Spanner 監査ロギング

このドキュメントでは、Spanner で実行される監査ロギングについて説明します。監査対象のメソッドと各メソッドで生成される監査ログの詳細について説明します。監査ログを生成するメソッドと各ログの内容について説明します。また、監査ログを生成しないメソッドについても説明します。Google Cloud は、Google Cloud リソース内の管理アクティビティとアクセス イベントを記録する監査ログを生成します。詳しくは、Cloud Audit Logs の概要をご覧ください。

メモ

DATA_READ リクエストまたは DATA_WRITE リクエストの処理に要した時間を確認するには、処理期間のセクションをご覧ください。

サービス名

Spanner 監査ログでは、サービス名 spanner.googleapis.com が使用されます。

メソッド(権限タイプ別)

メソッドの TransactionSelector に指定された場合は、読み取りオペレーションを実行するデータアクセス メソッド ReadStreamingReadExecuteSqlExecuteStreamingSql も読み取り / 書き込みトランザクションを開始します。このような場合、メソッドは DATA_READ 権限タイプと DATA_WRITE 権限タイプの両方をチェックします。

DATA_READDATA_WRITEADMIN_READ の各権限を確認するメソッドは、データアクセス監査ログとして分類されるログを生成します。ADMIN_WRITE 権限を確認するメソッドは、管理アクティビティ監査ログとして分類されるログを生成します。

権限タイプ メソッド
ADMIN_READ google.longrunning.Operations.GetOperation
google.longrunning.Operations.ListOperations
google.spanner.admin.database.v1.DatabaseAdmin.GetBackup
google.spanner.admin.database.v1.DatabaseAdmin.GetDatabase
google.spanner.admin.database.v1.DatabaseAdmin.GetDatabaseDdl
google.spanner.admin.database.v1.DatabaseAdmin.GetIamPolicy
google.spanner.admin.database.v1.DatabaseAdmin.ListBackupOperations
google.spanner.admin.database.v1.DatabaseAdmin.ListBackups
google.spanner.admin.database.v1.DatabaseAdmin.ListDatabaseOperations
google.spanner.admin.database.v1.DatabaseAdmin.ListDatabaseRoles
google.spanner.admin.database.v1.DatabaseAdmin.ListDatabases
google.spanner.admin.database.v1.DatabaseAdmin.TestIamPermissions
google.spanner.admin.instance.v1.InstanceAdmin.GetIamPolicy
google.spanner.admin.instance.v1.InstanceAdmin.GetInstance
google.spanner.admin.instance.v1.InstanceAdmin.GetInstanceConfig
google.spanner.admin.instance.v1.InstanceAdmin.ListInstanceConfigs
google.spanner.admin.instance.v1.InstanceAdmin.ListInstances
google.spanner.admin.instance.v1.InstanceAdmin.SetIamPolicy
google.spanner.admin.instance.v1.InstanceAdmin.TestIamPermissions
ADMIN_WRITE google.longrunning.Operations.CancelOperation
google.spanner.admin.database.v1.DatabaseAdmin.ChangeQuorum
google.spanner.admin.database.v1.DatabaseAdmin.CopyBackup
google.spanner.admin.database.v1.DatabaseAdmin.CreateBackup
google.spanner.admin.database.v1.DatabaseAdmin.CreateDatabase
google.spanner.admin.database.v1.DatabaseAdmin.DeleteBackup
google.spanner.admin.database.v1.DatabaseAdmin.DropDatabase
google.spanner.admin.database.v1.DatabaseAdmin.RestoreDatabase
google.spanner.admin.database.v1.DatabaseAdmin.SetIamPolicy
google.spanner.admin.database.v1.DatabaseAdmin.UpdateBackup
google.spanner.admin.database.v1.DatabaseAdmin.UpdateDatabase
google.spanner.admin.database.v1.DatabaseAdmin.UpdateDatabaseDdl
google.spanner.admin.instance.v1.InstanceAdmin.CreateInstance
google.spanner.admin.instance.v1.InstanceAdmin.CreateInstanceConfig
google.spanner.admin.instance.v1.InstanceAdmin.DeleteInstance
google.spanner.admin.instance.v1.InstanceAdmin.DeleteInstanceConfig
google.spanner.admin.instance.v1.InstanceAdmin.MoveInstance
google.spanner.admin.instance.v1.InstanceAdmin.UpdateInstance
google.spanner.admin.instance.v1.InstanceAdmin.UpdateInstanceConfig
DATA_READ google.cloud.keyvisualizer.KeyVisualizer.GetScan
google.spanner.v1.Spanner.BeginTransaction
google.spanner.v1.Spanner.ExecuteStreamingSql
google.spanner.v1.Spanner.GetSession
google.spanner.v1.Spanner.ListSessions
google.spanner.v1.Spanner.PartitionQuery
google.spanner.v1.Spanner.PartitionRead
google.spanner.v1.Spanner.Read
google.spanner.v1.Spanner.StreamingRead
DATA_WRITE google.spanner.v1.Spanner.BatchCreateSessions
google.spanner.v1.Spanner.BatchWrite
google.spanner.v1.Spanner.Commit
google.spanner.v1.Spanner.CreateSession
google.spanner.v1.Spanner.DeleteSession
google.spanner.v1.Spanner.ExecuteBatchDml
google.spanner.v1.Spanner.ExecuteSql
google.spanner.v1.Spanner.Rollback

