Cloud Source Repositories 감사 로깅 정보

이 페이지에서는 Cloud 감사 로그의 일부로 Cloud Source Repositories가 생성한 감사 로그를 설명합니다.

개요

Google Cloud 서비스는 감사 로그를 작성하여 '누가, 언제, 어디서, 무엇을 했는지'라는 질문에 답하는 데 도움을 줍니다. 각 Cloud 프로젝트에는 해당 프로젝트 내에 있는 리소스 감사 로그만 있습니다. 폴더, 조직, 결제 계정과 같은 다른 항목에는 항목 자체의 감사 로그가 있습니다.

Cloud Source Repositories는 관리자 활동에 대한 감사 로그를 작성해 기본 제공합니다. 여기에는 리소스의 구성 또는 메타데이터를 수정하는 작업이 포함됩니다.

Cloud Source Repositories는 데이터 액세스에 대한 감사 로그를 작성하고 기본적으로 제공하지 않습니다. 사용자가 제공한 데이터를 생성, 수정 또는 읽는 API 호출을 기록합니다.

데이터 액세스 감사 로그는 다음과 같이 여러 가지 범주로 나뉩니다.

  • 데이터 액세스(ADMIN_READ): 리소스의 구성 또는 메타데이터를 읽는 작업입니다.

    Cloud Source Repositories는 기본적으로 관리자 읽기 정보를 제공하지 않습니다.

  • 데이터 액세스(DATA_READ): 리소스에서 사용자가 제공한 데이터를 읽는 작업입니다.

    Cloud Source Repositories는 기본적으로 데이터 읽기 정보를 제공하지 않습니다.

  • 데이터 액세스(DATA_WRITE): 사용자가 제공한 데이터를 리소스에 쓰는 작업입니다.

    Cloud Source Repositories는 기본적으로 데이터 쓰기 정보를 제공하지 않습니다.

기본 제공되지 않는 감사 정보를 구성할 수 있습니다. 자세한 내용은 데이터 액세스 로그 구성을 참조하세요.

감사되는 작업

다음 표에는 어떤 API 작업이 Cloud Source Repositories의 각 감사 로그 유형에 해당하는지 요약되어 있습니다.

감사 로그 카테고리 Cloud Source Repositories 작업
관리자 활동 로그 SourceRepo.UpdateProjectConfig
SourceRepo.UpdateRepo
SourceRepo.CreateRepo
SourceRepo.DeleteRepo
SourceRepo.SetIamPolicy
데이터 액세스 로그(ADMIN_READ) SourceRepo.GetProjectConfig
SourceRepo.ListRepos
SourceRepo.GetRepo
SourceRepo.GetIamPolicy
데이터 액세스 로그(DATA_READ) GitProtocol.LsRemote
GitProtocol.UploadPack
Browser.Access
데이터 액세스 로그(DATA_WRITE) GitProtocol.ReceivePack

감사 로그 형식

로그 뷰어, API 또는 SDK gcloud logging 명령을 사용하여 Cloud Logging에서 확인할 수 있는 감사 로그 항목에는 다음과 같은 객체가 포함됩니다.

  • LogEntry 유형의 객체인 로그 항목 자체입니다. 유용한 필드는 다음과 같습니다.

    • logName에는 프로젝트 ID와 감사 로그 유형이 있습니다.
    • resource에는 감사 작업 대상이 있습니다.
    • timeStamp에는 감사 작업 시간이 있습니다.
    • protoPayload에는 감사 정보가 있습니다.
  • 로그 항목의 protoPayload 필드에 AuditLog 객체로 보관되는 감사 정보입니다.

  • AuditLog 객체의 serviceData 필드에 서비스별 객체로 보관되는 서비스별 감사 정보로, 선택사항입니다. 자세한 내용은 서비스별 감사 데이터를 참조하세요.

이러한 객체의 다른 필드, 해당 샘플 콘텐츠, 객체의 정보에 대한 샘플 쿼리는 감사 로그 데이터 유형을 참조하세요.

로그 이름

Cloud 감사 로그의 로그 이름은 감사 로그를 소유하는 프로젝트나 다른 항목, 그리고 로그에 관리자 활동 또는 데이터 액세스 정보의 포함 여부를 나타냅니다. 예를 들어 다음은 프로젝트의 관리자 활동 로그와 조직의 데이터 액세스 로그의 로그 이름을 보여줍니다.

projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity
organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access

서비스 이름

Cloud Source Repositories 감사 로그는 sourcerepo.googleapis.com이라는 서비스 이름을 사용합니다.

로깅 서비스에 대한 자세한 내용은 리소스에 서비스 매핑을 참조하세요.

