このドキュメントでは、Spanner で実行される監査ロギングについて説明します。監査対象のメソッドと各メソッドで生成される監査ログの詳細について説明します。監査ログを生成するメソッドと各ログの内容について説明します。また、監査ログを生成しないメソッドについても説明します。Google Cloud は、Google Cloud リソース内の管理アクティビティとアクセス イベントを記録する監査ログを生成します。詳しくは、Cloud Audit Logs の概要をご覧ください。
メモ
DATA_READ
リクエストまたは DATA_WRITE
リクエストの処理に要した時間を確認するには、処理期間のセクションをご覧ください。
サービス名
Spanner 監査ログでは、サービス名 spanner.googleapis.com
が使用されます。
メソッド(権限タイプ別)
メソッドの TransactionSelector
に指定された場合は、読み取りオペレーションを実行するデータアクセス メソッド Read
、StreamingRead
、ExecuteSql
、ExecuteStreamingSql
も読み取り / 書き込みトランザクションを開始します。このような場合、メソッドは DATA_READ
権限タイプと DATA_WRITE
権限タイプの両方をチェックします。
DATA_READ
、DATA_WRITE
、ADMIN_READ
の各権限を確認するメソッドは、データアクセス監査ログとして分類されるログを生成します。ADMIN_WRITE
権限を確認するメソッドは、管理アクティビティ監査ログとして分類されるログを生成します。
権限タイプ | メソッド |
---|---|
ADMIN_READ |
google.longrunning.Operations.GetOperation google.longrunning.Operations.ListOperations google.spanner.admin.database.v1.DatabaseAdmin.GetBackup google.spanner.admin.database.v1.DatabaseAdmin.GetDatabase google.spanner.admin.database.v1.DatabaseAdmin.GetDatabaseDdl google.spanner.admin.database.v1.DatabaseAdmin.GetIamPolicy google.spanner.admin.database.v1.DatabaseAdmin.ListBackupOperations google.spanner.admin.database.v1.DatabaseAdmin.ListBackups google.spanner.admin.database.v1.DatabaseAdmin.ListDatabaseOperations google.spanner.admin.database.v1.DatabaseAdmin.ListDatabaseRoles google.spanner.admin.database.v1.DatabaseAdmin.ListDatabases google.spanner.admin.database.v1.DatabaseAdmin.TestIamPermissions google.spanner.admin.instance.v1.InstanceAdmin.GetIamPolicy google.spanner.admin.instance.v1.InstanceAdmin.GetInstance google.spanner.admin.instance.v1.InstanceAdmin.GetInstanceConfig google.spanner.admin.instance.v1.InstanceAdmin.ListInstanceConfigs google.spanner.admin.instance.v1.InstanceAdmin.ListInstances google.spanner.admin.instance.v1.InstanceAdmin.SetIamPolicy google.spanner.admin.instance.v1.InstanceAdmin.TestIamPermissions |
ADMIN_WRITE |
google.longrunning.Operations.CancelOperation google.spanner.admin.database.v1.DatabaseAdmin.ChangeQuorum google.spanner.admin.database.v1.DatabaseAdmin.CopyBackup google.spanner.admin.database.v1.DatabaseAdmin.CreateBackup google.spanner.admin.database.v1.DatabaseAdmin.CreateDatabase google.spanner.admin.database.v1.DatabaseAdmin.DeleteBackup google.spanner.admin.database.v1.DatabaseAdmin.DropDatabase google.spanner.admin.database.v1.DatabaseAdmin.RestoreDatabase google.spanner.admin.database.v1.DatabaseAdmin.SetIamPolicy google.spanner.admin.database.v1.DatabaseAdmin.UpdateBackup google.spanner.admin.database.v1.DatabaseAdmin.UpdateDatabase google.spanner.admin.database.v1.DatabaseAdmin.UpdateDatabaseDdl google.spanner.admin.instance.v1.InstanceAdmin.CreateInstance google.spanner.admin.instance.v1.InstanceAdmin.CreateInstanceConfig google.spanner.admin.instance.v1.InstanceAdmin.DeleteInstance google.spanner.admin.instance.v1.InstanceAdmin.DeleteInstanceConfig google.spanner.admin.instance.v1.InstanceAdmin.MoveInstance google.spanner.admin.instance.v1.InstanceAdmin.UpdateInstance google.spanner.admin.instance.v1.InstanceAdmin.UpdateInstanceConfig |
