In diesem Dokument wird das Audit-Logging für Spanner beschrieben. Darin wird beschrieben, welche Methoden geprüft werden. Außerdem finden Sie hier Details zum Audit-Log, das für jede Methode erzeugt wird. Darin wird beschrieben, welche Methoden Audit-Logs generieren und welchen Inhalt die einzelnen Logs haben. Außerdem werden Methoden identifiziert, die keine Audit-Logs generieren. Google Cloud generiert Audit-Logs, in denen Administratoraktivitäten und Zugriffsereignisse in Ihren Google Cloud-Ressourcen aufgezeichnet werden. Weitere Informationen finden Sie unter Cloud-Audit-Logs – Übersicht.
Notes
Die Verarbeitungsdauer einer DATA_READ
- oder DATA_WRITE
-Anfrage finden Sie im Abschnitt „Verarbeitungsdauer“.
Dienstname
Für Audit-Logs von Spanner wird der Dienstname spanner.googleapis.com
verwendet.
Methoden nach Berechtigungstyp
Die Datenzugriffsmethoden Read
, StreamingRead
, ExecuteSql
und ExecuteStreamingSql
, die einen Lesevorgang ausführen, können auch eine Lese-Schreib-Transaktion starten, wenn dies in der TransactionSelector
der Methode angegeben ist. In solchen Fällen prüft die Methode sowohl die Berechtigungstypen DATA_READ
als auch DATA_WRITE
.
Methoden, die die Berechtigungen DATA_READ
, DATA_WRITE
und ADMIN_READ
prüfen, generieren Logs, die als Audit-Logs für den Datenzugriff kategorisiert sind.
Methoden, die Berechtigungen des Typs ADMIN_WRITE
prüfen, generieren Logs, die als Audit-Logs zur Administratoraktivität kategorisiert sind.
Berechtigungstyp | Methoden |
---|---|
ADMIN_READ |
google.longrunning.Operations.GetOperation google.longrunning.Operations.ListOperations google.spanner.admin.database.v1.DatabaseAdmin.GetBackup google.spanner.admin.database.v1.DatabaseAdmin.GetDatabase google.spanner.admin.database.v1.DatabaseAdmin.GetDatabaseDdl google.spanner.admin.database.v1.DatabaseAdmin.GetIamPolicy google.spanner.admin.database.v1.DatabaseAdmin.ListBackupOperations google.spanner.admin.database.v1.DatabaseAdmin.ListBackups google.spanner.admin.database.v1.DatabaseAdmin.ListDatabaseOperations google.spanner.admin.database.v1.DatabaseAdmin.ListDatabaseRoles google.spanner.admin.database.v1.DatabaseAdmin.ListDatabases google.spanner.admin.database.v1.DatabaseAdmin.TestIamPermissions google.spanner.admin.instance.v1.InstanceAdmin.GetIamPolicy google.spanner.admin.instance.v1.InstanceAdmin.GetInstance google.spanner.admin.instance.v1.InstanceAdmin.GetInstanceConfig google.spanner.admin.instance.v1.InstanceAdmin.ListInstanceConfigs google.spanner.admin.instance.v1.InstanceAdmin.ListInstances google.spanner.admin.instance.v1.InstanceAdmin.SetIamPolicy google.spanner.admin.instance.v1.InstanceAdmin.TestIamPermissions |
ADMIN_WRITE |
google.longrunning.Operations.CancelOperation google.spanner.admin.database.v1.DatabaseAdmin.ChangeQuorum google.spanner.admin.database.v1.DatabaseAdmin.CopyBackup google.spanner.admin.database.v1.DatabaseAdmin.CreateBackup google.spanner.admin.database.v1.DatabaseAdmin.CreateDatabase google.spanner.admin.database.v1.DatabaseAdmin.DeleteBackup google.spanner.admin.database.v1.DatabaseAdmin.DropDatabase google.spanner.admin.database.v1.DatabaseAdmin.RestoreDatabase google.spanner.admin.database.v1.DatabaseAdmin.SetIamPolicy google.spanner.admin.database.v1.DatabaseAdmin.UpdateBackup google.spanner.admin.database.v1.DatabaseAdmin.UpdateDatabase google.spanner.admin.database.v1.DatabaseAdmin.UpdateDatabaseDdl google.spanner.admin.instance.v1.InstanceAdmin.CreateInstance google.spanner.admin.instance.v1.InstanceAdmin.CreateInstanceConfig google.spanner.admin.instance.v1.InstanceAdmin.DeleteInstance google.spanner.admin.instance.v1.InstanceAdmin.DeleteInstanceConfig google.spanner.admin.instance.v1.InstanceAdmin.MoveInstance google.spanner.admin.instance.v1.InstanceAdmin.UpdateInstance google.spanner.admin.instance.v1.InstanceAdmin.UpdateInstanceConfig |
