Spanner 監査ロギング

このドキュメントでは、Spanner で実行される監査ロギングについて説明します。監査対象のメソッドと各メソッドで生成される監査ログの詳細について説明します。監査ログを生成するメソッドと各ログの内容について説明します。また、監査ログを生成しないメソッドについても説明します。Google Cloud は、Google Cloud リソース内の管理アクティビティとアクセスイベントを記録する監査ログを生成します。詳しくは、Cloud Audit Logs の概要をご覧ください。

メモ

DATA_READ リクエストまたは DATA_WRITE リクエストの処理に要した時間を確認するには、処理期間のセクションをご覧ください。

サービス名

Spanner 監査ログでは、サービス名 spanner.googleapis.com が使用されます。

メソッド（権限タイプ別）

メソッドの TransactionSelector に指定された場合は、読み取りオペレーションを実行するデータアクセスメソッド Read、StreamingRead、ExecuteSql、ExecuteStreamingSql も読み取り / 書き込みトランザクションを開始します。このような場合、メソッドは DATA_READ 権限タイプと DATA_WRITE 権限タイプの両方をチェックします。

DATA_READ、DATA_WRITE、ADMIN_READ の各権限を確認するメソッドは、データアクセス監査ログとして分類されるログを生成します。ADMIN_WRITE 権限を確認するメソッドは、管理アクティビティ監査ログとして分類されるログを生成します。

権限タイプ	メソッド
`ADMIN_READ`	`google.longrunning.Operations.GetOperation` `google.longrunning.Operations.ListOperations` `google.spanner.admin.database.v1.DatabaseAdmin.GetBackup` `google.spanner.admin.database.v1.DatabaseAdmin.GetDatabase` `google.spanner.admin.database.v1.DatabaseAdmin.GetDatabaseDdl` `google.spanner.admin.database.v1.DatabaseAdmin.GetIamPolicy` `google.spanner.admin.database.v1.DatabaseAdmin.ListBackupOperations` `google.spanner.admin.database.v1.DatabaseAdmin.ListBackups` `google.spanner.admin.database.v1.DatabaseAdmin.ListDatabaseOperations` `google.spanner.admin.database.v1.DatabaseAdmin.ListDatabaseRoles` `google.spanner.admin.database.v1.DatabaseAdmin.ListDatabases` `google.spanner.admin.database.v1.DatabaseAdmin.TestIamPermissions` `google.spanner.admin.instance.v1.InstanceAdmin.GetIamPolicy` `google.spanner.admin.instance.v1.InstanceAdmin.GetInstance` `google.spanner.admin.instance.v1.InstanceAdmin.GetInstanceConfig` `google.spanner.admin.instance.v1.InstanceAdmin.ListInstanceConfigs` `google.spanner.admin.instance.v1.InstanceAdmin.ListInstances` `google.spanner.admin.instance.v1.InstanceAdmin.SetIamPolicy` `google.spanner.admin.instance.v1.InstanceAdmin.TestIamPermissions`
`ADMIN_WRITE`	`google.longrunning.Operations.CancelOperation` `google.spanner.admin.database.v1.DatabaseAdmin.ChangeQuorum` `google.spanner.admin.database.v1.DatabaseAdmin.CopyBackup` `google.spanner.admin.database.v1.DatabaseAdmin.CreateBackup` `google.spanner.admin.database.v1.DatabaseAdmin.CreateDatabase` `google.spanner.admin.database.v1.DatabaseAdmin.DeleteBackup` `google.spanner.admin.database.v1.DatabaseAdmin.DropDatabase` `google.spanner.admin.database.v1.DatabaseAdmin.RestoreDatabase` `google.spanner.admin.database.v1.DatabaseAdmin.SetIamPolicy` `google.spanner.admin.database.v1.DatabaseAdmin.UpdateBackup` `google.spanner.admin.database.v1.DatabaseAdmin.UpdateDatabase` `google.spanner.admin.database.v1.DatabaseAdmin.UpdateDatabaseDdl` `google.spanner.admin.instance.v1.InstanceAdmin.CreateInstance` `google.spanner.admin.instance.v1.InstanceAdmin.CreateInstanceConfig` `google.spanner.admin.instance.v1.InstanceAdmin.DeleteInstance` `google.spanner.admin.instance.v1.InstanceAdmin.DeleteInstanceConfig` `google.spanner.admin.instance.v1.InstanceAdmin.MoveInstance` `google.spanner.admin.instance.v1.InstanceAdmin.UpdateInstance` `google.spanner.admin.instance.v1.InstanceAdmin.UpdateInstanceConfig`
`DATA_READ`	`google.cloud.keyvisualizer.KeyVisualizer.GetScan` `google.spanner.v1.Spanner.BeginTransaction` `google.spanner.v1.Spanner.ExecuteStreamingSql` `google.spanner.v1.Spanner.GetSession` `google.spanner.v1.Spanner.ListSessions` `google.spanner.v1.Spanner.PartitionQuery` `google.spanner.v1.Spanner.PartitionRead` `google.spanner.v1.Spanner.Read` `google.spanner.v1.Spanner.StreamingRead`
`DATA_WRITE`	`google.spanner.v1.Spanner.BatchCreateSessions` `google.spanner.v1.Spanner.BatchWrite` `google.spanner.v1.Spanner.Commit` `google.spanner.v1.Spanner.CreateSession` `google.spanner.v1.Spanner.DeleteSession` `google.spanner.v1.Spanner.ExecuteBatchDml` `google.spanner.v1.Spanner.ExecuteSql` `google.spanner.v1.Spanner.Rollback`