DATA_READ |
google.cloud.keyvisualizer.KeyVisualizer.GetScan google.spanner.v1.Spanner.BeginTransaction google.spanner.v1.Spanner.ExecuteStreamingSql google.spanner.v1.Spanner.GetSession google.spanner.v1.Spanner.ListSessions google.spanner.v1.Spanner.PartitionQuery google.spanner.v1.Spanner.PartitionRead google.spanner.v1.Spanner.Read google.spanner.v1.Spanner.StreamingRead |
DATA_WRITE |
google.spanner.v1.Spanner.BatchCreateSessions google.spanner.v1.Spanner.BatchWrite google.spanner.v1.Spanner.Commit google.spanner.v1.Spanner.CreateSession google.spanner.v1.Spanner.DeleteSession google.spanner.v1.Spanner.ExecuteBatchDml google.spanner.v1.Spanner.ExecuteSql google.spanner.v1.Spanner.Rollback |
各 API インターフェースの監査ログ
各メソッドで評価される権限の詳細については、Spanner の Identity and Access Management のドキュメントをご覧ください。
google.cloud.keyvisualizer.KeyVisualizer
次のセクションでは、google.cloud.keyvisualizer.KeyVisualizer
に属するメソッドに関連付けられた監査ログについて詳しく説明します。
google.cloud.keyvisualizer.KeyVisualizer.GetScan
- メソッド:
google.cloud.keyvisualizer.KeyVisualizer.GetScan
- 監査ログのタイプ: データアクセス
- 権限:
spanner.databaseRoles.use - DATA_WRITE
spanner.databases.read - DATA_READ
spanner.databases.useRoleBasedAccess - DATA_WRITE
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.cloud.keyvisualizer.KeyVisualizer.GetScan"
google.longrunning.Operations
次のセクションでは、google.longrunning.Operations
に属するメソッドに関連付けられた監査ログについて詳しく説明します。
google.longrunning.Operations.CancelOperation
- メソッド:
google.longrunning.Operations.CancelOperation
- 監査ログのタイプ: 管理アクティビティ
- 権限:
spanner.backupOperations.cancel - ADMIN_WRITE
spanner.databaseOperations.cancel - ADMIN_WRITE
spanner.instanceOperations.cancel - ADMIN_WRITE
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.longrunning.Operations.CancelOperation"
google.longrunning.Operations.GetOperation
- メソッド:
google.longrunning.Operations.GetOperation
- 監査ログのタイプ: データアクセス
- 権限:
spanner.backupOperations.get - ADMIN_READ
spanner.databaseOperations.get - ADMIN_READ
spanner.instanceOperations.get - ADMIN_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.longrunning.Operations.GetOperation"
google.longrunning.Operations.ListOperations
- メソッド:
google.longrunning.Operations.ListOperations
- 監査ログのタイプ: データアクセス
- 権限:
spanner.backupOperations.list - ADMIN_READ
spanner.databaseOperations.list - ADMIN_READ
spanner.instanceOperations.list - ADMIN_READ
spanner.ssdCacheOperations.list - ADMIN_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.longrunning.Operations.ListOperations"
google.spanner.admin.database.v1.DatabaseAdmin
次のセクションでは、google.spanner.admin.database.v1.DatabaseAdmin
に属するメソッドに関連付けられた監査ログについて詳しく説明します。
google.spanner.admin.database.v1.DatabaseAdmin.ChangeQuorum
- メソッド:
google.spanner.admin.database.v1.DatabaseAdmin.ChangeQuorum
- 監査ログのタイプ: 管理アクティビティ
- 権限:
spanner.databases.changequorum - ADMIN_WRITE
- メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.ChangeQuorum"