DATA_READ |
google.cloud.keyvisualizer.KeyVisualizer.GetScan google.spanner.v1.Spanner.BeginTransaction google.spanner.v1.Spanner.ExecuteStreamingSql google.spanner.v1.Spanner.GetSession google.spanner.v1.Spanner.ListSessions google.spanner.v1.Spanner.PartitionQuery google.spanner.v1.Spanner.PartitionRead google.spanner.v1.Spanner.Read google.spanner.v1.Spanner.StreamingRead |
DATA_WRITE |
google.spanner.v1.Spanner.BatchCreateSessions google.spanner.v1.Spanner.BatchWrite google.spanner.v1.Spanner.Commit google.spanner.v1.Spanner.CreateSession google.spanner.v1.Spanner.DeleteSession google.spanner.v1.Spanner.ExecuteBatchDml google.spanner.v1.Spanner.ExecuteSql google.spanner.v1.Spanner.Rollback |
Audit-Logs für jede API-Schnittstelle
Weitere Informationen dazu, welche Berechtigungen für die einzelnen Methoden ausgewertet werden, finden Sie in der Dokumentation zu Cloud Identity and Access Management für Spanner.
google.cloud.keyvisualizer.KeyVisualizer
Der folgende Abschnitt enthält Details zu Audit-Logs, die Methoden zugeordnet sind, die zu google.cloud.keyvisualizer.KeyVisualizer
gehören.
google.cloud.keyvisualizer.KeyVisualizer.GetScan
- Methode:
google.cloud.keyvisualizer.KeyVisualizer.GetScan
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
spanner.databaseRoles.use - DATA_WRITE
spanner.databases.read - DATA_READ
spanner.databases.useRoleBasedAccess - DATA_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.keyvisualizer.KeyVisualizer.GetScan"
google.longrunning.Operations
Der folgende Abschnitt enthält Details zu Audit-Logs, die Methoden zugeordnet sind, die zu google.longrunning.Operations
gehören.
google.longrunning.Operations.CancelOperation
- Methode:
google.longrunning.Operations.CancelOperation
- Audit-Logtyp: Administratoraktivität
- Berechtigungen:
spanner.backupOperations.cancel - ADMIN_WRITE
spanner.databaseOperations.cancel - ADMIN_WRITE
spanner.instanceOperations.cancel - ADMIN_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.longrunning.Operations.CancelOperation"
google.longrunning.Operations.GetOperation
- Methode:
google.longrunning.Operations.GetOperation
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
spanner.backupOperations.get - ADMIN_READ
spanner.databaseOperations.get - ADMIN_READ
spanner.instanceOperations.get - ADMIN_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.longrunning.Operations.GetOperation"
google.longrunning.Operations.ListOperations
- Methode:
google.longrunning.Operations.ListOperations
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
spanner.backupOperations.list - ADMIN_READ
spanner.databaseOperations.list - ADMIN_READ
spanner.instanceOperations.list - ADMIN_READ
spanner.ssdCacheOperations.list - ADMIN_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.longrunning.Operations.ListOperations"
google.spanner.admin.database.v1.DatabaseAdmin
Der folgende Abschnitt enthält Details zu Audit-Logs, die Methoden zugeordnet sind, die zu google.spanner.admin.database.v1.DatabaseAdmin
gehören.