各 API インターフェースの監査ログ

各メソッドで評価される権限の詳細については、Spanner の Identity and Access Management のドキュメントをご覧ください。

`google.cloud.keyvisualizer.KeyVisualizer`

次のセクションでは、google.cloud.keyvisualizer.KeyVisualizer に属するメソッドに関連付けられた監査ログについて詳しく説明します。

`google.cloud.keyvisualizer.KeyVisualizer.GetScan`

メソッド: google.cloud.keyvisualizer.KeyVisualizer.GetScan
監査ログのタイプ: データアクセス
権限:
- spanner.databaseRoles.use - DATA_WRITE
- spanner.databases.read - DATA_READ
- spanner.databases.useRoleBasedAccess - DATA_WRITE
メソッドが長時間実行またはストリーミングオペレーションか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.cloud.keyvisualizer.KeyVisualizer.GetScan"

`google.longrunning.Operations`

次のセクションでは、google.longrunning.Operations に属するメソッドに関連付けられた監査ログについて詳しく説明します。

`google.longrunning.Operations.CancelOperation`

メソッド: google.longrunning.Operations.CancelOperation
監査ログのタイプ: 管理アクティビティ
権限:
- spanner.backupOperations.cancel - ADMIN_WRITE
- spanner.databaseOperations.cancel - ADMIN_WRITE
- spanner.instanceOperations.cancel - ADMIN_WRITE
メソッドが長時間実行またはストリーミングオペレーションか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.longrunning.Operations.CancelOperation"

`google.longrunning.Operations.GetOperation`

メソッド: google.longrunning.Operations.GetOperation
監査ログのタイプ: データアクセス
権限:
- spanner.backupOperations.get - ADMIN_READ
- spanner.databaseOperations.get - ADMIN_READ
- spanner.instanceOperations.get - ADMIN_READ
メソッドが長時間実行またはストリーミングオペレーションか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.longrunning.Operations.GetOperation"

`google.longrunning.Operations.ListOperations`

メソッド: google.longrunning.Operations.ListOperations
監査ログのタイプ: データアクセス
権限:
- spanner.backupOperations.list - ADMIN_READ
- spanner.databaseOperations.list - ADMIN_READ
- spanner.instanceOperations.list - ADMIN_READ
- spanner.ssdCacheOperations.list - ADMIN_READ
メソッドが長時間実行またはストリーミングオペレーションか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.longrunning.Operations.ListOperations"

`google.spanner.admin.database.v1.DatabaseAdmin`

次のセクションでは、google.spanner.admin.database.v1.DatabaseAdmin に属するメソッドに関連付けられた監査ログについて詳しく説明します。

`google.spanner.admin.database.v1.DatabaseAdmin.ChangeQuorum`

メソッド: google.spanner.admin.database.v1.DatabaseAdmin.ChangeQuorum
監査ログのタイプ: 管理アクティビティ
権限:
- spanner.databases.changequorum - ADMIN_WRITE
メソッドが長時間実行オペレーションかストリーミングオペレーションか: 長時間実行オペレーション
このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.ChangeQuorum"

`google.spanner.admin.database.v1.DatabaseAdmin.CopyBackup`

メソッド: google.spanner.admin.database.v1.DatabaseAdmin.CopyBackup
監査ログのタイプ: 管理アクティビティ
権限:
- spanner.backups.copy - ADMIN_WRITE
- spanner.backups.create - ADMIN_WRITE
メソッドが長時間実行オペレーションかストリーミングオペレーションか: 長時間実行オペレーション
このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.CopyBackup"

`google.spanner.admin.database.v1.DatabaseAdmin.CreateBackup`

メソッド: google.spanner.admin.database.v1.DatabaseAdmin.CreateBackup
監査ログのタイプ: 管理アクティビティ
権限:
- spanner.backups.create - ADMIN_WRITE
- spanner.databases.createBackup - ADMIN_READ
メソッドが長時間実行オペレーションかストリーミングオペレーションか: 長時間実行オペレーション
このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.CreateBackup"
注: オペレーション終了時にログに記録されるエントリに認証情報や認可情報は含まれません。認証と承認の情報は、オペレーションの開始時にログに記録された一致するエントリ内にあります。一致するログエントリをログエクスプローラで見つけるには、ログエントリの operation.id フィールドをクリックし、メニューの [一致エントリを表示] を選択します。