google.spanner.admin.database.v1.DatabaseAdmin.CopyBackup
- メソッド:
google.spanner.admin.database.v1.DatabaseAdmin.CopyBackup
- 監査ログのタイプ: 管理アクティビティ
- 権限:
spanner.backups.copy - ADMIN_WRITE
spanner.backups.create - ADMIN_WRITE
- メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.CopyBackup"
google.spanner.admin.database.v1.DatabaseAdmin.CreateBackup
- メソッド:
google.spanner.admin.database.v1.DatabaseAdmin.CreateBackup
- 監査ログのタイプ: 管理アクティビティ
- 権限:
spanner.backups.create - ADMIN_WRITE
spanner.databases.createBackup - ADMIN_READ
- メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.CreateBackup"
- 注: オペレーション終了時にログに記録されるエントリに認証情報や認可情報は含まれません。認証と承認の情報は、オペレーションの開始時にログに記録された一致するエントリ内にあります。一致するログエントリをログ エクスプローラで見つけるには、ログエントリの
operation.id
フィールドをクリックし、メニューの [一致エントリを表示] を選択します。
google.spanner.admin.database.v1.DatabaseAdmin.CreateDatabase
- メソッド:
google.spanner.admin.database.v1.DatabaseAdmin.CreateDatabase
- 監査ログのタイプ: 管理アクティビティ
- 権限:
spanner.databases.create - ADMIN_WRITE
- メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.CreateDatabase"
google.spanner.admin.database.v1.DatabaseAdmin.DeleteBackup
- メソッド:
google.spanner.admin.database.v1.DatabaseAdmin.DeleteBackup
- 監査ログのタイプ: 管理アクティビティ
- 権限:
spanner.backups.delete - ADMIN_WRITE
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.DeleteBackup"
google.spanner.admin.database.v1.DatabaseAdmin.DropDatabase
- メソッド:
google.spanner.admin.database.v1.DatabaseAdmin.DropDatabase
- 監査ログのタイプ: 管理アクティビティ
- 権限:
spanner.databases.drop - ADMIN_WRITE
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.DropDatabase"
google.spanner.admin.database.v1.DatabaseAdmin.GetBackup
- メソッド:
google.spanner.admin.database.v1.DatabaseAdmin.GetBackup
- 監査ログのタイプ: データアクセス
- 権限:
spanner.backups.get - ADMIN_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.GetBackup"
google.spanner.admin.database.v1.DatabaseAdmin.GetDatabase
- メソッド:
google.spanner.admin.database.v1.DatabaseAdmin.GetDatabase
- 監査ログのタイプ: データアクセス
- 権限:
spanner.databases.get - ADMIN_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.GetDatabase"
google.spanner.admin.database.v1.DatabaseAdmin.GetDatabaseDdl
- メソッド:
google.spanner.admin.database.v1.DatabaseAdmin.GetDatabaseDdl
- 監査ログのタイプ: データアクセス
- 権限:
spanner.databases.getDdl - ADMIN_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.GetDatabaseDdl"
google.spanner.admin.database.v1.DatabaseAdmin.GetIamPolicy
- メソッド:
google.spanner.admin.database.v1.DatabaseAdmin.GetIamPolicy
- 監査ログのタイプ: データアクセス
- 権限:
spanner.backups.getIamPolicy - ADMIN_READ
spanner.backups.list - ADMIN_READ
spanner.databases.list - ADMIN_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.GetIamPolicy"
google.spanner.admin.database.v1.DatabaseAdmin.ListBackupOperations
- メソッド:
google.spanner.admin.database.v1.DatabaseAdmin.ListBackupOperations
- 監査ログのタイプ: データアクセス
- 権限:
spanner.backupOperations.list - ADMIN_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.ListBackupOperations"
