本文档介绍了 Cloud SQL 的审核日志记录。 Google Cloud 服务会生成审核日志,以记录 Google Cloud 资源中的管理和访问活动。如需详细了解 Cloud Audit Logs,请参阅以下内容:
服务名称
Cloud SQL 审核日志使用服务名称 cloudsql.googleapis.com。针对此服务的过滤条件:
protoPayload.serviceName="cloudsql.googleapis.com"
方法(按权限类型)
每个 IAM 权限都有一个 type 属性,该属性的值是一个枚举,可以是以下四个值之一:ADMIN_READ、ADMIN_WRITE、DATA_READ 或 DATA_WRITE。在您调用某个方法时,Cloud SQL 会生成一个审核日志,其类别取决于执行该方法所需权限的 type 属性。需要 IAM 权限且 type 属性值为 DATA_READ、DATA_WRITE 或 ADMIN_READ 的方法会生成数据访问审核日志。需要 IAM 权限且 type 属性值为 ADMIN_WRITE 的方法会生成管理员活动审核日志。
| 权限类型 | 方法 |
|---|---|
ADMIN_READ |
cloudsql.backupRuns.getcloudsql.backupRuns.listcloudsql.backups.listcloudsql.instances.get (LRO)cloudsql.instances.listcloudsql.instances.listServerCascloudsql.operations.getcloudsql.operations.listcloudsql.sslCerts.getcloudsql.sslCerts.list |
ADMIN_WRITE |
cloudsql.backupRuns.create (LRO)cloudsql.backupRuns.delete (LRO)cloudsql.backups.create (LRO)cloudsql.backups.delete (LRO)cloudsql.backups.update (LRO)cloudsql.instances.addServerCa (LRO)cloudsql.instances.clone (LRO)cloudsql.instances.connectcloudsql.instances.create (LRO)cloudsql.instances.delete (LRO)cloudsql.instances.demoteMaster (LRO)cloudsql.instances.failover (LRO)cloudsql.instances.migrate (LRO)cloudsql.instances.promoteReplica (LRO)cloudsql.instances.reencrypt (LRO)cloudsql.instances.resetSslConfig (LRO)cloudsql.instances.restart (LRO)cloudsql.instances.restoreBackup (LRO)cloudsql.instances.rotateServerCa (LRO)cloudsql.instances.startReplica (LRO)cloudsql.instances.stopReplica (LRO)cloudsql.instances.truncateLog (LRO)cloudsql.instances.update (LRO)cloudsql.sslCerts.create (LRO)cloudsql.sslCerts.delete (LRO) |
DATA_READ |
cloudsql.databases.getcloudsql.databases.listcloudsql.instances.export (LRO)cloudsql.users.getcloudsql.users.list |
DATA_WRITE |
cloudsql.databases.create (LRO)cloudsql.databases.delete (LRO)cloudsql.databases.update (LRO)cloudsql.instances.executeSqlcloudsql.instances.import (LRO)cloudsql.instances.logincloudsql.users.create (LRO)cloudsql.users.delete (LRO)cloudsql.users.update (LRO) |
API 接口审核日志
如需了解如何针对每种方法评估权限以及评估哪些权限,请参阅 Cloud SQL 的 Identity and Access Management 文档。
cloudsql.backupRuns
以下审核日志与属于 cloudsql.backupRuns 的方法相关联。
create
- 方法:
cloudsql.backupRuns.create - 审核日志类型:管理员活动
- 权限:
cloudsql.backupRuns.create - ADMIN_WRITE
- 方法是长时间运行的操作或流式传输操作:长时间运行的操作
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.backupRuns.create"
delete
- 方法:
cloudsql.backupRuns.delete - 审核日志类型:管理员活动
- 权限:
cloudsql.backupRuns.delete - ADMIN_WRITE
- 方法是长时间运行的操作或流式传输操作:长时间运行的操作
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.backupRuns.delete"
get
- 方法:
cloudsql.backupRuns.get - 审核日志类型:数据访问
- 权限:
cloudsql.backupRuns.get - ADMIN_READ
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.backupRuns.get"
list
- 方法:
cloudsql.backupRuns.list - 审核日志类型:数据访问
- 权限:
cloudsql.backupRuns.list - ADMIN_READ
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.backupRuns.list"
cloudsql.backups
以下审核日志与属于 cloudsql.backups 的方法相关联。
create
- 方法:
cloudsql.backups.create - 审核日志类型:管理员活动
- 权限:
cloudsql.backupRuns.create - ADMIN_WRITE
- 方法是长时间运行的操作或流式传输操作:长时间运行的操作
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.backups.create"