google.spanner.admin.database.v1.DatabaseAdmin.ChangeQuorum
- Methode:
google.spanner.admin.database.v1.DatabaseAdmin.ChangeQuorum
- Audit-Logtyp: Administratoraktivität
- Berechtigungen:
spanner.databases.changequorum - ADMIN_WRITE
- Methode mit langer Ausführungszeit oder Streamingvorgang:
Vorgang mit langer Ausführungszeit
- Filter für diese Methode:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.ChangeQuorum"
google.spanner.admin.database.v1.DatabaseAdmin.CopyBackup
- Methode:
google.spanner.admin.database.v1.DatabaseAdmin.CopyBackup
- Audit-Logtyp: Administratoraktivität
- Berechtigungen:
spanner.backups.copy - ADMIN_WRITE
spanner.backups.create - ADMIN_WRITE
- Methode mit langer Ausführungszeit oder Streamingvorgang:
Vorgang mit langer Ausführungszeit
- Filter für diese Methode:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.CopyBackup"
google.spanner.admin.database.v1.DatabaseAdmin.CreateBackup
- Methode:
google.spanner.admin.database.v1.DatabaseAdmin.CreateBackup
- Audit-Logtyp: Administratoraktivität
- Berechtigungen:
spanner.backups.create - ADMIN_WRITE
spanner.databases.createBackup - ADMIN_READ
- Methode mit langer Ausführungszeit oder Streamingvorgang:
Vorgang mit langer Ausführungszeit
- Filter für diese Methode:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.CreateBackup"
- Hinweise: Der Eintrag, der nach Abschluss des Vorgangs protokolliert wird, enthält keine Authentifizierungs- oder Autorisierungsinformationen. Authentifizierungs- und Autorisierungsinformationen sind in dem übereinstimmenden Eintrag verfügbar, der zu Beginn des Vorgangs protokolliert wurde. Um den übereinstimmenden Logeintrag im Log-Explorer zu finden, klicken Sie auf das Feld
operation.id
des Logeintrags und wählen Sie dann im Menü Übereinstimmende Einträge anzeigen aus.
google.spanner.admin.database.v1.DatabaseAdmin.CreateDatabase
- Methode:
google.spanner.admin.database.v1.DatabaseAdmin.CreateDatabase
- Audit-Logtyp: Administratoraktivität
- Berechtigungen:
spanner.databases.create - ADMIN_WRITE
- Methode mit langer Ausführungszeit oder Streamingvorgang:
Vorgang mit langer Ausführungszeit
- Filter für diese Methode:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.CreateDatabase"
google.spanner.admin.database.v1.DatabaseAdmin.DeleteBackup
- Methode:
google.spanner.admin.database.v1.DatabaseAdmin.DeleteBackup
- Audit-Logtyp: Administratoraktivität
- Berechtigungen:
spanner.backups.delete - ADMIN_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.DeleteBackup"
google.spanner.admin.database.v1.DatabaseAdmin.DropDatabase
- Methode:
google.spanner.admin.database.v1.DatabaseAdmin.DropDatabase
- Audit-Logtyp: Administratoraktivität
- Berechtigungen:
spanner.databases.drop - ADMIN_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.DropDatabase"
google.spanner.admin.database.v1.DatabaseAdmin.GetBackup
- Methode:
google.spanner.admin.database.v1.DatabaseAdmin.GetBackup
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
spanner.backups.get - ADMIN_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.GetBackup"
google.spanner.admin.database.v1.DatabaseAdmin.GetDatabase
- Methode:
google.spanner.admin.database.v1.DatabaseAdmin.GetDatabase
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
spanner.databases.get - ADMIN_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.GetDatabase"
google.spanner.admin.database.v1.DatabaseAdmin.GetDatabaseDdl
- Methode:
google.spanner.admin.database.v1.DatabaseAdmin.GetDatabaseDdl