`google.spanner.admin.database.v1.DatabaseAdmin.CreateDatabase`

メソッド: google.spanner.admin.database.v1.DatabaseAdmin.CreateDatabase
監査ログのタイプ: 管理アクティビティ
権限:
- spanner.databases.create - ADMIN_WRITE
メソッドが長時間実行オペレーションかストリーミングオペレーションか: 長時間実行オペレーション
このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.CreateDatabase"

`google.spanner.admin.database.v1.DatabaseAdmin.DeleteBackup`

メソッド: google.spanner.admin.database.v1.DatabaseAdmin.DeleteBackup
監査ログのタイプ: 管理アクティビティ
権限:
- spanner.backups.delete - ADMIN_WRITE
メソッドが長時間実行またはストリーミングオペレーションか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.DeleteBackup"

`google.spanner.admin.database.v1.DatabaseAdmin.DropDatabase`

メソッド: google.spanner.admin.database.v1.DatabaseAdmin.DropDatabase
監査ログのタイプ: 管理アクティビティ
権限:
- spanner.databases.drop - ADMIN_WRITE
メソッドが長時間実行またはストリーミングオペレーションか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.DropDatabase"

`google.spanner.admin.database.v1.DatabaseAdmin.GetBackup`

メソッド: google.spanner.admin.database.v1.DatabaseAdmin.GetBackup
監査ログのタイプ: データアクセス
権限:
- spanner.backups.get - ADMIN_READ
メソッドが長時間実行またはストリーミングオペレーションか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.GetBackup"

`google.spanner.admin.database.v1.DatabaseAdmin.GetDatabase`

メソッド: google.spanner.admin.database.v1.DatabaseAdmin.GetDatabase
監査ログのタイプ: データアクセス
権限:
- spanner.databases.get - ADMIN_READ
メソッドが長時間実行またはストリーミングオペレーションか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.GetDatabase"

`google.spanner.admin.database.v1.DatabaseAdmin.GetDatabaseDdl`

メソッド: google.spanner.admin.database.v1.DatabaseAdmin.GetDatabaseDdl
監査ログのタイプ: データアクセス
権限:
- spanner.databases.getDdl - ADMIN_READ
メソッドが長時間実行またはストリーミングオペレーションか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.GetDatabaseDdl"

`google.spanner.admin.database.v1.DatabaseAdmin.GetIamPolicy`

メソッド: google.spanner.admin.database.v1.DatabaseAdmin.GetIamPolicy
監査ログのタイプ: データアクセス
権限:
- spanner.backups.getIamPolicy - ADMIN_READ
- spanner.backups.list - ADMIN_READ
- spanner.databases.list - ADMIN_READ
メソッドが長時間実行またはストリーミングオペレーションか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.GetIamPolicy"

`google.spanner.admin.database.v1.DatabaseAdmin.ListBackupOperations`

メソッド: google.spanner.admin.database.v1.DatabaseAdmin.ListBackupOperations
監査ログのタイプ: データアクセス
権限:
- spanner.backupOperations.list - ADMIN_READ
メソッドが長時間実行またはストリーミングオペレーションか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.ListBackupOperations"

`google.spanner.admin.database.v1.DatabaseAdmin.ListBackups`

メソッド: google.spanner.admin.database.v1.DatabaseAdmin.ListBackups
監査ログのタイプ: データアクセス
権限:
- spanner.backups.list - ADMIN_READ
メソッドが長時間実行またはストリーミングオペレーションか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.ListBackups"

`google.spanner.admin.database.v1.DatabaseAdmin.ListDatabaseOperations`

メソッド: google.spanner.admin.database.v1.DatabaseAdmin.ListDatabaseOperations
監査ログのタイプ: データアクセス
権限:
- spanner.databaseOperations.list - ADMIN_READ
メソッドが長時間実行またはストリーミングオペレーションか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.ListDatabaseOperations"

`google.spanner.admin.database.v1.DatabaseAdmin.ListDatabaseRoles`

メソッド: google.spanner.admin.database.v1.DatabaseAdmin.ListDatabaseRoles
監査ログのタイプ: データアクセス
権限:
- spanner.databaseRoles.list - ADMIN_READ
メソッドが長時間実行またはストリーミングオペレーションか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.ListDatabaseRoles"

`google.spanner.admin.database.v1.DatabaseAdmin.ListDatabases`

メソッド: google.spanner.admin.database.v1.DatabaseAdmin.ListDatabases
監査ログのタイプ: データアクセス
権限:
- spanner.databases.list - ADMIN_READ
メソッドが長時間実行またはストリーミングオペレーションか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.ListDatabases"

