Cloud Source Repositories 审核日志信息

本页面介绍了 Cloud Audit Logs 中由 Cloud Source Repositories 创建的审核日志。

概览

Google Cloud 服务会写入审核日志来帮助您回答“谁在何时何地做了什么”的问题。每个 Cloud 项目都只包含直接属于项目的资源的审核日志。其他实体(包括文件夹、组织和结算帐号)都各自有自己的审核日志。

Cloud Source Repositories 会针对管理员活动写入并默认提供审核日志,这些审核日志包括修改资源的配置或元数据的操作。

Cloud Source Repositories 会针对数据访问写入审核日志,但默认不提供此类审核日志。这些审核日志记录用于创建、修改或读取用户所提供数据的 API 调用。

数据访问审核日志分为以下不同类别:

  • 数据访问 (ADMIN_READ):读取资源的配置或元数据的操作。

    默认情况下,Cloud Source Repositories 不提供“管理员读取”信息。

  • 数据访问 (DATA_READ):从资源读取用户所提供数据的操作。

    默认情况下,Cloud Source Repositories 不提供“数据读取”信息。

  • 数据访问 (DATA_WRITE):将用户提供的数据写入资源的操作。

    默认情况下,Cloud Source Repositories 不提供“数据写入”信息。

您可配置未默认提供的审核信息。如需了解详情,请参阅配置数据访问日志

审核的操作

下表汇总了与 Cloud Source Repositories 中的每种审核日志类型相对应的 API 操作:

审核日志类别 Cloud Source Repositories 操作
管理员活动日志 SourceRepo.UpdateProjectConfig
SourceRepo.UpdateRepo
SourceRepo.CreateRepo
SourceRepo.DeleteRepo
SourceRepo.SetIamPolicy
数据访问日志 (ADMIN_READ) SourceRepo.GetProjectConfig
SourceRepo.ListRepos
SourceRepo.GetRepo
SourceRepo.GetIamPolicy
数据访问日志 (DATA_READ) GitProtocol.LsRemote
GitProtocol.UploadPack
浏览器访问
数据访问日志 (DATA_WRITE) GitProtocol.ReceivePack

审核日志格式

审核日志条目(可以使用日志查看器,API 或 SDK gcloud logging 命令在 Cloud Logging 中查看)包括以下对象:

  • 日志条目本身,即类型为 LogEntry 的对象。有用的字段如下所示:

    • logName 包含项目标识和审核日志类型
    • resource 包含所审核操作的目标
    • timeStamp 包含所审核操作的时间
    • protoPayload 包含审核信息
  • 审核信息,它是保存在日志条目的 protoPayload 字段中的 AuditLog 对象。

  • (可选)服务专属的审核信息,即保存在 AuditLog 对象的 serviceData 字段中的服务专属对象。如需了解详情,请参阅 服务专属审核数据

如需了解这些对象中的其他字段、其示例内容以及对象中信息的示例查询,请参阅审核日志数据类型

日志名称

Cloud Audit Logs 日志名称指明了该日志归哪个项目或其他实体所有,以及该日志包含管理员活动还是数据访问信息。例如,下面显示的日志名称分别表示项目的管理员活动日志和组织的数据访问日志。

projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity
organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access

服务名称

Cloud Source Repositories 审核日志使用服务名称 sourcerepo.googleapis.com

如需详细了解日志记录服务,请参阅将服务映射到资源

资源类型

Cloud Source Repositories 审核日志对所有审核日志使用资源类型 csr_repository

如需完整列表,请参阅受监控的资源类型

启用审核日志

管理员活动审核日志默认启用且不可停用。

大多数数据访问审核日志默认情况下处于停用状态。但 BigQuery 的数据访问审核日志例外,其在默认情况下处于启用状态并且无法停用;BigQuery 数据访问日志不计入项目的日志记录配额

要启用部分或全部数据访问日志,请参阅配置数据访问日志

您配置的数据访问日志可能会影响 Google Cloud 的运维套件中的日志定价。请参阅此页面上的价格部分。

审核日志权限

Cloud Identity and Access Management 权限和角色决定您可以查看或导出哪些审核日志。日志位于项目以及组织、文件夹和结算帐号等一些其他实体中。如需了解详情,请参阅了解角色

要查看管理员活动日志,您必须对包含您的审核日志的项目拥有以下 Cloud IAM 角色之一:

要查看数据访问日志,您必须对审核日志所在的项目拥有以下角色之一:

如果您使用的是来自非项目实体(例如组织)的审核日志,请将项目角色更改为适当的组织角色。

查看日志

要查看您的某个项目的审核日志,请执行以下操作之一:

如需了解详情,请参阅以下选项:

基本查看器

使用“日志查看器”基本界面,您可以通过执行以下操作来检索审核日志条目:

  1. 在第一个菜单中,选择要查看其审核日志的资源类型。请选择特定资源或所有资源。
  2. 在第二个菜单中,选择要查看的日志名称:activity 用于“管理员活动”审核日志,data_access 用于“数据访问”审核日志。如果您没有看到这两个选项中的某一个,或两个选项都没有看到,则表示没有该类型的审核日志。

高级查看器

  1. 切换到日志查看器中的高级过滤器界面。
  2. 创建一个指定所需资源类型和日志名称的过滤条件。如需了解详情,请参阅检索审核日志

API

要通过 Logging API 读取日志条目,请参阅 entries.list

SDK

要使用 Cloud SDK gcloud 命令行工具读取您的日志条目,请参阅 读取日志条目

导出审核日志

您可以按照导出其他类型日志的方式导出审核日志。如需详细了解如何导出日志,请参阅导出日志。以下是用于导出审核日志的一些应用:

  • 要长时间保留审核日志或使用更强大的搜索功能,您可以将审核日志的副本导出到 Cloud Storage、BigQuery 或 Pub/Sub。使用 Pub/Sub,您可以将内容导出到其他应用、其他代码库和第三方。

  • 如需管理整个组织范围内与您相关的审核日志,您可以创建一个汇总接收器,以便从组织中的任何项目或所有项目导出日志。

  • 如果启用的数据访问日志即将导致项目超出其日志配额,您可以通过 Logging 导出和排除数据访问日志。如需了解详情,请参阅排除日志

价格

Cloud Logging 不会针对默认启用的审核日志(包括所有管理员活动日志)向您收费。

而只会针对您明确请求的数据访问日志向您收取费用。

如需详细了解日志定价(包括审核日志定价),请参阅 Google Cloud 的运维套件定价