このドキュメントでは、Pub/Sub の監査ロギングについて説明します。また、監査ログを生成するメソッド、各メソッドによって生成される監査ログの詳細、監査ログを生成しないメソッド(ある場合)について説明します。Google Cloud は、Google Cloud リソース内の管理アクティビティとアクセス アクティビティを記録する監査ログを生成します。詳しくは、Cloud Audit Logs の概要をご覧ください。
メモ
Pub/Sub は現在、パブリッシュ、サブスクライブ、確認応答などのメッセージ オペレーションのデータアクセス監査ログを書き込みません。
サービス名
Pub/Sub の監査ログでは、サービス名 pubsub.googleapis.com が使用されます。
メソッド(権限タイプ別)
DATA_READ、DATA_WRITE、ADMIN_READ の各権限を確認するメソッドは、データアクセス監査ログとして分類されるログを生成します。ADMIN_WRITE 権限を確認するメソッドは、管理アクティビティ監査ログとして分類されるログを生成します。
| 権限タイプ | メソッド |
|---|---|
ADMIN_READ |
google.iam.v1.IAMPolicy.GetIamPolicygoogle.pubsub.v1.SchemaService.GetSchemagoogle.pubsub.v1.SchemaService.ListSchemaRevisionsgoogle.pubsub.v1.SchemaService.ListSchemasgoogle.pubsub.v1.SchemaService.ValidateMessagegoogle.pubsub.v1.SchemaService.ValidateSchemagoogle.pubsub.v1.Subscriber.GetSnapshotgoogle.pubsub.v1.Subscriber.ListSnapshotsgoogle.pubsub.v1.Subscriber.Seek |
ADMIN_WRITE |
google.iam.v1.IAMPolicy.SetIamPolicygoogle.pubsub.v1.Publisher.CreateTopicgoogle.pubsub.v1.Publisher.DeleteTopicgoogle.pubsub.v1.Publisher.DetachSubscriptiongoogle.pubsub.v1.Publisher.UpdateTopicgoogle.pubsub.v1.SchemaService.CommitSchemagoogle.pubsub.v1.SchemaService.CreateSchemagoogle.pubsub.v1.SchemaService.DeleteSchemagoogle.pubsub.v1.SchemaService.DeleteSchemaRevisiongoogle.pubsub.v1.SchemaService.RollbackSchemagoogle.pubsub.v1.Subscriber.CreateSnapshotgoogle.pubsub.v1.Subscriber.CreateSubscriptiongoogle.pubsub.v1.Subscriber.DeleteSnapshotgoogle.pubsub.v1.Subscriber.DeleteSubscriptiongoogle.pubsub.v1.Subscriber.ModifyPushConfiggoogle.pubsub.v1.Subscriber.UpdateSnapshotgoogle.pubsub.v1.Subscriber.UpdateSubscription |
DATA_READ |
google.pubsub.v1.Publisher.GetTopicgoogle.pubsub.v1.Publisher.ListTopicSnapshotsgoogle.pubsub.v1.Publisher.ListTopicSubscriptionsgoogle.pubsub.v1.Publisher.ListTopicsgoogle.pubsub.v1.Subscriber.GetSubscriptiongoogle.pubsub.v1.Subscriber.ListSubscriptions |
各 API インターフェースの監査ログ
各メソッドで評価される権限と評価方法については、Identity and Access Management のドキュメントで Pub/Sub の情報をご覧ください。
google.iam.v1.IAMPolicy
次のセクションでは、google.iam.v1.IAMPolicy に属するメソッドに関連付けられた監査ログについて詳しく説明します。
GetIamPolicy
- メソッド:
google.iam.v1.IAMPolicy.GetIamPolicy - 監査ログのタイプ: データアクセス
- 権限:
pubsub.schemas.getIamPolicy - ADMIN_READpubsub.snapshots.getIamPolicy - ADMIN_READpubsub.subscriptions.getIamPolicy - ADMIN_READpubsub.topics.getIamPolicy - ADMIN_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.iam.v1.IAMPolicy.GetIamPolicy"
SetIamPolicy
- メソッド:
google.iam.v1.IAMPolicy.SetIamPolicy - 監査ログのタイプ: 管理アクティビティ
- 権限:
pubsub.schemas.setIamPolicy - ADMIN_WRITEpubsub.snapshots.setIamPolicy - ADMIN_WRITEpubsub.subscriptions.setIamPolicy - ADMIN_WRITEpubsub.topics.setIamPolicy - ADMIN_WRITE
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.iam.v1.IAMPolicy.SetIamPolicy"
google.pubsub.v1.Publisher