delete
- 方法:
cloudsql.backups.delete - 审核日志类型:管理员活动
- 权限:
cloudsql.backupRuns.delete - ADMIN_WRITE
- 方法是长时间运行的操作或流式传输操作:长时间运行的操作
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.backups.delete"
list
- 方法:
cloudsql.backups.list - 审核日志类型:数据访问
- 权限:
cloudsql.backupRuns.list - ADMIN_READcloudsql.instances.list - ADMIN_READ
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.backups.list"
update
- 方法:
cloudsql.backups.update - 审核日志类型:管理员活动
- 权限:
cloudsql.backupRuns.update - ADMIN_WRITE
- 方法是长时间运行的操作或流式传输操作:长时间运行的操作
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.backups.update"
cloudsql.databases
以下审核日志与属于 cloudsql.databases 的方法相关联。
create
- 方法:
cloudsql.databases.create - 审核日志类型:数据访问
- 权限:
cloudsql.databases.create - DATA_WRITE
- 方法是长时间运行的操作或流式传输操作:长时间运行的操作
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.databases.create"
delete
- 方法:
cloudsql.databases.delete - 审核日志类型:数据访问
- 权限:
cloudsql.databases.delete - DATA_WRITE
- 方法是长时间运行的操作或流式传输操作:长时间运行的操作
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.databases.delete"
get
- 方法:
cloudsql.databases.get - 审核日志类型:数据访问
- 权限:
cloudsql.databases.get - DATA_READ
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.databases.get"
list
- 方法:
cloudsql.databases.list - 审核日志类型:数据访问
- 权限:
cloudsql.databases.list - DATA_READ
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.databases.list"
update
- 方法:
cloudsql.databases.update - 审核日志类型:数据访问
- 权限:
cloudsql.databases.update - DATA_WRITE
- 方法是长时间运行的操作或流式传输操作:长时间运行的操作
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.databases.update"
cloudsql.instances
以下审核日志与属于 cloudsql.instances 的方法相关联。
addServerCa
- 方法:
cloudsql.instances.addServerCa - 审核日志类型:管理员活动
- 权限:
cloudsql.instances.addServerCa - ADMIN_WRITE
- 方法是长时间运行的操作或流式传输操作:长时间运行的操作
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.instances.addServerCa"
clone
- 方法:
cloudsql.instances.clone - 审核日志类型:管理员活动
- 权限:
cloudsql.instances.clone - ADMIN_WRITE
- 方法是长时间运行的操作或流式传输操作:长时间运行的操作
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.instances.clone"
connect
- 方法:
cloudsql.instances.connect - 审核日志类型:管理员活动
- 权限:
cloudsql.instances.connect - ADMIN_WRITE
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.instances.connect"
create
- 方法:
cloudsql.instances.create - 审核日志类型:管理员活动
- 权限:
cloudsql.instances.create - ADMIN_WRITE
- 方法是长时间运行的操作或流式传输操作:长时间运行的操作
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.instances.create"
delete
- 方法:
cloudsql.instances.delete - 审核日志类型:管理员活动
- 权限:
cloudsql.instances.delete - ADMIN_WRITE
- 方法是长时间运行的操作或流式传输操作:长时间运行的操作
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.instances.delete"
demoteMaster
- 方法:
cloudsql.instances.demoteMaster - 审核日志类型:管理员活动
- 权限:
cloudsql.instances.demoteMaster - ADMIN_WRITE
- 方法是长时间运行的操作或流式传输操作:长时间运行的操作
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.instances.demoteMaster"
executeSql
- 方法:
cloudsql.instances.executeSql - 审核日志类型:数据访问
- 权限:
cloudsql.instances.executeSql - DATA_WRITE
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.instances.executeSql"
export
- 方法:
cloudsql.instances.export - 审核日志类型:数据访问
- 权限:
cloudsql.instances.export - DATA_READ
- 方法是长时间运行的操作或流式传输操作:长时间运行的操作
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.instances.export"
failover
- 方法:
cloudsql.instances.failover - 审核日志类型:管理员活动
- 权限:
cloudsql.instances.failover - ADMIN_WRITE
- 方法是长时间运行的操作或流式传输操作:长时间运行的操作
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.instances.failover"
get
- 方法:
cloudsql.instances.get - 审核日志类型:数据访问
- 权限:
cloudsql.instances.get - ADMIN_READ
- 方法是长时间运行的操作或流式传输操作:长时间运行的操作
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.instances.get"
import
- 方法:
cloudsql.instances.import - 审核日志类型:数据访问
- 权限:
cloudsql.instances.import - DATA_WRITE
- 方法是长时间运行的操作或流式传输操作:长时间运行的操作
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.instances.import"
list
- 方法:
cloudsql.instances.list - 审核日志类型:数据访问
- 权限:
cloudsql.instances.list - ADMIN_READ
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.instances.list"
listServerCas
- 方法:
cloudsql.instances.listServerCas - 审核日志类型:数据访问
- 权限:
cloudsql.instances.listServerCas - ADMIN_READ
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.instances.listServerCas"
login
- 方法:
cloudsql.instances.login - 审核日志类型:数据访问
- 权限:
cloudsql.instances.login - DATA_WRITE
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.instances.login"
migrate
- 方法:
cloudsql.instances.migrate - 审核日志类型:管理员活动
- 权限:
cloudsql.instances.migrate - ADMIN_WRITE
- 方法是长时间运行的操作或流式传输操作:长时间运行的操作
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.instances.migrate"
promoteReplica
- 方法:
cloudsql.instances.promoteReplica - 审核日志类型:管理员活动
- 权限:
cloudsql.instances.promoteReplica - ADMIN_WRITE
- 方法是长时间运行的操作或流式传输操作:长时间运行的操作
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.instances.promoteReplica"
query
- 方法:
cloudsql.instances.query - 审核日志类型:数据访问
- 权限:
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.instances.query"
reencrypt
- 方法:
cloudsql.instances.reencrypt - 审核日志类型:管理员活动
- 权限:
cloudsql.instances.reencrypt - ADMIN_WRITE
- 方法是长时间运行的操作或流式传输操作:长时间运行的操作
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.instances.reencrypt"
resetSslConfig
- 方法:
cloudsql.instances.resetSslConfig - 审核日志类型:管理员活动
- 权限:
cloudsql.instances.resetSslConfig - ADMIN_WRITE
- 方法是长时间运行的操作或流式传输操作:长时间运行的操作
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.instances.resetSslConfig"
restart
- 方法:
cloudsql.instances.restart - 审核日志类型:管理员活动
- 权限:
cloudsql.instances.restart - ADMIN_WRITE
- 方法是长时间运行的操作或流式传输操作:长时间运行的操作
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.instances.restart"
restoreBackup
- 方法:
cloudsql.instances.restoreBackup - 审核日志类型:管理员活动
- 权限:
cloudsql.instances.restoreBackup - ADMIN_WRITE
- 方法是长时间运行的操作或流式传输操作:长时间运行的操作
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.instances.restoreBackup"
rotateServerCa
- 方法:
cloudsql.instances.rotateServerCa - 审核日志类型:管理员活动
- 权限:
cloudsql.instances.rotateServerCa - ADMIN_WRITE
- 方法是长时间运行的操作或流式传输操作:长时间运行的操作
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.instances.rotateServerCa"
startReplica
- 方法:
cloudsql.instances.startReplica - 审核日志类型:管理员活动
- 权限:
cloudsql.instances.startReplica - ADMIN_WRITE
- 方法是长时间运行的操作或流式传输操作:长时间运行的操作
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.instances.startReplica"
