_READ
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.forwardingRules.aggregatedList"

delete

  • 方法v1.compute.forwardingRules.delete
  • 审核日志类型管理员活动
  • 权限
    • compute.forwardingRules.delete - ADMIN_WRITE
    • compute.forwardingRules.pscDelete - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.forwardingRules.delete"

get

  • 方法v1.compute.forwardingRules.get
  • 审核日志类型数据访问
  • 权限
    • compute.forwardingRules.get - ADMIN_READ
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.forwardingRules.get"

insert

  • 方法v1.compute.forwardingRules.insert
  • 审核日志类型管理员活动
  • 权限:如需了解权限,请参阅 IAM 文档。
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.forwardingRules.insert"

list

  • 方法v1.compute.forwardingRules.list
  • 审核日志类型数据访问
  • 权限
    • compute.forwardingRules.list - ADMIN_READ
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.forwardingRules.list"

patch

  • 方法v1.compute.forwardingRules.patch
  • 审核日志类型管理员活动
  • 权限
    • compute.forwardingRules.update - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.forwardingRules.patch"

setLabels

  • 方法v1.compute.forwardingRules.setLabels
  • 审核日志类型管理员活动
  • 权限
    • compute.forwardingRules.setLabels - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.forwardingRules.setLabels"

setTarget

  • 方法v1.compute.forwardingRules.setTarget
  • 审核日志类型管理员活动
  • 权限
    • compute.forwardingRules.setTarget - ADMIN_WRITE
    • compute.regionTargetHttpsProxies.use - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.forwardingRules.setTarget"

compute.v1.TargetHttpProxiesService

以下审核日志与属于 compute.v1.TargetHttpProxiesService 的方法相关联。

aggregatedList

  • 方法v1.compute.targetHttpProxies.aggregatedList
  • 审核日志类型数据访问
  • 权限
    • compute.targetHttpProxies.list - ADMIN_READ
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.targetHttpProxies.aggregatedList"

delete

  • 方法v1.compute.targetHttpProxies.delete
  • 审核日志类型管理员活动
  • 权限
    • compute.targetHttpProxies.delete - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.targetHttpProxies.delete"

get

  • 方法v1.compute.targetHttpProxies.get
  • 审核日志类型数据访问
  • 权限
    • compute.targetHttpProxies.get - ADMIN_READ
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.targetHttpProxies.get"

insert

  • 方法v1.compute.targetHttpProxies.insert
  • 审核日志类型管理员活动
  • 权限
    • compute.targetHttpProxies.create - ADMIN_WRITE
    • compute.urlMaps.use - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.targetHttpProxies.insert"

list

  • 方法v1.compute.targetHttpProxies.list
  • 审核日志类型数据访问
  • 权限
    • compute.targetHttpProxies.list - ADMIN_READ
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.targetHttpProxies.list"

patch

  • 方法v1.compute.targetHttpProxies.patch
  • 审核日志类型管理员活动
  • 权限
    • compute.targetHttpProxies.get - ADMIN_READ
    • compute.targetHttpProxies.update - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.targetHttpProxies.patch"

setUrlMap

  • 方法v1.compute.targetHttpProxies.setUrlMap
  • 审核日志类型管理员活动
  • 权限
    • compute.targetHttpProxies.setUrlMap - ADMIN_WRITE
    • compute.urlMaps.use - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.targetHttpProxies.setUrlMap"

compute.v1.TargetPoolsService

以下审核日志与属于 compute.v1.TargetPoolsService 的方法相关联。

addHealthCheck

  • 方法v1.compute.targetPools.addHealthCheck
  • 审核日志类型管理员活动
  • 权限
    • compute.targetPools.addHealthCheck - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.targetPools.addHealthCheck"

addInstance

  • 方法v1.compute.targetPools.addInstance
  • 审核日志类型管理员活动
  • 权限
    • compute.instances.use - ADMIN_WRITE
    • compute.targetPools.addInstance - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.targetPools.addInstance"

aggregatedList

  • 方法v1.compute.targetPools.aggregatedList
  • 审核日志类型数据访问
  • 权限
    • compute.targetPools.list - ADMIN_READ
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.targetPools.aggregatedList"