`google.spanner.admin.database.v1.DatabaseAdmin.RestoreDatabase`

メソッド: google.spanner.admin.database.v1.DatabaseAdmin.RestoreDatabase
監査ログのタイプ: 管理アクティビティ
権限:
- spanner.backups.restoreDatabase - ADMIN_READ
- spanner.databases.create - ADMIN_WRITE
メソッドが長時間実行オペレーションかストリーミングオペレーションか: 長時間実行オペレーション
このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.RestoreDatabase"
注: データベースの復元には 2 つのリソース（バックアップと復元されたデータベース、異なるインスタンスに存在する可能性があります）に対する承認が必要ですが、RestoreDatabase イベントは復元されたデータベースのインスタンスの単一のエントリとして一度だけ記録されます。このエントリ内には、2 つの authorizationInfo エントリがあります。1 つはデータベース用の、spanner.databases.create 権限のチェック、もう 1 つはバックアップ用（spanner.backups.restoreDatabase 権限）のチェックです。
オペレーション終了時にログに記録されるエントリに認証情報や認可情報は含まれません。認証と承認の情報は、オペレーションの開始時にログに記録された一致するエントリ内にあります。一致するログエントリをログエクスプローラで見つけるには、ログエントリの operation.id フィールドをクリックし、メニューの [一致エントリを表示] を選択します。

`google.spanner.admin.database.v1.DatabaseAdmin.SetIamPolicy`

メソッド: google.spanner.admin.database.v1.DatabaseAdmin.SetIamPolicy
監査ログのタイプ: 管理アクティビティ
権限:
- spanner.backups.setIamPolicy - ADMIN_WRITE
- spanner.databases.list - ADMIN_READ
メソッドが長時間実行またはストリーミングオペレーションか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.SetIamPolicy"

`google.spanner.admin.database.v1.DatabaseAdmin.TestIamPermissions`

メソッド: google.spanner.admin.database.v1.DatabaseAdmin.TestIamPermissions
監査ログのタイプ: データアクセス
権限:
- spanner.backups.list - ADMIN_READ
- spanner.databases.list - ADMIN_READ
メソッドが長時間実行またはストリーミングオペレーションか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.TestIamPermissions"

`google.spanner.admin.database.v1.DatabaseAdmin.UpdateBackup`

メソッド: google.spanner.admin.database.v1.DatabaseAdmin.UpdateBackup
監査ログのタイプ: 管理アクティビティ
権限:
- spanner.backups.update - ADMIN_WRITE
メソッドが長時間実行またはストリーミングオペレーションか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.UpdateBackup"

`google.spanner.admin.database.v1.DatabaseAdmin.UpdateDatabase`

メソッド: google.spanner.admin.database.v1.DatabaseAdmin.UpdateDatabase
監査ログのタイプ: 管理アクティビティ
権限:
- spanner.databases.update - ADMIN_WRITE
メソッドが長時間実行オペレーションかストリーミングオペレーションか: 長時間実行オペレーション
このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.UpdateDatabase"

`google.spanner.admin.database.v1.DatabaseAdmin.UpdateDatabaseDdl`

メソッド: google.spanner.admin.database.v1.DatabaseAdmin.UpdateDatabaseDdl
監査ログのタイプ: 管理アクティビティ
権限:
- spanner.databases.updateDdl - ADMIN_WRITE
メソッドが長時間実行オペレーションかストリーミングオペレーションか: 長時間実行オペレーション
このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.UpdateDatabaseDdl"

`google.spanner.admin.instance.v1.InstanceAdmin`

次のセクションでは、google.spanner.admin.instance.v1.InstanceAdmin に属するメソッドに関連付けられた監査ログについて詳しく説明します。

`google.spanner.admin.instance.v1.InstanceAdmin.CreateInstance`

メソッド: google.spanner.admin.instance.v1.InstanceAdmin.CreateInstance
監査ログのタイプ: 管理アクティビティ
権限:
- spanner.instances.create - ADMIN_WRITE
メソッドが長時間実行オペレーションかストリーミングオペレーションか: 長時間実行オペレーション
このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.CreateInstance"

`google.spanner.admin.instance.v1.InstanceAdmin.CreateInstanceConfig`

メソッド: google.spanner.admin.instance.v1.InstanceAdmin.CreateInstanceConfig
監査ログのタイプ: 管理アクティビティ
権限:
- spanner.instanceConfigs.create - ADMIN_WRITE
メソッドが長時間実行オペレーションかストリーミングオペレーションか: 長時間実行オペレーション
このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.CreateInstanceConfig"

`google.spanner.admin.instance.v1.InstanceAdmin.DeleteInstance`

メソッド: google.spanner.admin.instance.v1.InstanceAdmin.DeleteInstance
監査ログのタイプ: 管理アクティビティ
権限:
- spanner.instances.delete - ADMIN_WRITE
メソッドが長時間実行またはストリーミングオペレーションか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.DeleteInstance"

`google.spanner.admin.instance.v1.InstanceAdmin.DeleteInstanceConfig`

メソッド: google.spanner.admin.instance.v1.InstanceAdmin.DeleteInstanceConfig
監査ログのタイプ: 管理アクティビティ
権限:
- spanner.instanceConfigs.delete - ADMIN_WRITE
メソッドが長時間実行またはストリーミングオペレーションか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.DeleteInstanceConfig"