各 API インターフェースの監査ログ

各メソッドで評価される権限の詳細については、Spanner の Identity and Access Management のドキュメントをご覧ください。

google.cloud.keyvisualizer.KeyVisualizer

次のセクションでは、google.cloud.keyvisualizer.KeyVisualizer に属するメソッドに関連付けられた監査ログについて詳しく説明します。

google.cloud.keyvisualizer.KeyVisualizer.GetScan

  • メソッド: google.cloud.keyvisualizer.KeyVisualizer.GetScan
  • 監査ログのタイプ: データアクセス
  • 権限:
    • spanner.databaseRoles.use - DATA_WRITE
    • spanner.databases.read - DATA_READ
    • spanner.databases.useRoleBasedAccess - DATA_WRITE
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.cloud.keyvisualizer.KeyVisualizer.GetScan"

google.longrunning.Operations

次のセクションでは、google.longrunning.Operations に属するメソッドに関連付けられた監査ログについて詳しく説明します。

google.longrunning.Operations.CancelOperation

  • メソッド: google.longrunning.Operations.CancelOperation
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • spanner.backupOperations.cancel - ADMIN_WRITE
    • spanner.databaseOperations.cancel - ADMIN_WRITE
    • spanner.instanceOperations.cancel - ADMIN_WRITE
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.longrunning.Operations.CancelOperation"

google.longrunning.Operations.GetOperation

  • メソッド: google.longrunning.Operations.GetOperation
  • 監査ログのタイプ: データアクセス
  • 権限:
    • spanner.backupOperations.get - ADMIN_READ
    • spanner.databaseOperations.get - ADMIN_READ
    • spanner.instanceOperations.get - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.longrunning.Operations.GetOperation"

google.longrunning.Operations.ListOperations

  • メソッド: google.longrunning.Operations.ListOperations
  • 監査ログのタイプ: データアクセス
  • 権限:
    • spanner.backupOperations.list - ADMIN_READ
    • spanner.databaseOperations.list - ADMIN_READ
    • spanner.instanceOperations.list - ADMIN_READ
    • spanner.ssdCacheOperations.list - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.longrunning.Operations.ListOperations"

google.spanner.admin.database.v1.DatabaseAdmin

次のセクションでは、google.spanner.admin.database.v1.DatabaseAdmin に属するメソッドに関連付けられた監査ログについて詳しく説明します。

google.spanner.admin.database.v1.DatabaseAdmin.ChangeQuorum

  • メソッド: google.spanner.admin.database.v1.DatabaseAdmin.ChangeQuorum
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • spanner.databases.changequorum - ADMIN_WRITE
  • メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.ChangeQuorum"

google.spanner.admin.database.v1.DatabaseAdmin.CopyBackup

  • メソッド: google.spanner.admin.database.v1.DatabaseAdmin.CopyBackup
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • spanner.backups.copy - ADMIN_WRITE
    • spanner.backups.create - ADMIN_WRITE
  • メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.CopyBackup"