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
spanner.databases.getDdl - ADMIN_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.GetDatabaseDdl"
google.spanner.admin.database.v1.DatabaseAdmin.GetIamPolicy
- Methode:
google.spanner.admin.database.v1.DatabaseAdmin.GetIamPolicy
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
spanner.backups.getIamPolicy - ADMIN_READ
spanner.backups.list - ADMIN_READ
spanner.databases.list - ADMIN_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.GetIamPolicy"
google.spanner.admin.database.v1.DatabaseAdmin.ListBackupOperations
- Methode:
google.spanner.admin.database.v1.DatabaseAdmin.ListBackupOperations
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
spanner.backupOperations.list - ADMIN_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.ListBackupOperations"
google.spanner.admin.database.v1.DatabaseAdmin.ListBackups
- Methode:
google.spanner.admin.database.v1.DatabaseAdmin.ListBackups
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
spanner.backups.list - ADMIN_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.ListBackups"
google.spanner.admin.database.v1.DatabaseAdmin.ListDatabaseOperations
- Methode:
google.spanner.admin.database.v1.DatabaseAdmin.ListDatabaseOperations
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
spanner.databaseOperations.list - ADMIN_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.ListDatabaseOperations"
google.spanner.admin.database.v1.DatabaseAdmin.ListDatabaseRoles
- Methode:
google.spanner.admin.database.v1.DatabaseAdmin.ListDatabaseRoles
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
spanner.databaseRoles.list - ADMIN_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.ListDatabaseRoles"
google.spanner.admin.database.v1.DatabaseAdmin.ListDatabases
- Methode:
google.spanner.admin.database.v1.DatabaseAdmin.ListDatabases
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
spanner.databases.list - ADMIN_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.ListDatabases"
google.spanner.admin.database.v1.DatabaseAdmin.RestoreDatabase
- Methode:
google.spanner.admin.database.v1.DatabaseAdmin.RestoreDatabase
- Audit-Logtyp: Administratoraktivität
- Berechtigungen:
spanner.backups.restoreDatabase - ADMIN_READ
spanner.databases.create - ADMIN_WRITE
- Methode mit langer Ausführungszeit oder Streamingvorgang:
Vorgang mit langer Ausführungszeit
- Filter für diese Methode:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.RestoreDatabase"
- Hinweise : Obwohl die Wiederherstellung einer Datenbank eine Autorisierung für zwei Ressourcen erfordert (Sicherung und wiederhergestellte Datenbank, die sich in unterschiedlichen Instanzen befinden können), wird das Ereignis
RestoreDatabase
nur einmal als einzelner Eintrag in der Instanz der wiederhergestellten Datenbank protokolliert. Dieser Eintrag enthält zweiauthorizationInfo
-Einträge: einen für die Datenbank, die Berechtigungspanner.databases.create
, und einen für die Sicherung, der die Berechtigungspanner.backups.restoreDatabase
prüft.
Der Eintrag, der nach Abschluss des Vorgangs protokolliert wird, enthält keine Authentifizierungs- oder Autorisierungsinformationen. Authentifizierungs- und Autorisierungsinformationen sind in dem übereinstimmenden Eintrag verfügbar, der zu Beginn des Vorgangs protokolliert wurde. Um den übereinstimmenden Logeintrag im Log-Explorer zu finden, klicken Sie auf das Feldoperation.id
des Logeintrags und wählen Sie dann im Menü Übereinstimmende Einträge anzeigen aus.