`google.spanner.admin.instance.v1.InstanceAdmin.GetIamPolicy`

メソッド: google.spanner.admin.instance.v1.InstanceAdmin.GetIamPolicy
監査ログのタイプ: データアクセス
権限:
- spanner.instances.list - ADMIN_READ
メソッドが長時間実行またはストリーミングオペレーションか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.GetIamPolicy"

`google.spanner.admin.instance.v1.InstanceAdmin.GetInstance`

メソッド: google.spanner.admin.instance.v1.InstanceAdmin.GetInstance
監査ログのタイプ: データアクセス
権限:
- spanner.instances.get - ADMIN_READ
メソッドが長時間実行またはストリーミングオペレーションか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.GetInstance"

`google.spanner.admin.instance.v1.InstanceAdmin.GetInstanceConfig`

メソッド: google.spanner.admin.instance.v1.InstanceAdmin.GetInstanceConfig
監査ログのタイプ: データアクセス
権限:
- spanner.instanceConfigs.get - ADMIN_READ
メソッドが長時間実行またはストリーミングオペレーションか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.GetInstanceConfig"

`google.spanner.admin.instance.v1.InstanceAdmin.ListInstanceConfigs`

メソッド: google.spanner.admin.instance.v1.InstanceAdmin.ListInstanceConfigs
監査ログのタイプ: データアクセス
権限:
- spanner.instanceConfigs.list - ADMIN_READ
メソッドが長時間実行またはストリーミングオペレーションか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.ListInstanceConfigs"

`google.spanner.admin.instance.v1.InstanceAdmin.ListInstances`

メソッド: google.spanner.admin.instance.v1.InstanceAdmin.ListInstances
監査ログのタイプ: データアクセス
権限:
- spanner.instances.list - ADMIN_READ
メソッドが長時間実行またはストリーミングオペレーションか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.ListInstances"

`google.spanner.admin.instance.v1.InstanceAdmin.MoveInstance`

メソッド: google.spanner.admin.instance.v1.InstanceAdmin.MoveInstance
監査ログのタイプ: 管理アクティビティ
権限:
- spanner.instances.update - ADMIN_WRITE
メソッドが長時間実行オペレーションかストリーミングオペレーションか: 長時間実行オペレーション
このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.MoveInstance"

`google.spanner.admin.instance.v1.InstanceAdmin.SetIamPolicy`

メソッド: google.spanner.admin.instance.v1.InstanceAdmin.SetIamPolicy
監査ログのタイプ: 管理アクティビティ
権限:
- spanner.instances.list - ADMIN_READ
メソッドが長時間実行またはストリーミングオペレーションか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.SetIamPolicy"

`google.spanner.admin.instance.v1.InstanceAdmin.TestIamPermissions`

メソッド: google.spanner.admin.instance.v1.InstanceAdmin.TestIamPermissions
監査ログのタイプ: データアクセス
権限:
- spanner.instances.list - ADMIN_READ
メソッドが長時間実行またはストリーミングオペレーションか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.TestIamPermissions"

`google.spanner.admin.instance.v1.InstanceAdmin.UpdateInstance`

メソッド: google.spanner.admin.instance.v1.InstanceAdmin.UpdateInstance
監査ログのタイプ: 管理アクティビティ
権限:
- spanner.instances.update - ADMIN_WRITE
メソッドが長時間実行オペレーションかストリーミングオペレーションか: 長時間実行オペレーション
このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.UpdateInstance"

`google.spanner.admin.instance.v1.InstanceAdmin.UpdateInstanceConfig`

メソッド: google.spanner.admin.instance.v1.InstanceAdmin.UpdateInstanceConfig
監査ログのタイプ: 管理アクティビティ
権限:
- spanner.instanceConfigs.update - ADMIN_WRITE
メソッドが長時間実行オペレーションかストリーミングオペレーションか: 長時間実行オペレーション
このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.UpdateInstanceConfig"

`google.spanner.v1.Spanner`

次のセクションでは、google.spanner.v1.Spanner に属するメソッドに関連付けられた監査ログについて詳しく説明します。

`google.spanner.v1.Spanner.BatchCreateSessions`

メソッド: google.spanner.v1.Spanner.BatchCreateSessions
監査ログのタイプ: データアクセス
権限:
- spanner.databaseRoles.use - DATA_WRITE
- spanner.databases.useRoleBasedAccess - DATA_WRITE
- spanner.sessions.create - DATA_WRITE
メソッドが長時間実行またはストリーミングオペレーションか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.spanner.v1.Spanner.BatchCreateSessions"