google.spanner.admin.database.v1.DatabaseAdmin.CreateBackup

  • メソッド: google.spanner.admin.database.v1.DatabaseAdmin.CreateBackup
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • spanner.backups.create - ADMIN_WRITE
    • spanner.databases.createBackup - ADMIN_READ
  • メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.CreateBackup"
  • 注: オペレーション終了時にログに記録されるエントリに認証情報や認可情報は含まれません。認証と承認の情報は、オペレーションの開始時にログに記録された一致するエントリ内にあります。一致するログエントリをログ エクスプローラで見つけるには、ログエントリの operation.id フィールドをクリックし、メニューの [一致エントリを表示] を選択します。

google.spanner.admin.database.v1.DatabaseAdmin.CreateDatabase

  • メソッド: google.spanner.admin.database.v1.DatabaseAdmin.CreateDatabase
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • spanner.databases.create - ADMIN_WRITE
  • メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.CreateDatabase"

google.spanner.admin.database.v1.DatabaseAdmin.DeleteBackup

  • メソッド: google.spanner.admin.database.v1.DatabaseAdmin.DeleteBackup
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • spanner.backups.delete - ADMIN_WRITE
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.DeleteBackup"

google.spanner.admin.database.v1.DatabaseAdmin.DropDatabase

  • メソッド: google.spanner.admin.database.v1.DatabaseAdmin.DropDatabase
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • spanner.databases.drop - ADMIN_WRITE
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.DropDatabase"

google.spanner.admin.database.v1.DatabaseAdmin.GetBackup

  • メソッド: google.spanner.admin.database.v1.DatabaseAdmin.GetBackup
  • 監査ログのタイプ: データアクセス
  • 権限:
    • spanner.backups.get - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.GetBackup"

google.spanner.admin.database.v1.DatabaseAdmin.GetDatabase

  • メソッド: google.spanner.admin.database.v1.DatabaseAdmin.GetDatabase
  • 監査ログのタイプ: データアクセス
  • 権限:
    • spanner.databases.get - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.GetDatabase"

google.spanner.admin.database.v1.DatabaseAdmin.GetDatabaseDdl

  • メソッド: google.spanner.admin.database.v1.DatabaseAdmin.GetDatabaseDdl
  • 監査ログのタイプ: データアクセス
  • 権限:
    • spanner.databases.getDdl - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.GetDatabaseDdl"

google.spanner.admin.database.v1.DatabaseAdmin.GetIamPolicy

  • メソッド: google.spanner.admin.database.v1.DatabaseAdmin.GetIamPolicy
  • 監査ログのタイプ: データアクセス
  • 権限:
    • spanner.backups.getIamPolicy - ADMIN_READ
    • spanner.backups.list - ADMIN_READ
    • spanner.databases.list - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.GetIamPolicy"

google.spanner.admin.database.v1.DatabaseAdmin.ListBackupOperations

  • メソッド: google.spanner.admin.database.v1.DatabaseAdmin.ListBackupOperations
  • 監査ログのタイプ: データアクセス
  • 権限:
    • spanner.backupOperations.list - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.ListBackupOperations"

google.spanner.admin.database.v1.DatabaseAdmin.ListBackups

  • メソッド: google.spanner.admin.database.v1.DatabaseAdmin.ListBackups
  • 監査ログのタイプ: データアクセス
  • 権限:
    • spanner.backups.list - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.ListBackups"

google.spanner.admin.database.v1.DatabaseAdmin.ListDatabaseOperations

  • メソッド: google.spanner.admin.database.v1.DatabaseAdmin.ListDatabaseOperations
  • 監査ログのタイプ: データアクセス
  • 権限:
    • spanner.databaseOperations.list - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.ListDatabaseOperations"

google.spanner.admin.database.v1.DatabaseAdmin.ListDatabaseRoles

  • メソッド: google.spanner.admin.database.v1.DatabaseAdmin.ListDatabaseRoles
  • 監査ログのタイプ: データアクセス
  • 権限:
    • spanner.databaseRoles.list - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.ListDatabaseRoles"

google.spanner.admin.database.v1.DatabaseAdmin.ListDatabases

  • メソッド: google.spanner.admin.database.v1.DatabaseAdmin.ListDatabases
  • 監査ログのタイプ: データアクセス
  • 権限:
    • spanner.databases.list - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.ListDatabases"