google.spanner.admin.database.v1.DatabaseAdmin.SetIamPolicy
- Methode:
google.spanner.admin.database.v1.DatabaseAdmin.SetIamPolicy
- Audit-Logtyp: Administratoraktivität
- Berechtigungen:
spanner.backups.setIamPolicy - ADMIN_WRITE
spanner.databases.list - ADMIN_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.SetIamPolicy"
google.spanner.admin.database.v1.DatabaseAdmin.TestIamPermissions
- Methode:
google.spanner.admin.database.v1.DatabaseAdmin.TestIamPermissions
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
spanner.backups.list - ADMIN_READ
spanner.databases.list - ADMIN_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.TestIamPermissions"
google.spanner.admin.database.v1.DatabaseAdmin.UpdateBackup
- Methode:
google.spanner.admin.database.v1.DatabaseAdmin.UpdateBackup
- Audit-Logtyp: Administratoraktivität
- Berechtigungen:
spanner.backups.update - ADMIN_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.UpdateBackup"
google.spanner.admin.database.v1.DatabaseAdmin.UpdateDatabase
- Methode:
google.spanner.admin.database.v1.DatabaseAdmin.UpdateDatabase
- Audit-Logtyp: Administratoraktivität
- Berechtigungen:
spanner.databases.update - ADMIN_WRITE
- Methode mit langer Ausführungszeit oder Streamingvorgang:
Vorgang mit langer Ausführungszeit
- Filter für diese Methode:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.UpdateDatabase"
google.spanner.admin.database.v1.DatabaseAdmin.UpdateDatabaseDdl
- Methode:
google.spanner.admin.database.v1.DatabaseAdmin.UpdateDatabaseDdl
- Audit-Logtyp: Administratoraktivität
- Berechtigungen:
spanner.databases.updateDdl - ADMIN_WRITE
- Methode mit langer Ausführungszeit oder Streamingvorgang:
Vorgang mit langer Ausführungszeit
- Filter für diese Methode:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.UpdateDatabaseDdl"
google.spanner.admin.instance.v1.InstanceAdmin
Der folgende Abschnitt enthält Details zu Audit-Logs, die Methoden zugeordnet sind, die zu google.spanner.admin.instance.v1.InstanceAdmin
gehören.
google.spanner.admin.instance.v1.InstanceAdmin.CreateInstance
- Methode:
google.spanner.admin.instance.v1.InstanceAdmin.CreateInstance
- Audit-Logtyp: Administratoraktivität
- Berechtigungen:
spanner.instances.create - ADMIN_WRITE
- Methode mit langer Ausführungszeit oder Streamingvorgang:
Vorgang mit langer Ausführungszeit
- Filter für diese Methode:
protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.CreateInstance"
google.spanner.admin.instance.v1.InstanceAdmin.CreateInstanceConfig
- Methode:
google.spanner.admin.instance.v1.InstanceAdmin.CreateInstanceConfig
- Audit-Logtyp: Administratoraktivität
- Berechtigungen:
spanner.instanceConfigs.create - ADMIN_WRITE
- Methode mit langer Ausführungszeit oder Streamingvorgang:
Vorgang mit langer Ausführungszeit
- Filter für diese Methode:
protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.CreateInstanceConfig"
google.spanner.admin.instance.v1.InstanceAdmin.DeleteInstance
- Methode:
google.spanner.admin.instance.v1.InstanceAdmin.DeleteInstance
- Audit-Logtyp: Administratoraktivität
- Berechtigungen:
spanner.instances.delete - ADMIN_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.DeleteInstance"
google.spanner.admin.instance.v1.InstanceAdmin.DeleteInstanceConfig
- Methode:
google.spanner.admin.instance.v1.InstanceAdmin.DeleteInstanceConfig
- Audit-Logtyp: Administratoraktivität
- Berechtigungen:
spanner.instanceConfigs.delete - ADMIN_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.DeleteInstanceConfig"
google.spanner.admin.instance.v1.InstanceAdmin.GetIamPolicy
- Methode:
google.spanner.admin.instance.v1.InstanceAdmin.GetIamPolicy
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
spanner.instances.list - ADMIN_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.GetIamPolicy"
google.spanner.admin.instance.v1.InstanceAdmin.GetInstance
- Methode:
google.spanner.admin.instance.v1.InstanceAdmin.GetInstance
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
spanner.instances.get - ADMIN_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.GetInstance"
google.spanner.admin.instance.v1.InstanceAdmin.GetInstanceConfig
- Methode:
google.spanner.admin.instance.v1.InstanceAdmin.GetInstanceConfig