`google.spanner.v1.Spanner.BatchWrite`

メソッド: google.spanner.v1.Spanner.BatchWrite
監査ログのタイプ: データアクセス
権限:
- spanner.databases.write - DATA_WRITE
メソッドが長時間実行またはストリーミングオペレーションである: ストリーミング RPC
このメソッドのフィルタ: protoPayload.methodName="google.spanner.v1.Spanner.BatchWrite"

`google.spanner.v1.Spanner.BeginTransaction`

メソッド: google.spanner.v1.Spanner.BeginTransaction
監査ログのタイプ: データアクセス
権限:
- spanner.databaseRoles.use - DATA_WRITE
- spanner.databases.beginOrRollbackReadWriteTransaction - DATA_WRITE
- spanner.databases.beginPartitionedDmlTransaction - DATA_WRITE
- spanner.databases.beginReadOnlyTransaction - DATA_READ
- spanner.databases.useRoleBasedAccess - DATA_WRITE
メソッドが長時間実行またはストリーミングオペレーションか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.spanner.v1.Spanner.BeginTransaction"
注: このメソッドは、ReadOnly トランザクションの場合は DATA_READ、ReadWrite トランザクションの場合は DATA_WRITE になります。

`google.spanner.v1.Spanner.Commit`

メソッド: google.spanner.v1.Spanner.Commit
監査ログのタイプ: データアクセス
権限:
- spanner.databaseRoles.use - DATA_WRITE
- spanner.databases.useRoleBasedAccess - DATA_WRITE
- spanner.databases.write - DATA_WRITE
メソッドが長時間実行またはストリーミングオペレーションか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.spanner.v1.Spanner.Commit"

`google.spanner.v1.Spanner.CreateSession`

メソッド: google.spanner.v1.Spanner.CreateSession
監査ログのタイプ: データアクセス
権限:
- spanner.databaseRoles.use - DATA_WRITE
- spanner.databases.useRoleBasedAccess - DATA_WRITE
- spanner.sessions.create - DATA_WRITE
メソッドが長時間実行またはストリーミングオペレーションか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.spanner.v1.Spanner.CreateSession"

`google.spanner.v1.Spanner.DeleteSession`

メソッド: google.spanner.v1.Spanner.DeleteSession
監査ログのタイプ: データアクセス
権限:
- spanner.databaseRoles.use - DATA_WRITE
- spanner.databases.useRoleBasedAccess - DATA_WRITE
- spanner.sessions.delete - DATA_WRITE
メソッドが長時間実行またはストリーミングオペレーションか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.spanner.v1.Spanner.DeleteSession"

`google.spanner.v1.Spanner.ExecuteBatchDml`

メソッド: google.spanner.v1.Spanner.ExecuteBatchDml
監査ログのタイプ: データアクセス
権限:
- spanner.databases.beginOrRollbackReadWriteTransaction - DATA_WRITE
- spanner.databases.write - DATA_WRITE
メソッドが長時間実行またはストリーミングオペレーションか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.spanner.v1.Spanner.ExecuteBatchDml"

`google.spanner.v1.Spanner.ExecuteSql`

メソッド: google.spanner.v1.Spanner.ExecuteSql
監査ログのタイプ: データアクセス
権限: 権限については、IAM のドキュメントをご覧ください。
メソッドが長時間実行またはストリーミングオペレーションか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.spanner.v1.Spanner.ExecuteSql"
注: このメソッドは、メソッドの TransactionSelector で指定された場合は、読み取り / 書き込みトランザクションを開始することもあります。そのような場合、このメソッドは DATA_READ と DATA_WRITE の両方の権限タイプに一致します。

`google.spanner.v1.Spanner.ExecuteStreamingSql`

メソッド: google.spanner.v1.Spanner.ExecuteStreamingSql
監査ログのタイプ: データアクセス
権限: 権限については、IAM のドキュメントをご覧ください。
メソッドが長時間実行またはストリーミングオペレーションである: ストリーミング RPC
このメソッドのフィルタ: protoPayload.methodName="google.spanner.v1.Spanner.ExecuteStreamingSql"
注: このメソッドは、メソッドの TransactionSelector で指定された場合は、読み取り / 書き込みトランザクションを開始することもあります。そのような場合、このメソッドは DATA_READ と DATA_WRITE の両方の権限タイプに一致します。

`google.spanner.v1.Spanner.GetSession`

メソッド: google.spanner.v1.Spanner.GetSession
監査ログのタイプ: データアクセス
権限:
- spanner.sessions.get - DATA_READ
メソッドが長時間実行またはストリーミングオペレーションか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.spanner.v1.Spanner.GetSession"

`google.spanner.v1.Spanner.ListSessions`

メソッド: google.spanner.v1.Spanner.ListSessions
監査ログのタイプ: データアクセス
権限:
- spanner.sessions.list - DATA_READ
メソッドが長時間実行またはストリーミングオペレーションか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.spanner.v1.Spanner.ListSessions"