google.spanner.admin.database.v1.DatabaseAdmin.ListBackups
- メソッド:
google.spanner.admin.database.v1.DatabaseAdmin.ListBackups
- 監査ログのタイプ: データアクセス
- 権限:
spanner.backups.list - ADMIN_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.ListBackups"
google.spanner.admin.database.v1.DatabaseAdmin.ListDatabaseOperations
- メソッド:
google.spanner.admin.database.v1.DatabaseAdmin.ListDatabaseOperations
- 監査ログのタイプ: データアクセス
- 権限:
spanner.databaseOperations.list - ADMIN_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.ListDatabaseOperations"
google.spanner.admin.database.v1.DatabaseAdmin.ListDatabaseRoles
- メソッド:
google.spanner.admin.database.v1.DatabaseAdmin.ListDatabaseRoles
- 監査ログのタイプ: データアクセス
- 権限:
spanner.databaseRoles.list - ADMIN_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.ListDatabaseRoles"
google.spanner.admin.database.v1.DatabaseAdmin.ListDatabases
- メソッド:
google.spanner.admin.database.v1.DatabaseAdmin.ListDatabases
- 監査ログのタイプ: データアクセス
- 権限:
spanner.databases.list - ADMIN_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.ListDatabases"
google.spanner.admin.database.v1.DatabaseAdmin.RestoreDatabase
- メソッド:
google.spanner.admin.database.v1.DatabaseAdmin.RestoreDatabase
- 監査ログのタイプ: 管理アクティビティ
- 権限:
spanner.backups.restoreDatabase - ADMIN_READ
spanner.databases.create - ADMIN_WRITE
- メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.RestoreDatabase"
- 注: データベースの復元には 2 つのリソース(バックアップと復元されたデータベース、異なるインスタンスに存在する可能性があります)に対する承認が必要ですが、
RestoreDatabase
イベントは復元されたデータベースのインスタンスの単一のエントリとして一度だけ記録されます。このエントリ内には、2 つのauthorizationInfo
エントリがあります。1 つはデータベース用の、spanner.databases.create
権限のチェック、もう 1 つはバックアップ用(spanner.backups.restoreDatabase
権限)のチェックです。
オペレーション終了時にログに記録されるエントリに認証情報や認可情報は含まれません。認証と承認の情報は、オペレーションの開始時にログに記録された一致するエントリ内にあります。一致するログエントリをログ エクスプローラで見つけるには、ログエントリのoperation.id
フィールドをクリックし、メニューの [一致エントリを表示] を選択します。
google.spanner.admin.database.v1.DatabaseAdmin.SetIamPolicy
- メソッド:
google.spanner.admin.database.v1.DatabaseAdmin.SetIamPolicy
- 監査ログのタイプ: 管理アクティビティ
- 権限:
spanner.backups.setIamPolicy - ADMIN_WRITE
spanner.databases.list - ADMIN_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.SetIamPolicy"
google.spanner.admin.database.v1.DatabaseAdmin.TestIamPermissions
- メソッド:
google.spanner.admin.database.v1.DatabaseAdmin.TestIamPermissions
- 監査ログのタイプ: データアクセス
- 権限:
spanner.backups.list - ADMIN_READ
spanner.databases.list - ADMIN_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.TestIamPermissions"
google.spanner.admin.database.v1.DatabaseAdmin.UpdateBackup
- メソッド:
google.spanner.admin.database.v1.DatabaseAdmin.UpdateBackup
- 監査ログのタイプ: 管理アクティビティ
- 権限:
spanner.backups.update - ADMIN_WRITE
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.UpdateBackup"
google.spanner.admin.database.v1.DatabaseAdmin.UpdateDatabase
- メソッド:
google.spanner.admin.database.v1.DatabaseAdmin.UpdateDatabase
- 監査ログのタイプ: 管理アクティビティ
- 権限:
spanner.databases.update - ADMIN_WRITE
- メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.UpdateDatabase"