google.spanner.admin.database.v1.DatabaseAdmin.RestoreDatabase

  • メソッド: google.spanner.admin.database.v1.DatabaseAdmin.RestoreDatabase
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • spanner.backups.restoreDatabase - ADMIN_READ
    • spanner.databases.create - ADMIN_WRITE
  • メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.RestoreDatabase"
  • 注: データベースの復元には 2 つのリソース(バックアップと復元されたデータベース、異なるインスタンスに存在する可能性があります)に対する承認が必要ですが、RestoreDatabase イベントは復元されたデータベースのインスタンスの単一のエントリとして一度だけ記録されます。このエントリ内には、2 つの authorizationInfo エントリがあります。1 つはデータベース用の、spanner.databases.create 権限のチェック、もう 1 つはバックアップ用(spanner.backups.restoreDatabase 権限)のチェックです。
    オペレーション終了時にログに記録されるエントリに認証情報や認可情報は含まれません。認証と承認の情報は、オペレーションの開始時にログに記録された一致するエントリ内にあります。一致するログエントリをログ エクスプローラで見つけるには、ログエントリの operation.id フィールドをクリックし、メニューの [一致エントリを表示] を選択します。

google.spanner.admin.database.v1.DatabaseAdmin.SetIamPolicy

  • メソッド: google.spanner.admin.database.v1.DatabaseAdmin.SetIamPolicy
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • spanner.backups.setIamPolicy - ADMIN_WRITE
    • spanner.databases.list - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.SetIamPolicy"

google.spanner.admin.database.v1.DatabaseAdmin.TestIamPermissions

  • メソッド: google.spanner.admin.database.v1.DatabaseAdmin.TestIamPermissions
  • 監査ログのタイプ: データアクセス
  • 権限:
    • spanner.backups.list - ADMIN_READ
    • spanner.databases.list - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.TestIamPermissions"

google.spanner.admin.database.v1.DatabaseAdmin.UpdateBackup

  • メソッド: google.spanner.admin.database.v1.DatabaseAdmin.UpdateBackup
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • spanner.backups.update - ADMIN_WRITE
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.UpdateBackup"

google.spanner.admin.database.v1.DatabaseAdmin.UpdateDatabase

  • メソッド: google.spanner.admin.database.v1.DatabaseAdmin.UpdateDatabase
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • spanner.databases.update - ADMIN_WRITE
  • メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.UpdateDatabase"

google.spanner.admin.database.v1.DatabaseAdmin.UpdateDatabaseDdl

  • メソッド: google.spanner.admin.database.v1.DatabaseAdmin.UpdateDatabaseDdl
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • spanner.databases.updateDdl - ADMIN_WRITE
  • メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.database.v1.DatabaseAdmin.UpdateDatabaseDdl"

google.spanner.admin.instance.v1.InstanceAdmin

次のセクションでは、google.spanner.admin.instance.v1.InstanceAdmin に属するメソッドに関連付けられた監査ログについて詳しく説明します。

google.spanner.admin.instance.v1.InstanceAdmin.CreateInstance

  • メソッド: google.spanner.admin.instance.v1.InstanceAdmin.CreateInstance
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • spanner.instances.create - ADMIN_WRITE
  • メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.CreateInstance"

google.spanner.admin.instance.v1.InstanceAdmin.CreateInstanceConfig

  • メソッド: google.spanner.admin.instance.v1.InstanceAdmin.CreateInstanceConfig
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • spanner.instanceConfigs.create - ADMIN_WRITE
  • メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.CreateInstanceConfig"

google.spanner.admin.instance.v1.InstanceAdmin.DeleteInstance

  • メソッド: google.spanner.admin.instance.v1.InstanceAdmin.DeleteInstance
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • spanner.instances.delete - ADMIN_WRITE
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.DeleteInstance"

google.spanner.admin.instance.v1.InstanceAdmin.DeleteInstanceConfig

  • メソッド: google.spanner.admin.instance.v1.InstanceAdmin.DeleteInstanceConfig
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • spanner.instanceConfigs.delete - ADMIN_WRITE
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.DeleteInstanceConfig"

google.spanner.admin.instance.v1.InstanceAdmin.GetIamPolicy

  • メソッド: google.spanner.admin.instance.v1.InstanceAdmin.GetIamPolicy
  • 監査ログのタイプ: データアクセス
  • 権限:
    • spanner.instances.list - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.GetIamPolicy"

google.spanner.admin.instance.v1.InstanceAdmin.GetInstance

  • メソッド: google.spanner.admin.instance.v1.InstanceAdmin.GetInstance
  • 監査ログのタイプ: データアクセス
  • 権限:
    • spanner.instances.get - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.GetInstance"