次のセクションでは、google.pubsub.v1.Publisher に属するメソッドに関連付けられた監査ログについて詳しく説明します。
CreateTopic
- メソッド:
google.pubsub.v1.Publisher.CreateTopic - 監査ログのタイプ: 管理アクティビティ
- 権限:
pubsub.topics.create - ADMIN_WRITE
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.pubsub.v1.Publisher.CreateTopic"
DeleteTopic
- メソッド:
google.pubsub.v1.Publisher.DeleteTopic - 監査ログのタイプ: 管理アクティビティ
- 権限:
pubsub.topics.delete - ADMIN_WRITE
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.pubsub.v1.Publisher.DeleteTopic"
DetachSubscription
- メソッド:
google.pubsub.v1.Publisher.DetachSubscription - 監査ログのタイプ: 管理アクティビティ
- 権限:
pubsub.topics.detachSubscription - ADMIN_WRITE
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.pubsub.v1.Publisher.DetachSubscription"
GetTopic
- メソッド:
google.pubsub.v1.Publisher.GetTopic - 監査ログのタイプ: データアクセス
- 権限:
pubsub.topics.get - DATA_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.pubsub.v1.Publisher.GetTopic"
ListTopicSnapshots
- メソッド:
google.pubsub.v1.Publisher.ListTopicSnapshots - 監査ログのタイプ: データアクセス
- 権限:
pubsub.topics.get - DATA_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.pubsub.v1.Publisher.ListTopicSnapshots"
ListTopicSubscriptions
- メソッド:
google.pubsub.v1.Publisher.ListTopicSubscriptions - 監査ログのタイプ: データアクセス
- 権限:
pubsub.topics.get - DATA_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.pubsub.v1.Publisher.ListTopicSubscriptions"
ListTopics
- メソッド:
google.pubsub.v1.Publisher.ListTopics - 監査ログのタイプ: データアクセス
- 権限:
pubsub.topics.list - DATA_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.pubsub.v1.Publisher.ListTopics"
UpdateTopic
- メソッド:
google.pubsub.v1.Publisher.UpdateTopic - 監査ログのタイプ: 管理アクティビティ
- 権限:
pubsub.topics.update - ADMIN_WRITE
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.pubsub.v1.Publisher.UpdateTopic"
google.pubsub.v1.SchemaService
次のセクションでは、google.pubsub.v1.SchemaService に属するメソッドに関連付けられた監査ログについて詳しく説明します。
CommitSchema
- メソッド:
google.pubsub.v1.SchemaService.CommitSchema - 監査ログのタイプ: 管理アクティビティ
- 権限:
pubsub.schemas.commit - ADMIN_WRITE
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.pubsub.v1.SchemaService.CommitSchema"
CreateSchema
- メソッド:
google.pubsub.v1.SchemaService.CreateSchema - 監査ログのタイプ: 管理アクティビティ
- 権限:
pubsub.schemas.create - ADMIN_WRITE
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.pubsub.v1.SchemaService.CreateSchema"
DeleteSchema
- メソッド:
google.pubsub.v1.SchemaService.DeleteSchema - 監査ログのタイプ: 管理アクティビティ
- 権限:
pubsub.schemas.delete - ADMIN_WRITE
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.pubsub.v1.SchemaService.DeleteSchema"
DeleteSchemaRevision
- メソッド:
google.pubsub.v1.SchemaService.DeleteSchemaRevision - 監査ログのタイプ: 管理アクティビティ
- 権限:
pubsub.schemas.delete - ADMIN_WRITE
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.pubsub.v1.SchemaService.DeleteSchemaRevision"
GetSchema
- メソッド:
google.pubsub.v1.SchemaService.GetSchema - 監査ログのタイプ: データアクセス