google.spanner.admin.database.v1.DatabaseAdmin.UpdateDatabaseDdl
- メソッド:
google.spanner.admin.database.v1.DatabaseAdmin.UpdateDatabaseDdl
- 監査ログのタイプ: 管理アクティビティ
- 権限:
spanner.databases.updateDdl - ADMIN_WRITE
- メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.UpdateDatabaseDdl"
google.spanner.admin.instance.v1.InstanceAdmin
次のセクションでは、google.spanner.admin.instance.v1.InstanceAdmin
に属するメソッドに関連付けられた監査ログについて詳しく説明します。
google.spanner.admin.instance.v1.InstanceAdmin.CreateInstance
- メソッド:
google.spanner.admin.instance.v1.InstanceAdmin.CreateInstance
- 監査ログのタイプ: 管理アクティビティ
- 権限:
spanner.instances.create - ADMIN_WRITE
- メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.CreateInstance"
google.spanner.admin.instance.v1.InstanceAdmin.CreateInstanceConfig
- メソッド:
google.spanner.admin.instance.v1.InstanceAdmin.CreateInstanceConfig
- 監査ログのタイプ: 管理アクティビティ
- 権限:
spanner.instanceConfigs.create - ADMIN_WRITE
- メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.CreateInstanceConfig"
google.spanner.admin.instance.v1.InstanceAdmin.DeleteInstance
- メソッド:
google.spanner.admin.instance.v1.InstanceAdmin.DeleteInstance
- 監査ログのタイプ: 管理アクティビティ
- 権限:
spanner.instances.delete - ADMIN_WRITE
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.DeleteInstance"
google.spanner.admin.instance.v1.InstanceAdmin.DeleteInstanceConfig
- メソッド:
google.spanner.admin.instance.v1.InstanceAdmin.DeleteInstanceConfig
- 監査ログのタイプ: 管理アクティビティ
- 権限:
spanner.instanceConfigs.delete - ADMIN_WRITE
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.DeleteInstanceConfig"
google.spanner.admin.instance.v1.InstanceAdmin.GetIamPolicy
- メソッド:
google.spanner.admin.instance.v1.InstanceAdmin.GetIamPolicy
- 監査ログのタイプ: データアクセス
- 権限:
spanner.instances.list - ADMIN_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.GetIamPolicy"
google.spanner.admin.instance.v1.InstanceAdmin.GetInstance
- メソッド:
google.spanner.admin.instance.v1.InstanceAdmin.GetInstance
- 監査ログのタイプ: データアクセス
- 権限:
spanner.instances.get - ADMIN_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.GetInstance"
google.spanner.admin.instance.v1.InstanceAdmin.GetInstanceConfig
- メソッド:
google.spanner.admin.instance.v1.InstanceAdmin.GetInstanceConfig
- 監査ログのタイプ: データアクセス
- 権限:
spanner.instanceConfigs.get - ADMIN_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.GetInstanceConfig"
google.spanner.admin.instance.v1.InstanceAdmin.ListInstanceConfigs
- メソッド:
google.spanner.admin.instance.v1.InstanceAdmin.ListInstanceConfigs
- 監査ログのタイプ: データアクセス
- 権限:
spanner.instanceConfigs.list - ADMIN_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.ListInstanceConfigs"
google.spanner.admin.instance.v1.InstanceAdmin.ListInstances
- メソッド:
google.spanner.admin.instance.v1.InstanceAdmin.ListInstances
- 監査ログのタイプ: データアクセス
- 権限:
spanner.instances.list - ADMIN_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.ListInstances"
google.spanner.admin.instance.v1.InstanceAdmin.MoveInstance
- メソッド:
google.spanner.admin.instance.v1.InstanceAdmin.MoveInstance