google.spanner.admin.instance.v1.InstanceAdmin.GetInstanceConfig

  • メソッド: google.spanner.admin.instance.v1.InstanceAdmin.GetInstanceConfig
  • 監査ログのタイプ: データアクセス
  • 権限:
    • spanner.instanceConfigs.get - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.GetInstanceConfig"

google.spanner.admin.instance.v1.InstanceAdmin.ListInstanceConfigs

  • メソッド: google.spanner.admin.instance.v1.InstanceAdmin.ListInstanceConfigs
  • 監査ログのタイプ: データアクセス
  • 権限:
    • spanner.instanceConfigs.list - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.ListInstanceConfigs"

google.spanner.admin.instance.v1.InstanceAdmin.ListInstances

  • メソッド: google.spanner.admin.instance.v1.InstanceAdmin.ListInstances
  • 監査ログのタイプ: データアクセス
  • 権限:
    • spanner.instances.list - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.ListInstances"

google.spanner.admin.instance.v1.InstanceAdmin.MoveInstance

  • メソッド: google.spanner.admin.instance.v1.InstanceAdmin.MoveInstance
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • spanner.instances.update - ADMIN_WRITE
  • メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.MoveInstance"

google.spanner.admin.instance.v1.InstanceAdmin.SetIamPolicy

  • メソッド: google.spanner.admin.instance.v1.InstanceAdmin.SetIamPolicy
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • spanner.instances.list - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.SetIamPolicy"

google.spanner.admin.instance.v1.InstanceAdmin.TestIamPermissions

  • メソッド: google.spanner.admin.instance.v1.InstanceAdmin.TestIamPermissions
  • 監査ログのタイプ: データアクセス
  • 権限:
    • spanner.instances.list - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.TestIamPermissions"

google.spanner.admin.instance.v1.InstanceAdmin.UpdateInstance

  • メソッド: google.spanner.admin.instance.v1.InstanceAdmin.UpdateInstance
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • spanner.instances.update - ADMIN_WRITE
  • メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.UpdateInstance"

google.spanner.admin.instance.v1.InstanceAdmin.UpdateInstanceConfig

  • メソッド: google.spanner.admin.instance.v1.InstanceAdmin.UpdateInstanceConfig
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • spanner.instanceConfigs.update - ADMIN_WRITE
  • メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.admin.instance.v1.InstanceAdmin.UpdateInstanceConfig"

google.spanner.v1.Spanner

次のセクションでは、google.spanner.v1.Spanner に属するメソッドに関連付けられた監査ログについて詳しく説明します。

google.spanner.v1.Spanner.BatchCreateSessions

  • メソッド: google.spanner.v1.Spanner.BatchCreateSessions
  • 監査ログのタイプ: データアクセス
  • 権限:
    • spanner.databaseRoles.use - DATA_WRITE
    • spanner.databases.useRoleBasedAccess - DATA_WRITE
    • spanner.sessions.create - DATA_WRITE
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.v1.Spanner.BatchCreateSessions"

google.spanner.v1.Spanner.BatchWrite

  • メソッド: google.spanner.v1.Spanner.BatchWrite
  • 監査ログのタイプ: データアクセス
  • 権限:
    • spanner.databases.write - DATA_WRITE
  • メソッドが長時間実行またはストリーミング オペレーションである: ストリーミング RPC
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.v1.Spanner.BatchWrite"

google.spanner.v1.Spanner.BeginTransaction

  • メソッド: google.spanner.v1.Spanner.BeginTransaction
  • 監査ログのタイプ: データアクセス
  • 権限:
    • spanner.databaseRoles.use - DATA_WRITE
    • spanner.databases.beginOrRollbackReadWriteTransaction - DATA_WRITE
    • spanner.databases.beginPartitionedDmlTransaction - DATA_WRITE
    • spanner.databases.beginReadOnlyTransaction - DATA_READ
    • spanner.databases.useRoleBasedAccess - DATA_WRITE
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.v1.Spanner.BeginTransaction"
  • 注: このメソッドは、ReadOnly トランザクションの場合は DATA_READReadWrite トランザクションの場合は DATA_WRITE になります。

google.spanner.v1.Spanner.Commit

  • メソッド: google.spanner.v1.Spanner.Commit
  • 監査ログのタイプ: データアクセス
  • 権限:
    • spanner.databaseRoles.use - DATA_WRITE
    • spanner.databases.useRoleBasedAccess - DATA_WRITE
    • spanner.databases.write - DATA_WRITE
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.v1.Spanner.Commit"