`google.spanner.v1.Spanner.PartitionQuery`

メソッド: google.spanner.v1.Spanner.PartitionQuery
監査ログのタイプ: データアクセス
権限:
- spanner.databaseRoles.use - DATA_WRITE
- spanner.databases.beginReadOnlyTransaction - DATA_READ
- spanner.databases.partitionQuery - DATA_READ
- spanner.databases.useRoleBasedAccess - DATA_WRITE
メソッドが長時間実行またはストリーミングオペレーションか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.spanner.v1.Spanner.PartitionQuery"

`google.spanner.v1.Spanner.PartitionRead`

メソッド: google.spanner.v1.Spanner.PartitionRead
監査ログのタイプ: データアクセス
権限:
- spanner.databases.partitionRead - DATA_READ
メソッドが長時間実行またはストリーミングオペレーションか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.spanner.v1.Spanner.PartitionRead"

`google.spanner.v1.Spanner.Read`

メソッド: google.spanner.v1.Spanner.Read
監査ログのタイプ: データアクセス
権限:
- spanner.databases.beginOrRollbackReadWriteTransaction - DATA_WRITE
- spanner.databases.read - DATA_READ
メソッドが長時間実行またはストリーミングオペレーションか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.spanner.v1.Spanner.Read"
注: このメソッドは、メソッドの TransactionSelector で指定された場合は、読み取り / 書き込みトランザクションを開始することもあります。このような場合、メソッドは DATA_READ と DATA_WRITE の両方の権限タイプに一致します。
重要: リクエストされたキーはログに記録されません。

`google.spanner.v1.Spanner.Rollback`

メソッド: google.spanner.v1.Spanner.Rollback
監査ログのタイプ: データアクセス
権限:
- spanner.databaseRoles.use - DATA_WRITE
- spanner.databases.beginOrRollbackReadWriteTransaction - DATA_WRITE
- spanner.databases.useRoleBasedAccess - DATA_WRITE
メソッドが長時間実行またはストリーミングオペレーションか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.spanner.v1.Spanner.Rollback"

`google.spanner.v1.Spanner.StreamingRead`

メソッド: google.spanner.v1.Spanner.StreamingRead
監査ログのタイプ: データアクセス
権限: 権限については、IAM のドキュメントをご覧ください。
メソッドが長時間実行またはストリーミングオペレーションである: ストリーミング RPC
このメソッドのフィルタ: protoPayload.methodName="google.spanner.v1.Spanner.StreamingRead"
注: このメソッドは、メソッドの TransactionSelector で指定された場合は、読み取り / 書き込みトランザクションを開始することもあります。このような場合、メソッドは DATA_READ と DATA_WRITE の両方の権限タイプに一致します。
重要: リクエストされたキーはログに記録されません。

システムイベント

システムイベント監査ログは、直接的なユーザーアクションではなく、GCP システムによって生成されます。詳細については、システムイベント監査ログをご覧ください。

メソッド名	このイベントのフィルタ	メモ
AutoscaleInstance	`protoPayload.methodName="AutoscaleInstance"`
OptimizeRestoredDatabase	`protoPayload.methodName="OptimizeRestoredDatabase"`

処理期間

DATA_READ リクエストまたは DATA_WRITE リクエストの処理に要した時間を確認するには、AuditLog の metadata オブジェクト内に存在する processingDurationSeconds フィールドをご覧ください。processingDurationSeconds は、リクエストのレイテンシをモニタリングするために役立ちます。

processingDurationSeconds は、Spanner API リクエストのレイテンシを表します。これは、Spanner API フロントエンドがリクエストの最初のバイトを受信してから、レスポンスの最後のバイトを送信するまでに時間（秒単位）です。Spanner バックエンドと API レイヤの両方で API リクエストの処理に必要な時間がレイテンシです。ただし、このレイテンシには、Spanner クライアントとサーバーの間のネットワークや Google Front End のオーバーヘッドは含まれません。Spanner API リクエストに関連する高レベルコンポーネントを可視化するには、Spanner エンドツーエンドのレイテンシガイドをご覧ください。

たとえば、以下は、processingDurationSeconds の情報を含む監査ログです。

{
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {...},
    "requestMetadata": {...},
    "serviceName": "spanner.googleapis.com",
    "methodName": "google.spanner.v1.Spanner.Commit",
    "authorizationInfo": [{...}],
    "resourceName": "projects/example-project/instances/example-instance/databases/example-database/sessions/example-session",
    "request": {
      "transactionId": "example-transactionId",
      "@type": "type.googleapis.com/google.spanner.v1.CommitRequest",
      "session": "projects/example-project/instances/example-instance/databases/example-database/sessions/example-session"
    },
    "response": {
      "@type": "type.googleapis.com/google.spanner.v1.CommitResponse",
      "commitTimestamp": "2023-02-13T17:11:10.106602Z"
    },
    "metadata": {
      "@type": "type.googleapis.com/spanner.cloud.instance_v1.QueryPerformanceMetadata",
      "processingDurationSeconds": 0.1932541
    }
  },
  "insertId": "p9ju4gdi7j0",
  "resource": {...},
  "timestamp": "2023-02-13T17:11:10.000093953Z",
  "severity": "INFO",
  "logName": "projects/example-project/logs/cloudaudit.googleapis.com%2Fdata_access",
  "receiveTimestamp": "2023-02-13T17:11:11.170517524Z"
}