- 権限:
pubsub.schemas.get - ADMIN_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.pubsub.v1.SchemaService.GetSchema"
ListSchemaRevisions
- メソッド:
google.pubsub.v1.SchemaService.ListSchemaRevisions - 監査ログのタイプ: データアクセス
- 権限:
pubsub.schemas.listRevisions - ADMIN_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.pubsub.v1.SchemaService.ListSchemaRevisions"
ListSchemas
- メソッド:
google.pubsub.v1.SchemaService.ListSchemas - 監査ログのタイプ: データアクセス
- 権限:
pubsub.schemas.list - ADMIN_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.pubsub.v1.SchemaService.ListSchemas"
RollbackSchema
- メソッド:
google.pubsub.v1.SchemaService.RollbackSchema - 監査ログのタイプ: 管理アクティビティ
- 権限:
pubsub.schemas.rollback - ADMIN_WRITE
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.pubsub.v1.SchemaService.RollbackSchema"
ValidateMessage
- メソッド:
google.pubsub.v1.SchemaService.ValidateMessage - 監査ログのタイプ: データアクセス
- 権限:
pubsub.schemas.get - ADMIN_READpubsub.schemas.validate - ADMIN_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.pubsub.v1.SchemaService.ValidateMessage"
ValidateSchema
- メソッド:
google.pubsub.v1.SchemaService.ValidateSchema - 監査ログのタイプ: データアクセス
- 権限:
pubsub.schemas.validate - ADMIN_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.pubsub.v1.SchemaService.ValidateSchema"
google.pubsub.v1.Subscriber
次のセクションでは、google.pubsub.v1.Subscriber に属するメソッドに関連付けられた監査ログについて詳しく説明します。
CreateSnapshot
- メソッド:
google.pubsub.v1.Subscriber.CreateSnapshot - 監査ログのタイプ: 管理アクティビティ
- 権限:
pubsub.snapshots.create - ADMIN_WRITE
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.pubsub.v1.Subscriber.CreateSnapshot"
CreateSubscription
- メソッド:
google.pubsub.v1.Subscriber.CreateSubscription - 監査ログのタイプ: 管理アクティビティ
- 権限:
pubsub.subscriptions.create - ADMIN_WRITEpubsub.topics.attachSubscription - ADMIN_WRITE
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.pubsub.v1.Subscriber.CreateSubscription"
DeleteSnapshot
- メソッド:
google.pubsub.v1.Subscriber.DeleteSnapshot - 監査ログのタイプ: 管理アクティビティ
- 権限:
pubsub.snapshots.delete - ADMIN_WRITE
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.pubsub.v1.Subscriber.DeleteSnapshot"
DeleteSubscription
- メソッド:
google.pubsub.v1.Subscriber.DeleteSubscription - 監査ログのタイプ: 管理アクティビティ
- 権限:
pubsub.subscriptions.delete - ADMIN_WRITE
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.pubsub.v1.Subscriber.DeleteSubscription"
GetSnapshot
- メソッド:
google.pubsub.v1.Subscriber.GetSnapshot - 監査ログのタイプ: データアクセス
- 権限:
pubsub.snapshots.get - ADMIN_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.pubsub.v1.Subscriber.GetSnapshot"
GetSubscription
- メソッド:
google.pubsub.v1.Subscriber.GetSubscription - 監査ログのタイプ: データアクセス
- 権限:
pubsub.subscriptions.get - DATA_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.pubsub.v1.Subscriber.GetSubscription"
ListSnapshots
- メソッド:
google.pubsub.v1.Subscriber.ListSnapshots - 監査ログのタイプ: データアクセス