google.spanner.v1.Spanner.CreateSession

  • メソッド: google.spanner.v1.Spanner.CreateSession
  • 監査ログのタイプ: データアクセス
  • 権限:
    • spanner.databaseRoles.use - DATA_WRITE
    • spanner.databases.useRoleBasedAccess - DATA_WRITE
    • spanner.sessions.create - DATA_WRITE
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.v1.Spanner.CreateSession"

google.spanner.v1.Spanner.DeleteSession

  • メソッド: google.spanner.v1.Spanner.DeleteSession
  • 監査ログのタイプ: データアクセス
  • 権限:
    • spanner.databaseRoles.use - DATA_WRITE
    • spanner.databases.useRoleBasedAccess - DATA_WRITE
    • spanner.sessions.delete - DATA_WRITE
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.v1.Spanner.DeleteSession"

google.spanner.v1.Spanner.ExecuteBatchDml

  • メソッド: google.spanner.v1.Spanner.ExecuteBatchDml
  • 監査ログのタイプ: データアクセス
  • 権限:
    • spanner.databases.beginOrRollbackReadWriteTransaction - DATA_WRITE
    • spanner.databases.write - DATA_WRITE
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.v1.Spanner.ExecuteBatchDml"

google.spanner.v1.Spanner.ExecuteSql

  • メソッド: google.spanner.v1.Spanner.ExecuteSql
  • 監査ログのタイプ: データアクセス
  • 権限: 権限については、IAM のドキュメントをご覧ください。
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.v1.Spanner.ExecuteSql"
  • 注: このメソッドは、メソッドの TransactionSelector で指定された場合は、読み取り / 書き込みトランザクションを開始することもあります。そのような場合、このメソッドは DATA_READDATA_WRITE の両方の権限タイプに一致します。

google.spanner.v1.Spanner.ExecuteStreamingSql

  • メソッド: google.spanner.v1.Spanner.ExecuteStreamingSql
  • 監査ログのタイプ: データアクセス
  • 権限: 権限については、IAM のドキュメントをご覧ください。
  • メソッドが長時間実行またはストリーミング オペレーションである: ストリーミング RPC
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.v1.Spanner.ExecuteStreamingSql"
  • 注: このメソッドは、メソッドの TransactionSelector で指定された場合は、読み取り / 書き込みトランザクションを開始することもあります。そのような場合、このメソッドは DATA_READDATA_WRITE の両方の権限タイプに一致します。

google.spanner.v1.Spanner.GetSession

  • メソッド: google.spanner.v1.Spanner.GetSession
  • 監査ログのタイプ: データアクセス
  • 権限:
    • spanner.sessions.get - DATA_READ
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.v1.Spanner.GetSession"

google.spanner.v1.Spanner.ListSessions

  • メソッド: google.spanner.v1.Spanner.ListSessions
  • 監査ログのタイプ: データアクセス
  • 権限:
    • spanner.sessions.list - DATA_READ
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.v1.Spanner.ListSessions"

google.spanner.v1.Spanner.PartitionQuery

  • メソッド: google.spanner.v1.Spanner.PartitionQuery
  • 監査ログのタイプ: データアクセス
  • 権限:
    • spanner.databaseRoles.use - DATA_WRITE
    • spanner.databases.beginReadOnlyTransaction - DATA_READ
    • spanner.databases.partitionQuery - DATA_READ
    • spanner.databases.useRoleBasedAccess - DATA_WRITE
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.v1.Spanner.PartitionQuery"

google.spanner.v1.Spanner.PartitionRead

  • メソッド: google.spanner.v1.Spanner.PartitionRead
  • 監査ログのタイプ: データアクセス
  • 権限:
    • spanner.databases.partitionRead - DATA_READ
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.v1.Spanner.PartitionRead"

google.spanner.v1.Spanner.Read

  • メソッド: google.spanner.v1.Spanner.Read
  • 監査ログのタイプ: データアクセス
  • 権限:
    • spanner.databases.beginOrRollbackReadWriteTransaction - DATA_WRITE
    • spanner.databases.read - DATA_READ
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.v1.Spanner.Read"
  • 注: このメソッドは、メソッドの TransactionSelector で指定された場合は、読み取り / 書き込みトランザクションを開始することもあります。このような場合、メソッドは DATA_READDATA_WRITE の両方の権限タイプに一致します。
    重要: リクエストされたキーはログに記録されません。