delete

  • 方法v1.compute.targetPools.delete
  • 审核日志类型管理员活动
  • 权限
    • compute.targetPools.delete - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.targetPools.delete"

get

  • 方法v1.compute.targetPools.get
  • 审核日志类型数据访问
  • 权限
    • compute.targetPools.get - ADMIN_READ
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.targetPools.get"

getHealth

  • 方法v1.compute.targetPools.getHealth
  • 审核日志类型数据访问
  • 权限
    • compute.targetPools.get - ADMIN_READ
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.targetPools.getHealth"

insert

  • 方法v1.compute.targetPools.insert
  • 审核日志类型管理员活动
  • 权限
    • compute.httpHealthChecks.useReadOnly - ADMIN_READ
    • compute.instances.use - ADMIN_WRITE
    • compute.targetPools.create - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.targetPools.insert"

list

  • 方法v1.compute.targetPools.list
  • 审核日志类型数据访问
  • 权限
    • compute.targetPools.list - ADMIN_READ
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.targetPools.list"

removeHealthCheck

  • 方法v1.compute.targetPools.removeHealthCheck
  • 审核日志类型管理员活动
  • 权限
    • compute.targetPools.removeHealthCheck - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.targetPools.removeHealthCheck"

removeInstance

  • 方法v1.compute.targetPools.removeInstance
  • 审核日志类型管理员活动
  • 权限
    • compute.instances.use - ADMIN_WRITE
    • compute.targetPools.removeInstance - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.targetPools.removeInstance"

setBackup

  • 方法v1.compute.targetPools.setBackup
  • 审核日志类型管理员活动
  • 权限
    • compute.targetPools.update - ADMIN_WRITE
    • compute.targetPools.use - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.targetPools.setBackup"

setSecurityPolicy

  • 方法v1.compute.targetPools.setSecurityPolicy
  • 审核日志类型管理员活动
  • 权限
    • compute.regionSecurityPolicies.use - ADMIN_WRITE
    • compute.targetPools.setSecurityPolicy - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.targetPools.setSecurityPolicy"

compute.v1.UrlMapsService

以下审核日志与属于 compute.v1.UrlMapsService 的方法相关联。

aggregatedList

  • 方法v1.compute.urlMaps.aggregatedList
  • 审核日志类型数据访问
  • 权限
    • compute.urlMaps.list - ADMIN_READ
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.urlMaps.aggregatedList"

delete

  • 方法v1.compute.urlMaps.delete
  • 审核日志类型管理员活动
  • 权限
    • compute.urlMaps.delete - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.urlMaps.delete"

get

  • 方法v1.compute.urlMaps.get
  • 审核日志类型数据访问
  • 权限
    • compute.urlMaps.get - ADMIN_READ
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.urlMaps.get"

insert

  • 方法v1.compute.urlMaps.insert
  • 审核日志类型管理员活动
  • 权限
    • compute.backendServices.use - ADMIN_WRITE
    • compute.urlMaps.create - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.urlMaps.insert"

invalidateCache

  • 方法v1.compute.urlMaps.invalidateCache
  • 审核日志类型管理员活动
  • 权限
    • compute.urlMaps.invalidateCache - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.urlMaps.invalidateCache"

list

  • 方法v1.compute.urlMaps.list
  • 审核日志类型数据访问
  • 权限
    • compute.urlMaps.list - ADMIN_READ
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.urlMaps.list"

patch

  • 方法v1.compute.urlMaps.patch
  • 审核日志类型管理员活动
  • 权限
    • compute.backendServices.use - ADMIN_WRITE
    • compute.urlMaps.update - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.urlMaps.patch"

update

  • 方法v1.compute.urlMaps.update
  • 审核日志类型管理员活动
  • 权限
    • compute.backendServices.use - ADMIN_WRITE
    • compute.urlMaps.update - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.urlMaps.update"

validate

  • 方法v1.compute.urlMaps.validate
  • 审核日志类型数据访问
  • 权限
    • compute.backendBuckets.use - ADMIN_WRITE
    • compute.backendServices.use - ADMIN_WRITE
    • compute.urlMaps.validate - ADMIN_READ
  • 方法是长时间运行的操作或流式传输操作:否。
  • 此方法的过滤条件 protoPayload.methodName="v1.compute.urlMaps.validate"