ExecuteStreamingSql、StreamingRead、PartitionRead、PartitionQuery のリクエストの場合、processingDurationSeconds フィールドは設定されません。ストリーミングとパーティションリクエストのレイテンシを計算するには、ストリーミングとパーティションのリクエストのレイテンシを計算するをご覧ください。

Spanner 監査ロギング

メモ

サービス名

メソッド（権限タイプ別）

各 API インターフェースの監査ログ

google.cloud.keyvisualizer.KeyVisualizer

google.cloud.keyvisualizer.KeyVisualizer.GetScan

google.longrunning.Operations

google.longrunning.Operations.CancelOperation

google.longrunning.Operations.GetOperation

google.longrunning.Operations.ListOperations

google.spanner.admin.database.v1.DatabaseAdmin

google.spanner.admin.database.v1.DatabaseAdmin.ChangeQuorum

google.spanner.admin.database.v1.DatabaseAdmin.CopyBackup

google.spanner.admin.database.v1.DatabaseAdmin.CreateBackup

google.spanner.admin.database.v1.DatabaseAdmin.CreateDatabase

google.spanner.admin.database.v1.DatabaseAdmin.DeleteBackup

google.spanner.admin.database.v1.DatabaseAdmin.DropDatabase

google.spanner.admin.database.v1.DatabaseAdmin.GetBackup

google.spanner.admin.database.v1.DatabaseAdmin.GetDatabase

google.spanner.admin.database.v1.DatabaseAdmin.GetDatabaseDdl

google.spanner.admin.database.v1.DatabaseAdmin.GetIamPolicy

google.spanner.admin.database.v1.DatabaseAdmin.ListBackupOperations

google.spanner.admin.database.v1.DatabaseAdmin.ListBackups

google.spanner.admin.database.v1.DatabaseAdmin.ListDatabaseOperations

google.spanner.admin.database.v1.DatabaseAdmin.ListDatabaseRoles

google.spanner.admin.database.v1.DatabaseAdmin.ListDatabases

google.spanner.admin.database.v1.DatabaseAdmin.RestoreDatabase

google.spanner.admin.database.v1.DatabaseAdmin.SetIamPolicy

google.spanner.admin.database.v1.DatabaseAdmin.TestIamPermissions

google.spanner.admin.database.v1.DatabaseAdmin.UpdateBackup

google.spanner.admin.database.v1.DatabaseAdmin.UpdateDatabase

google.spanner.admin.database.v1.DatabaseAdmin.UpdateDatabaseDdl

google.spanner.admin.instance.v1.InstanceAdmin

google.spanner.admin.instance.v1.InstanceAdmin.CreateInstance

google.spanner.admin.instance.v1.InstanceAdmin.CreateInstanceConfig

google.spanner.admin.instance.v1.InstanceAdmin.DeleteInstance

google.spanner.admin.instance.v1.InstanceAdmin.DeleteInstanceConfig

google.spanner.admin.instance.v1.InstanceAdmin.GetIamPolicy

google.spanner.admin.instance.v1.InstanceAdmin.GetInstance

google.spanner.admin.instance.v1.InstanceAdmin.GetInstanceConfig

google.spanner.admin.instance.v1.InstanceAdmin.ListInstanceConfigs

google.spanner.admin.instance.v1.InstanceAdmin.ListInstances

google.spanner.admin.instance.v1.InstanceAdmin.MoveInstance

google.spanner.admin.instance.v1.InstanceAdmin.SetIamPolicy

google.spanner.admin.instance.v1.InstanceAdmin.TestIamPermissions

google.spanner.admin.instance.v1.InstanceAdmin.UpdateInstance

google.spanner.admin.instance.v1.InstanceAdmin.UpdateInstanceConfig

google.spanner.v1.Spanner

google.spanner.v1.Spanner.BatchCreateSessions

google.spanner.v1.Spanner.BatchWrite

google.spanner.v1.Spanner.BeginTransaction

google.spanner.v1.Spanner.Commit

google.spanner.v1.Spanner.CreateSession

google.spanner.v1.Spanner.DeleteSession

google.spanner.v1.Spanner.ExecuteBatchDml

google.spanner.v1.Spanner.ExecuteSql

google.spanner.v1.Spanner.ExecuteStreamingSql

google.spanner.v1.Spanner.GetSession

google.spanner.v1.Spanner.ListSessions

google.spanner.v1.Spanner.PartitionQuery

google.spanner.v1.Spanner.PartitionRead

google.spanner.v1.Spanner.Read

google.spanner.v1.Spanner.Rollback

google.spanner.v1.Spanner.StreamingRead

システム イベント