- 監査ログのタイプ: 管理アクティビティ
- 権限:
spanner.instances.update - ADMIN_WRITE
- メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.MoveInstance"
google.spanner.admin.instance.v1.InstanceAdmin.SetIamPolicy
- メソッド:
google.spanner.admin.instance.v1.InstanceAdmin.SetIamPolicy
- 監査ログのタイプ: 管理アクティビティ
- 権限:
spanner.instances.list - ADMIN_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.SetIamPolicy"
google.spanner.admin.instance.v1.InstanceAdmin.TestIamPermissions
- メソッド:
google.spanner.admin.instance.v1.InstanceAdmin.TestIamPermissions
- 監査ログのタイプ: データアクセス
- 権限:
spanner.instances.list - ADMIN_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.TestIamPermissions"
google.spanner.admin.instance.v1.InstanceAdmin.UpdateInstance
- メソッド:
google.spanner.admin.instance.v1.InstanceAdmin.UpdateInstance
- 監査ログのタイプ: 管理アクティビティ
- 権限:
spanner.instances.update - ADMIN_WRITE
- メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.UpdateInstance"
google.spanner.admin.instance.v1.InstanceAdmin.UpdateInstanceConfig
- メソッド:
google.spanner.admin.instance.v1.InstanceAdmin.UpdateInstanceConfig
- 監査ログのタイプ: 管理アクティビティ
- 権限:
spanner.instanceConfigs.update - ADMIN_WRITE
- メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.UpdateInstanceConfig"
google.spanner.v1.Spanner
次のセクションでは、google.spanner.v1.Spanner
に属するメソッドに関連付けられた監査ログについて詳しく説明します。
google.spanner.v1.Spanner.BatchCreateSessions
- メソッド:
google.spanner.v1.Spanner.BatchCreateSessions
- 監査ログのタイプ: データアクセス
- 権限:
spanner.databaseRoles.use - DATA_WRITE
spanner.databases.useRoleBasedAccess - DATA_WRITE
spanner.sessions.create - DATA_WRITE
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.v1.Spanner.BatchCreateSessions"
google.spanner.v1.Spanner.BatchWrite
- メソッド:
google.spanner.v1.Spanner.BatchWrite
- 監査ログのタイプ: データアクセス
- 権限:
spanner.databases.write - DATA_WRITE
- メソッドが長時間実行またはストリーミング オペレーションである: ストリーミング RPC
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.v1.Spanner.BatchWrite"
google.spanner.v1.Spanner.BeginTransaction
- メソッド:
google.spanner.v1.Spanner.BeginTransaction
- 監査ログのタイプ: データアクセス
- 権限:
spanner.databaseRoles.use - DATA_WRITE
spanner.databases.beginOrRollbackReadWriteTransaction - DATA_WRITE
spanner.databases.beginPartitionedDmlTransaction - DATA_WRITE
spanner.databases.beginReadOnlyTransaction - DATA_READ
spanner.databases.useRoleBasedAccess - DATA_WRITE
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.v1.Spanner.BeginTransaction"
- 注: このメソッドは、ReadOnly トランザクションの場合は
DATA_READ
、ReadWrite トランザクションの場合はDATA_WRITE
になります。
google.spanner.v1.Spanner.Commit
- メソッド:
google.spanner.v1.Spanner.Commit
- 監査ログのタイプ: データアクセス
- 権限:
spanner.databaseRoles.use - DATA_WRITE
spanner.databases.useRoleBasedAccess - DATA_WRITE
spanner.databases.write - DATA_WRITE
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.v1.Spanner.Commit"
google.spanner.v1.Spanner.CreateSession
- メソッド:
google.spanner.v1.Spanner.CreateSession
- 監査ログのタイプ: データアクセス
- 権限:
spanner.databaseRoles.use - DATA_WRITE
spanner.databases.useRoleBasedAccess - DATA_WRITE
