Cloud Storage での Cloud Audit Logging

このページでは、Cloud Storage で Cloud Audit Logging を使用する場合の補足情報を提供します。Cloud Audit Logging を使用すると、Cloud Storage で実行された API オペレーションのログを生成できます。Cloud Audit Logging の設定については、データアクセス ログの構成をご覧ください。

ログに記録される情報

Cloud Audit Logging では、次の 2 種類のログが生成されます。

  • 管理アクティビティ ログ: プロジェクト、バケット、オブジェクトの構成またはメタデータを変更するオペレーションが記録されます。

  • データアクセス ログ: オブジェクトを変更するオペレーションや、プロジェクト、バケット、オブジェクトを読み取るオペレーションが記録されます。データアクセス ログには、さらにいくつかのサブタイプがあります。

    • ADMIN_READ: プロジェクト、バケット、オブジェクトの設定またはメタデータを読み込むオペレーションが記録されます。

    • DATA_READ: オブジェクトを読み取るオペレーションが記録されます。

    • DATA_WRITE: オブジェクトを作成または変更するオペレーションが記録されます。

次の表に、各ログに書き込まれる Cloud Storage オペレーションをまとめます。

ログエントリのタイプ サブタイプ オペレーション
管理アクティビティ
  • バケットの作成
  • バケットの削除
  • IAM ポリシーの設定 / 変更
  • オブジェクトの ACL の設定 / 変更
  • バケットのメタデータの更新
データアクセス ADMIN_READ
  • バケットのメタデータの取得
  • IAM ポリシーの取得
  • オブジェクトの ACL の取得
  • バケットのリストの表示
DATA_READ
  • オブジェクト データの取得
  • オブジェクト メタデータの取得
  • オブジェクトのリスト
  • オブジェクトのコピー / 作成1
DATA_WRITE
  • オブジェクトの作成
  • オブジェクトの削除2
  • ACL 以外のオブジェクト メタデータの更新2
  • オブジェクトのコピー / 作成1

1 コピーと作成は非アトミックです。それぞれデータを読み取り、書き込みます。このため、2 つのログエントリが生成されます。

2 Cloud Audit Logging は、オブジェクトのライフサイクル管理機能で行われた処理を記録しません。これらの処理を追跡する代替方法については、ライフサイクルの処理を追跡するためのオプションをご覧ください。

Cloud Storage のログは AuditLog オブジェクトを使用し、他の Cloud Audit Logging ログと同じ形式を使用します。ログには次のような情報が記録されます。

  • リクエストを行ったユーザー(ユーザーのメールアドレスなど)
  • リクエストされたリソース名
  • リクエストの結果

ログの設定

Cloud Storage のオペレーションに関するログは、storage.googleapis.com サービスによって生成されます。

デフォルトでは、管理アクティビティ ログが記録されます。これらのログは、ログ取り込み割り当ての計算対象になりません。

デフォルトでは、Cloud Storage オペレーションに関連するデータアクセス ログは記録されません。データアクセスに関連するオペレーションのロギングを有効にする方法については、データアクセス ログの設定をご覧ください。管理アクティビティ ログと異なり、データアクセス ログはログ取り込み割り当ての計算対象になり、Stackdriver のログ料金に影響を及ぼします。

ログへのアクセス

次のユーザーは管理アクティビティ ログを閲覧できます。

次のユーザーは、データアクセス ログを閲覧できます。

アクセス権の付与方法については、プロジェクトへの IAM メンバーの追加をご覧ください。

ログの表示

Cloud Storage に関連するログは、リソースタイプ GCS bucket によって分類されます。

プロジェクトの監査ログについては、Google Cloud Platform Console のアクティビティ ストリームでその概要を表示できます。ログの詳細は、ログビューアで確認できます。

ログビューアでログをフィルタリングする方法については、Cloud Audit Logging ガイドをご覧ください。

ログの命名

Cloud Audit Logging は、すべての監査ログに標準のログ名を使用します。ログ名の構造、およびログ結果のフィルタとしてログ名を使用する例については、監査ログの表示をご覧ください。

制限事項

Cloud Storage での Cloud Audit Logging には、次の制限が適用されます。

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...

Cloud Storage ドキュメント