- 権限:
pubsub.snapshots.list - ADMIN_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.pubsub.v1.Subscriber.ListSnapshots"
ListSubscriptions
- メソッド:
google.pubsub.v1.Subscriber.ListSubscriptions - 監査ログのタイプ: データアクセス
- 権限:
pubsub.subscriptions.list - DATA_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.pubsub.v1.Subscriber.ListSubscriptions"
ModifyPushConfig
- メソッド:
google.pubsub.v1.Subscriber.ModifyPushConfig - 監査ログのタイプ: 管理アクティビティ
- 権限:
pubsub.subscriptions.update - ADMIN_WRITE
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.pubsub.v1.Subscriber.ModifyPushConfig"
Seek
- メソッド:
google.pubsub.v1.Subscriber.Seek - 監査ログのタイプ: データアクセス
- 権限:
pubsub.snapshots.seek - ADMIN_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.pubsub.v1.Subscriber.Seek"
UpdateSnapshot
- メソッド:
google.pubsub.v1.Subscriber.UpdateSnapshot - 監査ログのタイプ: 管理アクティビティ
- 権限:
pubsub.snapshots.update - ADMIN_WRITE
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.pubsub.v1.Subscriber.UpdateSnapshot"
UpdateSubscription
- メソッド:
google.pubsub.v1.Subscriber.UpdateSubscription - 監査ログのタイプ: 管理アクティビティ
- 権限:
pubsub.subscriptions.update - ADMIN_WRITE
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.pubsub.v1.Subscriber.UpdateSubscription"
システム イベント
システム イベント監査ログは、直接的なユーザーのアクションによってではなく、GCP システムによって生成されます。詳細については、システム イベント監査ログをご覧ください。
| メソッド名 | このイベントのフィルタ | メモ |
|---|---|---|
| Internal.DeletedProjectRemoveSubscription |
protoPayload.methodName="Internal.DeletedProjectRemoveSubscription"
|
|
| Internal.DeletedProjectRemoveTopic |
protoPayload.methodName="Internal.DeletedProjectRemoveTopic"
|
|
| Subscriber.InternalExpireInactiveSnapshot |
protoPayload.methodName="Subscriber.InternalExpireInactiveSnapshot"
|
|
| Subscriber.InternalExpireInactiveSubscription |
protoPayload.methodName="Subscriber.InternalExpireInactiveSubscription"
|
監査ログを生成しないメソッド
メソッドが監査ログを生成しない理由としては、次のいずれかが考えられます。
- ログを大量に生成し、かなりのストレージ費用が発生するメソッドである。
- 監査価値が低い。
- 別の監査ログまたはプラットフォーム ログで同じ範囲のログが出力されている。
次のメソッドは監査ログを生成しません。
google.pubsub.v1.Publisher.Publishgoogle.pubsub.v1.Subscriber.Acknowledgegoogle.pubsub.v1.Subscriber.ModifyAckDeadlinegoogle.pubsub.v1.Subscriber.Pullgoogle.pubsub.v1.Subscriber.StreamingPulltech.pubsub.PublisherService.CreateTopictech.pubsub.PublisherService.DeleteTopictech.pubsub.PublisherService.GetTopictech.pubsub.PublisherService.ListTopicstech.pubsub.PublisherService.Publishtech.pubsub.PublisherService.PublishBatchtech.pubsub.SubscriberService.Acknowledgetech.pubsub.SubscriberService.CreateSubscriptiontech.pubsub.SubscriberService.DeleteSubscriptiontech.pubsub.SubscriberService.GetSubscriptiontech.pubsub.SubscriberService.ListSubscriptionstech.pubsub.SubscriberService.ModifyAckDeadlinetech.pubsub.SubscriberService.ModifyPushConfigtech.pubsub.SubscriberService.Pulltech.pubsub.SubscriberService.PullBatch