spanner.sessions.create - DATA_WRITE
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.v1.Spanner.CreateSession"
google.spanner.v1.Spanner.DeleteSession
- メソッド:
google.spanner.v1.Spanner.DeleteSession
- 監査ログのタイプ: データアクセス
- 権限:
spanner.databaseRoles.use - DATA_WRITE
spanner.databases.useRoleBasedAccess - DATA_WRITE
spanner.sessions.delete - DATA_WRITE
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.v1.Spanner.DeleteSession"
google.spanner.v1.Spanner.ExecuteBatchDml
- メソッド:
google.spanner.v1.Spanner.ExecuteBatchDml
- 監査ログのタイプ: データアクセス
- 権限:
spanner.databases.beginOrRollbackReadWriteTransaction - DATA_WRITE
spanner.databases.write - DATA_WRITE
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.v1.Spanner.ExecuteBatchDml"
google.spanner.v1.Spanner.ExecuteSql
- メソッド:
google.spanner.v1.Spanner.ExecuteSql
- 監査ログのタイプ: データアクセス
- 権限: 権限については、IAM のドキュメントをご覧ください。
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.v1.Spanner.ExecuteSql"
- 注: このメソッドは、メソッドの
TransactionSelector
で指定された場合は、読み取り / 書き込みトランザクションを開始することもあります。そのような場合、このメソッドはDATA_READ
とDATA_WRITE
の両方の権限タイプに一致します。
google.spanner.v1.Spanner.ExecuteStreamingSql
- メソッド:
google.spanner.v1.Spanner.ExecuteStreamingSql
- 監査ログのタイプ: データアクセス
- 権限: 権限については、IAM のドキュメントをご覧ください。
- メソッドが長時間実行またはストリーミング オペレーションである: ストリーミング RPC
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.v1.Spanner.ExecuteStreamingSql"
- 注: このメソッドは、メソッドの
TransactionSelector
で指定された場合は、読み取り / 書き込みトランザクションを開始することもあります。そのような場合、このメソッドはDATA_READ
とDATA_WRITE
の両方の権限タイプに一致します。
google.spanner.v1.Spanner.GetSession
- メソッド:
google.spanner.v1.Spanner.GetSession
- 監査ログのタイプ: データアクセス
- 権限:
spanner.sessions.get - DATA_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.v1.Spanner.GetSession"
google.spanner.v1.Spanner.ListSessions
- メソッド:
google.spanner.v1.Spanner.ListSessions
- 監査ログのタイプ: データアクセス
- 権限:
spanner.sessions.list - DATA_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.v1.Spanner.ListSessions"
google.spanner.v1.Spanner.PartitionQuery
- メソッド:
google.spanner.v1.Spanner.PartitionQuery
- 監査ログのタイプ: データアクセス
- 権限:
spanner.databaseRoles.use - DATA_WRITE
spanner.databases.beginReadOnlyTransaction - DATA_READ
spanner.databases.partitionQuery - DATA_READ
spanner.databases.useRoleBasedAccess - DATA_WRITE
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.v1.Spanner.PartitionQuery"
google.spanner.v1.Spanner.PartitionRead
- メソッド:
google.spanner.v1.Spanner.PartitionRead
- 監査ログのタイプ: データアクセス
- 権限:
spanner.databases.partitionRead - DATA_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.v1.Spanner.PartitionRead"
google.spanner.v1.Spanner.Read
- メソッド:
google.spanner.v1.Spanner.Read
- 監査ログのタイプ: データアクセス
- 権限:
spanner.databases.beginOrRollbackReadWriteTransaction - DATA_WRITE
spanner.databases.read - DATA_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.v1.Spanner.Read"
- 注: このメソッドは、メソッドの
TransactionSelector
で指定された場合は、読み取り / 書き込みトランザクションを開始することもあります。このような場合、メソッドはDATA_READ
とDATA_WRITE
の両方の権限タイプに一致します。