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
spanner.instanceConfigs.get - ADMIN_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.GetInstanceConfig"
google.spanner.admin.instance.v1.InstanceAdmin.ListInstanceConfigs
- Methode:
google.spanner.admin.instance.v1.InstanceAdmin.ListInstanceConfigs
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
spanner.instanceConfigs.list - ADMIN_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.ListInstanceConfigs"
google.spanner.admin.instance.v1.InstanceAdmin.ListInstances
- Methode:
google.spanner.admin.instance.v1.InstanceAdmin.ListInstances
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
spanner.instances.list - ADMIN_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.ListInstances"
google.spanner.admin.instance.v1.InstanceAdmin.MoveInstance
- Methode:
google.spanner.admin.instance.v1.InstanceAdmin.MoveInstance
- Audit-Logtyp: Administratoraktivität
- Berechtigungen:
spanner.instances.update - ADMIN_WRITE
- Methode mit langer Ausführungszeit oder Streamingvorgang:
Vorgang mit langer Ausführungszeit
- Filter für diese Methode:
protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.MoveInstance"
google.spanner.admin.instance.v1.InstanceAdmin.SetIamPolicy
- Methode:
google.spanner.admin.instance.v1.InstanceAdmin.SetIamPolicy
- Audit-Logtyp: Administratoraktivität
- Berechtigungen:
spanner.instances.list - ADMIN_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.SetIamPolicy"
google.spanner.admin.instance.v1.InstanceAdmin.TestIamPermissions
- Methode:
google.spanner.admin.instance.v1.InstanceAdmin.TestIamPermissions
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
spanner.instances.list - ADMIN_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.TestIamPermissions"
google.spanner.admin.instance.v1.InstanceAdmin.UpdateInstance
- Methode:
google.spanner.admin.instance.v1.InstanceAdmin.UpdateInstance
- Audit-Logtyp: Administratoraktivität
- Berechtigungen:
spanner.instances.update - ADMIN_WRITE
- Methode mit langer Ausführungszeit oder Streamingvorgang:
Vorgang mit langer Ausführungszeit
- Filter für diese Methode:
protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.UpdateInstance"
google.spanner.admin.instance.v1.InstanceAdmin.UpdateInstanceConfig
- Methode:
google.spanner.admin.instance.v1.InstanceAdmin.UpdateInstanceConfig
- Audit-Logtyp: Administratoraktivität
- Berechtigungen:
spanner.instanceConfigs.update - ADMIN_WRITE
- Methode mit langer Ausführungszeit oder Streamingvorgang:
Vorgang mit langer Ausführungszeit
- Filter für diese Methode:
protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.UpdateInstanceConfig"
google.spanner.v1.Spanner
Der folgende Abschnitt enthält Details zu Audit-Logs, die Methoden zugeordnet sind, die zu google.spanner.v1.Spanner
gehören.
google.spanner.v1.Spanner.BatchCreateSessions
- Methode:
google.spanner.v1.Spanner.BatchCreateSessions
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
spanner.databaseRoles.use - DATA_WRITE
spanner.databases.useRoleBasedAccess - DATA_WRITE
spanner.sessions.create - DATA_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.spanner.v1.Spanner.BatchCreateSessions"
google.spanner.v1.Spanner.BatchWrite
- Methode:
google.spanner.v1.Spanner.BatchWrite
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
spanner.databases.write - DATA_WRITE
- Die Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming:
Streaming RPC
- Filter für diese Methode:
protoPayload.methodName="google.spanner.v1.Spanner.BatchWrite"
google.spanner.v1.Spanner.BeginTransaction
- Methode:
google.spanner.v1.Spanner.BeginTransaction
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
spanner.databaseRoles.use - DATA_WRITE
spanner.databases.beginOrRollbackReadWriteTransaction - DATA_WRITE
spanner.databases.beginPartitionedDmlTransaction - DATA_WRITE
spanner.databases.beginReadOnlyTransaction - DATA_READ
spanner.databases.useRoleBasedAccess - DATA_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.spanner.v1.Spanner.BeginTransaction"
- Hinweise: Diese Methode ist
DATA_READ
für eine ReadOnly-Transaktion undDATA_WRITE
für eine ReadWrite-Transaktion.