리소스 유형

Cloud Source Repositories 감사 로그는 모든 감사 로그에 csr_repository 리소스 유형을 사용합니다.

전체 목록은 모니터링 리소스 유형을 참조하세요.

감사 로깅 사용 설정

관리자 활동 감사 로그는 기본적으로 사용 설정되며 사용 중지할 수 없습니다.

대부분의 데이터 액세스 감사 로그는 기본적으로 중지되어 있습니다. 예외적으로 BigQuery에 대한 데이터 액세스 감사 로그는 기본적으로 사용 설정되며 사용 중지할 수 없습니다. BigQuery 데이터 액세스 로그는 프로젝트의 로깅 할당량으로 집계되지 않습니다.

데이터 액세스 로그의 일부 또는 전부를 사용 설정하려면 데이터 액세스 로그 구성을 참조하세요.

개발자가 구성한 데이터 액세스 로그는 Google Cloud의 작업 제품군의 로그 가격에 영향을 줄 수 있습니다. 이 페이지의 가격 섹션을 참조하세요.

감사 로그 권한

Cloud Identity and Access Management 권한과 역할에 따라 개발자가 확인하거나 내보낼 수 있는 감사 로그가 결정됩니다. 로그는 프로젝트 내에 있거나, 조직, 폴더, 결제 계정 등과 같은 기타 항목 안에 있습니다. 자세한 내용은 역할 이해하기를 참조하세요.

관리자 활동 로그를 확인하려면 감사 로그가 있는 프로젝트에 다음과 같은 Cloud IAM 역할 중 하나가 있어야 합니다.

데이터 액세스 로그를 확인하려면 감사 로그가 있는 프로젝트에 다음 역할 중 하나가 있어야 합니다.

조직과 같이 프로젝트가 아닌 항목의 감사 로그를 사용하는 경우 프로젝트 역할을 적합한 조직 역할로 변경합니다.

로그 보기

프로젝트 중 하나의 감사 로그를 보려면 다음 중 하나를 수행하세요.

자세한 내용은 다음 옵션을 참조하세요.

기본 뷰어

로그 뷰어 기본 인터페이스에서 다음을 수행하여 감사 로그 항목을 검색할 수 있습니다.

  1. 첫 번째 메뉴에서 감사 로그를 보려는 리소스 유형을 선택합니다. 특정 리소스나 모든 리소스를 선택합니다.
  2. 두 번째 메뉴에서 확인할 로그 이름을 선택합니다. 관리자 활동 감사 로그는 activity, 데이터 액세스 감사 로그는 data_access를 선택합니다. 이러한 옵션 중 하나 또는 둘 다 표시되지 않으면 해당 유형의 감사 로그가 없다는 의미입니다.

고급 뷰어

  1. 로그 뷰어에서 고급 필터 인터페이스로 전환합니다.
  2. 원하는 리소스 유형과 로그 이름을 지정하는 필터를 만듭니다. 자세한 내용은 감사 로그 검색을 참조하세요.

API

Logging API를 통해 로그 항목을 읽으려면 entries.list를 참조하세요.

SDK

Cloud SDK gcloud 명령줄 도구를 사용해 로그 항목을 읽으려면 로그 항목 읽기를 참조하세요.

감사 로그 내보내기

다른 종류의 로그를 내보낼 때와 같은 방법으로 감사 로그를 내보낼 수 있습니다. 로그를 내보내는 방법에 대한 자세한 내용은 로그 내보내기를 참조하세요. 다음은 감사 로그를 내보내는 몇 가지 응용 방법입니다.

  • 장기간 감사 로그를 보존하거나 더 강력한 검색 기능을 사용하려면 감사 로그의 복사본을 Cloud Storage, BigQuery 또는 Pub/Sub로 내보내면 됩니다. Pub/Sub를 사용하면 다른 애플리케이션이나 저장소, 제3자에게 내보낼 수 있습니다.

  • 조직 전체의 감사 로그를 관리하려면 조직의 일부 또는 모든 프로젝트에서 로그를 내보낼 수 있는 집계 싱크를 만들면 됩니다.

  • 사용 설정한 데이터 액세스 로그가 로그 할당량을 초과하여 프로젝트를 푸시하는 경우 데이터 액세스 로그를 내보내고 Logging에서 제외할 수 있습니다. 자세한 내용은 로그 제외를 참조하세요.

가격

Cloud Logging은 모든 관리자 활동 로그를 비롯하여 기본적으로 사용 설정되는 감사 로그에 대해 비용을 부과하지 않습니다.

Cloud Logging은 사용자가 명시적으로 요청하는 데이터 액세스 로그에 요금을 부과합니다.

감사 로그 요금을 포함한 로그 요금에 대한 자세한 내용은 Google Cloud의 작업 제품군 요금을 참조하세요.