重要: リクエストされたキーはログに記録されません。
google.spanner.v1.Spanner.Rollback
- メソッド:
google.spanner.v1.Spanner.Rollback
- 監査ログのタイプ: データアクセス
- 権限:
spanner.databaseRoles.use - DATA_WRITE
spanner.databases.beginOrRollbackReadWriteTransaction - DATA_WRITE
spanner.databases.useRoleBasedAccess - DATA_WRITE
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.v1.Spanner.Rollback"
google.spanner.v1.Spanner.StreamingRead
- メソッド:
google.spanner.v1.Spanner.StreamingRead
- 監査ログのタイプ: データアクセス
- 権限: 権限については、IAM のドキュメントをご覧ください。
- メソッドが長時間実行またはストリーミング オペレーションである: ストリーミング RPC
- このメソッドのフィルタ:
protoPayload.methodName="google.spanner.v1.Spanner.StreamingRead"
- 注: このメソッドは、メソッドの
TransactionSelector
で指定された場合は、読み取り / 書き込みトランザクションを開始することもあります。このような場合、メソッドはDATA_READ
とDATA_WRITE
の両方の権限タイプに一致します。
重要: リクエストされたキーはログに記録されません。
システム イベント
システム イベント監査ログは、直接的なユーザー アクションではなく、GCP システムによって生成されます。詳細については、システム イベント監査ログをご覧ください。
メソッド名 | このイベントのフィルタ | メモ |
---|---|---|
AutoscaleInstance |
protoPayload.methodName="AutoscaleInstance"
|
|
OptimizeRestoredDatabase |
protoPayload.methodName="OptimizeRestoredDatabase"
|
処理期間
DATA_READ
リクエストまたは DATA_WRITE
リクエストの処理に要した時間を確認するには、AuditLog
の metadata
オブジェクト内に存在する processingDurationSeconds
フィールドをご覧ください。processingDurationSeconds
は、リクエストのレイテンシをモニタリングするために役立ちます。
processingDurationSeconds
は、Spanner API リクエストのレイテンシを表します。これは、Spanner API フロントエンドがリクエストの最初のバイトを受信してから、レスポンスの最後のバイトを送信するまでに時間(秒単位)です。Spanner バックエンドと API レイヤの両方で API リクエストの処理に必要な時間がレイテンシです。ただし、このレイテンシには、Spanner クライアントとサーバーの間のネットワークや Google Front End のオーバーヘッドは含まれません。Spanner API リクエストに関連する高レベル コンポーネントを可視化するには、Spanner エンドツーエンドのレイテンシ ガイドをご覧ください。
たとえば、以下は、processingDurationSeconds
の情報を含む監査ログです。
{
"protoPayload": {
"@type": "type.googleapis.com/google.cloud.audit.AuditLog",
"authenticationInfo": {...},
"requestMetadata": {...},
"serviceName": "spanner.googleapis.com",
"methodName": "google.spanner.v1.Spanner.Commit",
"authorizationInfo": [{...}],
"resourceName": "projects/example-project/instances/example-instance/databases/example-database/sessions/example-session",
"request": {
"transactionId": "example-transactionId",
"@type": "type.googleapis.com/google.spanner.v1.CommitRequest",
"session": "projects/example-project/instances/example-instance/databases/example-database/sessions/example-session"
},
"response": {
"@type": "type.googleapis.com/google.spanner.v1.CommitResponse",
"commitTimestamp": "2023-02-13T17:11:10.106602Z"
},
"metadata": {
"@type": "type.googleapis.com/spanner.cloud.instance_v1.QueryPerformanceMetadata",
"processingDurationSeconds": 0.1932541
}
},
"insertId": "p9ju4gdi7j0",
"resource": {...},
"timestamp": "2023-02-13T17:11:10.000093953Z",
"severity": "INFO",
"logName": "projects/example-project/logs/cloudaudit.googleapis.com%2Fdata_access",
"receiveTimestamp": "2023-02-13T17:11:11.170517524Z"
}
ExecuteStreamingSql
、StreamingRead
、PartitionRead
、PartitionQuery
のリクエストの場合、processingDurationSeconds
フィールドは設定されません。ストリーミングとパーティション リクエストのレイテンシを計算するには、ストリーミングとパーティションのリクエストのレイテンシを計算するをご覧ください。