将 Cloud Audit Logs 与 Cloud Storage 结合使用

本页面提供有关将 Cloud Audit Logs 与 Cloud Storage 结合使用的补充信息。使用 Cloud Audit Logs 为 Cloud Storage 中执行的 API 操作生成日志。如需设置 Cloud Audit Logs,请参阅配置数据访问日志

概览

Google Cloud 服务会写入审核日志,便于您了解谁在何时何地执行了什么操作。Cloud 项目只包含项目内直属资源的审核日志。其他实体(如文件夹、组织和 Cloud Billing 帐号)包含其各自的审核日志。

如需大致了解 Cloud Audit Logs,请参阅 Cloud Audit Logs。如需深入了解 Cloud Audit Logs,请参阅了解审核日志

Cloud Audit Logs 为 Cloud Storage 中的操作生成以下审核日志:

  • 管理员活动日志:包含的日志条目是关于修改项目、存储分区或对象的配置或元数据的操作。

  • 数据访问日志:包含的日志条目是关于修改对象或读取项目、存储分区或对象的操作。数据访问日志具有以下几种子类型:

    • ADMIN_READ:包含的日志条目是关于读取项目、存储分区或对象的配置或元数据的操作。

    • DATA_READ:包含的日志条目是关于读取对象的操作。

    • DATA_WRITE:与创建或修改对象的操作对应的条目。

审核的操作

下表汇总了与每种审核日志类型相对应的 Cloud Storage 操作:

日志条目类型 子类型 操作
管理员活动
  • 创建存储分区
  • 删除存储分区
  • 设置/更改 IAM 政策
  • 更改对象 ACL3
  • 更新存储分区元数据
数据访问 ADMIN_READ
  • 获取存储分区元数据
  • 获取 IAM 政策
  • 获取对象 ACL
  • 列出存储分区
DATA_READ
  • 获取对象数据
  • 获取对象元数据
  • 列出对象
  • 复制对象1
  • 编排对象1
  • 列出正在进行的 XML API 分段上传
  • 列出 XML API 分段上传部分
DATA_WRITE
  • 创建对象
  • 删除对象2
  • 更新非 ACL 对象元数据2
  • 复制对象1
  • 编排对象1
  • 启动 XML API 分段上传
  • 在 XML API 分段上传中创建部分
  • 取消 XML API 分段上传
  • 完成 XML API 分段上传

1 这些操作涉及读取和写入数据。因此,这些操作都会生成两个日志条目。

2 Cloud Audit Logs 不会记录对象生命周期管理功能执行的操作。如需了解用于跟踪这些操作的替代方案,请参阅用于跟踪生命周期操作的选项

3 如果最初在创建对象时设置了 ACL,则不会生成管理员活动日志。此外,如果对象 ACL 设置为“公开”,则系统不会为针对该对象或其 ACL 的读取或写入生成审核日志。

审核日志格式

审核日志条目包含以下组件:

  • 日志条目本身,即 LogEntry 对象。日志条目中的有用字段包括下列各项:

    • logName 包含项目标识和审核日志类型。
    • resource 包含所审核操作的目标。
    • timeStamp 包含所审核操作的时间。
    • protoPayload 包含审核的信息。
  • 审核日志记录数据,即保存在日志条目的 protoPayload 字段中的 AuditLog 对象。AuditLog 对象条目包含如下信息:

    • 发出请求的用户(包括该用户的电子邮件地址)。
    • 请求所针对的资源名称。
    • 请求的结果。
    • (可选)详细的请求和响应信息。如需了解详情,请参阅详细的审核日志记录模式

如需了解上述对象中的其他字段以及如何解读这些字段,请参阅了解审核日志

日志名称

logName 字段指示拥有审核日志的 Cloud 项目或其他 Google Cloud 实体,以及日志条目是包含管理员活动还是数据访问日志。例如,下面显示的日志名称分别表示项目的管理员活动审核日志及其数据访问审核日志。变量表示与日志相关联的项目。

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access

服务名称

与 Cloud Storage 操作相关的日志使用服务名称 storage.googleapis.com

如需了解所有日志记录服务,请参阅将服务映射到资源

资源类型

与 Cloud Storage 相关的日志被分类到 GCS bucket 资源类型。

如需查看其他资源类型的列表,请参阅受监控的资源类型

日志设置

默认情况下,系统会记录管理员活动日志。这些日志不计入您的日志提取配额

默认情况下,系统不会记录与 Cloud Storage 操作相关的数据访问日志。如需了解如何为数据访问型操作启用日志,请参阅配置数据访问日志。请注意,与管理员活动日志不同,数据访问日志会计入您的日志提取配额,并可能影响您需支付的 Cloud Logging 费用

日志访问

以下用户可以查看管理员活动日志:

以下用户可以查看数据访问日志:

  • 项目所有者。
  • 拥有私密日志查看者 IAM 角色的用户。
  • 拥有 logging.privateLogEntries.list IAM 权限的用户。

有关授予访问权限的说明,请参阅将 IAM 成员添加到项目中

查看日志

您可以在 Google Cloud Console 的活动流中查看项目的审核日志摘要。如需了解查看审核日志条目的其他选项,请参阅查看审核日志

导出日志

您可以按照导出其他类型日志的方式导出审核日志。如需详细了解如何导出日志,请参阅导出日志

限制

将 Cloud Audit Logs 与 Cloud Storage 结合使用要受以下限制的约束:

后续步骤