google.spanner.v1.Spanner.Commit
- Methode:
google.spanner.v1.Spanner.Commit
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
spanner.databaseRoles.use - DATA_WRITE
spanner.databases.useRoleBasedAccess - DATA_WRITE
spanner.databases.write - DATA_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.spanner.v1.Spanner.Commit"
google.spanner.v1.Spanner.CreateSession
- Methode:
google.spanner.v1.Spanner.CreateSession
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
spanner.databaseRoles.use - DATA_WRITE
spanner.databases.useRoleBasedAccess - DATA_WRITE
spanner.sessions.create - DATA_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.spanner.v1.Spanner.CreateSession"
google.spanner.v1.Spanner.DeleteSession
- Methode:
google.spanner.v1.Spanner.DeleteSession
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
spanner.databaseRoles.use - DATA_WRITE
spanner.databases.useRoleBasedAccess - DATA_WRITE
spanner.sessions.delete - DATA_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.spanner.v1.Spanner.DeleteSession"
google.spanner.v1.Spanner.ExecuteBatchDml
- Methode:
google.spanner.v1.Spanner.ExecuteBatchDml
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
spanner.databases.beginOrRollbackReadWriteTransaction - DATA_WRITE
spanner.databases.write - DATA_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.spanner.v1.Spanner.ExecuteBatchDml"
google.spanner.v1.Spanner.ExecuteSql
- Methode:
google.spanner.v1.Spanner.ExecuteSql
- Audit-Logtyp: Datenzugriff
- Berechtigungen: Informationen zu Berechtigungen finden Sie in der IAM-Dokumentation.
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.spanner.v1.Spanner.ExecuteSql"
- Hinweise : Diese Methode kann auch eine Lese-Schreib-Transaktion starten, wenn sie in der
TransactionSelector
der Methode angegeben ist. In diesen Fällen entspricht die Methode den BerechtigungstypenDATA_READ
undDATA_WRITE
.
google.spanner.v1.Spanner.ExecuteStreamingSql
- Methode:
google.spanner.v1.Spanner.ExecuteStreamingSql
- Audit-Logtyp: Datenzugriff
- Berechtigungen: Informationen zu Berechtigungen finden Sie in der IAM-Dokumentation.
- Die Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming:
Streaming RPC
- Filter für diese Methode:
protoPayload.methodName="google.spanner.v1.Spanner.ExecuteStreamingSql"
- Hinweise : Diese Methode kann auch eine Lese-Schreib-Transaktion starten, wenn sie in der
TransactionSelector
der Methode angegeben ist. In diesen Fällen entspricht die Methode den BerechtigungstypenDATA_READ
undDATA_WRITE
.
google.spanner.v1.Spanner.GetSession
- Methode:
google.spanner.v1.Spanner.GetSession
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
spanner.sessions.get - DATA_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.spanner.v1.Spanner.GetSession"
google.spanner.v1.Spanner.ListSessions
- Methode:
google.spanner.v1.Spanner.ListSessions
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
spanner.sessions.list - DATA_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.spanner.v1.Spanner.ListSessions"
google.spanner.v1.Spanner.PartitionQuery
- Methode:
google.spanner.v1.Spanner.PartitionQuery
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
spanner.databaseRoles.use - DATA_WRITE
spanner.databases.beginReadOnlyTransaction - DATA_READ
spanner.databases.partitionQuery - DATA_READ
spanner.databases.useRoleBasedAccess - DATA_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.spanner.v1.Spanner.PartitionQuery"
google.spanner.v1.Spanner.PartitionRead
- Methode:
google.spanner.v1.Spanner.PartitionRead
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
spanner.databases.partitionRead - DATA_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.spanner.v1.Spanner.PartitionRead"
google.spanner.v1.Spanner.Read
- Methode:
google.spanner.v1.Spanner.Read
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
spanner.databases.beginOrRollbackReadWriteTransaction - DATA_WRITE
spanner.databases.read - DATA_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.spanner.v1.Spanner.Read"
- Hinweise : Diese Methode kann auch eine Lese-Schreib-Transaktion starten, wenn sie in der
TransactionSelector
der Methode angegeben ist. In solchen Fällen entspricht die Methode den BerechtigungstypenDATA_READ
undDATA_WRITE
.
Wichtig: Angeforderte Schlüssel werden nicht protokolliert.
google.spanner.v1.Spanner.Rollback
- Methode:
google.spanner.v1.Spanner.Rollback
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
spanner.databaseRoles.use - DATA_WRITE
spanner.databases.beginOrRollbackReadWriteTransaction - DATA_WRITE
spanner.databases.useRoleBasedAccess - DATA_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.spanner.v1.Spanner.Rollback"
google.spanner.v1.Spanner.StreamingRead
- Methode:
google.spanner.v1.Spanner.StreamingRead
- Audit-Logtyp: Datenzugriff
- Berechtigungen: Informationen zu Berechtigungen finden Sie in der IAM-Dokumentation.
