Cloud Source Repositories 稽核記錄資訊

本頁說明由 Cloud Source Repositories 建立做為Cloud 稽核記錄一部分的稽核記錄檔。

總覽

Google Cloud Platform 服務寫入的稽核記錄可協助您回答有關「人事時地物」的問題。您每個 GCP 專案的稽核記錄都僅涵蓋直接隸屬於專案的資源。而諸如資料夾、機構及帳單帳戶的其他實體,也各有其專屬的稽核記錄。

Cloud Source Repositories 會針對管理員活動寫入並預設提供稽核記錄,包括修改資源設定或中繼資料的作業。

Cloud Source Repositories 會針對資料存取寫入並預設不提供稽核記錄,這會記錄建立、修改或讀取使用者提供資料的 API 呼叫。

資料存取稽核記錄分為不同類別:

  • 資料存取 (ADMIN_READ):讀取資源設定或中繼資料的作業。

    Cloud Source Repositories 預設不提供「管理員」讀取資訊。

  • 資料存取 (DATA_READ):從資源讀取使用者提供資料的作業。

    Cloud Source Repositories 預設不提供「資料讀取」資訊。

  • 資料存取 (DATA_WRITE):將使用者提供資料寫入資源的作業。

    Cloud Source Repositories 預設不提供「資料寫入」資訊。

預設不提供的稽核資訊可以設定。詳情請參閱設定資料存取記錄一文。

已稽核的作業

下表摘要列出對應 Cloud Source Repositories 中每個稽核記錄類型的 API 作業:

稽核記錄類別 Cloud Source Repositories 作業
管理員活動記錄 SourceRepo.UpdateProjectConfig
SourceRepo.UpdateRepo
SourceRepo.CreateRepo
SourceRepo.DeleteRepo
SourceRepo.SetIamPolicy
資料存取記錄 (ADMIN_READ) SourceRepo.GetProjectConfig
SourceRepo.ListRepos
SourceRepo.GetRepo
SourceRepo.GetIamPolicy
資料存取記錄 (DATA_READ) GitProtocol.LsRemote
GitProtocol.UploadPack
Browser.Access
資料存取記錄 (DATA_WRITE) GitProtocol.ReceivePack

稽核記錄格式

稽核記錄項目—可使用記錄檢視器、API 或 SDK gcloud logging 指令在 Stackdriver Logging 中查看,包含下列物件:

  • 記錄項目本身,為 LogEntry 類型的物件。實用的欄位包括:

    • logName 包含專案識別與稽核記錄類型
    • resource,包含已稽核作業的目標
    • timeStamp,包含已稽核作業的時間
    • protoPayload 包含已稽核的資訊
  • 稽核資訊,儲存在記錄項目 protoPayload 欄位中的 AuditLog 物件。

  • 選用的服務專屬稽核資訊;這是儲存在 AuditLog 物件 serviceData 欄位中的服務專屬物件。詳情請參閱服務專屬稽核資料

若要瞭解這些物件中的其他欄位、範例內容,以及查詢物件中資訊的範例,請參閱稽核記錄資料類型

記錄名稱

Cloud 稽核記錄的記錄名稱可指出擁有稽核記錄的專案或是其他實體項目,以及記錄中是否包含管理員活動或資料存取資訊。例如,下列內容顯示專案的「管理員活動」記錄與機構的「資料存取」記錄的名稱。

projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity
organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access

服務名稱

Cloud Source Repositories 稽核記錄使用服務名稱 sourcerepo.googleapis.com

如要進一步瞭解記錄服務,請參閱將服務對應至資源

資源類型

Cloud Source Repositories 稽核記錄針對所有稽核記錄使用資源類型 csr_repository

如需完整清單,請參閱監控資源類型

啟用稽核記錄

根據預設,管理員活動稽核記錄預啟用,且無法停用。

大多數資料存取稽核記錄都會預設為停用。唯一的例外是 BigQuery 的資料存取稽核記錄,它會預設為啟用,且無法停用;BigQuery 資料存取記錄不會計入專案的記錄配額

要瞭解如何啟用部分或全部的資料存取記錄,請參閱設定資料存取記錄一文。

您設定的資料存取記錄可能會影響 Stackdriver 中的記錄定價。請參閱本頁面中的定價一節。

稽核記錄權限

身分與權限管理系統的權限及角色可以決定您所能查看或匯出的稽核記錄。記錄存在於專案與若干其他實體項目中,包含機構、資料夾或是帳單帳戶。詳情請參閱瞭解角色

如果要查看管理員活動記錄,您必須擁有包含稽核記錄之專案中的下列其中一個 Cloud IAM 角色。

如要查看資料存取記錄,含有稽核記錄的專案必須擁有下列其中一個角色:

如果您使用的稽核記錄來自機構等非專案實體,請將專案角色變更為適當的機構角色。

查看記錄

若要檢視其中一個專案的稽核記錄,請執行下列其中一項操作:

詳情請參考下列選項:

基本檢視器

您可以使用記錄檢視器基本介面,透過下列作業來擷取稽核記錄項目:

  1. 在第一個選單中,選擇您要檢視的稽核記錄資源類型。選取特定資源或全部資源。
  2. 在第二個選單中,選擇您要檢視的記錄名稱:「管理員活動」稽核記錄,請選 activity;如要查看「資料存取」稽核記錄,請選 data_access。若您沒有看到其中一個選項,即表示沒有該類型的稽核記錄。

進階檢視器

  1. 在「Logs Viewer」(記錄檢視器) 中,切換到進階篩選器介面。
  2. 建立一個篩選器,指定您要的資源類型及記錄名稱。詳情請參閱擷取稽核記錄

API

若要透過 Logging API 來讀取您的記錄項目,請參閱項目列表

SDK

如要使用 Cloud SDK gcloud 指令列工具讀取記錄項目,請參閱讀取記錄項目

匯出稽核記錄

您可以採用與匯出其他類型記錄相同的方式來匯出稽核記錄。關於如何匯出記錄的詳細資訊,請參閱匯出記錄。以下是匯出稽核記錄的一些應用方式:

  • 如要將稽核記錄保留較長時間或使用更強大的搜尋功能,您可以將稽核記錄的複本匯出到 Cloud Storage、BigQuery 或 Cloud Pub/Sub。您可以使用 Cloud Pub/Sub 匯出至其他應用程式、其他存放區或是第三方。

  • 如要管理整個機構的稽核記錄,您可以建立匯總匯出接收器,從機構中的任何或所有專案匯出記錄。

  • 如果已啟用的資料存取記錄透過記錄配額推送專案,您可從 Logging 匯出及排除資料存取記錄。詳情請參閱排除記錄

定價

Stackdriver Logging 不會針對預設為啟用的稽核記錄收費,包括所有管理員活動記錄在內。

Stackdriver Logging 會針對您明確要求的資料存取記錄向您收費。

如要進一步瞭解記錄定價,包括稽核記錄定價,請參閱 Stackdriver 定價

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
Cloud Source Repositories