google.spanner.v1.Spanner.Rollback

  • メソッド: google.spanner.v1.Spanner.Rollback
  • 監査ログのタイプ: データアクセス
  • 権限:
    • spanner.databaseRoles.use - DATA_WRITE
    • spanner.databases.beginOrRollbackReadWriteTransaction - DATA_WRITE
    • spanner.databases.useRoleBasedAccess - DATA_WRITE
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.v1.Spanner.Rollback"

google.spanner.v1.Spanner.StreamingRead

  • メソッド: google.spanner.v1.Spanner.StreamingRead
  • 監査ログのタイプ: データアクセス
  • 権限: 権限については、IAM のドキュメントをご覧ください。
  • メソッドが長時間実行またはストリーミング オペレーションである: ストリーミング RPC
  • このメソッドのフィルタ: protoPayload.methodName="google.spanner.v1.Spanner.StreamingRead"
  • 注: このメソッドは、メソッドの TransactionSelector で指定された場合は、読み取り / 書き込みトランザクションを開始することもあります。このような場合、メソッドは DATA_READDATA_WRITE の両方の権限タイプに一致します。
    重要: リクエストされたキーはログに記録されません。

システム イベント

システム イベント監査ログは、直接的なユーザー アクションではなく、GCP システムによって生成されます。詳細については、システム イベント監査ログをご覧ください。

メソッド名 このイベントのフィルタ メモ
AutoscaleInstance protoPayload.methodName="AutoscaleInstance"
OptimizeRestoredDatabase protoPayload.methodName="OptimizeRestoredDatabase"

処理期間

DATA_READ リクエストまたは DATA_WRITE リクエストの処理に要した時間を確認するには、AuditLogmetadata オブジェクト内に存在する processingDurationSeconds フィールドをご覧ください。processingDurationSeconds は、リクエストのレイテンシをモニタリングするために役立ちます。

processingDurationSeconds は、Spanner API リクエストのレイテンシを表します。これは、Spanner API フロントエンドがリクエストの最初のバイトを受信してから、レスポンスの最後のバイトを送信するまでに時間(秒単位)です。Spanner バックエンドと API レイヤの両方で API リクエストの処理に必要な時間がレイテンシです。ただし、このレイテンシには、Spanner クライアントとサーバーの間のネットワークや Google Front End のオーバーヘッドは含まれません。Spanner API リクエストに関連する高レベル コンポーネントを可視化するには、Spanner エンドツーエンドのレイテンシ ガイドをご覧ください。

たとえば、以下は、processingDurationSeconds の情報を含む監査ログです。

{
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {...},
    "requestMetadata": {...},
    "serviceName": "spanner.googleapis.com",
    "methodName": "google.spanner.v1.Spanner.Commit",
    "authorizationInfo": [{...}],
    "resourceName": "projects/example-project/instances/example-instance/databases/example-database/sessions/example-session",
    "request": {
      "transactionId": "example-transactionId",
      "@type": "type.googleapis.com/google.spanner.v1.CommitRequest",
      "session": "projects/example-project/instances/example-instance/databases/example-database/sessions/example-session"
    },
    "response": {
      "@type": "type.googleapis.com/google.spanner.v1.CommitResponse",
      "commitTimestamp": "2023-02-13T17:11:10.106602Z"
    },
    "metadata": {
      "@type": "type.googleapis.com/spanner.cloud.instance_v1.QueryPerformanceMetadata",
      "processingDurationSeconds": 0.1932541
    }
  },
  "insertId": "p9ju4gdi7j0",
  "resource": {...},
  "timestamp": "2023-02-13T17:11:10.000093953Z",
  "severity": "INFO",
  "logName": "projects/example-project/logs/cloudaudit.googleapis.com%2Fdata_access",
  "receiveTimestamp": "2023-02-13T17:11:11.170517524Z"
}

ExecuteStreamingSqlStreamingReadPartitionReadPartitionQuery のリクエストの場合、processingDurationSeconds フィールドは設定されません。ストリーミングとパーティション リクエストのレイテンシを計算するには、ストリーミングとパーティションのリクエストのレイテンシを計算するをご覧ください。