- Die Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming:
Streaming RPC
- Filter für diese Methode:
protoPayload.methodName="google.spanner.v1.Spanner.StreamingRead"
- Hinweise : Diese Methode kann auch eine Lese-Schreib-Transaktion starten, wenn sie in der
TransactionSelector
der Methode angegeben ist. In solchen Fällen entspricht die Methode den BerechtigungstypenDATA_READ
undDATA_WRITE
.
Wichtig: Angeforderte Schlüssel werden nicht protokolliert.
Systemereignisse
Audit-Logs zu Systemereignissen werden von GCP-Systemen generiert, nicht von direkten Nutzeraktionen. Weitere Informationen finden Sie unter Audit-Logs zu Systemereignissen.
Name der Methode | Nach diesem Ereignis filtern | Notes |
---|---|---|
AutoscaleInstance |
protoPayload.methodName="AutoscaleInstance"
|
|
OptimizeRestoredDatabase |
protoPayload.methodName="OptimizeRestoredDatabase"
|
Verarbeitungsdauer
Wenn Sie sehen möchten, wie lange die Verarbeitung einer DATA_READ
- oder DATA_WRITE
-Anfrage gedauert hat, sehen Sie sich das Feld processingDurationSeconds
im Objekt metadata
von AuditLog
an. Mit processingDurationSeconds
können Sie die Anfragelatenzen überwachen.
processingDurationSeconds
beschreibt die Latenz von Spanner API-Anfragen. Sie ist die Zeitspanne (in Sekunden) zwischen dem Empfang des ersten Byte einer Anfrage an das Spanner API-Front-End und dem Senden des letzten Byte einer Antwort. Die zur Verarbeitung von API-Anfragen im Spanner-Back-End und auf der API-Ebene benötigte Zeit ist die Latenz.
Diese Latenz umfasst jedoch nicht den Netzwerk- oder Google Front End-Overhead zwischen Spanner-Clients und -Servern. Informationen zur Visualisierung der übergeordneten Komponenten einer Spanner API-Anfrage finden Sie im Leitfaden zur End-to-End-Latenz von Spanner.
Das folgende Beispiel enthält ein Audit-Log, das Informationen zu processingDurationSeconds
enthält:
{
"protoPayload": {
"@type": "type.googleapis.com/google.cloud.audit.AuditLog",
"authenticationInfo": {...},
"requestMetadata": {...},
"serviceName": "spanner.googleapis.com",
"methodName": "google.spanner.v1.Spanner.Commit",
"authorizationInfo": [{...}],
"resourceName": "projects/example-project/instances/example-instance/databases/example-database/sessions/example-session",
"request": {
"transactionId": "example-transactionId",
"@type": "type.googleapis.com/google.spanner.v1.CommitRequest",
"session": "projects/example-project/instances/example-instance/databases/example-database/sessions/example-session"
},
"response": {
"@type": "type.googleapis.com/google.spanner.v1.CommitResponse",
"commitTimestamp": "2023-02-13T17:11:10.106602Z"
},
"metadata": {
"@type": "type.googleapis.com/spanner.cloud.instance_v1.QueryPerformanceMetadata",
"processingDurationSeconds": 0.1932541
}
},
"insertId": "p9ju4gdi7j0",
"resource": {...},
"timestamp": "2023-02-13T17:11:10.000093953Z",
"severity": "INFO",
"logName": "projects/example-project/logs/cloudaudit.googleapis.com%2Fdata_access",
"receiveTimestamp": "2023-02-13T17:11:11.170517524Z"
}
Bei ExecuteStreamingSql
-, StreamingRead
-, PartitionRead
- oder PartitionQuery
-Anfragen ist das Feld processingDurationSeconds
nicht festgelegt. Informationen zum Berechnen der Latenz von Streaming- und Partitionsanfragen finden Sie unter Latenz von Streaming- und Partitionsanfragen berechnen.