stopReplica
- 方法:
cloudsql.instances.stopReplica - 审核日志类型:管理员活动
- 权限:
cloudsql.instances.stopReplica - ADMIN_WRITE
- 方法是长时间运行的操作或流式传输操作:长时间运行的操作
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.instances.stopReplica"
truncateLog
- 方法:
cloudsql.instances.truncateLog - 审核日志类型:管理员活动
- 权限:
cloudsql.instances.truncateLog - ADMIN_WRITE
- 方法是长时间运行的操作或流式传输操作:长时间运行的操作
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.instances.truncateLog"
update
- 方法:
cloudsql.instances.update - 审核日志类型:管理员活动
- 权限:
cloudsql.instances.update - ADMIN_WRITE
- 方法是长时间运行的操作或流式传输操作:长时间运行的操作
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.instances.update"
cloudsql.operations
以下审核日志与属于 cloudsql.operations 的方法相关联。
get
- 方法:
cloudsql.operations.get - 审核日志类型:数据访问
- 权限:
cloudsql.instances.get - ADMIN_READ
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.operations.get"
list
- 方法:
cloudsql.operations.list - 审核日志类型:数据访问
- 权限:
cloudsql.instances.get - ADMIN_READ
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.operations.list"
cloudsql.sslCerts
以下审核日志与属于 cloudsql.sslCerts 的方法相关联。
create
- 方法:
cloudsql.sslCerts.create - 审核日志类型:管理员活动
- 权限:
cloudsql.sslCerts.create - ADMIN_WRITE
- 方法是长时间运行的操作或流式传输操作:长时间运行的操作
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.sslCerts.create"
delete
- 方法:
cloudsql.sslCerts.delete - 审核日志类型:管理员活动
- 权限:
cloudsql.sslCerts.delete - ADMIN_WRITE
- 方法是长时间运行的操作或流式传输操作:长时间运行的操作
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.sslCerts.delete"
get
- 方法:
cloudsql.sslCerts.get - 审核日志类型:数据访问
- 权限:
cloudsql.sslCerts.get - ADMIN_READ
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.sslCerts.get"
list
- 方法:
cloudsql.sslCerts.list - 审核日志类型:数据访问
- 权限:
cloudsql.sslCerts.list - ADMIN_READ
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.sslCerts.list"
cloudsql.users
以下审核日志与属于 cloudsql.users 的方法相关联。
create
- 方法:
cloudsql.users.create - 审核日志类型:数据访问
- 权限:
cloudsql.users.create - DATA_WRITE
- 方法是长时间运行的操作或流式传输操作:长时间运行的操作
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.users.create"
delete
- 方法:
cloudsql.users.delete - 审核日志类型:数据访问
- 权限:
cloudsql.users.delete - DATA_WRITE
- 方法是长时间运行的操作或流式传输操作:长时间运行的操作
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.users.delete"
get
- 方法:
cloudsql.users.get - 审核日志类型:数据访问
- 权限:
cloudsql.users.get - DATA_READ
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.users.get"
list
- 方法:
cloudsql.users.list - 审核日志类型:数据访问
- 权限:
cloudsql.users.list - DATA_READ
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.users.list"
update
- 方法:
cloudsql.users.update - 审核日志类型:数据访问
- 权限:
cloudsql.users.update - DATA_WRITE
- 方法是长时间运行的操作或流式传输操作:长时间运行的操作
- 此方法的过滤条件:
protoPayload.methodName="cloudsql.users.update"
系统事件
系统事件审核日志是 GCP 系统生成的,而不是通过直接用户操作生成的。如需了解详情,请参阅系统事件审核日志。
| 方法名称 | 此事件的过滤条件 | 备注 |
|---|---|---|
| cloudsql.instances.autoFailover |
protoPayload.methodName="cloudsql.instances.autoFailover"
|
|
| cloudsql.instances.automatedBackup |
protoPayload.methodName="cloudsql.instances.automatedBackup"
|
|
| cloudsql.instances.automaticStorageIncrease |
protoPayload.methodName="cloudsql.instances.automaticStorageIncrease"
|